Настройка Arpwatch в FreeBSD. Мониторинг ip и mac-адресов в сети.

Arpwatch — демон, отслеживающий соответствие между IP и MAC-адресами. Если обнаруживается какое-либо несоответствие, сообщения записываются в лог. Arpwatch — один из инструментов, используемый для борьбы с ARP-spoofing’ом.

Установка:

# cd /usr/ports/net-mgmt/arpwatch/
# make install clean

После установки обновляем файл ethercodes.dat:

# cd /usr/local/arpwatch
# fetch http://standards.ieee.org/regauth/oui/oui.txt
# ./massagevendor oui.txt > ethercodes.dat
# rm oui.txt

Добавляем для запуска утилиты нужные строки в rc.conf :

arpwatch_enable=»YES» # автозапуск при старте системы
arpwatch_flags=»-m admin@domain.com» # почта для уведомлений
arpwatch_interfaces=»rl0 em1″ #интерфейсы, которые будет слушать arpwatch

Создаем файл лога:
# touch /var/log/arpwatch.log

Настраиваем ведение лога в файле /etc/syslog.conf :

!arpwatch
*.notice               /var/log/arpwatch.log

Перезапускаем syslogd:

# killall -HUP syslogd

В логе arpwatch смотрим сообщения. Могут быть такого вида:
new activity — связка ethernet/ip-адресов снова проявила активность спустя шесть месяцев или больше
new station — ethernet-адрес зафиксирован впервые
flip flop — ethernet-адрес изменился с одного известного адреса на другой известный адрес
changed ethernet address — хост перешёл на использование нового ethernet-адреса

Добавить комментарий

Ваш адрес email не будет опубликован.