Herramientas de monitorización ARP ARPWATCH

Es una herramienta de red muy simple utilizada para ver cambios sospechosos en las direcciones IP de una red.
Para instalar esta herramienta hacemos lo siguiente:

root@carafasiax:/home/miguel# aptitude install arpwatch
Se instalarán los siguiente paquetes NUEVOS:
arpwatch
Puede ser que necesitemos instalar la librería apt-get install libpcap0.8, pero si hacemos la instalacion con aptitude y arpwatch no os va hacer falta.

Una vez instalado se nos crea este fichero que debemos editar:
vi /etc/arpwatch.conf
Y dentro ponemos una línea que será la encargada de enviarnos las alertas al correo:
eth0 -a -n 192.168.0.22/24 -m alertas@midominio.com
Si lo hacemos en línea de bash podemos directamente poner la línea así:
arpwatch -i eth0 -m correo@midominio.com

Ahora resetemos la aplicación para que coja la nueva línea de configuración:
/etc/init.d/arpwatch restart
root@carafasiax:/# /etc/init.d/arpwatch restart
Starting Ethernet/FDDI station monitor daemon: (creating /var/lib/arpwatch/eth0.dat) (chown arpwatch /var/lib/arpwatch/eth0.dat) arpwatch-eth0.

Nos creamos un directorio vacio para almacenar el historico de información del host.
nano /var/lib/arpwatch/arp.dat

Para finalizar la instalación comprobamos que este corriendo el proceso:
root@carafasiax:/# ps -ef | grep arpwatch
root 4902 1 0 16:36 ? 00:00:00 arpwatch
arpwatch 5281 1 0 16:58 ? 00:00:00 /usr/sbin/arpwatch -i eth0 -f eth0.dat -a -n 192.168.1.22/24 -m miguel@localhost -u arpwatch -N -p
root 5322 4224 0 16:59 pts/1 00:00:00 grep arpwatch
root@carafasiax:/#

Si no lo está podemos poner el proceso en background iniciando el demonio de la siguiente manera:
#arpwatch -i eth0

Lo malo de esto es que si queremos recibir esas notificaciones por correo de parte de arpwatch necesitamos tener instalado un servidor de correo en nuestra máquina (postfix).

Si no configuramos un correo podemos verlo en los log que están en el siguiente directorio:
/var/log/syslog (o /var/log/message)
Cuando hay cambios en el interface ethernet MAC/IP:
# tail -f /var/log/syslog

La salida mostrará:
Nov 20 16:30:22 debian arpwatch: new station 192.168.1.2 0:18:9a:a:f7:24 eth0

Si se realizan cambios deberíamos ver algo de la siguiente manera:

Nov 20 16:31:44 debian arpwatch: changed station 192.168.1.2 0:15:7b:c:e2:e2
(0:18:9a:a:f7:24)

En windows es conocido: WinARP Watch
En Linux tenemos más como ACiD, por si queréis investigar más. La aplicaciónd e windows no envía correos por lo menos la versión que usamos.

Publicado el diciembre 12, 2011 en Linux y etiquetado en , . Guarda el enlace permanente. Deja un comentario.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: