Конфликт ip адреса в сети, уведомление по SMS, arpwatch

Материал из ALT Linux Wiki

Задача: В локальной сети есть сервер доступа в Интернет (или любой другой важный сервер). Сервер имеет IP 192.168.0.1 Есть опасение, что какой-то компьютер пользователя назначит себе адрес сервера (192.168.0.1) и тем самым создаст аварийную ситуацию в сети.

Необходимо: Чтобы при возникновении вышеописанной ситуации приходило (желательно бесплатно) уведомление в виде SMS-сообщения на сотовый телефон. Так же имелась возможность оперативно получить MAC адрес компьютера злоумышленника, присвоившего себе адрес сервера 192.168.0.1


Алгоритм решения: Используем возможности имеющегося в нашей сети севера, под управлением операционной системы ALT Linux, и проинсталлированного в него программного модуля arpwatch (программы для обнаружения аномалий в работе протокола ARP и, в частности, ARP-spoofing'а.) Информация, сформированная программой arpwatch, будет забираться с сервера, публичным почтовым сервером gmail.com по протоколу POP3. Штатными средствами почтового сервера gmail.com, требуемая нам информация, будет отфильтрована и переслана на почтовый сервер сотового оператора Мегафон, который в свою очередь уведомит нас виде СМС.


I Как проинсталлировать и настроить в ALT Linux программный модуль arpwatch?

1. useradd arpw2009 # создаем пользователя arpw2009

2. passwd arpw2009 # меняем пользователю arpw2009 пароль

3. Редактируем в файле /etc/passwd пользователя arpw2009 (скорее всего требуемая строка будет последней в списке)

следующим образом: arpw2009:x:501:501::/home/arpw2009:/dev/null Запись "/dev/null" означает, что пользователь arpw2009 не сможет залогиниться на сервере по SSH и в консоли. Это сделано для обеспечения безопасности, так как пароль пользователя arpw2009 будет известен почтовому серверу gmail.com

4. apt-get install arpwatch # устанавливаем из репозитариия arpwatch

5. chkconfig arpwatch on # включаем в автозагрузку arpwatch

6. service arpwatch start # запускаем сервис arpwatch

7. Настраиваем arpwatch. В /etc/sysconfig/arpwatch прописываем: ARPWATCH_ARGS=" -n 192.168.0.0/24 -e arpw2009"

8. service arpwatch restart # рестартуем сервис arpwatch

9. Теперь все сообщения arpwatch пишутся в /var/log/deamons/info. База связок IP-MAC лежит в /var/lib/arpwatch/arp.dat Сообщения об ошибках в сети записываются в почтовый ящик нашего пользователя /var/mail/arpw2009


II Устанавливаем и настраиваем возможность получения почты с нашего сервера. Демон popa3d

1. apt-get install popa3d

2. /etc/xinetd.d/popa3d изменяем строку на disable = no

3. /etc/xinetd.conf коментим строку #only_from = 127.0.0.1

4. service xinetd restart #это запустит демон popa3d


III Организация возможности бесплатного уведомления по СМС через сотового оператора Мегафон (я делал в Ярославской области)

1. Создаем почтовый ящик на Мегафоне. На номер 000990 сообщение Cmyarp arpcontrol Ip-Mac

2. В ответ сервер электронной почты пришлет сообщение, содержащее:

Username: myarp

Рassword: arpcontrol

E-mail: myarp @ nwgsm.ru

Name: Ip-Mac


2. Чтобы исключить вероятность переполнения ящика myarp @ nwgsm.ru можно отключить сохранение входящих писем в почтовом ящике:

Отправить на номер 000990 сообщение AI- (при поступлении в почтовый ящик нового письма, сервер присылает уведомление, но не сохраняет письмо в почтовом ящике.)


IV Получение почтовых сообщения с нашего ALT Linux сервера, выполнение требуемой фильтрации и пересылка результатов на myarp @ nwgsm.ru

1. Регистрируем почтовый ящик на gmail.com , к примеру arp @ gmail.com

2. Настраиваем сборщик почты. Настройки/Сбор почты с других аккаунтов:/ изменить информацию:

Адрес электронной почты: tttt @ test.ru (любой E-mail)

Имя пользователя: arpw2009

Пароль: пароль пользователя arpw2009 на сервере ALT Linux

POP-сервер: белый IP адрес нашего ALT Linux сервера; Порт: 110

3. Настройка фильтрации. Настройки/ Фильтры/Создать новый фильтр:

Тема: flip flop

Содержит слова: 192.168.0.1

Применить ярлык: Работа (необязательно- для наглядности)

Переслать на адрес: myarp @ nwgsm.ru


V Все готово!

Теперь как только в вашей сети появится компьютер злоумышленника, с IP адресом сервера, вам на телефон придет SMS сообщение "V Vashem yashchike novoe pismo ot <root @ my_altlinux_server.com>. Chtoby prochitat poslednee pismo, otpravte B."

Можно отправить за 1.70 руб сообщение B на номер 000990 и тем самым прочитать МАС адреса нарушителя и сервера на телефоне. Либо зайти на arp @ gmail.com . Нужное нам сообщение будет отмечено ярлыком Работа и будет иметь тему flip flop.


Дима. г. Рыбинск. Ноябрь 2009 года

Примечание: Исходный вариант статьи лежит тут.