« 某セキュリティコミュニティの | トップページ | 手作りケーキ »

2007年2月14日 (水)

ArpWatch

MACアドレスと、IPアドレスの組合せが変わったら、メールで通知したりログ(Syslog)に記録するツールです。
職場に勝手に持ち込んだPC(つかNIC)を検出したり、MACアドレスを改竄(w したりする悪い人(つかNIC)を検出するのに使います。

あ、DHCPなネットワークだと、時々割り振りが変わりますので、辛いかと思われ。

Vine 4.0では、Synapticでインストールできます。

# libpcapも必要な風味です。が、Vineだと自動でインストールされると思いまつ。

オプションで設定できる内容は以下のとおり。

-d デバックモード
-u arpwatchを実行するユーザ
-e 通知先メールアドレス
-s 送信元メールアドレス
-i 監視するNIC

/etc/sysconfig/arpwatch のデフォルトの内容はこんな感じ

# cat /etc/sysconfig/arpwatch
OPTIONS="-u pcap"

libpcapが使えるユーザアカウントが割り当てられている風味。メールで通知する宛先等が設定されていませんが、デフォルトは、rootになっているようです。

最初に起動したときには、検出されたNICの「Subject: new station」とかいうメールがぜーんぶ飛んでくるので注意(w 1000台あると、1000個のメールが飛んでくるナリよ(w

まずは、デバッグモードで起動して、画面に実行される様子を出力してみます。
今は、無線NICで接続しているので、-i オプションで、ath0 を指定しています。

$ su -
# arpwatch -d -i ath0

しばらくすると検出されますた :-)

From: root (Arpwatch)
To: root
Subject: new station

            hostname: <unknown>
          ip address: 192.168.24.1
    ethernet address: xx:xx:xx:xx:xx:xx
     ethernet vendor: <unknown>
           timestamp: Wednesday, February 14, 2007 23:12:17 +0900

From: root (Arpwatch)
To: root
Subject: new station

            hostname: <unknown>
          ip address: 192.168.24.51
    ethernet address: xx:xx:xx:xx:xx:xx
     ethernet vendor: <unknown>
           timestamp: Wednesday, February 14, 2007 23:12:22 +0900

From: root (Arpwatch)
To: root
Subject: new station

            hostname: <unknown>
          ip address: 192.168.24.55
    ethernet address: xx:xx:xx:xx:xx:xx
     ethernet vendor: <unknown>
           timestamp: Wednesday, February 14, 2007 23:13:45 +0900

メールの宛先を変えるには、-e オプションを使います。

テストがうまくいったら、自動的に起動するようにしましょう。

# chkconfig arpwatch on

手動でサービスを起動するには、以下のようにします。

# service arpwatch start

|

« 某セキュリティコミュニティの | トップページ | 手作りケーキ »

Linux」カテゴリの記事

Security」カテゴリの記事

コメント

コメントを書く



(ウェブ上には掲載しません)




トラックバック

この記事のトラックバックURL:
http://app.cocolog-nifty.com/t/trackback/163245/13913243

この記事へのトラックバック一覧です: ArpWatch:

« 某セキュリティコミュニティの | トップページ | 手作りケーキ »