Getty Images/iStockphoto
Mit arpwatch das Netzwerk auf Änderungen überwachen
arpwatch benachrichtigt Administratoren bei unerwarteten Änderungen oder nicht autorisierten Geräten, die auf ARP-Spoofing oder Angriffe zum Abgreifen von Anmeldedaten hindeuten.
Die Verwaltung der an ein Netzwerk angeschlossenen Geräte ist von entscheidender Bedeutung, und Layer-2-MAC-Adressen gehören zu den grundlegendsten Identifikatoren.
Netzwerkgeräte verwenden das Address Resolution Protocol (ARP), um Layer-2-MAC-Adressen logischen IP-Adressen zuzuordnen. Die Verfolgung dieser Zuordnungen ist unerlässlich, um sicherzustellen, dass nur autorisierte Geräte mit einem Netzwerk verbunden sind.
Das Open-Source-Tool arpwatch hilft Administratoren, physische MAC-Adressen und logische IP-Adressen zu verfolgen, um unerwartete Änderungen und möglicherweise nicht autorisierte Geräte zu erkennen. Das Hauptziel besteht darin, Administratoren über Änderungen an Netzwerkknoten zu informieren.
Jede Netzwerkkarte (NIC) hat eine eindeutige MAC-Adresse, die sie identifiziert. Wenn zwei Geräte Daten über das Netzwerk austauschen, sind die Quell- und Ziel-MAC-Adressen (auch physische Adressen genannt) Teil der Identifizierung der Knoten untereinander.
Netzknoten haben auch logische Adressen. Sendende und empfangende Rechner identifizieren sich gegenseitig über diese IP-Adressen.
Bei der Adressierung von Netzwerk-Daten-Frames senden die Quellcomputer eine ARP-Nachricht, in der sie den Computer mit einer bestimmten IP-Adresse auffordern, mit seiner MAC-Adresse zu antworten.
Das Dienstprogramm arpwatch verwendet diese Informationen, um eine Datenbank mit den zugehörigen MAC- und IP-Adressen aufzubauen. Je mehr Daten einfließen, desto genauer spiegelt diese Datenbank die Netzwerkumgebung auf Basis dieser Adressen wider. Änderungen in dieser Konfiguration werden als Anomalien erkannt und lösen Warnmeldungen von arpwatch an die Administratoren aus.
Arpwatch bietet auch die folgenden Sicherheitsfunktionen:
- ARP-Aktivitätsüberwachung: Arpwatch überwacht den Austausch von MAC- und IP-Adressen und bietet so einen umfassenderen Überblick über die Netzwerkumgebung für mehr Sicherheit und eine einfachere Fehlerbehebung.
- Sicherheitswarnungen: Arpwatch warnt Administratoren bei verdächtigen Aktivitäten, einschließlich ARP- und MAC-Adress-Spoofing.
- Protokollierung: Arpwatch speichert MAC- und IP-Adresspaare in einer Datenbank und benachrichtigt Administratoren bei Änderungen.
Wenn Sie arpwtch verwenden, sollten Sie es im Daemon-Modus installieren und ausführen. In dieser Konfiguration läuft es kontinuierlich im Hintergrund und überwacht Netzwerkverbindungen auf unerwartete oder verdächtige Änderungen.
Angenommen, ein böswilliger Angreifer hat einen Raspberry Pi in Ihr Netzwerk eingeschleust, was aufgrund der geringen Größe des Geräts relativ einfach ist. Auf dem Pi könnte sich eine betrügerische Webseite befinden, die im Rahmen eines Angriffs auf Anmeldeinformationen Sicherheitsinformationen von Benutzern abfragt. Arpwatch sollte das unautorisierte Gerät erkennen und die Administratoren benachrichtigen. Das Toll kann auch drahtlose Netzwerke vor ähnlichen Angriffen und betrügerischen Geräten schützen.
So installieren Sie arpwatch
Wie bei den meisten Linux-Anwendungen installieren Sie arpwatch mit dem Paketmanager Ihrer Distribution. Die Befehle lauten in der Regel apt oder dnf, können aber variieren. Sicherheitsorientierte Distributionen wie Kali Linux, Parrot Linux und andere enthalten arpwatch in der Regel.
Für Debian, Ubuntu und ähnliche Distributionen geben Sie folgendes ein:
apt install arpwatch
Unter Red Hat Enterprise Linux, Fedora, Rocky und AlmaLinux lautet der Befehl:
dnf install arpwatch
Anwender von Arch Linux können folgendes eingeben:
pacman -S arpwatch
Um arpwatch zu Ihrem MacOS-System hinzuzufügen, installieren Sie MacPorts. Direkte Optionen für Windows-Systeme sind nicht verfügbar, daher sollten Sie Tools wie NetCut in Betracht ziehen.
Nutzung von arpwatch
Verwenden Sie arpwatch als Dienst, den Sie einmal einrichten und dann vergessen können. Ihre Hauptaufgabe besteht also darin, den Dienst so zu konfigurieren, dass er läuft, wenn das System online ist.
Die Konfigurationsdatei für arpwatch befindet sich unter Fedora in /etc/sysconfig/arpwatch, wobei der Speicherort je nach Distribution variieren kann. Verwenden Sie Ihren bevorzugten Linux-Texteditor, um die Einstellungen der Datei zu ändern.
Übliche Dateieinstellungen sind:
- DEVICE=eth0 ersetzt den Gerätenamen Ihres Systems.
- [email protected] ersetzt die E-Mail-Adresse, an die Benachrichtigungen gesendet werden sollen.
- RUN_DAEMON=yes aktiviert den Daemon-Modus.
- ARP_FILE=/var/lib/arpwatch/arp.dat legt den Speicherort der Datenbank fest.
- resolve legt die DNS-Reverse-Namensauflösung fest, um Hostnamen aus IP-Adressen aufzulösen.
- dhcp-snooping aktiviert die Korrelation von MAC- und IP-Adressen. Dazu wird das Dynamic Host Configuration Protocol verwendet.
Starten und aktivieren Sie arpwatch mit dem Befehl systemctl:
systemctl enable arpwatch
systemctl start arpwatch
Um E-Mails an einen SMTP-Server weiterzuleiten, benötigen Sie einen SMTP-Client auf dem System. Dieser ist in den meisten Distributionen enthalten. Vergessen Sie nicht, die Firewall-Regeln so zu konfigurieren, dass SMTP-Verkehr zugelassen wird (normalerweise 25/tcp) und richten Sie die Namensauflösung ein.
So zeigen Sie die Ergebnisse von arpwatch an
der Regel werden Sie arpwatch als langfristige Option zur Überwachung von MAC- und IP-Adressen einsetzen. Das Programm erstellt eine Datenbank mit diesen Zuordnungen. Die Datenbank finden Sie bei den meisten Linux-Distributionen unter /var/lib/arpwatch/arp.dat. Arpwatch meldet aktuelle Änderungen im Systemprotokoll.
Verwenden Sie den Befehl journalctl, um die Ergebnisse von arpwatch anzuzeigen. Das Kommando lautet:
sudo journalctl -u arpwatch
Die Protokolle zeigen an, ob die MAC-IP-Zuordnung neu ist oder geändert wurde.
Erweiterte Funktionen
Das Dienstprogramm arpwatch ist recht einfach, daher gibt es nicht viele zusätzliche oder erweiterte Funktionen. Einige spezifische Optionen können jedoch die Effektivität für Ihre Überwachungsanforderungen erhöhen.
Um arpwatch manuell auf einer einzelnen Schnittstelle auszuführen, geben Sie Folgendes ein:
arpwatch -i eth1
MAC-Adressen bestehen aus zwei Teilen. Der erste Teil ist eine Herstellerkennung, der zweite Teil eine eindeutige Schnittstellenkennung. Das bedeutet, dass Sie anhand der MAC-Adresse den Hersteller der Netzwerkkarte ermitteln können. arpwatch kann dies mit einer kleinen zusätzlichen Konfiguration leisten.
Installieren Sie zunächst die IEEE-Datenbank mit den organisatorisch eindeutigen Kennungen der Hersteller und MAC-Adressen. Einige Distributionen bieten ein automatisiertes Skript dafür an:
/usr/local/arpwatch/update-ethercodes
Auf anderen Systemen verwenden Sie diesen Befehl, um die Datenbank herunterzuladen:
wget https://standards-oui.ieee.org/oui/oui.csv -O /usr/local/arpwatch/ethercodes.dat
Fügen Sie anschließend die folgende Zeile zur Konfigurationsdatei /etc/sysconfig/arpwatch hinzu:
ARPWATCH_LOCAL_DIR=/usr/local/arpwatch
Starten Sie den arpwatch-Dienst neu, um die Änderungen zu übernehmen:
systemctl restart arpwatch
Die Log-Einträge sollten nun den NIC-Hersteller enthalten.
Verwandte Tools für MAC-Adressen und ARP helfen bei ähnlichen Abfragen und der Nachverfolgung. Weitere Informationen dazu finden Sie auf der Kali-Linux-Webseite.
