Auditoria de IPs reservados para UNIX / Linux ISC-DHCP

Navegue suas respostas
1

Existe alguma boa ferramenta FOSS para fazer uma auditoria de IPs reservados usados em um ambiente Linux / UNIX ISC DHCPd? Estou tentando garantir que não tenhamos endereços IP antigos reservados quando os endereços MAC antigos são extraídos.

    
por keithosu 12.05.2010 / 19:07

7 respostas

2

A pergunta original pedia ferramentas de software livre para esse propósito, mas não conheço nenhuma que faça isso corretamente.

Eu tive que realizar este exercício no passado, então posso explicar por que algumas outras sugestões aqui podem não ser suficientes. Eu perguntaria que tipo de roteador você está usando em sua rede.

  • Verificar a rede em um determinado momento não é suficiente; ignora o aspecto temporal do uso, entre outras coisas. Simplesmente, um host pode não estar online enquanto você faz a varredura. Outro problema é que um host pode ter um firewall ativado para bloquear a verificação.

  • Um processo humano ... bem, eles são coisas tão moles, por que você quer um humano para fazer isso?

  • Comparar conf DHCP a concessões vendidas também pode ser insuficiente. O banco de dados de concessões teria novamente que ser rastreado ao longo do tempo. Mas o problema real é que você pode ter criado uma entrada em sua configuração que está sendo usada estaticamente, em vez de via DHCP. Alguém pode ter solicitado um endereço, descobriu que não poderia configurar o DHCP adequadamente e codificou o endereço atribuído à máquina.

A solução que usei foi coletar registros ARP de roteadores (Cisco). A informação mínima que você precisa capturar é o endereço IP, o endereço MAC e alguns dados temporais (vistos pela primeira vez, vistos pela última vez) durante um certo período de tempo. Isso pode ser comparado com sua configuração DHCP para ver quais registros NÃO estão sendo usados e podem ser recuperados. Registros ARP revelam outras informações de uso, como

  • MAC registrado com endereço IP registrado, mas sem registro de concessão de DHCP - o host é codificado para seu registro, não usando DHCP.

  • MAC registrado que não usa endereço IP registrado - se estiver na mesma rede, provavelmente codificar permanentemente no endereço errado; se em outra rede, o host pode ter sido realocado.

  • MAC não registrado com endereço IP registrado ou não registrado - talvez um novo NIC, talvez um hard-coder desonesto.

Você também precisa criar (e publicar para usuários) uma política para que o script que compara os registros DHCP com as informações do ARP indique os endereços a serem recuperados após algum tempo de não uso. Usamos seis meses, mas acabamos reclamando o endereço de um funcionário que foi em período sabático. Ajuste como razoável.

Espero que isso ajude!

    
por 21.05.2010 / 14:03
2

Por seus comentários à resposta de David, parece que você precisa de algo para pesquisar regularmente as tabelas ARP em seu gateway padrão e / ou servidores.

Alguns scripts Perl relativamente simples de suas tabelas SNMP devem permitir que você teste isso e crie um banco de dados de longo prazo de MAC - > Mapeamentos de IP. Veja por exemplo link

    
por 18.05.2010 / 23:21
2

Eu não tenho ideia se ou quão bem isso funciona, mas parece coletar alguns dos dados que você precisa para que possa ser um começo.

    
por 22.05.2010 / 00:28
1

Se você quer dizer alocação dinâmica de concessões, você não precisa fazer nada. O dhcpd do ISC tenta manter as concessões atribuídas anteriormente pelo maior tempo possível até que o conjunto de concessões esteja vazio. Em seguida, ele irá limpar as concessões expiradas (e, portanto, não utilizadas no momento).

Se você quer dizer reservas estáticas, a resposta é: processo humano.

Você está limpando seu DNS (e, se aplicável, NIS) quando computadores antigos são descomissionados, certo? Portanto, adicione uma observação a esse processo para limpar as reservas DHCP ao mesmo tempo.

No nosso caso, temos um script perl que lê um arquivo de origem especialmente formatado e gera automaticamente as tabelas NIS, DNS (forward AND backward) e DHCP, distribui-as e notifica os daemons de serviço. Isso significa que temos uma parada para limpar depois de nós mesmos e / ou adicionar algo novo.

    
por 13.05.2010 / 05:17
0

Eu acho que você poderia montar um script perl bem simples que pudesse comparar /etc/dhcpd.conf e /var/lib/dhcp/dhcpd.leases

Eu analisaria o link que parece ter módulos para ler esses dois tipos de arquivos.

    
por 18.05.2010 / 23:03
0

Outro pensamento seria capturar e analisar a saída de um comando como: nmap -sP -oG output.txt 10.0.0.0/8

Se o comando foi executado no meio-dia, ou em algum outro momento em que "todos" estejam on-line, é provável que ele capture o laptop fantasma a maior parte do tempo.

    
por 19.05.2010 / 06:13
0

Em lugares como escolas e universidades, eles registram usuários com base em seu endereço mac. Ferramentas como arpwatch possuem um banco de dados de entradas ARP estáticas. É melhor auditar seu espaço de rede antes de construir um banco de dados de endereços MAC. Isso é executado no gateway NAT / DHCP.

O DHCP não deve depender do gerenciamento de usuários da rede. O que acontece se alguém escolher um IP estático?

Boa sorte, Ash

arpwatch is a computer software tool for monitoring Address Resolution Protocol traffic on a computer network. It generates a log of observed pairing of IP addresses with MAC addresses along with a timestamp when the pairing appeared on the network.

Network administrators monitor ARP activity to detect ARP spoofing. -- Wikipedia

    
por 25.05.2010 / 15:26

Tags

Existe um servidor de correio Linux com um diretório de coleta de saída? 64bits OS pode rodar no Hyper-V?