FreeBSD

FreeBSD: установка и настройка arpwatch

ArpWatch — демон, который отслеживает соответствие между IP и MAC-адресами, и при обнаружении аномалий, сообщающий об этом в Syslog.

Для мониторинга связок mac-ip  используем софтинку под названием arpwatch

Установка:

cd /usr/ports/net-mgmt/arpwatch && make install clean

После установки видим:

You can update the ethercodes.dat file executing the following steps

cd /usr/local/arpwatch
fetch http://standards.ieee.org/regauth/oui/oui.txt
./massagevendor oui.txt > ethercodes.dat
rm oui.txt

Правим rc.conf

arpwatch_enable="YES" # включаем arpwatch
arpwatch_dir="/var/db/arpwatch" # в этой директории храним бд arpwatch
arpwatch_interfaces="em0" # c какими интерфейсами работаем
#arpwatch_interfaces="" #слушать все интерфейсы
#arpwatch_em0_options="-m admin@mydomain.ua" #отправлять лог себе на мыло

Настроим ведение логов с помощью syslog.conf

# ee /etc/syslog.conf

Добавляем:

!arpwatch
*.notice /var/log/arpwatch.log

Создать лог-файл:

# touch /var/log/arpwatch.log

и перезагрузить syslogd:

# killall -HUP syslogd

Настроить ротацию лог-файла:

# ee /etc/newsyslog.conf

Добавляем:

/var/log/arpwatch.log                   600  7     *    $W6D0 JC

Создаём рабочую директорию для arpwatch:

# mkdir /var/db/arpwatch

Запускаем:

# /usr/local/etc/rc.d/arpwatch start

Таблица соответствия адресов находится в файле /usr/local/arpwatch/arp.< интерфейс>.dat и выглядит как обычный текстовый файл, с MAC-адресом, IP-адресом, временем попадения в таблицу, и именем интерфейса, через который пришёл исходный запрос.

arpwatch формирует события следующих типов:
Важные:

 new activity - Это Ethernet/IP был использован впервые за 6 месяцев.
 new station - Это Ethernet/IP был использована впервые
 flip flop - Замена адреса с одного на другой (оба были в списке).
 changed ethernet address - Замена на новый MAC адрес Ethernet.

Дополнительные:

ethernet broadcast - MAC-адрес хоста является широковещательным.
ip broadcast - IP-адрес хоста является широковещательным.
bogon - Адрес отправителя IP-пакета не входит в непосредственно подключённую
        сеть (directly connected network) для заданного интерфейса.
ethernet broadcast - MAC-адрес отправителя состоит из одних нулей или одних
                     единиц.
ethernet mismatch - MAC-адрес отправителя пакета не соответствует MAC-адресу,
                    указанному внутри ARP-запроса.
reused old ethernet address - Ethernet-адрес изменился с известного адреса на
                              адрес, который был замечен ранее, но не только
                              что. (Похоже на flip flop, но чуть-чуть другое.)
suppressed DECnet flip flop - Сообщение "flip flop" подавлено в связи с тем,
                              что как минимум один из двух адресов является
                              адресом DECnet.

если есть необходимость вести журнал всех событий (не только важных), то меняем (*.notice) на (*.*) в syslog.conf

Просмотреть результат можно командой:

cat /var/log/arpwatch.log

Оставить комментарий