quinta-feira, 29 de setembro de 2011

Descobra máquinas novas na rede, conflitos, e outros problemas com ArpWatch

Quem administra uma rede muito grande sabe da dificuldade que é protegê-la. Principalmente quando pessoas leigas trazem equipamentos pessoais, como roteadores wireless, smartphones e tablets, e ligam na rede sem o conhecimento da área de ti. O ArpWatch pode ajudar a identificar esses novos equipamentos, bem como alguns problemas de conectividade.

O ArpWatch é um daemon que deve rodar preferencialmente no gateway da rede. Ele fica monitorando os dados e identifica quando uma máquina trocou de ip, quando um novo mac address surgiu, ou quando interfaces diferentes estão como o mesmo endereço. Esses alertas são enviados por e-mail e alertam o administrador sobre essas anomalias. 

Abaixo, uma cópia da mensagem informado um conflito de ip (e o que é pior, são dois roteadores wireless D-Link não autorizados pela área de ti!)


Subject: flip flop (192.168.0.1) eth0
hostname:
ip address: 192.168.0.1
interface: eth0
ethernet address: 00:26:5a:58:f0:e2
ethernet vendor: D-Link Corporation
old ethernet address: f0:7d:68:e1:15:d0
old ethernet vendor:
timestamp: Monday, August 29, 2011 8:19:47 -0300
previous timestamp: Monday, August 29, 2011 8:19:47 -0300
delta: 0 seconds

E outra mensagem mostrando um novo equipamento na rede.

Subject: new station (192.168.0.145) eth0
hostname:
ip address: 192.168.0.145
interface: eth0
ethernet address: 00:11:2f:c4:23:75
ethernet vendor: ASUSTek Computer Inc.
timestamp: Monday, August 29, 2011 8:22:09 -0300