[HaBo]

Serow · 01.03.09, 21:56

Hi,

ich würde gerne einige Dinge in einem Netzwerk überwachen. Dazu gehört

"Läuft Dienst X auf Server Y?"
"Was ist die CPU Auslastung auf Sever Y"?
"Was ist die Temperatur der Festplatte X auf Server Y?"
"Wie hoch ist der inbound / outbound traffice auf Server Y?"

Das sind ja alles Sachen die man z.B. per SSH relativ leicht abfragen kann. Allerdings müssten dazu Statistiken erstellt werden. Welches Programm empfielt sich dafür?

Und dann hätte ich noch eine Frage zu dem Thema: Ich würde gerne erkennen wenn jemand ARP spoofing betreibt. Dazu gibt es ja z.B. arpwatch. Aber arpwatch funktioniert ja nicht, wenn mit dem Rechner auf dem es läuft niemand "redet" oder? Bzw der Rechner müsste selbst arp spoofen um den Traffic abzubekommen. Oder sehe ich das falsch?

cu
serow

Watchme · 01.03.09, 22:37

fuer alle deine Fragen gibt es eine Antwort: Nagios

Anzeige

- Anzeige -

Serow · 01.03.09, 22:39

Ist das auch die Antwort auf die ARP Frage?

Danke jedenfalls.

**bitmuncher** · 02.03.09, 00:27

Nagios kann alles monitoren. Damit kannst du zur Not auch deine Kaffeemaschine überwachen. Für jeden Zweck lassen sich zur Not auch eigene Plugins schreiben, wobei es glaub ich schon fast alles gibt.

ARP-Spoofing wirst du nur mit einem ordentlichen IDS überwacht bekommen.

Serow · 02.03.09, 07:35

Okay, hab mir nagios schon mal ein wenig angeschaut und auch den ersten Host konfiguriert. Läuft! Nur die Oberfläche ist ugly as hell, aber kann eben nicht alles haben

Kann ich ARP überhaupt von einem Rechner aus überwachen der nur an Switch hängt und kein Gateway ist? Wenn ja wie macht der das? Wenn der überwachende Rechner jetzt "10.0.0.6" ist und der Angreifer "10.0.0.30" dem Rechner "10.0.0.11" vorgaukelt er wäre das Gateway 10.0.0.1 dann bekommt 10.0.0.6 von ja nichts mit oder?

EDIT:
Ich hab nagios jetzt mal gesagt es soll den disk space checken auf nem _remote_ rechner und er sagt mir es ist alles okay. Wie bitte kann er das wissen??? Ich hab dieses NPRE oder wie das heisst nicht installiert auf dem Rechner. Wie kann er dann bitte den Festlattenstatus überprüfen?

epinephrin · 02.03.09, 12:16

Ich schätze mal das Nagios sowas wie df benutzt bzw einen entsprechenden Zugriff auf /proc ausführt.

Vielleicht solltest du dir mal XArp ansehen.

Serow · 02.03.09, 15:38

Zitat:

Original von epinephrin
Ich schätze mal das Nagios sowas wie df benutzt bzw einen entsprechenden Zugriff auf /proc ausführt.

Ja sicher - aber doch nicht remote übers Netzwerk ... Würde mich stören wenn jemand ohne SSH Verbindung oder Ähnliches meine Festplatten auschecken kann

Zitat:

Vielleicht solltest du dir mal XArp ansehen.

XArp gibts nur für Windows soweit ich das sehe. Außerdem scheint es was zu kosten da man nur eine "Evaluation Copy" ziehen kann. Werde mir mal Snort anschaun.

Bleibt noch die Frage

Zitat:

Kann ich ARP überhaupt von einem Rechner aus überwachen der nur an Switch hängt und kein Gateway ist? Wenn ja wie macht der das? Wenn der überwachende Rechner jetzt "10.0.0.6" ist und der Angreifer "10.0.0.30" dem Rechner "10.0.0.11" vorgaukelt er wäre das Gateway 10.0.0.1 dann bekommt 10.0.0.6 von ja nichts mit oder?

VierZwei · 02.03.09, 15:58

Würde es was helfen den output von "arp -a" mit einem Skript zu überwachen?

epinephrin · 02.03.09, 16:02

oh, tut mir leid.. hätte aufmerksamer lesen sollen

kommt nicht wieder vor

Serow · 02.03.09, 17:22

Zitat:

Original von VierZwei
Würde es was helfen den output von "arp -a" mit einem Skript zu überwachen?

Naja, prinzipiell wäre das schon machbar, nur beantwortet es die obige Frage ebenfalls nicht.

ecki · 03.03.09, 00:08

Wenn ARP-Spoofing richtig gemacht wird und man dabei auch etwas darauf achtet wem man antwortet, sollte man es in einem geswitchen Netzwerk nicht bemerken. Wenn man sicher gehen will bleiben da nur statische ARP-Einträge oder sehr intelligente Switche.

epinephrin · 03.03.09, 07:12

Kennt ihr solche Switches?

Serow · 03.03.09, 07:38

Ja, so ungefähr jeder konfigurierbare Switch von Cisco mit IOS kenne Port Security (so heisst das glaub ich).

Okay danke soweit.

cu
serow

ecki · 03.03.09, 11:55

Port Security hilft nur gegen das fälschen der MAC. ARP-Spoofing kommst du damit nicht bei. Mit Cisco hab ich recht wenig zu tun, aber bei HP nennt sich das was ich meinte Dynamic ARP Protection.

Serow · 03.03.09, 11:58

Hmm, stimmt man "verarscht" ja nicht den Switch sondern den Host beim ARP Spoofing. Sry - mein Fehler.

Bei Cisco heisst das "arp inspection". Da mir so ein Switch aber zu teuer ist wird das wohl nix

Anzeige

- Anzeige -

01.03.09, 21:56	#1 (permalink)
Serow Senior Member Registriert seit: 26.03.06 Likes: 16	Netzwerk Monitoring Anzeige Hi, ich würde gerne einige Dinge in einem Netzwerk überwachen. Dazu gehört "Läuft Dienst X auf Server Y?" "Was ist die CPU Auslastung auf Sever Y"? "Was ist die Temperatur der Festplatte X auf Server Y?" "Wie hoch ist der inbound / outbound traffice auf Server Y?" Das sind ja alles Sachen die man z.B. per SSH relativ leicht abfragen kann. Allerdings müssten dazu Statistiken erstellt werden. Welches Programm empfielt sich dafür? Und dann hätte ich noch eine Frage zu dem Thema: Ich würde gerne erkennen wenn jemand ARP spoofing betreibt. Dazu gibt es ja z.B. arpwatch. Aber arpwatch funktioniert ja nicht, wenn mit dem Rechner auf dem es läuft niemand "redet" oder? Bzw der Rechner müsste selbst arp spoofen um den Traffic abzubekommen. Oder sehe ich das falsch? cu serow

02.03.09, 00:27	#4 (permalink)
bitmuncher Moderator Registriert seit: 30.09.06 Likes: 441	Nagios kann alles monitoren. Damit kannst du zur Not auch deine Kaffeemaschine überwachen. Für jeden Zweck lassen sich zur Not auch eigene Plugins schreiben, wobei es glaub ich schon fast alles gibt. ARP-Spoofing wirst du nur mit einem ordentlichen IDS überwacht bekommen. __________________ Mein Blog - Mein Job - Diaspora Der Ring uns zu knechten besteht aus 12 Sternen auf blauem Grund. Neue Beiträge im Habo via Twitter - Das HaBo auf FB - Das HaBo bei G+

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
Downtime Monitoring Tool	Dawen	Applikationen	5	25.07.08 21:10
Monitoring von Internetseiten	robort	Internet Allgemein	9	25.03.06 23:48
DWL-610 im Monitoring Mode [D-Link]	c°bry	WLAN-Zone	0	23.10.05 13:34
network monitoring	matrixII	Network · LAN, WAN, Firewalls	1	02.04.04 17:06
Internet Realtime Monitoring	Rushjo	News & Ankündigungen	1	01.02.03 14:46

01.03.09, 22:37	#2 (permalink)
Watchme Member of Honour Registriert seit: 11.09.03 Likes: 2	fuer alle deine Fragen gibt es eine Antwort: Nagios

01.03.09, 22:39	#3 (permalink)
Serow Senior Member Themenstarter Registriert seit: 26.03.06 Likes: 16	Ist das auch die Antwort auf die ARP Frage? Danke jedenfalls.

02.03.09, 07:35	#5 (permalink)
Serow Senior Member Themenstarter Registriert seit: 26.03.06 Likes: 16	Okay, hab mir nagios schon mal ein wenig angeschaut und auch den ersten Host konfiguriert. Läuft! Nur die Oberfläche ist ugly as hell, aber kann eben nicht alles haben Kann ich ARP überhaupt von einem Rechner aus überwachen der nur an Switch hängt und kein Gateway ist? Wenn ja wie macht der das? Wenn der überwachende Rechner jetzt "10.0.0.6" ist und der Angreifer "10.0.0.30" dem Rechner "10.0.0.11" vorgaukelt er wäre das Gateway 10.0.0.1 dann bekommt 10.0.0.6 von ja nichts mit oder? EDIT: Ich hab nagios jetzt mal gesagt es soll den disk space checken auf nem _remote_ rechner und er sagt mir es ist alles okay. Wie bitte kann er das wissen??? Ich hab dieses NPRE oder wie das heisst nicht installiert auf dem Rechner. Wie kann er dann bitte den Festlattenstatus überprüfen?

02.03.09, 12:16	#6 (permalink)
epinephrin Registriert seit: 25.02.09 Likes: 0	Ich schätze mal das Nagios sowas wie df benutzt bzw einen entsprechenden Zugriff auf /proc ausführt. Vielleicht solltest du dir mal XArp ansehen.

02.03.09, 15:58	#8 (permalink)
VierZwei Registriert seit: 30.06.08 Likes: 0	Würde es was helfen den output von "arp -a" mit einem Skript zu überwachen?

02.03.09, 16:02	#9 (permalink)
epinephrin Registriert seit: 25.02.09 Likes: 0	oh, tut mir leid.. hätte aufmerksamer lesen sollen kommt nicht wieder vor

03.03.09, 00:08	#11 (permalink)
ecki Registriert seit: 11.02.04 Likes: 0	Wenn ARP-Spoofing richtig gemacht wird und man dabei auch etwas darauf achtet wem man antwortet, sollte man es in einem geswitchen Netzwerk nicht bemerken. Wenn man sicher gehen will bleiben da nur statische ARP-Einträge oder sehr intelligente Switche.

03.03.09, 07:12	#12 (permalink)
epinephrin Registriert seit: 25.02.09 Likes: 0	Kennt ihr solche Switches?

03.03.09, 07:38	#13 (permalink)
Serow Senior Member Themenstarter Registriert seit: 26.03.06 Likes: 16	Ja, so ungefähr jeder konfigurierbare Switch von Cisco mit IOS kenne Port Security (so heisst das glaub ich). Okay danke soweit. cu serow

03.03.09, 11:55	#14 (permalink)
ecki Registriert seit: 11.02.04 Likes: 0	Port Security hilft nur gegen das fälschen der MAC. ARP-Spoofing kommst du damit nicht bei. Mit Cisco hab ich recht wenig zu tun, aber bei HP nennt sich das was ich meinte Dynamic ARP Protection.

03.03.09, 11:58	#15 (permalink)
Serow Senior Member Themenstarter Registriert seit: 26.03.06 Likes: 16	Hmm, stimmt man "verarscht" ja nicht den Switch sondern den Host beim ARP Spoofing. Sry - mein Fehler. Bei Cisco heisst das "arp inspection". Da mir so ein Switch aber zu teuer ist wird das wohl nix

[HaBo]

Netzwerk Monitoring