1. Location:
  2. / Computer learning >> Datamaskin læring >> cyber security >> nettverk >> Nettverksadministrasjon >>

Router Expert: Gjennomføre et nettverk inventar, del 2

Før vi går videre, men jeg ønsker å avklare og revidere mine bemerkninger. Først den gode nyheten er at rapporten faktisk vil se bedre så det gjorde i den siste artikkelen. Det er fordi, i stedet for å gå gjennom en strevsom fil konsolideringsprosessen, har vi nå et Perl-skript for å gjøre jobben for oss. Selvfølgelig, for å få en masse noen ganger trenger du å gi litt. For å kunne bruke rapporten skriptet, må du bruke en oppdatert ouilookup.sh script, hvilke formater dataene litt annerledes enn den gamle versjonen. Denne endringen er vel verdt det, fordi rapporten manuset gir en fin tabulatordelt fil som kan importeres til Excel for å lage denne vakre rapporten:


IP MAC OID DNS 172.30.71.1 0000.0c07.ac05 Cisco Systems INC. gw.outlan.net 172.30.71.100 0004.ac5e.4810 IBM CORP. Obiwan, outlan.net 172.30.71.14 000b.cd83.53f6 Ukjent OUI dirserv.outlan.net 172.30.71.60 0008.02a1.4d80 Compaq Computer Corporation foo.outlan.net 172.30.71.2 0001.812b.fe08 Nortel Networks Uløst 172.30.71.3 0005.5fe7.0800 Cisco Systems Inc. Uløst

Dette eliminerer behovet for å kjøre en haug med separate tekstformatering prosesser og bruke den esoteriske Unix diff kommandoen . For å komme i gang, bør du ha en samling av filer som ligner på de som er oppført her: 


 Trinity $ ls172.30.100-IPdump-outlan-rs01-12-05-04.txt Vlan -liste-outlan-rs01-12-05-04.txt172.30.100-dnsdump-12-05-04.txt 172.30.100-ARPdump-outlan-rs01-12-08-04.txt172.30.100.1-acthost- 12-05-04.txt 172.30.100-IPdump-fny-rs01-12-07-04.txtoui-join.txtTrinity $ 
 Her er en rask gjennomgang av hvordan du fikk disse filene: 
 
 
  Vlan-liste -. * txt 
 er produksjonen av vidump.sh script. Det genererer en liste over et ruterens fysiske grensesnitt eller en svitsjens VLAN-grensesnitt, som du kan bruke til å finne ut hvilke nettverk du bør revidere. 
  * - IPdump-date.txt 
 er rapporten utgang arpextract.sh med " -ir " flagg som genererer en IP-adresse bord fra en ruter eller Layer 3-svitsj. 
  * - dnsdump-date.txt 
 er produksjonen av  * - acthost-date.txt 
 er produksjonen av activehosts.sh script, et skall skript som kaller fping å utføre en ICMP ping scan mot en IP-adresseområde. 
  * ARPdump-date.txt 
 er resultatet av arpextract.sh med " -ar " flagg som genererer en IP-og MAC-adressetabell fra en ruter eller Layer 3-svitsj. 
  oui-join.txt 
 er utgangen av ouilookup.sh. Dette er en wrapper script for Perl-skript ouiresolv.pl det løser OUI delen av 48-bit Ethernet MAC-adressen. 
 
 For å generere inventar rapport, bare acthost, arpdump, oui-delta, og dnsdump datafiler er nødvendig. Bruk rapporterings script gen-net-inv.pl. Kommandosyntaksen er gen-net-inv.pl < acthost > < arpdump > < oui-join > < dnsdump >: Her er en CLI eksempel: 
 
 
 
 Trinity: # perl gen-net-inv.pl 172.30.71-acthost-01-24-05.txt 172.30.71-ARPdump -outlan-rs01-01-24-05.txt oui-join.txt 172.30.71-dnsdump-01-24-05.txtDoneTrinity: # 
 Når skriptet har fullført sitt løp, rapporterer og det quot; Ferdig " til CLI og utganger. Rapporten Navnene er hentet fra nettverket betegnelser knyttet til acthost filen. I tilfelle at en av rapportkildefilene mangler fra CLI, skriptfeil med " Kan ikke åpne filen " og utganger. 
 
 
 
 Trinity: # perl gen-net-inv.pl 172.30.71-acthost-01-24-05.txt 172.30.71-ARPdump-outlan-rs01-01-24- 05.txt oui-join.txt Kan ikke åpne filen Trinity: # 
 Før vi går videre til rapportene skriptet genererer (og hvorfor), er det en siste ting du må huske på. Rekkefølgen som skriptet leser filen ikke er fleksibel. Filene må behandles i følgende rekkefølge hvis du vil ha en nøyaktig rapport: 
 
 
 acthost 
 arpdump 
 oui-join 
 dnsdump 
 
 Hvis filene er ikke behandlet i riktig rekkefølge, en rapport vil generere, men med feil. Her er et eksempel hvor dnsdump og oui-delta-filer har børsene steder: 
 
 
 
 Trinity: # perl gen-net-inv.pl 172.30.71-acthost-01-24-05 .txt 172.30.71-ARPdump-fny-rs01-01-24-05.txt 172.30.71-dnsdump-01-24-05.txt oui-join.txt DoneTrinity: # 
 Skriptet har generert en rapport, men ta en titt på resultatet: 
 
 
 
 Trinity: # mer 157.191.5.1_consolidated_report.txtIP MAC OID DNS172.30.71.1 0000.0c07.ac05 Empty - > 172.30.71.100 0004. ac5e.4810 Empty - > 172.30.71.14 000b.cd83.53f6 Empty - > 172.30.71.15 0008.02a1.4d80 Empty - > 172.30.71.16 0050.8b2c.f25e Empty - > 
 Sammenlign over til hva resultatet skal se ut: 
 
 
 
 Trinity: # mer 172.30.71_consolidated_report.txtIP MAC OID DNS172.30.71.1 0000.0c07.ac05 CISCO SYSTEMS INC. Unresloved172.30.71.100 0004.ac5e.4810 IBM CORP. overload.outlan.net172.30.71.14 000b.cd83.53f6 Ukjent OUI foo.outlan.net172.30.71.15 0008.02a1.4d80 Compaq Computer Corporation home.outlan.net157 .191.5.16 0050.8b2c.f25e Compaq Computer CORPORATION obiwan.outlan.net 
 Dette skjer fordi manuset er å sammenligne dataene i hver av filene og parsing det til et sett av rapporter, forventer visse verdier. Hvis og når de ikke er der den leser dette mangler data som enten gyldig eller en feil, og rapporter om det. Hvis dataene er der, men det er feil data, rapporteres det også på den. Det er en glatt skråning fordi du ønsker å se inkonsistens i dataene, men du er ikke alltid sikker på hva de vil bli. Du kan heller ikke ønsker å innsnevre funksjonen av skriptet ved å kreve at inngangs filene møte noen eksplisitte kriterier. Bare husk at filene må behandles i riktig rekkefølge hvis du vil at rapporten skal være korrekt. 
 
 Hva betyr alt dette data gi oss? Rapporteringen aspektet av nettverk inventar bør gi tre ting: 
 
 
 En oversikt over alle de aktive verter på en IP-subnett på det tidspunktet inventar ble kjørt 
 Informasjon om uoverensstemmelser mellom ICMP samling og router /switch synlighet i nettverks 
 uoverensstemmelser mellom det som er aktiv på subnett, og hva som er i DNS. 
 
 Det er også en fjerde aspekt som har verdi, avhengig av miljøet: nettverksmaskinvare informasjon, som kan bistå i lesningen av resultatene av nettverket revisjonsdata for å avgjøre noen av gyldigheten av funn og bistå i konfigurasjonen av nettverket sårbarhet skanning tester. Tross alt, jo mer du vet, jo mer sikker kan du være i funnene. For å bidra til å møte de ovennevnte rapporteringskriterier, genererer skriptet tre filer: 
 
 
  * _ consolidated_report.txt 
 er akkurat det navnet tilsier, en konsolidering av alle inventar data i en enkelt rapport, inkludert IP-informasjon, ARP informasjon, oui informasjon og DNS-informasjon. 
  * _ dns_err_report.txt 
 er en liste over IP-adresser til maskiner som ikke har noen DNS-informasjon. Denne rapporten kan sendes av gårde til hostmaster slik at problemet kan bli løst. 
  * _ icmp_err_report.txt 
 er differansen mellom IP-verts data samlet av ICMP scan og ARP tabellen rapporten. Normalt denne rapporten skal være tom. Hvis en eller annen grunn en inkonsekvens kommer opp, må du kanskje bruke Unix diff tross alt. 
 
 IPdump rapporten brukes til å løse uoverensstemmelser som finnes i * _icmp_err_report.txt filen. Bruke Unix diff kommandoen behøver IPDump og acthost filer sammenlignes. Her er en syntaks eksempel: 
 
 
 
 Trinity $ diff * -IPdump * .txt * -acthost * .txt 
 Denne kommandoen sammen resultatene av de aktive IP-verter i ARP tabellen de som finnes ved hjelp av ICMP ping scan. Hvis en forskjell skulle komme opp, vil det vanligvis være verter mangler i " acthost " fil. Dette skyldes enten ICMP-filtrering på en router gateway eller noen form for lokale ICMP håndteringsregler. Diff opererer med fil A - > fil B sammenligning. Den ser på de to filene og gir forslag til hvordan fil En kan endres være den samme som fil B. Så " mester " filen bør være fil B. Diff rapporterer sine endrings anbefalinger hjelp " c " for å indikere en endring er nødvendig på en linje, " en " der et tillegg trengs til en fil på en bestemt linje, eller " d " hvor en linje må slettes. Unødvendig å si, det tar litt øvelse for å enkelt arbeide med diff, på grunn av sin esoteriske utgang. 
 
 La oss ta en titt på resultatene av " acthost " (som er den filen vi ønsker produksjonen å matche) til " ipdump " (som er den filen som " acthost " skal sams til): 
 
 
 
 Trinity $ diff 172.30.100-acthost-12-05-04.txt 172.30.100-IPdump-fny -rs01-12-05-04.txt2a3 > 172.30.100.10110c11 < 172.30.100.2 --- > 172.30.100.22Trinity $ 
 For å gjøre å sammenligne litt enklere, her er hva de to filene ser ut ved siden av hverandre: 
 
 
 172.30.100.1 172.30.100.100 172.30.100.14 172.30.100.15 172,30. 100,16 172.30.100.17 172.30.100.172 172.30.100.18 172.30.100.19 172.30.100.2 172.30.100.3 172.30.100.4 172.30.100.5 172.30.100.83 172.30.100.85 172.30.100.1 172.30.100.100 172.30.100.101 172.30.100.14 172.30.100.15 172.30.100.16 172,30 .100.17 172.30.100.172 172.30.100.18 172.30.100.19 172.30.100.22 172.30.100.3 172.30.100.4 172.30.100.5 172.30.100.83 172.30.100.85 
 2A2 utgang fra diff betyr at linje 3 av " IPdump " filen må legges til etter linje 2 i " acthost " fil. I forhold til vår beholdning, må vi undersøke hvorfor 172.30.100.101 ikke svare på ICMP, bortsett fra gateway eller lokale ICMP filtrering. Verten kan heller ikke lenger være aktiv (med sin ARP oppføring fortsatt fast i ARP tabellen) eller det kan være at det vert rett og slett ikke svare i tide. 
 
 10c11 utgang fra diff indikerer at det er et misforhold mellom linje 10 på " acthost " og linje 11 på " IPdump " fil (forutsatt at du har korrigert den første forskjellen). Diff anbefaler at linje 10 endres til å reflektere linje 11. I forhold til revisjonen, men dette representerer et annet punkt å undersøke. ARP-tabellen ser en rekke 172.30.100.22, og ICMP scan ser en rekke 172.30.100.2. Dette kan tyde på at verts 172.30.100.22 oppfører ligner 172.30.100.101. Som for verten 172.30.100.2, det svart på ICMP, men er ikke i ARP tabellen. Hvis ICMP skanningen ble kjørt fra en vert koblet til målet subnett, er det mulig at verten kunne bare komme på nettet og hadde ennå ikke videresendt en pakke utenfor subnettet ennå. I så fall vil gatewayen har ikke sett noen trafikk fra verten, og ikke ville ha registrert MAC i sin april tabell. 
 
 Av disse to eksemplene, tidligere vil bli langt mer vanlig. Jeg bruker dem for å illustrere poenget at det vil være tilfeller der data fra de to rapportene ikke vil være i synk, og du trenger å gjøre noen undersøkelser for å løse problemet. Når avvik oppstår, er den første som skal skje for å bekrefte at " merkelig " Vertene kan nås. Kjør deretter ICMP scan og arpdump og sammenligne resultatene igjen. Hvis problemet fortsetter å eksistere, sjekk for å se om " merkelig " verten kjører filtrering programvare eller har en lokal politikk for å svare på ICMP trafikk. Hvis alt annet mislykkes, tømme ARP tabellen på ruteren eller bytte bruker exec kommando < klart ip arp > og kjør testene på nytt. Forhåpentligvis vil du ikke kjøre inn i dette problemet ofte. Men hvis du gjør det, bør det undersøkes. Denne typen scenario er også en indikator på en rouge tilgangspunkt eller en nettverksovervåking punkt. 
 
 Nå har du fullført nettverket inventar er klar til å kjøre din nettverkstjenester revisjon. Følg med for de neste trinnene i prosessen. I mellomtiden, hvis du har spørsmål, kommentarer eller artikkel forslag, vennligst send en e-post til oss. 
 
  > > Glipp av den første delen i denne serien? Se Gjennomføre et nettverk inventar, del 1 > > For mer informasjon om hele revisjonsprosessen, les artikkelen, hvorfor du trenger en nettverkstjenester revisjon.