El uso de diversos dispositivos en la red es algo natural en ambientes Linux y en cualquier otro sistema ya que el uso de la red local permite la comunicación entre estos para compartir archivos y otros elementos, como administradores es esencial estar al tanto de los cambios que puedan surgir con los equipos y para ayudar a controlar esto disponemos de la utilidad Arpwatch. Es interesante contar siempre con herramientas de monitorización en Linux para saber qué ocurre en nuestro sistema.
Arpwatch se encarga de hacer un monitoreo a los emparejamientos de direcciones IP de los equipos locales, con ello se almacena la actividad y genera informes sobre los cambios ya sea en pantalla o en correo electrónico si se llegase a necesita, Arpwatch hace uso de pcap para las tareas de escucha de paquetes arp en la interfaz ethernet local.
Solvetic te explicara cómo hacer uso de esta utilidad para validar cambios en los equipos de la red local.
Cómo monitorizar tráfico Ethernet Linux
Vamos a instalar la utilidad, para ello abrimos la terminal e instalamos Arpwatch:
sudo apt install arpwatch
Ingresamos la contraseña y confirmamos el proceso usando la letra S:
Validamos el adaptador usado con el comando. En este caso vemos que es el adaptador enp0s3.
ip a
Habilitamos Arpwatch en el arranque usando la siguiente sintaxis:
sudo systemctl enable arpwatch@adaptador
Iniciamos el servicio Arpwatch:
sudo systemctl start arpwatch@adaptador
Confirma el estado de Arpwatch:
sudo systemctl status arpwatch
Para ver lo que sucede con la red ejecutamos:
tail -f /var/log/syslog
Allí podremos ver la línea "arpwatch" y en la primer ocasión los nuevos equipos con la leyenda "new station" seguido de la IP y MAC.
Vemos en la primera línea la leyenda, la dirección IP, la dirección MAC y el adaptador asociado.
De nuevo ejecutamos en un lapso de tiempo:
tail -f /var/log/syslog
Ahora cualquier cambio en los equipos tendrán la leyenda "changed":
Ejecutamos "arp -a" para ver detalles locales como lo son:
- Puerta de enlace
- Dirección MAC de la tarjeta de red
- Adaptador de red local
En caso de que se desee recibir la notificación al correo sobre el estado de los equipos en la red debemos habilitar SMTP en el equipo, luego crear el archivo de configuración de Arpwatch con el comando:
sudo nano /etc/arpwatch.conf
Allí ingresamos la siguiente sintaxis:
Adaptador -a -n subred/24 -m correo
- -d: permite habilitar la depuración
- -f: es usado para asignar el nombre de archivo de la base de datos de direcciones IP/Ethernet
- -i: permite cancelar la interfaz predeterminada
- -n: especifica redes locales adicionales
- -r: permite usar un archivo almacenado
- -u: con este comando arpwatch elimina los privilegios de root y cambia la ID de usuario a nombre de usuario y la ID de grupo a la del grupo principal de nombre de usuario
Vemos como con Arpwatch es útil conocer cualquier cambio en la red local de Ethernet y llevar el control preciso.
