Descobrir IP em rede corporativa

[j4j4j4]

estou fisicamente do lado de dentro firma, há um ponto de rede na sala, existem alguns milivolts na extremidade do cabo categoria 6 crimpado no padrão 568A, ou seja está ativo, não há um servidor dhcp com range liberada ou se existe está liberando IPs por mac adress. não faço idéia da faixa de endereços atribuida.

Como posso levantar o endereço de rede a fim de obter um IP válido ?

[mmachado]

Com um bom sniffer você consegue ver os pacotes Ethernet e, pelo menos, as requisições ARP perguntando os IPs da rede.

[]s, MM

[j4j4j4]

obrigado mmachado,
saberia me dizer se um ids tipo guardian + snort poderia detectar alguma anomalia do tipo placa de rede em modo promíscuo ?
caso minhas perguntas estejam sendo postadas no local errado, por favor diga-me.

[J.Augusto]

estou fisicamente do lado de dentro firma, há um ponto de rede na sala, existem alguns milivolts na extremidade do cabo categoria 6 crimpado no padrão 568A, ou seja está ativo, não há um servidor dhcp com range liberada ou se existe está liberando IPs por mac adress. não faço idéia da faixa de endereços atribuida.

Como posso levantar o endereço de rede a fim de obter um IP válido ?

>:- [

Muitas empresas aqui no estado estão simplesmente restringindo o acesso de seu parque interno ao Kurumin linux 6, simplesmente pela forma em que ele se adequa ao ambiente operacional da rede, como tal, esse exemplo que vc citou. A forma como o sistema está Sniffando os pacotes da rede, se dá de forma incrivelmente eficiente, e que em mãos erradas causa muitos estragos, há feaures que com apenas alguns click's até senhas são captadas, senhas de compartilhamentos e trafego não criptografado.

Isso é um exemplo, do que o MM falou, sobre o farejo dos pacotes.

[j4j4j4]

olá J.Augusto
interessante esta sua colocação, ainda não tive tempo de rodar um kurumin 6 em minha rede. de qualquer forma, obrigado, estou tentando entender alguns acontecimentos.

[Guzpido Krush]

http://google.com/search?q="como+detectar+uma+interface+em+modo+prom íscuo?"

http://www.linuxsecurity.com.br/sect...ticle&artid=24

[mmachado]

saberia me dizer se um ids tipo guardian + snort poderia detectar alguma anomalia do tipo placa de rede em modo promíscuo?

Não. O Snort não detecta placa de rede em modo promíscuo, já que ele é um IDS passivo. Se você não estiver fazendo nada ("Tô só olhando, só olhando..."), ele não vai ver nada. Mas existem muitas outras ferramentas e métodos que detectam esse modo.

[]s, MM

[ceth]

obrigado mmachado,
saberia me dizer se um ids tipo guardian + snort poderia detectar alguma anomalia do tipo placa de rede em modo promíscuo ?
caso minhas perguntas estejam sendo postadas no local errado, por favor diga-me.

Para isso você pode utilizar o comando ifconfig, que é usado para obter informações sobre as interfaces de rede. Execute o comando ifconfig com a opção -a para fornecer informações sobre todas as interfaces de rede do sistema.

Se aparecer algo como:

UP BROADCAST RUNNING PROMISC MULTICAST MTU:1500 Metric:1

A indicação PROMISC na linha acima, retirado de uma saide de interface eth0 indica que esta se encontra em modo promíscuo, caracterizando a existência de um sniffer.


[]s,
ceth

[nelson]

Isso se ele estiver na máquina onde está rodando o sniffer _e_ se a máquina for padrão Unix, e ainda assim não é verdade para todas elas. Por exemplo, em Linux isso não é mais assim faz tempo:
# uname -a
Linux hagnarok 2.6.17-mh1 #2 Wed Jun 28 17:07:01 BRT 2006 i686 GNU/Linux
# tcpdump -i eth1 -w /tmp/tcp.log &
# ifconfig eth1
eth1 Link encap:Ethernet HWaddr 00:15:00:11:9D:A5
inet addr:192.168.200.3 Bcast:192.168.200.255 Mask:255.255.255.0
inet6 addr: fe80::215:ff:fe41:9de5/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1

Para isso você pode utilizar o comando ifconfig, que é usado para obter informações sobre as interfaces de rede. Execute o comando ifconfig com a opção -a para fornecer informações sobre todas as interfaces de rede do sistema.

Se aparecer algo como:

UP BROADCAST RUNNING PROMISC MULTICAST MTU:1500 Metric:1

A indicação PROMISC na linha acima, retirado de uma saide de interface eth0 indica que esta se encontra em modo promíscuo, caracterizando a existência de um sniffer.

[ceth]

Isso se ele estiver na máquina onde está rodando o sniffer _e_ se a máquina for padrão Unix, e ainda assim não é verdade para todas elas. Por exemplo, em Linux isso não é mais assim faz tempo:
# uname -a
Linux hagnarok 2.6.17-mh1 #2 Wed Jun 28 17:07:01 BRT 2006 i686 GNU/Linux
# tcpdump -i eth1 -w /tmp/tcp.log &
# ifconfig eth1
eth1 Link encap:Ethernet HWaddr 00:15:00:11:9D:A5
inet addr:192.168.200.3 Bcast:192.168.200.255 Mask:255.255.255.0
inet6 addr: fe80::215:ff:fe41:9de5/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1

Pelo que entendi ele está na máquina aonde o sniffer está rodando, se não for isso, me desculpem.

Mas é como nosso amigo Nelson colocou "muito bem lembrado por sinal", precisa estar na máquina onde está rodando o sniffer, e também que sejá padrão Unix, podendo até ser um Linux com um Kernel mais desatualizado.

Por exemplo, a utilização do comando "ifconfig" no DEC OSF/1, IRIX e em alguns outros Unix, requer que o dispositivo seja especificado, já no Ultrix é possivel detectar o uso de sniffer com os comandos pfstat e pfconfig. Em sistemas como Solaris, SCO e algumas versoes do Irix, não existe indicação de modo promíscuo, não havendo, portanto, maneiras de detectar o uso do sniffer.

Como vimos isso vai muito além, então fico por aqui, e se o amigo especificar o OS, quem sabe a gente tenta dar mais uma força ;)


[]s,
ceth