Uno spione per la vostra rete

Abbiamo un problema: un citofono SIP non ne vuole sapere di connettersi al centralino oppure la stampante genera traffico anomalo e non sappiamo verso chi o da chi?

Analizzare il traffico di rete con strumenti come Wireshark o netStream vi sembra troppo poco?

Volete uno “spione” per uno specifico dispositivo della vostra rete? Un spione che non perda un colpo, sia invisibile e costi poco?

Ecco l’articolo per voi.

Obiettivo: realizzare un dispositivo completamente passivo e trasparente che memorizzi tutto il traffico da e verso un dispositivo della rete.

Sottolineo due caratteristiche:

• passivo: non deve vedersi nella rete e non deve trasmettere nulla sulla rete
• trasparente: non devo cambiare nulla nella mia rete. Deve essere un dispositivo dotato di due schede di rete: una che guarda verso la rete LAN e una che guarda verso il dispositivo

Ecco una foto del dispositivo completato.

Occorrente:

• una raspeberry
• un adattatore di rete usb
• una scheda di memoria per raspberry
• (opzionale) un RTC per raspberry
• (opzionale) una batteria per alimentare raspberry

1. Scaricare la iso di raspbian da https://www.raspberrypi.org/downloads/
2. Installare il sistema come indicato in https://www.raspberrypi.org/documentation/installation/installing-images/README.md
3. Accedere alla shell di raspbian (username: pi password: raspberry)
4. Espandere la spazio sulla scheda SSD (prima opzione del menù – richiede il riavvio)

5. Digitare i seguenti comandisudo-suapt-get update

   apt-get install upstart tcpdump bridge-utils
   

(dare conferma alle domande proposte, anche a quella che chiede di scrivere per esteso “Yes, do as I say!”cd /home/pi

    git clone https://github.com/williamknows/PiTap.git
    echo "auto lo" > /etc/network/interfaces
    echo "iface lo inet loopback" >> /etc/network/interfaces
    mkdir -p /home/pi/pitap/captures
    cp /home/pi/PiTap/startPiTap.sh /home/pi/pitap/startPiTap.sh
    chmod a+x /home/pi/pitap/startPiTap.sh
    cp /home/pi/PiTap/pitap.conf /etc/init/pitap.conf

1. Riavviate con il comando reboot
2. Collegare i due cavi di rete, l’ordine è indifferente

Nella cartella /home/pi/pitap/captures trovate il traffico catturato. Per analizzato usate semplicemente Wireshark.

Buona analisi.

Fonti:

• http://williamknowles.co.uk/?p=16
• https://www.raspberrypi.org/documentation/installation/installing-images/README.md
• https://github.com/williamknows/PiTap
• https://www.wireshark.org/download.html