%22.png)
He instalado la última versión deOSSEC ESCONDE(2.8.1), y sigo recibiendo estas notificaciones por correo electrónico:
OSSEC HIDS Notification.
2015 Apr 08 11:26:17
Received From: Bath-Towel->/var/log/syslog
Rule: 5104 fired (level 8) -> "Interface entered in promiscuous(sniffing) mode."
Portion of the log(s):
Apr 8 11:26:15 Bath-Towel kernel: [ 93.311372] device eth0 entered promiscuous mode
--END OF NOTIFICATION
OSSEC HIDS Notification.
2015 Apr 08 11:26:19
Received From: Bath-Towel->/var/log/syslog
Rule: 5104 fired (level 8) -> "Interface entered in promiscuous(sniffing) mode."
Portion of the log(s):
Apr 8 11:26:18 Bath-Towel kernel: [ 95.824941] device eth0 entered promiscuous mode
--END OF NOTIFICATION
OSSEC HIDS Notification.
2015 Apr 08 11:26:23
Received From: Bath-Towel->/var/log/syslog
Rule: 5104 fired (level 8) -> "Interface entered in promiscuous(sniffing) mode."
Portion of the log(s):
Apr 8 11:26:21 Bath-Towel kernel: [ 99.353199] device eth0 entered promiscuous mode
--END OF NOTIFICATION
Entonces, ¿qué significa esto? ¿Debería preocuparme por ello?
Información del sistema operativo:
Description: Ubuntu 14.10
Release: 14.10
Respuesta1
Si instaló un software que permite rastrear y obtiene esto al iniciar un software como WireShark, entonces:
¡Deja de preocuparte! ¡Te dará un infarto antes de tiempo! ;-)
El modo promiscuo en una computadora no tiene nada que ver con detectar virus desagradables como el SIDA... Simplemente significa que su adaptador de red podrá leer paquetes TCP/IP destinados a otros adaptadores. (También conocido como "olfateo" y es una gran herramienta para encontrar errores de comunicación TCP/IP oscuros)
Respuesta2
1) Preocúpate siempre... Los hackers no quieren que prestes atención a los registros y a los dispositivos Ethernet que activan "misteriosamente" el modo promiscuo sin ningún motivo.
2) El modo promiscuo en una computadora no tiene nada que ver con detectar virus desagradables como el SIDA... - No, pero el comportamiento es una señal de alerta y debe investigarse. Ignorar señales reveladoras como esta y descartarlas es la mentalidad laxa en materia de seguridad que afecta a tantas empresas e instituciones en estos días.
Simplemente significa que su adaptador de red podrá leer paquetes TCP/IP destinados a otros adaptadores. (También conocido como "olfateo" y esa es una gran herramienta para encontrar errores de comunicación TCP/IP oscuros) - Es... SI y enfatizo "SI" se está haciendo para solucionar problemas y no capturar paquetes con intenciones maliciosas como pisar la red. o capturar mensajes no cifrados (correo electrónico, etc.).
Es mucho más preferible pecar de cauteloso que ignorar posibles vulnerabilidades de seguridad.
En cuanto a por qué sucedió esto... lo único que se me ocurre es revisar los registros de su sistema y de la aplicación aproximadamente en el momento en que sucedió y asegurarme de que fue algo que USTED hizo y no alguien u otra cosa.