Netzwerk Monitoring

[Serow]

Hi,

ich würde gerne einige Dinge in einem Netzwerk überwachen. Dazu gehört

"Läuft Dienst X auf Server Y?"
"Was ist die CPU Auslastung auf Sever Y"?
"Was ist die Temperatur der Festplatte X auf Server Y?"
"Wie hoch ist der inbound / outbound traffice auf Server Y?"

Das sind ja alles Sachen die man z.B. per SSH relativ leicht abfragen kann. Allerdings müssten dazu Statistiken erstellt werden. Welches Programm empfielt sich dafür?

Und dann hätte ich noch eine Frage zu dem Thema: Ich würde gerne erkennen wenn jemand ARP spoofing betreibt. Dazu gibt es ja z.B. arpwatch. Aber arpwatch funktioniert ja nicht, wenn mit dem Rechner auf dem es läuft niemand "redet" oder? Bzw der Rechner müsste selbst arp spoofen um den Traffic abzubekommen. Oder sehe ich das falsch?


cu
serow

 

[Watchme]

fuer alle deine Fragen gibt es eine Antwort: Nagios

 

[Serow]

Ist das auch die Antwort auf die ARP Frage?

Danke jedenfalls.

 

[bitmuncher]

Nagios kann alles monitoren. Damit kannst du zur Not auch deine Kaffeemaschine überwachen. Für jeden Zweck lassen sich zur Not auch eigene Plugins schreiben, wobei es glaub ich schon fast alles gibt. ARP-Spoofing wirst du nur mit einem ordentlichen IDS überwacht bekommen.

 

[Serow]

Okay, hab mir nagios schon mal ein wenig angeschaut und auch den ersten Host konfiguriert. Läuft! Nur die Oberfläche ist ugly as hell, aber kann eben nicht alles haben

Kann ich ARP überhaupt von einem Rechner aus überwachen der nur an Switch hängt und kein Gateway ist? Wenn ja wie macht der das? Wenn der überwachende Rechner jetzt "10.0.0.6" ist und der Angreifer "10.0.0.30" dem Rechner "10.0.0.11" vorgaukelt er wäre das Gateway 10.0.0.1 dann bekommt 10.0.0.6 von ja nichts mit oder?


EDIT:
Ich hab nagios jetzt mal gesagt es soll den disk space checken auf nem _remote_ rechner und er sagt mir es ist alles okay. Wie bitte kann er das wissen??? Ich hab dieses NPRE oder wie das heisst nicht installiert auf dem Rechner. Wie kann er dann bitte den Festlattenstatus überprüfen?

 

[epinephrin]

Ich schätze mal das Nagios sowas wie df benutzt bzw einen entsprechenden Zugriff auf /proc ausführt.

Vielleicht solltest du dir mal XArp ansehen.

 

[Serow]

Original von epinephrin
Ich schätze mal das Nagios sowas wie df benutzt bzw einen entsprechenden Zugriff auf /proc ausführt.

Ja sicher - aber doch nicht remote übers Netzwerk ... Würde mich stören wenn jemand ohne SSH Verbindung oder Ähnliches meine Festplatten auschecken kann

Vielleicht solltest du dir mal XArp ansehen.

XArp gibts nur für Windows soweit ich das sehe. Außerdem scheint es was zu kosten da man nur eine "Evaluation Copy" ziehen kann. Werde mir mal Snort anschaun.

Bleibt noch die Frage

Kann ich ARP überhaupt von einem Rechner aus überwachen der nur an Switch hängt und kein Gateway ist? Wenn ja wie macht der das? Wenn der überwachende Rechner jetzt "10.0.0.6" ist und der Angreifer "10.0.0.30" dem Rechner "10.0.0.11" vorgaukelt er wäre das Gateway 10.0.0.1 dann bekommt 10.0.0.6 von ja nichts mit oder?

 

[VierZwei]

Würde es was helfen den output von "arp -a" mit einem Skript zu überwachen?

 

[epinephrin]

oh, tut mir leid.. hätte aufmerksamer lesen sollen kommt nicht wieder vor

 

[Serow]

Original von VierZwei
Würde es was helfen den output von "arp -a" mit einem Skript zu überwachen?

Naja, prinzipiell wäre das schon machbar, nur beantwortet es die obige Frage ebenfalls nicht.

 

[ecki]

Wenn ARP-Spoofing richtig gemacht wird und man dabei auch etwas darauf achtet wem man antwortet, sollte man es in einem geswitchen Netzwerk nicht bemerken. Wenn man sicher gehen will bleiben da nur statische ARP-Einträge oder sehr intelligente Switche.

 

[epinephrin]

Kennt ihr solche Switches?

 

[Serow]

Ja, so ungefähr jeder konfigurierbare Switch von Cisco mit IOS kenne Port Security (so heisst das glaub ich).

Okay danke soweit.

cu
serow

 

[ecki]

Port Security hilft nur gegen das fälschen der MAC. ARP-Spoofing kommst du damit nicht bei. Mit Cisco hab ich recht wenig zu tun, aber bei HP nennt sich das was ich meinte Dynamic ARP Protection.

 

[Serow]

Hmm, stimmt man "verarscht" ja nicht den Switch sondern den Host beim ARP Spoofing. Sry - mein Fehler.


Bei Cisco heisst das "arp inspection". Da mir so ein Switch aber zu teuer ist wird das wohl nix

 

[Chromatin]

Das was du moechtest, bekommst du relativ schmerzfrei mit SNMP hin.
Die meisten Sachen sind eh in standard MIBs hinterlegt- und wenn du zb Net-SNMP benutzt (soweit ich weiss haben die Linuxer noch keinen "eigenen" daemon), dann kannst Du mit ein paar Zeilen $Perl andere Programme mit anbinden (Dein ARP zeugs).

Nagios halte ich eher fuer groeszere Umgebungen wirklich Sinnvoll, da sich die maechtigkeit der SW dort rechtfertigt.