Eina Arpwatch per supervisar l'activitat Ethernet a Linux


Arpwatch és un programa informàtic de codi obert que us ajuda a controlar l'activitat del trànsit Ethernet (com ara Canviar les adreces IP i MAC) a la vostra xarxa i manté una base de dades d'aparellaments d'adreces Ethernet/IP. Produeix un registre de la informació de l'aparellament observat d'adreces IP i MAC juntament amb unes marques de temps, de manera que podeu observar amb atenció quan va aparèixer l'activitat de vinculació a la xarxa. També té l'opció d'enviar informes per correu electrònic a un administrador de xarxa quan s'afegeix o es canvia un aparellament.

Aquesta eina és especialment útil per als administradors de xarxa per vigilar l'activitat d'ARP per detectar la falsificació d'ARP o modificacions inesperades d'adreces IP/MAC.

Instal·lació d'Arpwatch a Linux

Per defecte, l'eina Arpwatch no està instal·lada a cap distribució de Linux. Hem d'instal·lar-lo manualment mitjançant l'ordre 'yum' a RHEL, CentOS, Fedora i 'apt-get' a Ubuntu, Linux Mint i Debian .

# yum install arpwatch
$ sudo apt-get install arpwatch

Ens centrem en els fitxers arpwatch més importants, la ubicació dels fitxers difereix lleugerament segons el vostre sistema operatiu.

  1. /etc/rc.d/init.d/arpwatch : el servei arpwatch per iniciar o aturar el dimoni.
  2. /etc/sysconfig/arpwatch : aquest és el fitxer de configuració principal...
  3. /usr/sbin/arpwatch : ordre binària per iniciar i aturar l'eina mitjançant el terminal.
  4. /var/arpwatch/arp.dat : aquest és el fitxer principal de la base de dades on es registren les adreces IP/MAC.
  5. /var/log/messages : el fitxer de registre, on arpwatch escriu qualsevol canvi o activitat inusual a IP/MAC.

Escriviu l'ordre següent per iniciar el servei arpwatch.

# chkconfig --level 35 arpwatch on
# /etc/init.d/arpwatch start
$ sudo chkconfig --level 35 arpwatch on
$ sudo /etc/init.d/arpwatch start

Per veure una interfície específica, escriviu l'ordre següent amb -i i el nom del dispositiu.

# arpwatch -i eth0

Així, cada vegada que es connecta un MAC nou o una IP determinada canvia la seva adreça MAC a la xarxa, notareu les entrades de syslog al fitxer /var/log/syslog o /var/log/message.

# tail -f /var/log/messages
Apr 15 12:45:17 tecmint arpwatch: new station 172.16.16.64 d0:67:e5:c:9:67
Apr 15 12:45:19 tecmint arpwatch: new station 172.16.25.86 0:d0:b7:23:72:45
Apr 15 12:45:19 tecmint arpwatch: new station 172.16.25.86 0:d0:b7:23:72:45
Apr 15 12:45:19 tecmint arpwatch: new station 172.16.25.86 0:d0:b7:23:72:45
Apr 15 12:45:19 tecmint arpwatch: new station 172.16.25.86 0:d0:b7:23:72:45

La sortida anterior mostra una nova estació de treball. Si es fa algun canvi, obtindreu la següent sortida.

Apr 15 12:45:17 tecmint arpwatch: changed station 172.16.16.64 0:f0:b8:26:82:56 (d0:67:e5:c:9:67)
Apr 15 12:45:19 tecmint arpwatch: changed station 172.16.25.86 0:f0:b8:26:82:56 (0:d0:b7:23:72:45)
Apr 15 12:45:19 tecmint arpwatch: changed station 172.16.25.86 0:f0:b8:26:82:56 (0:d0:b7:23:72:45)
Apr 15 12:45:19 tecmint arpwatch: changed station 172.16.25.86 0:f0:b8:26:82:56 (0:d0:b7:23:72:45)
Apr 15 12:45:19 tecmint arpwatch: changed station 172.16.25.86 0:f0:b8:26:82:56 (0:d0:b7:23:72:45)

També podeu comprovar la taula ARP actual mitjançant l'ordre següent.

# arp -a
linux-console.net (172.16.16.94) at 00:14:5e:67:26:1d [ether] on eth0
? (172.16.25.125) at b8:ac:6f:2e:57:b3 [ether] on eth0

Si voleu enviar alertes al vostre identificador de correu electrònic personalitzat, obriu el fitxer de configuració principal /etc/sysconfig/arpwatch i afegiu el correu electrònic tal com es mostra a continuació.

# -u <username> : defines with what user id arpwatch should run
# -e <email>    : the <email> where to send the reports
# -s <from>     : the <from>-address
OPTIONS="-u arpwatch -e [email  -s 'root (Arpwatch)'"

Aquí teniu un exemple d'informe de correu electrònic quan es connecta un MAC nou.

        hostname: centos
      ip address: 172.16.16.25
       interface: eth0
ethernet address: 00:24:1d:76:e4:1d
 ethernet vendor: GIGA-BYTE TECHNOLOGY CO.,LTD.
       timestamp: Monday, April 15, 2012 15:32:29

Aquí teniu un exemple d'informe de correu electrònic, quan una IP canvia la seva adreça MAC.

            hostname: centos
          ip address: 172.16.16.25
           interface: eth0
    ethernet address: 00:56:1d:36:e6:fd
     ethernet vendor: GIGA-BYTE TECHNOLOGY CO.,LTD.
old ethernet address: 00:24:1d:76:e4:1d
           timestamp: Monday, April 15, 2012 15:43:45
  previous timestamp: Monday, April 15, 2012 15:32:29 
               delta: 9 minutes

Com podeu veure més amunt, registra, el nom d'amfitrió, l'adreça IP, l'adreça MAC, el nom del venedor i les marques de temps. Per obtenir més informació, consulteu la pàgina de manual d'arpwatch prement man arpwatch al terminal.