Quem vigia o ARP?
Charly Kühnast
COLUNA
É comum a política corporativa de proibir a conexão de hardware não-autorizado à rede da
empresa, inclusive com pesadas penas em caso de descumprimento. Concordando ou não com
isso, como se descobre que alguém está tentando ligar um laptop ilegal à sua Ethernet?
M
inha escolha para um fiel cão de guarda é o Arpa-
lert [1]. Seu criador Thierry Fournier recomenda
o seguinte encanto para soltar a fera na selva:
./configure --prefix=/usr/local
make
make install
Essa série de comandos instala o programa em /usr/
local/sbin, e o arquivo de
configuração arpalert.conf em
/usr/local/etc/arpalert.
As coisas começaram
a acontecer bastante
rápido: meu cão de
guarda detectou os
endereços MAC das
quatro máquinas
numa rápida sucessão. OConclusões
Arpalert se saiu muito bem em minha pequena
Em meus experimentos iniciais, decidi usar uma rede
que me permitisse grande visibilidade, e então usei minha
rede doméstica. Estou no fim de semana, minha esposa foi
à biblioteca local, então minha rede não deve passar de
quatro ou cinco máquinas. Iniciei o Arpalert assim:
/usr/local/sbin/arpalert
Depois, esperei para ver o que aconteceria. A ferramen-
ta rapidamente deduziu que eu queria usar a eth0; bem
adivinhado, já que é a única interface de rede da máquina.
Se você tiver mais de um adaptador de rede, talvez prefira
ajudar o programa especificando a opção -i, que aponta
para a interface correta.
Num primeiro momento, deixei de fora o parâmetro
que usa o modo daemon, -d – no entanto, ele é neces-
sário para se monitorar na tela o que o Arpalert está
fazendo. As coisas começaram a acontecer bastante
rápido: meu cão de guarda detectou os endereços MAC
das quatro máquinas numa rápida sucessão, incluindo
12
uma impressora e um roteador WLAN. Esses dados
foram gravados no arquivo /usr/local/var/lib/ar-
palert/arpalert.leases sob o formato MAC IP.
Como se tratava de uma rede pequena, eu tinha
bastante certeza de que o Arpalert descobrira todos
os endereços relevantes após um curto período. Saí
do programa e depois copiei o arquivo de endereços,
arpalert.leases, para /usr/local/etc/arpalert/maclist.
allow, antes de reiniciar o programa. A partir de ago-
ra, o Arpalert mostrará uma mensagem no console,
ou criará uma entrada nos registros, sempre que de-
tetar um endereço que não esteja especificado em
maclist.allow.
Para testar isso, liguei outra máquina, e rapidamente
fui alertado da presença do “invasor” da rede. O ende-
reço IP é 0.0.0.0 porque, nesse ponto, o computador
não foi servido pelo daemon DHCP. Eu poderia usar
a opção -e para fazer com que o Arpalert executasse
um script, que por sua vez me enviaria um email ou
até mesmo faria diretamente alterações mais drásticas,
como modificar minhas regras de filtro de pacotes.
rede, e estou convencido de que será útil àqueles que
precisarem monitorar redes pequenas de alta seguran-
ça, como as LANs sem fio com, no máximo, poucas
dezenas de máquinas. Em um ambiente de maiores
dimensões, o programa necessitaria de muita atenção
manual, isso é, se funcionasse – pois tanto a segmen-
tação quanto a construção de VLANs provavelmente
enganariam o Arpalert. ■
Mais Informações
[1] Arpalert: http://www.arpalert.org
O autor
Charly Kühnast é administrador de sis-
temas Unix no datacenter Moers, per-
to do famoso rio Reno, na Alemanha. Lá
ele cuida, principalmente, dos firewalls.
http://www.linuxmagazine.com.br
Transforme o poder do MultiCore em aplicativos de
alto-desempenho. Tenha seus aplicativos preparados
para o processamento paralelo e escalável.
Faça certo na primeira vez:

Intel® Threading Analysis Tools

Localiza os problemas de threadings latentes com visualização em tempo real.

Compiladores Intel C++ e Fortran

Aumenta o desempenho sem mudar o ambiente de desenvolvimento

Analisadores de Desempenho Intel VTune™

Identifica de forma bastante rápida gargalos de desempenho nos aplicativos

Intel Integrated Performance Primitives

Acesse bibliotecas de rotinas multimídia otimizadas para múltiplas plataformas

Intel Math Kernel Library

Aumenta o desempenho de aplicativos através do uso de rotinas otimizadas
como BLAS, FFT, LAPACK, incluindo suporte a MPI

“As ferramentas de threading da Intel tem acelerado

nosso ciclo de desenvolvimento imensamente”.
Dana Batalli
Diretora de Desenvolvimento do RenderMan
Pixar

Itautec
0800 121444
www.itautec.com.br/intel
Katalogo
0800 7729897
www.katalogo.com.br/intel
MStech
(11) 5080-3838
www.mstech.com.br/intel
Strattus
(11) 3531-6550
www.strattus.com.br/intel
Tech Digital
(11) 5181-1852
www.techdigital.com.br/intel

© 2006 Intel Corporation, Intel, the Intel logo, Pentium, Itanium, Intel Xeon and VTune are trademarks or registered trademarks of Intel Corporation or its subsidiaries in the United States
and other countries. *Other names and brands maybe claimed as the property of others.