Arpwatch

Arpwatch és un clàssic, una eina que podem implementar en la nostra organització en menys d'un minut. El seu funcionament és molt senzill, ens enviarà una alerta quan detecti un equip nou a la xarxa, o una nova MAC o un canvi de MAC. Ideal per detectar intrusos o visites no desitjades en diferents segments de xarxa.

Bo, Arpwatch pot córrer en qualsevol màquina linux com un dimoni, la seva instal·lació és molt senzilla, en distribucions basades en Debian l'instal·lem:

sudo apt-get install arpwatch -y

Afegim les dues següents línies en el seu fitxer de configuració /etc/default/arpwatch, la primera indicant l'adreça de correu on rebrem les alertes, i la següent amb el nom de la interfície on es posarà a escoltar:

...
IFACE_ARGS ="-m di*****************@do*****.eso"
...
INTERFÍCIES ="ens160"
...

Si volem que la pròpia màquina tregui els mails, necessitem instal·lar mailutils:

sudo apt-get install ssmtp mailutils -y

I editem el seu fitxer de configuració, /etc/ssmtp/ssmtp.conf, quedant alguna cosa com:

#
# Config file for sSMTP sendmail
#
# The person who gets all mail for userids < 1000
# Make this empty to disable rewriting.
root =ar******@do*****.eso

# El lloc on va el correu. El nom real de la màquina no és obligatori
# Es consulten els registres MX. Normalment els amfitrions de correu s'anomenen mail.domain.com mailhub=mail.dominio.eso

# D'on sembla que vindrà el correu?
#rewriteDomain=

# El nom d'amfitrió complet hostname=dominio.eso

# Els usuaris poden establir el seu propi Des de: address?
# YES - Permet que l'usuari especifiqui el seu propi De: address
# NO - Utilitza el sistema generat des de: adreça FromLineOverride = SÍ AuthUser=ens*****@do*****.eso
AuthPass=CONTRASENYA

Podem provar a enviar un correu de proves i que venda:

echo "Que pasa por tu casa" | mail -s Prova dirección_*********@do*****.eso

Podremos ver los logs de arpwatch en el syslog:

sudo tail -f /var/log/syslog |grep arpwatch
...
Novembre 14 17:14:45 os-honeypot-01 systemd[1]: S'està iniciant el servei arpwatch a la interfície ens160...
Novembre 14 17:14:45 os-honeypot-01 systemd[1]: S'ha iniciat el servei arpwatch a la interfície ens160.
Novembre 14 17:14:45 os-honeypot-01 arpwatch: Corrent com uid=113 gid=116 nov 14 17:14:45 os-honeypot-01 arpwatch: escoltant a ens160 nov 14 17:15:23 os-honeypot-01 arpwatch: nova estació 192.168.1.85 00:50:56:8f:Ff:7a ens160 Nov 14 17:15:25 os-honeypot-01 sSMTP[29753]: Sent mail for ar******@do*****.eso (221 2.0.0 Bye) uid = 113 username = arpwatch outbytes = 699 Nov 14 17:16:09 os-honeypot-01 arpwatch: nova estació 192.168.1.196 b0:4a:39:2d:f9:0a ens160 Nov 14 17:16:11 os-honeypot-01 sSMTP[29756]: Sent mail for ar******@do*****.eso (221 2.0.0 Bye) uid = 113 username = arpwatch outbytes = 699
...

I podrem verificar en el nostre correu com va detectant tots els equips de la xarxa, i avisarà de qualsevol canvi que pateixin, o bé que es canviïn de MAC o bé que se n'afegeixi una de nova a la xarxa. Coneixerem al moment qualsevol intrrós, podrem evitar enverinaments d'ARP o ARP Spoofing…

Espero que a algú li pugui servir, una utilitat que crec encaixa en qualsevol tipus d'empresa, a més, si tenim pfSense de firewall, podrem integrar-la directament ací.

Una abraçada a tots, que vagi MOLT bé 🙂