Abbildung 1: Arpalert erkennt in schneller Folge die MACs von vier Geräten (oben). Um 12 Uhr 02 ist Alarmstimmung – ein unbekannter Rechner hat Anschluss gefunden (unten).
Viele Policies bedrohen das unkontrollierte Anklemmen von Hardware ans Firmennetz mit einem Äquivalent zur Exkommunikation mit nachfolgender Zwölfteilung. Fein. Wie aber jemandem auf die Schliche kommen, der ein illegales Notebook ans Ethernet stöpselt ?
|
Inhalt |
|---|
|
78 | LPI-Kompendium, Teil 4 In bester Unix-Tradition stützt sich Linux auf kleine Werkzeuge, die erst im Zusammenspiel ihre volle Leistung offerieren. Die LPI-Prüfung 101 legt darum Wert auf Gnu-Tool-Wissen. 84 | Auf NTFS zugreifen Ein Linux-Windows-System gibt Anlass, auf ein NTFS-Volume zuzugreifen. Ein anderer Grund: Der Admin muss den Datenträger eines kompromittierten Windows-Systems untersuchen. |
Als Wachhund im Dienste des Guten habe ich mir Arpalert [1] ausgeguckt. Dessen frankophoner Züchter, Thierry Fournier, empfiehlt fürs Auswildern der Bestie die Beschwörungsformel:
./configure --prefix=/usr/local make make install
Das Programm befindet sich nun in »/usr/local/sbin«, die Konfigurationsdatei »arpalert.conf« in »/usr/local/etc/arpalert«.
Daheim ist’s doch am schönsten
Den ersten Versuch gehe ich in einer übersichtlichen Umgebung an, im heimischen Arbeitszimmer-Netz. Es ist Wochenende und meine Frau weilt in der Bibliothek – es sollten also nicht mehr als vier oder fünf Rechner im Netz sichtbar sein. Also setze ich Arpalert mit
/usr/local/sbin/arpalert
in Gang und schaue, was passiert. Das Tool schließt aus der Tatsache, dass nur eine einzige NIC im Rechner ist, messerscharf, dass ich »eth0« benutzen möchte. Bei mehrerern NICs wäre es allerdings fair, Arpalert mit dem Parameter »-i« auf das richtige Interface zu schubsen.
Ich hatte so kurz nach dem Papstbesuch den Daemon-Mode-Parameter »-d« zunächst weggelassen, aber auch, um Arpalerts Tun direkt auf der Konsole zu verfolgen. Es tut sich bald etwas: Der Späher erkennt in schneller Folge die MACs von vier Geräten, darunter die eines Druckers und eines WLAN-Accesspoints (Abbildung 1, oben). Die gefundenen Adressen schreibt er im Format »MAC IP-Adresse« in die Datei »/usr/local/var/lib/arpalert/arpalert.leases«.
Abbildung 1: Arpalert erkennt in schneller Folge die MACs von vier Geräten (oben). Um 12 Uhr 02 ist Alarmstimmung – ein unbekannter Rechner hat Anschluss gefunden (unten).
Bei der Winzigkeit meines Netzes bin ich nach einiger Zeit der Meinung, Arpalert habe alle relevanten Adressen gelernt, und beende es zunächst. Dann kopiere ich die Datei mit den gefundenen Adressen – »arpalert.leases« – in »/usr/local/etc/arpalert/maclist.allow« und starte Arpalert erneut. Ab sofort schreibt es für jede entdeckte Adresse ohne den Segen von »maclist.allow« eine Meldung auf die Konsole respektive ins Log.
Als Test fahre ich einen weiteren Rechner hoch und ernte prompt den Alarmpfiff aus Abbildung 1 (unten). Die IP-Adresse ist 0.0.0.0, weil der Rechner zu dem Zeitpunkt noch nicht vom DHCP-Daemon bedient worden ist. Mit dem Parameter »-e« dürfte ich Arpalert anweisen, in solchen Fällen ein Skript auszuführen. Das könnte mir eine Mail schicken oder als drastischere Maßnahme gleich meine Paketfilter-Regeln anpassen.
Mein vorläufiges Fazit
Arpalert leistet in (m)einem Mini-Netz gute Arbeit. In kleinen, aber kritischen Netzbereichen, etwa einem WLAN, das nur ein oder zwei Dutzend Maschinen bewohnen, erweist es sich als Nützling. In unübersichtlichen Topologien dürfte jedoch eine Menge manueller Nacharbeit anfallen, wenn’s denn überhaupt funktioniert – Segmentierung und VLANs sind für Arpalert Teufelszeug. (jk)
|
Infos |
|---|
|
[1] Arpalert: [http://www.arpalert.org] |
|
Der Autor |
|---|
|
|
Copyright © 2002 Linux New Media AG
