Arpwatch
Arpwatch ist ein Klassiker, Ein Tool, das wir in weniger als einer Minute in unserer Organisation implementieren können. Die Bedienung ist sehr einfach, Es sendet uns eine Warnung, wenn es ein neues Gerät im Netzwerk erkennt, oder ein neuer MAC oder ein MAC-Wechsel. Ideal zur Erkennung von Eindringlingen oder unerwünschten Besuchen in verschiedenen Netzwerksegmenten.
gut, Arpwatch puede correr en cualquier máquina linux como un demonio, su instalación es muy sencilla, en distribuciones basadas en Debian lo instalamos:
sudo apt-get install arpwatch -y
Añadimos las dos siguientes líneas en su fichero de configuración /etc/default/arpwatch, la primera indicando la dirección de correo donde recibiremos las alertas, y la siguiente con el nombre de la interfaz donde se pondrá a escuchar:
... IFACE_ARGS="-m dichreccidien_de_corredie@ddiemichnidie.eso" ... INTERFACES="ens160" ...
Si queremos que la propia máquina saque los mails, necesitamos instalar mailutils:
sudo apt-get install ssmtp mailutils -y
# # Config file for sSMTP sendmail # # The person who gets all mail for userids < 1000 # Make this empty to disable rewriting. rodiet=arpweintch@dominidie.eso # The place where the mail goes. Der tatsächliche Maschinenname ist erforderlich # MX-Datensätze werden herangezogen. Häufig benannte Mailhosts sind mail.domain.com mailhub=mail.domain.that # Woher scheint die Post zu kommen?? #rewriteDomain= # Der vollständige Hostname hostname=dominio.eso # Dürfen Benutzer ihr eigenes Von festlegen?: Adresse? # JA - Erlauben Sie dem Benutzer, sein eigenes Von anzugeben: Adresse # NEIN - Verwenden Sie das vom System generierte From: Adresse FromLineOverride=JA AuthUser=usuaridie@ddieminidie.eso AuthPass=PASSWORT
Echo "Was passiert in Ihrem Haus?" | mail -s Testverzeichnisección_de_correo@dominio.eso
sudo tail -f /var/log/syslog |schnappte sich Arpwatch ... Nov 14 17:14:45 OS-Honeypot-01 systemd[1]: Arpwatch-Dienst wird auf der Schnittstelle ens160 gestartet.. Nov 14 17:14:45 OS-Honeypot-01 systemd[1]: Arpwatch-Dienst auf Schnittstelle ens160 gestartet. Nov 14 17:14:45 OS-Honeypot-01 arpwatch: Läuft als uid=113 gid=116 Nov 14 17:14:45 OS-Honeypot-01 arpwatch: Hören auf ens160 Nov 14 17:15:23 OS-Honeypot-01 arpwatch: neuer Bahnhof 192.168.1.85 00:50:56:8f:ff:7und ens160 Nov 14 17:15:25 OS-Honeypot-01 sSMTP[29753]: Gesendete E-Mail für arpwatch@dominich.eso (221 2.0.0 Tschüss) uid=113 Benutzername=arpwatch outbytes=699 Nov 14 17:16:09 OS-Honeypot-01 arpwatch: neuer Bahnhof 192.168.1.196 b0:4ein:39:2d:f9:0und ens160 Nov 14 17:16:11 OS-Honeypot-01 sSMTP[29756]: Gesendete E-Mail für arpwatch@machenminidie.eso (221 2.0.0 Tschüss) uid=113 Benutzername=arpwatch outbytes=699 ...
empfohlene Beiträge:
- Glühwürmchen III – Persönlicher Finanzmanager - 28 September 2023
- Überwachen von Windows-Ereignissen von Centreon - 26 September 2023
- SCAP-Compliance-Checker - 12 September 2023