[[Vorlage(Fortgeschritten)]] [[Vorlage(Getestet, focal)]] {{{#!vorlage Wissen [:Pakete installieren: Installation von Programmen] [:Programme_starten: Starten von Programmen] [:Terminal: Ein Terminal öffnen] [:mit Root-Rechten arbeiten:] [:Dienste: Dienste steuern] [:Logdateien: Logdateien lesen] }}} [[Inhaltsverzeichnis()]] Das Programm arpwatch dient zur Erkennung von [wikipedia:ARP-Spoofing:] im lokalen Netzwerk. [wikipedia:ARP-Spoofing:] wird unter anderem zur Durchführung von [wikipedia:Man-in-the-Middle-Angriff:Man-in-the-Middle-Angriffen] verwendet. arpwatch dient zur Feststellung und Meldung eines solchen Angriffs. Gegenmaßnahmen muss der jeweilige Anwender selbst ergreifen. [wikipedia:Address Resolution Protocol:ARP] dient der Zuordnung von MAC-Adressen ([wikipedia:OSI-Modell:OSI Layer 2]) zu IPv4-Adressen ([wikipedia:OSI-Modell:OSI Layer 3]) um eine Kommunikation über ([wikipedia:OSI-Modell:OSI Layer 3]) zu ermöglichen. = Installation = {{{#!vorlage Paketinstallation arpwatch, universe }}} Wenn man die Meldungen von arpwatch als E-Mail erhalten möchte, benötigt man außerdem einen über den Befehl '''sendmail''' ansprechbaren MTA (''mail transfer agent''). Ob auf dem System bereits ein solcher installiert ist, erfährt man mit diesem Befehl: {{{#!vorlage Befehl which sendmail || echo kein MTA verfügbar }}} Wenn '''sendmail''' nicht verfügbar ist, erhält man durch Aufruf des nicht vorhandenen Befehls Vorschläge zur Installation. = Konfiguration = == Überwachung eines Netzwerkinterfaces starten/stoppen == Zunächst muss man den Namen des Netzwerkinterfaces in Erfahrung bringen. Eine Liste der vorhandenen Schnittstellen liefert dieser Befehl: {{{#!vorlage Befehl ip link }}} Danach ist der folgende Befehl entsprechend auszuführen: {{{#!vorlage Befehl systemctl start arpwatch@INTERFACE }}} Dabei setzt man den vorher gefundenen Namen der Schnittstelle für `INTERFACE` ein Die Überwachung kann man dementsprechend auch wieder stoppen. {{{#!vorlage Befehl systemctl stop arpwatch@INTERFACE }}} == Email-Adresse konfigurieren == Konfigurationen werden mittels Konfigurationsdateien nach dem Schema '''INTERFACE.iface''' in '''/etc/arpwatch''' getätigt. Um Alarmmeldungen an eine Email-Adresse zu senden muss in die entsprechende Datei folgendes enthalten: {{{ IFACE_ARGS="-m example@example.com" }}} Es wird hierbei ein lokal installierter [wikipedia:Mail Transfer Agent:] verwendet. Dieser muss installiert und konfiguriert werden, sofern dies noch nicht geschehen ist. Welcher MTA verwendet wird ist unerheblich, da der Befehl `sendmail` angesprochen wird, welcher durch nahezu jeden MTA bereitgestellt wird. = Nutzung = == Meldungen erhalten == Es gibt mehrere Varianten wie man die Meldungen lesen kann. Die angenehmste ist vermutlich die Meldungen per [#Email-Adresse-konfigurieren Email] zu erhalten. Die zweite Möglichkeit ist die Log-Datei zu lesen. Standardmäßig wird die Datei '''/var/log/syslog''' verwendet. == Bedeutung von Meldungen == {{{#!vorlage Tabelle Meldung Bedeutung Gefahr +++ new station Netzwerkgerät wurde das erste mal erkannt Niedrig +++ changed ethernet address Die [wikipedia:MAC-Adresse:] hat sich geändert. Hoch +++ flip flop Die [wikipedia:MAC-Adresse:] wechselt zwischen den beiden am häufigsten gesehenen [wikipedia:MAC-Adresse:MAC-Adressen] Hoch }}} #tag: Netzwerk, Internet, System, Sicherheit, Shell, Server