[linux] detective spelen?

Nico Bouthoorn nico op cuora.nl
Do Nov 9 11:21:56 CET 2017


Heb ik geen last van dat mac adressen wijzigen op smartphones,  ik heb
het nog niet gemerkt.  Ik zou het trouwens erg vreemd vinden als devices
zomaar van mac wisselen.
Mijn dhcp server staat op een linux doos. Alle dhcp clients krijgen mij
bij een vaste lease, wanneer een device een gewone lease krijgt gaat er
op mijn nagios server een alarm af.
Omdat mij default gw ook op die doos staat, heb ik  snort geinstalleerd,
die alle inkomend/uitgaand monitort, ook weer gekoppeld aan Nagios.
Ik kwam er ook achter dat zelfs mijn printer stond te praten met HP!, we
werden zelfs gebeld dat onze toner op was en dat we orginele toners
moesten gebruiken!  Toen was de maat vol, alleen geautoriseerde interne
ip's mogen naar buiten nu via iptables.

Een andere leuke tool **is Security Onion, dit is een IDS,  te
installeren als VM, maar dan moet de  VM gehost zijn op de host die
default gw is en de de host moet ingesteld als een hub.  Op die manier
kun je al het verkeer afluisteren, (span verkeer Cisco) 
https://www.securityonion.net/

Nico

trialero op gmx.com wrote:
> Netwerk detective spelen is inderdaad leuk en ook nuttig -- je weet nooit wie of wat er allemaal binnen je digitale muren speelt. In de praktijk is het alleen moeilijk de juiste dosis wantrouwen van een OD paranoia te onderscheiden.
>
> 'smart' devices zijn een PITA en dringen steeds makkelijker je huis binnen. Als er smart voor staat kan je er van opaan dat ze op de één of andere manier persoonsgegevens van je verzamelen.
>
> Hier thuis zijn met name de smart-phones mijn aandachtspunt. Die krengen gebruiken steeds andere MAC adressen. Van iOS is dat bekend, maar een HTC bljjkt dat ook te doen.
>
> Ik had mijn router ingesteld met een whitelist MAC adressen die een eigen IP op het thuisnetwerk krijgen. Levert bij die smartphone pubers dus voortdurend geklaag dat er geen wi-fi is. Toch maar weeer het netwerk open gezet voor alle apparaten die het wachtwoord kennen... 
>
> Na een dag of twee staan er dus een hele reut gebruikte MAC adressen in de lijst van devices die via de wi-fi op het netwefk zijn geweest. Is alleen niet of nauweljjks na te gaan of daar niet een apparaat van een niet-huisgenokt tussen zit...
>
> Geen ncap, geen Nest of Toon, maar wel mega iritant en niet beheersbaar... Voor mij in ieder geval zo min mogelijk 'smart' apparaten.
>
> Grtz
>
> //meine 
>
> Den Tirsdag den 7. november 2017 skrev Daniel C. von Asmuth:
>> Aldus schreef paai op Tue, Nov 07, 2017 at 09:06:18AM +0100:
>>> Hoi,
>>>
>>> ik zat vanochtend met nmap te spelen en kwam een onbekend IP nummer op mijn
>>> netwerk tegen. Hij had alleen port 80 open, en daar zat niks achter. De
>>> fabrikant was Robert Bosch GmbH.
>>>
>>> Nu heb ik wel een Nefit thermostaat die via een appje bediend moet worden en
>>> Nefit blijkt een Bosch dochter te zijn. Maar bij een volle scan kwamen er
>>> vooral suggesties voor een media device uit rollen.
>>>
>>> Is dit volgens jullie in tegenspraak met de thermostaat-functie?
>>>
>>> # nmap -sT -O 192.168.178.150
>>>
>>> Starting Nmap 7.60 ( https://nmap.org ) at 2017-11-07 08:52 CET
>>> Nmap scan report for 192.168.178.150
>>> Host is up (0.0069s latency).
>>> Not shown: 999 closed ports
>> Voor de paranoide medemens: u hebt nog 64536 TCP poorten die u nog kunt
>> scannen. Als u een laptop via een cross-cable verbindt met het apparaat, 
>> dan weet u zeker welk apparaat daar getest is (er mochten eens twee
>> op hetzelfde IP-adres wonen). 
>>
>>> PORT   STATE SERVICE
>>> 80/tcp open  http
>> Dan zou je verwachten dat je met telnet naar die poort kunt 
>> connecten en een eenvoudige 
>> GET / HTTP/1.1
>> kunt intypen.
>>
>>> MAC Address: 00:60:34:0B:2B:11 (Robert Bosch Gmbh)
>>> Device type: media device|specialized|general purpose|webcam
>>> Running (JUST GUESSING): AudioControl embedded (90%), Fatek embedded (89%),
>>> Luminary Micro embedded (89%), Philips embedded (85%), lwIP 1.4.X (85%),
>>> Denver Electronics embedded (85%), NodeMCU embedded (85%)
>>> OS CPE: cpe:/h:audiocontrol:d3400 cpe:/h:fatek:fbs-cbeh
>>> cpe:/h:philips:hue_bridge cpe:/a:lwip_project:lwip
>>> cpe:/h:denver_electronics:ac-5000w cpe:/o:nodemcu:nodemcu
>>> cpe:/a:lwip_project:lwip:1.4
>>> Aggressive OS guesses: AudioControl D3400 network amplifier (90%), Fatek
>>> FBs-CBEH PLC Ethernet communication board (89%), Luminary Micro ARM
>>> Evaluation Kit (89%), Philips Hue Bridge (lwIP stack) (85%), Denver
>>> Electronics AC-5000W MK2 camera (85%), NodeMCU firmware (lwIP stack) (85%),
>>> Philips Hue Bridge (lwIP stack v1.4.0) (85%)
>> Dit klinkt naar LED-verlichting uit een fabriek ten noorden van Waalre. 
>> Als u het apparaat openschroeft weet u meer.
>>
>>> No exact OS matches for host (test conditions non-ideal).
>>> Network Distance: 1 hop
>>>
>>> OS detection performed. Please report any incorrect results at
>>> https://nmap.org/submit/ .
>>> Nmap done: 1 IP address (1 host up) scanned in 22.28 seconds
>>>
>> Suc6,
>>
>>
>> Daniel 
>>
>> -- 
>> 	
>> 		Geeks of a feather cruft together
>> 		
>>
>>

-- 
0623391101

------------- volgend deel ------------
Een HTML-bijlage is gescrubt...
URL: <https://lists.nllgg.nl/pipermail/linux/attachments/20171109/3ee69bda/attachment.html>


Meer informatie over de Linux maillijst