Présentation
Une façon de surveiller les intrusions sur son réseau local c’est de surveiller les adresses MAC qui circulent sur le lan. Un avantage pour nous, bien des box des opérateurs utilisent le protocole DHCP pour attribuer les adresses IP locales et les machines de ce réseau (tablettes, smartphones, ordinateurs…) également.
Point important du DHCP, avant de connaître son adresse IP, la machine cliente envoie une requête à l’ensemble du réseau (broadcast) afin de savoir qui peut lui attribuer une IP. Lors de cette demande, elle envoie son adresse MAC (adresse physique identifiant la carte réseau de la machine) qui sera associée à l’IP distribuée.
Enfin on recevra un email nous avertissant de la présence d’un nouveau périphérique. Pour un fonctionnement optimal, il est préférable de faire du DHCP statique, c’est à dire d’attribuer via la box une adresse IP à une adresse MAC.
Installation d’ARPWatch après avoir mis à jour la liste des packages disponibles.
sudo apt-get update
sudo apt-get install arpwatch
La configuration se fait simplement en modifiant le fichier suivant :
sudo vi /etc/arpwatch.conf
On ajouter la ligne suivante :
eth0 -a -n 192.168.1.0/24 -m adresse@email.com
Pour plus d’information sur les paramètres, un petit « man arpwatch » vous expliquera tout.
Dernière étape pour que l’on reçoive les emails, il faut un MTA (Mail Transfert Agent), sSMTP par exemple.
Exemple d’email reçu :
hostname: <unknown>
ip address: 192.168.1.XX
interface: eth0
ethernet address: 88:XX:17:XX:58:XX
ethernet vendor: <unknown>
timestamp: Monday, December 30, 2013 18:02:50 +0100
Installation de sSMTP
sudo apt-get install ssmtp
Côté configuration, il y a 2 fichiers à renseigner, le premier :
sudo vi /etc/ssmtp/ssmtp.conf
#
# Config file for sSMTP sendmail
#
# The person who gets all mail for userids < 1000
# Make this empty to disable rewriting.
root=postmaster
# The place where the mail goes. The actual machine name is required no
# MX records are consulted. Commonly mailhosts are named mail.domain.com
mailhub=smtp.MONFAI.fr
# Where will the mail seem to come from?
#rewriteDomain=
# The full hostname
hostname=raspberrypi
# Are users allowed to set their own From: address?
# YES – Allow the user to specify their own From: address
# NO – Use the system generated From: address
#FromLineOverride=YES
Pour mailhub, j’indique le serveur smtp de mon FAI, pour hostname le nom du raspberry sur le réseau.
sudo vi /etc/ssmtp/revaliases
# sSMTP aliases
#
# Format: local_account:outgoing_address:mailhub
#
# Example: root:your_login@your.domain:mailhub.your.domain[:port]
# where [:port] is an optional port number that defaults to 25.
arpwatch:utilisateur@domaine.fr:smtp.MONFAI.fr
Le service ARPWatch tourne avec les droits de l’utilisateur arpwatch, donc pour cet utilisateur voici la configuration pour envoyer l’email.
A priori c’est terminé, vous devriez recevoir des emails pour chaque machine qui communique sur le réseau.
Stay tuned !