Herramienta Arpwatch para monitorear la actividad de Ethernet en Linux


Arpwatch es un programa de software informático de código abierto que lo ayuda a monitorear la actividad del tráfico de Ethernet (como cambiar las direcciones IP y MAC) en su red y mantiene una base de datos de emparejamientos de direcciones Ethernet/IP. Produce un registro de emparejamientos notados de información de direcciones IP y MAC junto con marcas de tiempo, para que pueda observar cuidadosamente cuándo apareció la actividad de emparejamiento en la red. También tiene la opción de enviar informes por correo electrónico a un administrador de red cuando se agrega o cambia un emparejamiento.

Esta herramienta es especialmente útil para que los administradores de red vigilen la actividad de ARP para detectar suplantación de ARP o modificaciones inesperadas de direcciones IP/MAC.

Instalación de Arpwatch en Linux

De forma predeterminada, la herramienta Arpwatch no está instalada en ninguna distribución de Linux. Debemos instalarlo manualmente usando el comando 'yum' en RHEL, CentOS, Fedora y 'apt-get' en Ubuntu, Linux Mint y Debian.

# yum install arpwatch
$ sudo apt-get install arpwatch

Centrémonos en los archivos arpwatch más importantes, la ubicación de los archivos es ligeramente diferente según su sistema operativo.

  1. /etc/rc.d/init.d/arpwatch : The arpwatch service for start or stop daemon.
  2. /etc/sysconfig/arpwatch : This is main configuration file…
  3. /usr/sbin/arpwatch : Binary command to starting and stopping tool via the terminal.
  4. /var/arpwatch/arp.dat : This is main database file where IP/MAC addresses are recorded.
  5. /var/log/messages : The log file, where arpwatch writes any changes or unusual activity to IP/MAC.

Escriba el siguiente comando para iniciar el servicio arpwatch.

# chkconfig --level 35 arpwatch on
# /etc/init.d/arpwatch start
$ sudo chkconfig --level 35 arpwatch on
$ sudo /etc/init.d/arpwatch start

Para ver una interfaz específica, escriba el siguiente comando con "-i" y el nombre del dispositivo.

# arpwatch -i eth0

Por lo tanto, cada vez que se conecta una nueva MAC o una IP en particular cambia su dirección MAC en la red, notará las entradas del syslog en el archivo "/ var/log/syslog" o "/ var/log/message".

# tail -f /var/log/messages
Apr 15 12:45:17 tecmint arpwatch: new station 172.16.16.64 d0:67:e5:c:9:67
Apr 15 12:45:19 tecmint arpwatch: new station 172.16.25.86 0:d0:b7:23:72:45
Apr 15 12:45:19 tecmint arpwatch: new station 172.16.25.86 0:d0:b7:23:72:45
Apr 15 12:45:19 tecmint arpwatch: new station 172.16.25.86 0:d0:b7:23:72:45
Apr 15 12:45:19 tecmint arpwatch: new station 172.16.25.86 0:d0:b7:23:72:45

La salida anterior muestra una nueva estación de trabajo. Si se realizan cambios, obtendrá el siguiente resultado.

Apr 15 12:45:17 tecmint arpwatch: changed station 172.16.16.64 0:f0:b8:26:82:56 (d0:67:e5:c:9:67)
Apr 15 12:45:19 tecmint arpwatch: changed station 172.16.25.86 0:f0:b8:26:82:56 (0:d0:b7:23:72:45)
Apr 15 12:45:19 tecmint arpwatch: changed station 172.16.25.86 0:f0:b8:26:82:56 (0:d0:b7:23:72:45)
Apr 15 12:45:19 tecmint arpwatch: changed station 172.16.25.86 0:f0:b8:26:82:56 (0:d0:b7:23:72:45)
Apr 15 12:45:19 tecmint arpwatch: changed station 172.16.25.86 0:f0:b8:26:82:56 (0:d0:b7:23:72:45)

También puede verificar la tabla ARP actual, usando el siguiente comando.

# arp -a
tecmint.com (172.16.16.94) at 00:14:5e:67:26:1d [ether] on eth0
? (172.16.25.125) at b8:ac:6f:2e:57:b3 [ether] on eth0

Si desea enviar alertas a su ID de correo electrónico personalizado, abra el archivo de configuración principal "/ etc/sysconfig/arpwatch" y agregue el correo electrónico como se muestra a continuación.

# -u <username> : defines with what user id arpwatch should run
# -e <email>    : the <email> where to send the reports
# -s <from>     : the <from>-address
OPTIONS="-u arpwatch -e [email protected] -s 'root (Arpwatch)'"

A continuación, se muestra un ejemplo de un informe por correo electrónico, cuando se conecta un nuevo MAC.

        hostname: centos
      ip address: 172.16.16.25
       interface: eth0
ethernet address: 00:24:1d:76:e4:1d
 ethernet vendor: GIGA-BYTE TECHNOLOGY CO.,LTD.
       timestamp: Monday, April 15, 2012 15:32:29

Aquí hay un ejemplo de un informe de correo electrónico, cuando una IP cambia su dirección MAC.

            hostname: centos
          ip address: 172.16.16.25
           interface: eth0
    ethernet address: 00:56:1d:36:e6:fd
     ethernet vendor: GIGA-BYTE TECHNOLOGY CO.,LTD.
old ethernet address: 00:24:1d:76:e4:1d
           timestamp: Monday, April 15, 2012 15:43:45
  previous timestamp: Monday, April 15, 2012 15:32:29 
               delta: 9 minutes

Como puede ver arriba, registra el nombre de host, la dirección IP, la dirección MAC, el nombre del proveedor y las marcas de tiempo. Para obtener más información, consulte la página de manual de arpwatch pulsando "man arpwatch" en la terminal.