
Arpwatch
Arpwatch ist ein Klassiker, Ein Tool, das wir in weniger als einer Minute in unserer Organisation implementieren können. Die Bedienung ist sehr einfach, Es sendet uns eine Warnung, wenn es einen neuen Computer im Netzwerk erkennt, oder eine neue MAC oder MAC-Änderung. Ideal für die Erkennung von Eindringlingen oder unerwünschten Besuchern in verschiedenen Netzwerksegmenten.
Brunnen, Arpwatch kann auf jedem Linux-Rechner wie ein Dämon laufen, Die Installation ist sehr einfach, auf Debian-basierten Distributionen installieren wir es:
sudo apt-get install arpwatch -y
Wir fügen die nächsten beiden Zeilen in Ihrer Konfigurationsdatei /etc/default/arpwatch hinzu, die erste gibt die E-Mail-Adresse an, an die wir die Benachrichtigungen erhalten werden, und die nächste mit dem Namen der Schnittstelle, an der sie abgehört werden soll:
...
IFACE_ARGS="-m di*****************@do*****Also"
...
SCHNITTSTELLEN="ENS160"
...
Si queremos que la propia máquina saque los mails, necesitamos instalar mailutils:
sudo apt-get install ssmtp mailutils -y
# # Konfigurationsdatei für sSMTP sendmail # # Die Person, die alle E-Mails für Benutzer-IDs erhält < 1000 # Legen Sie dieses Feld fest, um das Umschreiben zu deaktivieren. root=Ar******@do*****Also # Der Ort, an den die Post geht. Der tatsächliche Maschinenname ist erforderlich nein # MX-Einträge werden konsultiert. Normalerweise werden Mailhosts mail.domain.com mailhub=mail.dominio.eso benannt # Woher wird die Post zu kommen scheinen?? #rewriteDomain= # Der vollständige Hostname hostname=dominio.eso # Dürfen Benutzer ihre eigene Von: Adresse? # JA - Erlauben Sie dem Benutzer, sein eigenes Von anzugeben: Adresse # NEIN - Verwenden Sie das System, das von: Adresse FromLineOverride=YES AuthUser=UNS*****@do*****Also AuthPass=CONTRASEÑA
ECHO "Was ist bei Ihnen zu Hause los?" | mail -s Adressen-Testn_*********@do*****Also
sudo tail -f /var/log/syslog |Grep Arpwatch ... Nov 14 17:14:45 OS-Honeypot-01 System[1]: Starten des arpwatch-Dienstes über die Schnittstelle ens160... Nov 14 17:14:45 OS-Honeypot-01 System[1]: Arpwatch-Dienst auf der Schnittstelle ens160 gestartet. Nov 14 17:14:45 OS-Honeypot-01 Arpwatch: Läuft als uid=113 gid=116 Nov 14 17:14:45 OS-Honeypot-01 Arpwatch: Hören auf ens160 Nov 14 17:15:23 OS-Honeypot-01 Arpwatch: Neuer Bahnhof 192.168.1.85 00:50:56:8f:Ff:7von ens160 Nov 14 17:15:25 OS-Honeypot-01 sSMTP[29753]: Gesendete Mail für Ar******@do*****Also (221 2.0.0 Auf Wiedersehen) uid=113 Benutzername=arpwatch outbytes=699 Nov 14 17:16:09 OS-Honeypot-01 Arpwatch: Neuer Bahnhof 192.168.1.196 b0:4An:39:2d:F9:0von ens160 Nov 14 17:16:11 OS-Honeypot-01 sSMTP[29756]: Gesendete Mail für Ar******@do*****Also (221 2.0.0 Auf Wiedersehen) uid=113 Benutzername=arpwatch outbytes=699 ...