arpwatch
Artikel für fortgeschrittene Anwender
Dieser Artikel erfordert mehr Erfahrung im Umgang mit Linux und ist daher nur für fortgeschrittene Benutzer gedacht.
Dieser Artikel wurde für die folgenden Ubuntu-Versionen getestet:
Ubuntu 20.04 Focal Fossa
Du möchtest den Artikel für eine weitere Ubuntu-Version testen? Mitarbeit im Wiki ist immer willkommen! Dazu sind die Hinweise zum Testen von Artikeln zu beachten.
Zum Verständnis dieses Artikels sind folgende Seiten hilfreich:
Das Programm arpwatch dient zur Erkennung von ARP-Spoofing im lokalen Netzwerk. ARP-Spoofing wird unter anderem zur Durchführung von Man-in-the-Middle-Angriffen verwendet. arpwatch dient zur Feststellung und Meldung eines solchen Angriffs. Gegenmaßnahmen muss der jeweilige Anwender selbst ergreifen.
ARP dient der Zuordnung von MAC-Adressen (OSI Layer 2) zu IPv4-Adressen (OSI Layer 3) um eine Kommunikation über (OSI Layer 3) zu ermöglichen.
Installation¶
arpwatch (universe)
Befehl zum Installieren der Pakete:
sudo apt-get install arpwatch
Oder mit apturl installieren, Link: apt://arpwatch
Wenn man die Meldungen von arpwatch als E-Mail erhalten möchte, benötigt man außerdem einen über den Befehl sendmail ansprechbaren MTA (mail transfer agent). Ob auf dem System bereits ein solcher installiert ist, erfährt man mit diesem Befehl:
which sendmail || echo kein MTA verfügbar
Wenn sendmail nicht verfügbar ist, erhält man durch Aufruf des nicht vorhandenen Befehls Vorschläge zur Installation.
Konfiguration¶
Überwachung eines Netzwerkinterfaces starten/stoppen¶
Zunächst muss man den Namen des Netzwerkinterfaces in Erfahrung bringen. Eine Liste der vorhandenen Schnittstellen liefert dieser Befehl:
ip link
Danach ist der folgende Befehl entsprechend auszuführen:
systemctl start arpwatch@INTERFACE
Dabei setzt man den vorher gefundenen Namen der Schnittstelle für INTERFACE
ein
Die Überwachung kann man dementsprechend auch wieder stoppen.
systemctl stop arpwatch@INTERFACE
Email-Adresse konfigurieren¶
Konfigurationen werden mittels Konfigurationsdateien nach dem Schema INTERFACE.iface in /etc/arpwatch getätigt. Um Alarmmeldungen an eine Email-Adresse zu senden muss in die entsprechende Datei folgendes enthalten:
IFACE_ARGS="-m example@example.com"
Es wird hierbei ein lokal installierter Mail Transfer Agent verwendet. Dieser muss installiert und konfiguriert werden, sofern dies noch nicht geschehen ist. Welcher MTA verwendet wird ist unerheblich, da der Befehl sendmail
angesprochen wird, welcher durch nahezu jeden MTA bereitgestellt wird.
Nutzung¶
Meldungen erhalten¶
Es gibt mehrere Varianten wie man die Meldungen lesen kann. Die angenehmste ist vermutlich die Meldungen per Email zu erhalten. Die zweite Möglichkeit ist die Log-Datei zu lesen. Standardmäßig wird die Datei /var/log/syslog verwendet.
Bedeutung von Meldungen¶
Meldung | Bedeutung | Gefahr |
new station | Netzwerkgerät wurde das erste mal erkannt | Niedrig |
changed ethernet address | Die MAC-Adresse hat sich geändert. | Hoch |
flip flop | Die MAC-Adresse wechselt zwischen den beiden am häufigsten gesehenen MAC-Adressen | Hoch |