Настройка Arpwatch в FreeBSD. Мониторинг ip и mac-адресов в сети.

Arpwatch — демон, отслеживающий соответствие между IP и MAC-адресами. Если обнаруживается какое-либо несоответствие, сообщения записываются в лог. Arpwatch - один из инструментов, используемый для борьбы с ARP-spoofing'ом.

Установка:

# cd /usr/ports/net-mgmt/arpwatch/
# make install clean

После установки обновляем файл ethercodes.dat:

# cd /usr/local/arpwatch
# fetch http://standards.ieee.org/regauth/oui/oui.txt
# ./massagevendor oui.txt > ethercodes.dat
# rm oui.txt

Добавляем для запуска утилиты нужные строки в rc.conf :

arpwatch_enable="YES" # автозапуск при старте системы
arpwatch_flags="-m admin@domain.com" # почта для уведомлений
arpwatch_interfaces="rl0 em1" #интерфейсы, которые будет слушать arpwatch

Создаем файл лога:
# touch /var/log/arpwatch.log

Настраиваем ведение лога в файле /etc/syslog.conf :

!arpwatch
*.notice               /var/log/arpwatch.log

Перезапускаем syslogd:

# killall -HUP syslogd

В логе arpwatch смотрим сообщения. Могут быть такого вида:
new activity - связка ethernet/ip-адресов снова проявила активность спустя шесть месяцев или больше
new station - ethernet-адрес зафиксирован впервые
flip flop - ethernet-адрес изменился с одного известного адреса на другой известный адрес
changed ethernet address - хост перешёл на использование нового ethernet-адреса


Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *