HomeServer.pt – Informática e Tecnologia

AI Artigos Campanhas Dispositivos Móveis Hardware Notícias Software Tecnologia Tutoriais Linux Tutoriais Windows

Arpwatch: Ferramenta Poderosa para Monitorizar Atividade Ethernet (IP e Endereços MAC) no Linux

Home Server

Descubra como o Arpwatch, um software open-source essencial, pode revolucionar a monitorização da atividade Ethernet na sua rede. Esta ferramenta incrível permite vigiar alterações de IP e MAC addresses e mantém uma base de dados detalhada de emparelhamentos Ethernet/IP, ideal para manter a segurança e a integridade da rede.

Com o Arpwatch, pode gerar logs precisos que incluem informações de emparelhamento de IP e MAC, acompanhados de carimbos temporais. Esses registos ajudam-no a identificar o momento exato em que ocorrem alterações na rede. Além disso, o programa oferece a funcionalidade de enviar alertas por e-mail ao administrador de rede, sempre que um novo emparelhamento é adicionado ou alterado.

Esta ferramenta é especialmente valiosa para administradores de redes que precisam de estar atentos a atividades de ARP suspeitas, como ARP spoofing ou modificações inesperadas de endereços IP/MAC.

Como Instalar o Arpwatch no Linux

O Arpwatch não vem pré-instalado na maioria das distribuições Linux. É necessário usar o gestor de pacotes da sua distribuição para instalá-lo a partir dos repositórios oficiais. Aqui estão os comandos para as distribuições mais populares:

Bash
$ sudo apt install arpwatch             # Para Debian, Ubuntu e Mint
$ sudo yum install arpwatch             # Para RHEL, CentOS, Fedora, Rocky e AlmaLinux
$ sudo emerge -a net-analyzer/arpwatch  # Para Gentoo Linux
$ sudo apk add arpwatch                 # Para Alpine Linux
$ sudo pacman -S arpwatch               # Para Arch Linux
$ sudo zypper install arpwatch          # Para OpenSUSE

Depois de instalado, é importante conhecer os principais ficheiros relacionados com o Arpwatch, que podem variar ligeiramente consoante o sistema operativo:

  • /usr/lib/systemd/system/arpwatch – Serviço do Arpwatch para iniciar ou parar o daemon.
  • /etc/sysconfig/arpwatch – Ficheiro principal de configuração do Arpwatch.
  • /usr/sbin/arpwatch – Comando binário para iniciar ou parar a ferramenta via terminal.
  • /var/lib/arpwatch/arp.dat – Base de dados principal onde são registados os endereços IP/MAC.
  • /var/log/messages – Ficheiro de log onde são registadas alterações ou atividades incomuns.

Para iniciar o serviço do Arpwatch, utilize os seguintes comandos:

Bash
systemctl enable arpwatch
systemctl start arpwatch
systemctl status arpwatch

Como Usar os Comandos do Arpwatch no Linux

Para monitorizar uma interface específica, use o comando com o parâmetro -i seguido do nome do dispositivo:

Bash
arpwatch -i eth0

Sempre que um novo MAC é conectado ou um endereço IP muda o seu MAC, o sistema registará as alterações nos ficheiros de log, como /var/log/syslog ou /var/log/messages. Use o comando tail para monitorizar estas alterações em tempo real:

Bash
tail -f /var/log/messages

Exemplo de Saída

Bash
Dez 10 10:45:17 servidor arpwatch: nova estação 192.168.1.100 c4:01:42:00:89:56
Dez 10 10:47:19 servidor arpwatch: nova estação 192.168.1.101 0c:5d:44:12:56:ac
Dez 10 10:50:22 servidor arpwatch: estação alterada 192.168.1.102 18:6a:44:9c:aa:11 (c4:01:42:00:89:56)

Pode também consultar a tabela ARP atual usando o comando:

Bash
arp -a

Exemplo de Saída

Bash
router.local (192.168.1.1) at 00:50:56:8e:22:5c [ether] on eth0
servidor.local (192.168.1.100) at c4:01:42:00:89:56 [ether] on eth0

Configuração de Alertas por E-mail

Para configurar o envio de alertas para o seu e-mail, edite o ficheiro de configuração principal em /etc/sysconfig/arpwatch e insira os seguintes parâmetros:

Bash
# -u <utilizador>: Define com que ID o Arpwatch deve funcionar.
# -e <email>: Endereço de e-mail para onde enviar os relatórios.
# -s <from>: Endereço do remetente.
OPTIONS="-u arpwatch -e [email protected] -s 'root (Arpwatch)'"

Exemplo de Relatório por E-mail (Nova Conexão)

Bash
hostname: servidor.local
ip address: 192.168.1.100
interface: eth0
ethernet address: c4:01:42:00:89:56
ethernet vendor: Intel Corporation
timestamp: Terça-feira, Dezembro 10, 2024 10:45:17

Exemplo de Relatório por E-mail (Alteração de MAC)

Bash
hostname: servidor.local
ip address: 192.168.1.100
interface: eth0
ethernet address: 18:6a:44:9c:aa:11
ethernet vendor: Intel Corporation
old ethernet address: c4:01:42:00:89:56
timestamp: Terça-feira, Dezembro 10, 2024 10:50:22
previous timestamp: Terça-feira, Dezembro 10, 2024 10:45:17
delta: 5 minutos

Conclusão

O Arpwatch é uma ferramenta essencial para manter a segurança e o controlo da sua rede. Seja para identificar spoofing de ARP ou monitorizar alterações de IP/MAC, este programa é uma mais-valia para administradores de sistemas. Para mais informações, consulte a página de manual:

Bash
man arpwatch

Artigos Relacionados