Fotolia
Réseau : utilisez arpwatch pour détecter les connexions suspectes
L’utilitaire arpwatch signale aux administrateurs tout changement inattendu sur le réseau ou toute connexion d’un appareil non autorisé, ce qui pourrait être le signe d’une usurpation d’adresse ARP ou d’une attaque par collecte d’informations d’identification.
La gestion des appareils qui se connectent à un réseau est essentielle, et les adresses MAC de la couche 2 font partie des identifiants les plus fondamentaux. Les équipements en réseau utilisent le protocole de résolution d’adresses ARP pour relier les adresses MAC de la couche 2 aux adresses IP logiques. Le suivi de ces correspondances est essentiel pour s’assurer que seuls les périphériques autorisés se connectent à un réseau.
L’utilitaire arpwatch aide les administrateurs à suivre les adresses MAC physiques et les adresses IP logiques afin de détecter les changements inattendus et, potentiellement, les périphériques non autorisés. Son objectif fondamental est d’alerter les administrateurs des modifications apportées aux nœuds du réseau.
Chaque carte réseau possède une adresse MAC unique qui l’identifie. Lorsque deux appareils échangent des données sur le réseau, les adresses MAC de la source et de la destination – également appelées adresses physiques – font partie de la manière dont les nœuds s’identifient l’un l’autre.
Les nœuds du réseau ont également des adresses logiques. Les ordinateurs expéditeurs et destinataires utilisent ces adresses IP pour s’identifier mutuellement.
Lorsqu’ils adressent des trames de données sur le réseau, les ordinateurs sources diffusent un message ARP demandant à l’ordinateur ayant une adresse IP donnée de répondre avec son adresse MAC.
L’utilitaire arpwatch utilise ces informations pour construire une base de données d’adresses MAC et IP connexes. Au fur et à mesure que les données affluent, cette base de données, fondée sur ces adresses, devient le reflet exact d’un environnement réseau. Les modifications apportées à cette configuration deviennent des anomalies, ce qui permet à arpwatch d’émettre des avertissements à l’intention des administrateurs.
Arpwatch offre également les fonctions de sécurité suivantes :
- Surveillance de l’activité ARP. Arpwatch surveille les échanges d’adresses MAC et IP, offrant ainsi une vue plus globale de l’environnement réseau pour la sécurité et le dépannage.
- Alertes de sécurité. Arpwatch alerte les administrateurs en cas d’activité suspecte, y compris l’usurpation d’adresse ARP et MAC.
- Journalisation. Arpwatch enregistre les paires d’adresses MAC et IP dans une base de données et alerte les administrateurs en cas de changement.
Lorsque vous utilisez arpwatch, envisagez de le déployer et de l’exécuter en mode daemon. Dans cette configuration, il s’exécute en permanence en arrière-plan pour surveiller les connexions réseau à la recherche de changements inattendus ou suspects.
Par exemple, supposons qu’un acteur malveillant ait déployé un Raspberry Pi sur votre réseau – ce qui est relativement facile à faire en raison de la petite taille de l’appareil. Le Pi pourrait contenir un site Web malveillant demandant des informations de sécurité aux utilisateurs dans le cadre d’une attaque de collecte d’informations d’identification. Arpwatch devrait remarquer l’appareil non autorisé et alerter les administrateurs. Il peut également protéger les réseaux sans fil contre des attaques similaires et des appareils malveillants.
Comment installer arpwatch ?
Comme pour la plupart des applications Linux, installez arpwatch en utilisant le gestionnaire de paquets de votre distribution. Les commandes sont généralement apt ou dnf, mais elles peuvent varier. Les distributions orientées sécurité, dont Kali Linux, Parrot Linux et d’autres, incluent généralement arpwatch.
Sur Debian, Ubuntu et les distributions similaires, tapez :
apt install arpwatch
Sur Red Hat Enterprise Linux, Fedora, Rocky et AlmaLinux, tapez :
dnf install arpwatch
Les utilisateurs d’Arch Linux peuvent taper :
pacman -S arpwatch
Installez MacPorts pour ajouter arpwatch à votre système macOS. Il n’existe pas d’options directes pour les systèmes Windows, il faut donc envisager des outils tels que ARP Monitor ou NetCut.
Comment utiliser arpwatch ?
Prévoyez d’utiliser arpwatch comme un service défini une bonne fois pour toutes. En tant que tel, vos tâches principales consistent à configurer le service et à le régler pour qu’il s’exécute lorsque le système est en ligne.
Le fichier de configuration d’arpwatch sur Fedora est /etc/sysconfig/arpwatch, bien que l’emplacement puisse varier selon la distribution. Utilisez votre éditeur de texte Linux préféré pour modifier les paramètres du fichier.
Les paramètres courants du fichier sont les suivants :
- DEVICE=eth0 remplace le nom du périphérique de votre système.
- [email protected] remplace l’adresse électronique à laquelle les alertes doivent être envoyées.
- RUN_DAEMON=yes active le mode daemon.
- ARP_FILE=/var/lib/arpwatch/arp.dat définit l’emplacement de la base de données.
- resolve spécifie la résolution inverse des noms DNS pour résoudre les noms d’hôtes à partir des adresses IP.
- dhcp-snooping active la corrélation des adresses MAC et IP à l’aide du protocole de configuration dynamique de l’hôte.
Démarrez et activez arpwatch à l’aide de la commande systemctl :
systemctl enable arpwatch
systemctl start arpwatch
Vous aurez besoin d’un client SMTP sur le système pour transférer le courrier électronique vers un serveur SMTP. La plupart des distributions l’incluent. N’oubliez pas de configurer les règles du pare-feu pour autoriser le trafic SMTP – généralement 25/tcp – et de configurer la résolution de noms.
Comment afficher les trouvailles d’arpwatch
Arpwatch est, de préférence, déployé à long terme pour surveiller les adresses MAC et IP. Il génère une base de données de ces correspondances. Vous trouverez cette base de données dans /var/lib/arpwatch/arp.dat sur la plupart des distributions Linux. Arpwatch signale les modifications effectives dans le fichier log du système.
Utilisez la commande journalctl pour afficher les résultats d’arpwatch. La commande est la suivante :
sudo journalctl -u arpwatch
Les résultats du journal indiquent si le mappage MAC-IP est nouveau ou modifié.
Fonctionnalités avancées
L’utilitaire arpwatch est assez simple, il n’y a donc pas beaucoup de fonctionnalités supplémentaires ou avancées. Cependant, certaines options spécifiques peuvent le rendre plus efficace pour vos besoins de surveillance.
Pour lancer arpwatch manuellement sur une seule interface, tapez :
arpwatch -i eth 1
Les adresses MAC se composent de deux parties. La première moitié est un identifiant de fournisseur et la seconde moitié est un identifiant d’interface unique. Cela signifie que vous pouvez déterminer le fabricant de la carte d’interface réseau à partir de l’adresse MAC. L’outil arpwatch peut accomplir cela avec un peu de configuration supplémentaire.
Tout d’abord, installez la base de données d’identifiants uniques de l’IEEE pour les correspondances entre les fournisseurs et les adresses MAC. Certaines distributions fournissent un script automatisé :
/usr/local/arpwatch/update-ethercodes
Sur d’autres systèmes, utilisez cette commande pour télécharger la base de données :
wget https://standards-oui.ieee.org/oui/oui.csv -O /usr/local/arpwatch/ethercodes.dat
Ensuite, ajoutez la ligne suivante au fichier de configuration /etc/sysconfig/arpwatch :
ARPWATCH_LOCAL_DIR=/usr/local/arpwatch
Redémarrez le service arpwatch pour appliquer les modifications :
systemctl restart arpwatch
Les entrées du journal devraient maintenant inclure le fournisseur de la carte d’interface réseau.
Les outils connexes d’adresse MAC et d’ARP permettent d’effectuer des requêtes et un suivi similaires. Vous pouvez en savoir plus sur ces outils sur le site du Linux Kali.
