在上集文章中,已經完成MacTrack基本功能的體驗,本文將接著說明如何讓MacTrack發揮更大的效能,也就是收集IP Address資訊並進行其他的應用,而且針對這些應用進行簡單的說明。
測試Authorize及Revoke功能
Authorize功能可以針對某設備做標記,之後在管理及查詢時會更容易。接著進行測試,先點選mactrack,再切換至MAC Addresses設定頁面,選擇任何一筆MAC Address後,在下方的Choose an action中選擇【Authorize】,然後按下〔Go〕按鈕,如圖12所示。當然,也可以針對多筆MAC Address進行Authorize。
|
▲圖12 針對MAC Address進行Authorize。 |
然後,點選console選單中Tracking Tools裡面的Mac Authorizations,可以看到其輸出如圖13所示。在此就能確認此筆MAC Address已加入Authorized的清單中。
|
▲圖13 查看MacTrack Mac Authorizations清單。 |
最後,再回到mactrack中的MAC Addresses設定畫面,選擇Authorized裡面的【Yes】,就可以看到這一筆MAC Address相關的記錄,如圖14所示。
|
▲圖14 列出Authorized的MAC Address。 |
接著,討論Revoke的部分。簡單來說,它就是將Authorized的記錄予以刪除。理論上,此功能是與選擇Console裡面的Tracking Tools,再選擇Mac Authorizations,最後將之刪除是相同的。
但筆者測試時發現該刪除功能有問題,因此還是必須使用Revoke功能將之刪除。切換至mactrack頁面,再進入Mac Addresses設定畫面,選擇該MAC Address後,再選擇【Revoke】將其刪除,如圖15所示。完成後,可以至console頁面中Tracking Tools裡面的Mac Authorizations進行確認。
|
▲圖15 使用MAC Address Revoke功能。 |
使用Interface識別功能
MacTrack本身的功能大致介紹完成,接著介紹其他的延伸功能。先點選console,再點選Settings,接著切換至Device Tracking。將滑鼠游標移到最下方,就可以看到MacTrack Interface Exception Background Color。
如圖16所示,在此功能中可以針對各種介面的狀態設定對應的顏色,這些狀態包含Interface Up、Interface with Errors Background Color、Interface with Discards Background Color、Interface That Has Changed in Less than 24 Hours、Interface That is Down,筆者針對常用的幾種分別給予不同的顏色標記。
|
▲圖16 使用MacTrack Interface Background Color功能。 |
緊接著回到mactrack,再點選Interfaces,可以看到各類別的顏色,如圖17所示。在此要說明一下,狀態是有優先權的,例如No ifAlias的優先權比Up高,因此如果是UP介面沒有description (No ifAlias)的話,會優先使用淡黃色,有Description的介面才會以淡藍色呈現。
|
▲圖17 Interfaces依狀態加上顏色。 |
Device Tracking相關設定說明
最後,說明Device Tracking其他的相關設定。點選console裡面的Settings,再點選右邊的Device Tracking。
如圖18所示,這裡比較需要說明的除了Scanning Frequency外(上期已有說明),還有Start Time及Ports to Ignore的部分。Start Time就是開始掃描的時間,Mac
Track有規定其格式,請遵照其格式填寫。Port to Ignore部分,可以對邏輯性的Interface做忽略,這樣比較不會影響到人工觀察介面時的判讀,建議使用預設值即可。
|
▲圖18 設定Device Tracking General Settings。 |
DNS Settings部分可用於當所要觀察的設備為Internet Site,可將IP轉換回FQDN,如圖19所示。這裡因為未使用此功能故不多做介紹,若有此需求,請自行測試。
|
▲圖19 設定DNS Setting。 |
Notification Settings設定則是用於通知使用者MacTrack描掃完成以及發現MAC Address有所變化,如圖20所示,請依實際需求進行調整。
|
▲圖20 設定Notification Settings。 |
除了這些比較可能使用到的功能外,尚有MacTrack Arpwatch Settings、SNMP Presets這兩個功能可以進行細部設定。Arpwatch是Linux內的程式,它可以收集arp資訊並寄送給管理者。SNMP Presets則是Device Tracking對於SNMP的相關設定,可自行設定,相關參數可從Cacti中直接讀取,亦可修改之後更新Cacti的設定。由於本文中並未使用此功能,就不多加著墨。
<本文作者:丁光立,在ISP工作多年。對於Cisco設備較熟悉,除此之外也研究Linux,這幾年慢慢把觸角伸到資安的領域,並會在自己的blog(http://tiserle.blogspot.com/)分享一些實務上的經驗和測試心得。>