ARPwatch CentOS 7

ARPwatch zählt nicht zu den vollwertigen IDS (Intrusion Detection System) Programmen, sondern zur der Software, die sich auf eine spezielle Art von Angriffen spezialisiert haben. So ist ARPwatch nur in der Lage solche Angriffe zu erkennen, die durch eine Manipulation des ARP Protokolls durchgeführt werden. Zu solchen Angriffen zählt zum Beispiel ARP-Spoofing.

Installation

ARPwatch ist als RPM-Paket in CentOS (base) verfügbar.

Ab hier werden root-Rechte zur Ausführung der nachfolgenden Befehle benötigt. Um root zu werden geben Sie bitte folgenden Befehl ein:

$ su -
Password:

Folgender Befehl ist zur Installation auszuführen:

# yum install arpwatch
Loaded plugins: changelog, priorities
39 packages excluded due to repository priority protections
Resolving Dependencies
--> Running transaction check
---> Package arpwatch.x86_64 14:2.1a15-30.el7 will be installed
--> Processing Dependency: libpcap.so.1()(64bit) for package: 14:arpwatch-2.1a15-30.el7.x86_64
--> Running transaction check
---> Package libpcap.x86_64 14:1.5.3-3.el7 will be installed
--> Finished Dependency Resolution

Changes in packages about to be updated:


Dependencies Resolved

================================================================================
 Package          Arch           Version                     Repository    Size
================================================================================
Installing:
 arpwatch         x86_64         14:2.1a15-30.el7            base         191 k
Installing for dependencies:
 libpcap          x86_64         14:1.5.3-3.el7              base         137 k

Transaction Summary
================================================================================
Install  1 Package (+1 Dependent package)

Total download size: 328 k
Installed size: 830 k
Is this ok [y/d/N]: y
Downloading packages:
(1/2): arpwatch-2.1a15-30.el7.x86_64.rpm                   | 191 kB   00:00     
(2/2): libpcap-1.5.3-3.el7.x86_64.rpm                      | 137 kB   00:00     
--------------------------------------------------------------------------------
Total                                              849 kB/s | 328 kB  00:00     
Running transaction check
Running transaction test
Transaction test succeeded
Running transaction
  Installing : 14:libpcap-1.5.3-3.el7.x86_64                                1/2 
  Installing : 14:arpwatch-2.1a15-30.el7.x86_64                             2/2 
  Verifying  : 14:arpwatch-2.1a15-30.el7.x86_64                             1/2 
  Verifying  : 14:libpcap-1.5.3-3.el7.x86_64                                2/2 

Installed:
  arpwatch.x86_64 14:2.1a15-30.el7                                              

Dependency Installed:
  libpcap.x86_64 14:1.5.3-3.el7                                                 

Complete!

Mit nachfolgendem Befehl kann überprüft werden, was der Inhalt des Pakets arpwatch war und was und vorallem wo installiert wurde:

# rpm -qil arpwatch
Name        : arpwatch
Epoch       : 14
Version     : 2.1a15
Release     : 30.el7
Architecture: x86_64
Install Date: Tue 14 Oct 2014 08:28:36 AM CEST
Group       : Applications/System
Size        : 525008
License     : BSD with advertising
Signature   : RSA/SHA256, Fri 04 Jul 2014 02:40:06 AM CEST, Key ID 24c6a8a7f4a80eb5
Source RPM  : arpwatch-2.1a15-30.el7.src.rpm
Build Date  : Tue 10 Jun 2014 12:44:47 AM CEST
Build Host  : worker1.bsys.centos.org
Relocations : (not relocatable)
Packager    : CentOS BuildSystem <http://bugs.centos.org>
Vendor      : CentOS
URL         : http://ee.lbl.gov/
Summary     : Network monitoring tools for tracking IP addresses on a network
Description :
The arpwatch package contains arpwatch and arpsnmp.  Arpwatch and
arpsnmp are both network monitoring tools.  Both utilities monitor
Ethernet or FDDI network traffic and build databases of Ethernet/IP
address pairs, and can report certain changes via email.

Install the arpwatch package if you need networking monitoring devices
which will automatically keep track of the IP addresses on your
network.
/etc/sysconfig/arpwatch
/usr/lib/systemd/system/arpwatch.service
/usr/sbin/arp2ethers
/usr/sbin/arpsnmp
/usr/sbin/arpwatch
/usr/sbin/massagevendor
/usr/share/doc/arpwatch-2.1a15
/usr/share/doc/arpwatch-2.1a15/CHANGES
/usr/share/doc/arpwatch-2.1a15/README
/usr/share/doc/arpwatch-2.1a15/arpfetch
/usr/share/man/man8/arp2ethers.8.gz
/usr/share/man/man8/arpsnmp.8.gz
/usr/share/man/man8/arpwatch.8.gz
/usr/share/man/man8/massagevendor.8.gz
/var/lib/arpwatch
/var/lib/arpwatch/arp.dat
/var/lib/arpwatch/arp.dat-
/var/lib/arpwatch/arp.dat.new
/var/lib/arpwatch/ethercodes.dat

Konfiguration

Um ARPwatch richtig betreiben zu können, benötigt es ein wenig Konfiguration.

Die Konfiguration von ARPwatch kann unter CentOS in der Konfigurationsdatei /etc/sysconfig/arpwatch erfolgen, da das Programm nur mit Parametern gestartete wird.

Dies ist die Standard ARPwatch Konfigurationsdatei nach der Installation:

# -u <username> : defines with what user id arpwatch should run
# -e <email>    : the <email> where to send the reports
# -s <from>     : the <from>-address 
OPTIONS="-u arpwatch -e root -s 'root (Arpwatch)'"

HINWEIS Die Standard-Konfigurationsdatei ist ausreichend für einen Start, wenn das Interface eth0 überwacht werden soll !

Falls eine anderes Interface als eth0 überwacht werden soll, ist die Angabe in der Konfigurationsdatei, wie folgt durchzuführen:

# -u <username> : defines with what user id arpwatch should run
# -e <email>  	: the <email> where to send the reports
# -s <from> 	: the <from>-address 
# Tachtler
# -i <interface>: the <interface> name
# default: OPTIONS="-u arpwatch -e root -s 'root (Arpwatch)'"
OPTIONS="-u arpwatch -e root -s 'root (Arpwatch)' -i eth0"

Funktionsweise

Folgende Ereignisse werden von ARPwatch überwacht:

Ereignis	Beschreibung
new activity	Dieses Ethernet/IP Adresspaar wurde das erste mal (wieder) in den letzten sechs Monaten genutzt
new station	Diese Ethernet Adresse wurde zum ersten mal genutzt
flip flop	Die Ethernet Adresse hat sich zu einer schon mal verwendeten Ethernet Adresse geändert
changed ethernet address	Die Ethernet Adresse hat sich geändert

Folgende syslog-Nachrichten werden mindestens protokolliert:

Nachricht	Beschreibung
ethernet broadcast	Die MAC Ethernet Adresse des Geräts ist eine `broadcast` Adresse
ip broadcast	Die IP Adresse des Geräts ist eine `broadcast` Adresse
bogon	Die Quell-IP-Adresse ist keine Adresse eines lokalen `subnets`
ethernet broadcast	Die Quell-MAC-Adresse oder die ARP-Ethernet-Adresse besteht nur aus gleichen Teilen oder Nullen
ethernet mismatch	Die Quell-MAC-Ethernet Adresse stimmt nicht mit der Adresse im ARP-Paket überein
reused old ethernet address	Die Ethernet Adresse wurde in eine bereits vorher oder weit vorher gesehene Adresse geändert
suppreddes DECnet flip flop	Ein „flip flop“ Report wurde ausgelöst da eine der beiden gesehenen Adressen eine DECnet Addresse ist

HINWEIS - Informationen zu DECnet-Adressen sind hier zu finden Wiki DECnet Adressen

In der Datei /var/arpwatch/arp.dat werden standardmäßig alle Ethernet-MAC/IP-Adressen-Paare und zusätzliche Informationen wie unix-Zeitstempel und hostname des Rechners abgelegt, hier ein Auszug daraus:

0:3:14:2b:c:6b  192.168.0.30   1254422914      server10
0:1:11:44:e:35  192.168.0.40   1254422890      Server20

Ein e-Mail-Benachrichtigung könnte wie folgt aussehen:

   Date: Fri, 1 Oct 2009 11:01:21 +0200
   From: arpwatch@tachtler.net (Arpwatch)
     To: root@tachtler.net
Subject: new station (server20.tachtler.net)

            hostname: server20.tachtler.net
          ip address: 192.168.0.30
    ethernet address: 0:10:2:2:a5:81
     ethernet vendor: Fujitsu Siemens Computers
           timestamp: Friday, October 2, 2009 11:01:01 +0200

Meldungen im syslog könnten wie folgt aussehen:

Oct 14 11:04:37 server20 arpwatch: new station 192.168.0.30 0:0:1a:e1:f2:a0
Oct 14 11:04:37 server20 arpwatch: new station 192.168.0.40 0:10:3:2:a5:91
Oct 14 11:05:03 server20 arpwatch: new station 192.168.0.50 0:b2:c:10:30:1

ARPwatch starten

Um das Starten von ARPwatch auch nach einem System-(re)-start zukünftig und dauerhaft zu realisieren, kann folgender Befehl genutzt werden. Hier wird ARPwatch zu den Start-Scripten der einzelnen Runlevel des Betriebssystem hinzugefügt:

# systemctl enable arpwatch.service
ln -s '/usr/lib/systemd/system/arpwatch.service' '/etc/systemd/system/multi-user.target.wants/arpwatch.service'

Ein Überprüfung, ob ARPwatch in den einzelnen Runlevel des Betriebssystems bei einem System-(re)-start mit gestartet wird, kann mit folgenden Befehlen abgefragt werden:

# systemctl list-unit-files --type=service | grep arpwatch
arpwatch.service                       enabled

bzw.

# systemctl is-enabled arpwatch.service
enabled

Um ARPwatch zu starten, kann folgender Befehl ausgeführt werden:

# systemctl start arpwatch

Im syslog sind dann ggf. entsprechend nachfolgende Meldungen zu sehen (nur relevanter Ausschnitt):

...
Oct 14 08:35:35 server20 systemd: Starting Arpwatch daemon which keeps track of ethernet/ip address pairings...
Oct 14 08:35:35 server20 kernel: device eth0 entered promiscuous mode
Oct 14 08:35:35 server20 arpwatch: listening on eth0
Oct 14 08:35:35 server20 systemd: Started Arpwatch daemon which keeps track of ethernet/ip address pairings.

Nachfolgender Befehl gibt den Status des ARPwatch-Daemons/Dienstes auf dem Bildschirm aus:

# systemctl status arpwatch
arpwatch.service - Arpwatch daemon which keeps track of ethernet/ip address pairings
   Loaded: loaded (/usr/lib/systemd/system/arpwatch.service; enabled)
   Active: active (running) since Tue 2014-10-14 08:35:35 CEST; 4min 39s ago
  Process: 9242 ExecStart=/usr/sbin/arpwatch $OPTIONS (code=exited, status=0/SUCCESS)
 Main PID: 9243 (arpwatch)
   CGroup: /system.slice/arpwatch.service
           └─9243 /usr/sbin/arpwatch -u arpwatch -e root -s root (Arpwatch) -i eth0

Oct 14 08:35:35 server20.tachtler.net arpwatch[9243]: Running as uid=77 gid=77
Oct 14 08:35:35 server20.tachtler.net arpwatch[9243]: listening on eth0
Oct 14 08:35:35 server20.tachtler.net systemd[1]: Started Arpwatch daemon which keeps track of ethernet/ip address pairings.