Wireshark voor gebruikers op specifieke interface en meer

dinsdag 1 maart 2011 16:12

Acties:

0 Henk 'm!

Topicstarter

Ik wil op mijn school een communicatie lab inrichten liefst draaiend onder linux.

De computers in het lab hebben twee netwerk-kaarten; een verbonden met het reguliere netwerk en een verbonden met een lokaal netwerk.

Nou wil ik dat een gewone gebruiker wireshark moet kunnen gebruiken om verkeer te analyseren maar alleen op de lokale interface.

Met capabilities [1] kan ik de gebruiker in staat stellen om wireshark te gebruiken voor alle interfaces wat ik toch liever niet heb.

Verder zou ik het ook graag mogelijk maken dat de gebruiker voor de 'lokale' interface zelf met ip-instellingen etc. kunnen veranderen. Wat geloof ik gewoon kan met NetworkManager.

[1] http://wiki.wireshark.org/CaptureSetup/CapturePrivileges en/of man capabilities

dinsdag 1 maart 2011 16:34

Acties:

0 Henk 'm!

Kees

Serveradmin / BOFH / DoC

Waarom zouden ze niet op de externe interface mogen wiresharken? Dat is vaak wel handig, zodat je iets kan zeggen als 'open deze webpagina, track het, dump het'. Of je dat nu op een lokaal netwerk doet of een extern maakt niet heel erg veel uit, en ik kan me zo ook niet echt een security issue bedenken aan het capturen op de externe interface.

Het tweede verhaal weet ik niet hoe het in de gui zit, maar je zou een klein scriptje kunnen maken dat als argument een ip neemt (en eventueel netmask) en die dat dan door ip heenjast, en dat scriptje zet je in sudoers. Iets als
#/bin/sh
ip $1 dev eth1
zou al erg moeten helpen. Maar ook hier weer de vraag, wat is het probleem als de user beide interfaces kan veranderen?

"Een serveradmin, voluit een serveradministrator, is dan weer een slavenbeheerder oftewel een slavendrijver" - Rataplan

woensdag 2 maart 2011 00:30

Acties:

0 Henk 'm!

Keeper of the Keys

Topicstarter

Het wiresharken is meer uit paranoia en omdat er helaas nog wat niet versleutelde diensten draaien, al maakt dat op zich niet zo veel uit vanuit het wireshark oogpunt omdat het netwerk wel volledig switched is dus ook met authenticatie bij die niet versleutelde dingen kan de student maximaal zijn eigen user/pass achterhalen.

Qua veranderen van IPs etc. zit het lastiger omdat het lab door een algemeen gebrek aan computer labs ook voor regulier werk moet worden gebruikt en we natuurlijk niet na elke les iemand naar het lab kunnen sturen om de brokken weer aan elkaar te lijmen.

De oplossing die ik nu in mijn hoofd heb is om een of meer VMs op de machines te zetten (met vmware server/VirtualBox), die VMs binden aan de lokale interface en op die VMs kunnen de studenten dan naar hartelust met IP instellingen, routing tables etc spelen maar zodra ze de VM sluiten gaat die weer terug naar af.

woensdag 2 maart 2011 23:32

Acties:

0 Henk 'm!

CAPSLOCK2000

zie teletekst pagina 888

Als je toch met VM's gaat werken (wat ik een prima plan vind) kun je ook het netwerk virtualiseren.

This post is warranted for the full amount you paid me for it.

donderdag 3 maart 2011 17:21

Acties:

0 Henk 'm!

Keeper of the Keys

Topicstarter

Ja en nee, want ze willen juist ook met allerlei oudere routers/switches etc. spelen.

Ik ga dus inderdaad een paar VMs opzetten op het voorbeeld station, die allemaal alleen aan het 'interne' netwerk hangen waar ze admin/root rechten op krijgen zijn en die zichzelf resetten als ze ze sluiten (evt. zou het wel leuk zijn als er een soort diff in the userdir kan worden opgeslagen maar dat hoeft niet.

Onderwerpen