promiscuous oder nicht promiscuous, das ist hier die Frage

[[tom]]

Ich bin gerade dabei, mir snort als Alternative zu einem kommerziellen System (ISS) auf Einsetzbarkeit als Netzwerk IDS anzuschauen. Bevor ich das auf die große Welt loslasse, teste ich es erstmal sozusagen stand alone (Sandkasten mäßig).

Wenn ich snort starte, bekomme ich die Meldung, das eth0 im promiscuous mode läuft (auch im syslog als Kernel Meldung). Lass ich dann allerdings mal ein "chkrootkit sniffer" auf dem Rechner los läuft die Karte angeblich nicht im promiscuous mode. Wem soll ich hier nun mehr glauben schenken? Grundsätzlich glaub ich dem Kernel zwar mehr, aber irgendwie machen mich die gegenteiligen Aussagen stutzig.

Gibt es noch eine Möglichkeit, dies zu checken oder zu prüfen, ob der promiscuous Mode überhaupt von der Netzwerkkarte unterstützt wird? Ich meine außer den Rechner in ein ungeswitchtes Netz zu hängen. ;-)

[TOM]

[captaincrunch]

Gibt es noch eine Möglichkeit, dies zu checken oder zu prüfen, ob der promiscuous Mode überhaupt von der Netzwerkkarte unterstützt wird?

Steht mit im Ouput von ifconfig :

UP BROADCAST PROMISC RUNNING MULTICAST

^ so müsste das ganze dann aussehen ...

Grundsätzlich würde ich sagen, dass du dem Kernel eher vertrauen kannst als dem Rootkitchecker, schließlich verwaltet der ja die Hardware ...

Ach ja : mit der Option -p kannst du snort auch ohne Promiscious Mode laufen lassen ...

[[tom]]

Gibt es noch eine Möglichkeit, dies zu checken oder zu prüfen, ob der promiscuous Mode überhaupt von der Netzwerkkarte unterstützt wird?

Steht mit im Ouput von ifconfig :

UP BROADCAST PROMISC RUNNING MULTICAST

^ so müsste das ganze dann aussehen ...

Da steht nix - hatte ich vorhin vergessen dazu zu schreiben. Hast Du das aus der "Erinnerung" geschrieben oder gerade getestet?

Grundsätzlich würde ich sagen, dass du dem Kernel eher vertrauen kannst als dem Rootkitchecker, schließlich verwaltet der ja die Hardware ...

Mein Reden. :-D

Ach ja : mit der Option -p kannst du snort auch ohne Promiscious Mode laufen lassen ...

Schon klar - aber dann läßt sich das Netzwerk so schlecht überwachen. ;-)

Ich hab ja den Verdacht, dass die Netzwerkkarte den promiscuous nicht unterstützt. Aber dann würd ich einen entsprechenden Eintrag im Syslog erwarten.

Für den Produktivbetrieb würde eh ein anderer Rechner genommen. Aber ich muß wenigstens eine Möglichkeit haben, eindeutig festzustellen, in welchem Zustand das Interface ist - ich bin da so pingelig. ;-)

[TOM]

[captaincrunch]

Ach so ... ich war die ganze Zeit davon ausgegengen, dass du das auf deinem Rootie btreiben willst ... stehe heute etwas neben mir ...

Da steht nix - hatte ich vorhin vergessen dazu zu schreiben. Hast Du das aus der "Erinnerung" geschrieben oder gerade getestet?

Das hatte ich nur aus dem Kopf dahingepinnt, passt aber schon ...

Ich hab ja den Verdacht, dass die Netzwerkkarte den promiscuous nicht unterstützt. Aber dann würd ich einen entsprechenden Eintrag im Syslog erwarten.

So sollte es sein ... und ich kenne so gut wie keine (aktuelle) Karte heutzutage, die nicht in den Promiscious Mode zu schalten wäre ...

Für den Produktivbetrieb würde eh ein anderer Rechner genommen. Aber ich muß wenigstens eine Möglichkeit haben, eindeutig festzustellen, in welchem Zustand das Interface ist - ich bin da so pingelig.

Ganz genau kiregst du das IMHO über ifconfig raus, ansonsten sähe ich auch nur die Möglichkeit des ungeswitchten Netzes, wobei du beim Switch ja auch nur die Broadcasts sehen würdest ...