Herramienta Arpwatch para monitorear la actividad de Ethernet en Linux


Arpwatch es un programa de software informático de código abierto que lo ayuda a monitorear la actividad del tráfico de Ethernet (como Cambiar direcciones IP y MAC) en su red y mantiene una base de datos de emparejamientos de direcciones Ethernet/IP. Produce un registro de emparejamientos notados de información de direcciones IP y MAC junto con marcas de tiempo, para que pueda observar con atención cuándo apareció la actividad de emparejamiento en la red. También tiene la opción de enviar informes por correo electrónico a un administrador de red cuando se agrega o cambia un emparejamiento.

Esta herramienta es especialmente útil para que los administradores de red vigilen la actividad de ARP para detectar suplantación de ARP o modificaciones inesperadas de direcciones IP/MAC.

Instalación de Arpwatch en Linux

De forma predeterminada, la herramienta Arpwatch no está instalada en ninguna distribución de Linux. Debemos instalarlo manualmente usando el comando 'yum' en RHEL, CentOS, Fedora y 'apt-get' en Ubuntu, Linux Mint y Debian.

# yum install arpwatch
$ sudo apt-get install arpwatch

Centrémonos en los archivos arpwatch más importantes, la ubicación de los archivos es ligeramente diferente según su sistema operativo.

  1. /etc/rc.d/init.d/arpwatch: el servicio arpwatch para iniciar o detener el demonio.
  2. /etc/sysconfig/arpwatch: este es el archivo de configuración principal…
  3. /usr/sbin/arpwatch: comando binario para iniciar y detener la herramienta a través de la terminal.
  4. /var/arpwatch/arp.dat: este es el archivo principal de la base de datos donde se registran las direcciones IP/MAC.
  5. /var/log/messages: el archivo de registro, donde arpwatch escribe cualquier cambio o actividad inusual en IP/MAC.

Escriba el siguiente comando para iniciar el servicio arpwatch.

# chkconfig --level 35 arpwatch on
# /etc/init.d/arpwatch start
$ sudo chkconfig --level 35 arpwatch on
$ sudo /etc/init.d/arpwatch start

Para ver una interfaz específica, escriba el siguiente comando con "-i" y el nombre del dispositivo.

# arpwatch -i eth0

Por lo tanto, cada vez que se conecta una nueva MAC o una IP en particular cambia su dirección MAC en la red, notará las entradas del syslog en el archivo "/ var/log/syslog" o "/ var/log/message".

# tail -f /var/log/messages
Apr 15 12:45:17 tecmint arpwatch: new station 172.16.16.64 d0:67:e5:c:9:67
Apr 15 12:45:19 tecmint arpwatch: new station 172.16.25.86 0:d0:b7:23:72:45
Apr 15 12:45:19 tecmint arpwatch: new station 172.16.25.86 0:d0:b7:23:72:45
Apr 15 12:45:19 tecmint arpwatch: new station 172.16.25.86 0:d0:b7:23:72:45
Apr 15 12:45:19 tecmint arpwatch: new station 172.16.25.86 0:d0:b7:23:72:45

La salida anterior muestra una nueva estación de trabajo. Si se realizan cambios, obtendrá el siguiente resultado.

Apr 15 12:45:17 tecmint arpwatch: changed station 172.16.16.64 0:f0:b8:26:82:56 (d0:67:e5:c:9:67)
Apr 15 12:45:19 tecmint arpwatch: changed station 172.16.25.86 0:f0:b8:26:82:56 (0:d0:b7:23:72:45)
Apr 15 12:45:19 tecmint arpwatch: changed station 172.16.25.86 0:f0:b8:26:82:56 (0:d0:b7:23:72:45)
Apr 15 12:45:19 tecmint arpwatch: changed station 172.16.25.86 0:f0:b8:26:82:56 (0:d0:b7:23:72:45)
Apr 15 12:45:19 tecmint arpwatch: changed station 172.16.25.86 0:f0:b8:26:82:56 (0:d0:b7:23:72:45)

También puede verificar la tabla ARP actual, usando el siguiente comando.

# arp -a
tecmint.com (172.16.16.94) at 00:14:5e:67:26:1d [ether] on eth0
? (172.16.25.125) at b8:ac:6f:2e:57:b3 [ether] on eth0

Si desea enviar alertas a su ID de correo electrónico personalizado, abra el archivo de configuración principal "/ etc/sysconfig/arpwatch" y agregue el correo electrónico como se muestra a continuación.

# -u <username> : defines with what user id arpwatch should run
# -e <email>    : the <email> where to send the reports
# -s <from>     : the <from>-address
OPTIONS="-u arpwatch -e [email protected] -s 'root (Arpwatch)'"

A continuación se muestra un ejemplo de un informe por correo electrónico, cuando se conecta un nuevo MAC.

        hostname: centos
      ip address: 172.16.16.25
       interface: eth0
ethernet address: 00:24:1d:76:e4:1d
 ethernet vendor: GIGA-BYTE TECHNOLOGY CO.,LTD.
       timestamp: Monday, April 15, 2012 15:32:29

Aquí hay un ejemplo de un informe de correo electrónico, cuando una IP cambia su dirección MAC.

            hostname: centos
          ip address: 172.16.16.25
           interface: eth0
    ethernet address: 00:56:1d:36:e6:fd
     ethernet vendor: GIGA-BYTE TECHNOLOGY CO.,LTD.
old ethernet address: 00:24:1d:76:e4:1d
           timestamp: Monday, April 15, 2012 15:43:45
  previous timestamp: Monday, April 15, 2012 15:32:29 
               delta: 9 minutes

Como puede ver arriba, registra el nombre de host, la dirección IP, la dirección MAC, el nombre del proveedor y las marcas de tiempo. Para obtener más información, consulte la página de manual de arpwatch pulsando "man arpwatch" en la terminal.