Arpwatch — контролируем изменения в сети

В каждой сети рано или поздно появляются пользователи, страждущие до чужого “интернета”. Начинают они обычно с простых вещей, таких как смена IP адреса для своего компьютера. На шлюзе в моей сети в правилах iptables был разрешён доступ только определённым связкам mac — ip address, поэтому изменение IP адреса не давало возможности выйти в интернет от чужого имени. И такие пользователи обычно требуют более тщательного контроля.

Как отследить попытки изменения IP адресов? С этой задачей неплохо справляется утилита arpwatch. Всё что нужно, это установить её и провести небольшую настройку:

gateway:~# apt-get install arpwatch

Теперь настроим файл /etc/aprwatch.conf , поместим в него строчку:

eth0 -m remontka@localhost

eth0 на шлюзе смотрит в локальную сеть, на нём я и буду контролировать все возможные изменения ip адресов. На указанный e-mail будут приходить письма с уведомлением об изменениях ip и mac адресов.

gateway:~# /etc/init.d/arpwatch restart

Рестартарт демона — и он готов к работе.

Есть правда несколько минусов этой утилиты — по письмам не очень удобно смотреть кто именно “балуется” в сети. Приходится сверяться по другим данным (в моём случае можно использовать информацию из DHCP сервера). И второй минус — если “злоумышленник” будет более сообразительным, он сменит не только ip адрес, но и mac адрес. Таким образом он останется незамеченным и сможет воспользоваться “чужим интернетом”. Как защититься от проделок подобного рода я напишу в одной из следующих записей.