Utilitaire arpwatch
Testé sous Ubuntu 16.04
Pré-requis
Sendmail ou postfix installé pour l’envoi de mail
Arpwatch surveille le réseau a la recherche d’activité ARP
Il établie ensuite dans un fichier l’adresse IP associée a la mac adress.
Installer le paquet nécessaire
1 |
$ sudo apt install arpwatch |
Éditer le fichier de conf et entrer la ligne ci dessous
1 |
$ sudo vim /etc/arpwatch.conf |
1 |
enp5s0 -a -n 192.168.3.0/24 -m adresse_email |
En détail
enp5s0 = correspond a l’interface d’écoute
-a = actualise a la découverte d’une nouvelle IP dans la plage
-n = spécifie la plage et son masque de sous réseau.
-m = pour spécifier une adresse mail en sortie.
Redémarrer le service et le rendre automatique.
1 2 |
$ sudo systemctl restart arpwatch.service $ sudo systemctl enable arpwatch.service |
La BDD ou sont stockées les infos ce trouve sur /var/lib/arpwatch, pour visualiser son contenu
1 |
# cat /var/lib/arpwatch/enp5s0.dat |
1 2 3 |
08:00:27.aa:c5:4f 192.168.3.70 1494089126 vm-osticket enp5s0 xx:xx:xx:xx:xx:xx 192.168.3.72 1494090180 enp5s0 xx:xx:xx:xx:xx:xx 192.168.3.73 1494092948 enp5s0 |
Voici un type de mail reçu lors de la découverte d’une nouvelle mac adress
1 2 3 4 5 6 7 8 9 10 11 12 |
----- Mail original ----- De: "Arpwatch lnx" <arpwatch@lnx> À: "BEF" <bef@domaine.tld> Envoyé: Samedi 6 Mai 2017 18:44:54 Objet: new station (vm-osticket) enp5s0 hostname: vm-osticket ip address: 192.168.3.70 interface: enp5s0 ethernet address: 08:00:27:aa:c5:4f ethernet vendor: CADMUS COMPUTER SYSTEMS timestamp: Saturday, May 6, 2017 18:44:54 +0200 |
Pour visualiser dans le syslog
1 |
$ grep "new station" /var/log/syslog |
May 6 18:44:55 lnx arpwatch: new station 192.168.3.70 08:00:27:aa:c5:4f enp5s0
May 6 19:03:00 lnx arpwatch: new station 192.168.3.72 xx:xx:xx:xx:xx:xx enp5s0
May 6 19:07:31 lnx arpwatch: new station 192.168.3.73 xx:xx:xx:xx:xx:xx enp5s0