Utilitaire arpwatch
Testé sous Ubuntu 16.04
Pré-requis
Sendmail ou postfix installé pour l’envoi de mail
Arpwatch surveille le réseau a la recherche d’activité ARP
Il établie ensuite dans un fichier l’adresse IP associée a la mac adress.
Installer le paquet nécessaire
$ sudo apt install arpwatch
Éditer le fichier de conf et entrer la ligne ci dessous
$ sudo vim /etc/arpwatch.conf
enp5s0 -a -n 192.168.3.0/24 -m adresse_email
En détail
enp5s0 = correspond a l’interface d’écoute
-a = actualise a la découverte d’une nouvelle IP dans la plage
-n = spécifie la plage et son masque de sous réseau.
-m = pour spécifier une adresse mail en sortie.
Redémarrer le service et le rendre automatique.
$ sudo systemctl restart arpwatch.service $ sudo systemctl enable arpwatch.service
La BDD ou sont stockées les infos ce trouve sur /var/lib/arpwatch, pour visualiser son contenu
# cat /var/lib/arpwatch/enp5s0.dat
08:00:27.aa:c5:4f 192.168.3.70 1494089126 vm-osticket enp5s0 xx:xx:xx:xx:xx:xx 192.168.3.72 1494090180 enp5s0 xx:xx:xx:xx:xx:xx 192.168.3.73 1494092948 enp5s0
Voici un type de mail reçu lors de la découverte d’une nouvelle mac adress
----- Mail original ----- De: "Arpwatch lnx" <arpwatch@lnx> À: "BEF" <bef@domaine.tld> Envoyé: Samedi 6 Mai 2017 18:44:54 Objet: new station (vm-osticket) enp5s0 hostname: vm-osticket ip address: 192.168.3.70 interface: enp5s0 ethernet address: 08:00:27:aa:c5:4f ethernet vendor: CADMUS COMPUTER SYSTEMS timestamp: Saturday, May 6, 2017 18:44:54 +0200
Pour visualiser dans le syslog
$ grep "new station" /var/log/syslog
May 6 18:44:55 lnx arpwatch: new station 192.168.3.70 08:00:27:aa:c5:4f enp5s0
May 6 19:03:00 lnx arpwatch: new station 192.168.3.72 xx:xx:xx:xx:xx:xx enp5s0
May 6 19:07:31 lnx arpwatch: new station 192.168.3.73 xx:xx:xx:xx:xx:xx enp5s0