Monitorare l'attività ARP con Arpwatch
Versioni Compatibili ERRORE: valore non valido ( Tutte le versioni di Debian )! Vedi qui. |
Monitorare l'attività di una rete LAN con Arpwatch: introduzione
Arpwatch è un ottimo strumento per sistemi Unix-like che tiene monitorata tutta l'attività ARP di una rete LAN Ethernet IPv4, intercettando ogni pacchetto di broadcast ARP che giunge sull'interfaccia di rete configurata. Appena avviato, Arpwatch genera un log contenente tutte le coppie Indirizzo IP / Indirizzo MAC associate ai PC della LAN, correlandole a un timestamp che indica quando la coppia monitorata è stata rilevata nella rete LAN.
Ogni cambiamento rispetto al database contenuto nel log, come ad esempio l'aggiunta di nuovo host o la modifica del MAC address di un host già aggiunto (sintomo o del cambio della scheda di rete di un computer o del cambio dell'host associato ad un IP o - e questo è l'aspetto più importante - di attività di ARP poisoning, tipiche di sniffer per ambienti switchati come ettercap
) viene notificato via mail (di default a root) e su syslog. Alla prima esecuzione è normale ricevere varie mail per tutti gli host in rete, successivamente verranno notificate solo le variazioni e su queste, se non sono previste, è sempre bene indagare. Nelle notifiche vengono segnalati l'indirizzo IP coinvolto e il vecchio e il nuovo MAC address.
Per la cattura dei pacchetti broadcast Arpwatch si appoggia alla libreria libpcap
.
Installazione
Per installare Arpwatch basta usare apt:
# apt-get install arpwatch
Configurazione
La configurazione è contenuta nel file /etc/arpwatch.conf
:
# /etc/arpwatch.conf: Debian-specific way to watch # multiple interfaces. # Format of this configuration file is: # #<dev1> <arpwatch options for dev1> #<dev2> <arpwatch options for dev2> #... #<devN> <arpwatch options for devN> # # You can set global options for all interfaces by editing # /etc/default/arpwatch eth0 -a -n 192.168.0.0/24 -m amministratore@dominio.local
Per funzionare, Arpwatch richiede che sullo stesso PC sia installato un mail transfer agent (come ad esempio sendmail, postfix o exim).
Esempio di email di alert
Mail con oggetto "FLIP FLOP" o "Change ethernet address", come ad esempio la seguente, potrebbero essere la spia di un attacco in atto sulla LAN.
From: "Arpwatch" <arpwatch@dominio.local> To: <ferdy@dominio.local> Sent: Tuesday, February 26, 2008 4:13 PM Subject: flip flop (preview) eth0 hostname: vm-debian ip address: 192.168.0.42 interface: eth0 ethernet address: 0:40:f4:b1:a5:88 ethernet vendor: Cameo Communications, Inc. old ethernet address: 0:c:29:47:3f:f7 old ethernet vendor: Vmware Inc. timestamp: Tuesday, August 27, 2008 19:21:01 +0100 previous timestamp: Tuesday, June 25, 2008 23:47:21 +0100