miércoles, septiembre 06, 2006

Detectar conexiones no autorizadas en una red local con Linux:

En un sistema Linux con Arpalert podemos detectar intrusos en una red local, guardando en una lista preconfigurada las direcciones IP y la MAC de las computadoras que pertenecen a la red local. Cuando Arpalert esta escuchando las peticiones de red detecta una MAC que no esta en la lista, entonces ejecuta un script (programado por el usuario) al que le pasa como parámetros la MAC y la IP del intruso.
Este programa es difícil de detectar ya que no trabaja en modo promiscuo. El script cada administrador puede poner lo que quiera: mandar un mensaje, bloquear la IP en iptables…
Como medida simple de prevención de intrusos esta bien aunque es más eficaz IDS ya que si falseas la MAC Arpalert no lo detecta, aunque un IDS es fácil de detectar porque trabaja en modo promiscuo.

Más información y descarga de Arpalert:
www.arpalert.org
Publicar un comentario en la entrada