ubuntuusers.de

arpwatch

Artikel für fortgeschrittene Anwender

Dieser Artikel erfordert mehr Erfahrung im Umgang mit Linux und ist daher nur für fortgeschrittene Benutzer gedacht.

Dieser Artikel wurde für die folgenden Ubuntu-Versionen getestet:


Du möchtest den Artikel für eine weitere Ubuntu-Version testen? Mitarbeit im Wiki ist immer willkommen! Dazu sind die Hinweise zum Testen von Artikeln zu beachten.

Das Programm arpwatch dient zur Erkennung von ARP-Spoofing im lokalen Netzwerk. ARP-Spoofing wird unter anderem zur Durchführung von Man-in-the-Middle-Angriffen verwendet. arpwatch dient zur Feststellung und Meldung eines solchen Angriffs. Gegenmaßnahmen muss der jeweilige Anwender selbst ergreifen.

ARP dient der Zuordnung von MAC-Adressen (OSI Layer 2) zu IPv4-Adressen (OSI Layer 3) um eine Kommunikation über (OSI Layer 3) zu ermöglichen.

Installation

  • arpwatch (universe)

Befehl zum Installieren der Pakete:

sudo apt-get install arpwatch 

Oder mit apturl installieren, Link: apt://arpwatch

Wenn man die Meldungen von arpwatch als E-Mail erhalten möchte, benötigt man außerdem einen über den Befehl sendmail ansprechbaren MTA (mail transfer agent). Ob auf dem System bereits ein solcher installiert ist, erfährt man mit diesem Befehl:

which sendmail || echo kein MTA verfügbar 

Wenn sendmail nicht verfügbar ist, erhält man durch Aufruf des nicht vorhandenen Befehls Vorschläge zur Installation.

Konfiguration

Überwachung eines Netzwerkinterfaces starten/stoppen

Zunächst muss man den Namen des Netzwerkinterfaces in Erfahrung bringen. Eine Liste der vorhandenen Schnittstellen liefert dieser Befehl:

ip link 

Danach ist der folgende Befehl entsprechend auszuführen:

systemctl start arpwatch@INTERFACE 

Dabei setzt man den vorher gefundenen Namen der Schnittstelle für INTERFACE ein

Die Überwachung kann man dementsprechend auch wieder stoppen.

systemctl stop arpwatch@INTERFACE 

Email-Adresse konfigurieren

Konfigurationen werden mittels Konfigurationsdateien nach dem Schema INTERFACE.iface in /etc/arpwatch getätigt. Um Alarmmeldungen an eine Email-Adresse zu senden muss in die entsprechende Datei folgendes enthalten:

IFACE_ARGS="-m example@example.com"

Es wird hierbei ein lokal installierter Mail Transfer Agent verwendet. Dieser muss installiert und konfiguriert werden, sofern dies noch nicht geschehen ist. Welcher MTA verwendet wird ist unerheblich, da der Befehl sendmail angesprochen wird, welcher durch nahezu jeden MTA bereitgestellt wird.

Nutzung

Meldungen erhalten

Es gibt mehrere Varianten wie man die Meldungen lesen kann. Die angenehmste ist vermutlich die Meldungen per Email zu erhalten. Die zweite Möglichkeit ist die Log-Datei zu lesen. Standardmäßig wird die Datei /var/log/syslog verwendet.

Bedeutung von Meldungen

Meldung Bedeutung Gefahr
new station Netzwerkgerät wurde das erste mal erkannt Niedrig
changed ethernet address Die MAC-Adresse hat sich geändert. Hoch
flip flop Die MAC-Adresse wechselt zwischen den beiden am häufigsten gesehenen MAC-Adressen Hoch

Diese Revision wurde am 9. Januar 2022 11:34 von noisefloor erstellt.
Die folgenden Schlagworte wurden dem Artikel zugewiesen: Internet, Sicherheit, System, Server, Shell, Netzwerk