Arpwatch

Arpwatch ist ein Klassiker, Ein Tool, das wir in weniger als einer Minute in unserer Organisation implementieren können. Die Bedienung ist sehr einfach, Es sendet uns eine Warnung, wenn es einen neuen Computer im Netzwerk erkennt, oder eine neue MAC oder MAC-Änderung. Ideal für die Erkennung von Eindringlingen oder unerwünschten Besuchern in verschiedenen Netzwerksegmenten.

Brunnen, Arpwatch kann auf jedem Linux-Rechner wie ein Dämon laufen, Die Installation ist sehr einfach, auf Debian-basierten Distributionen installieren wir es:

sudo apt-get install arpwatch -y

Wir fügen die nächsten beiden Zeilen in Ihrer Konfigurationsdatei /etc/default/arpwatch hinzu, die erste gibt die E-Mail-Adresse an, an die wir die Benachrichtigungen erhalten werden, und die nächste mit dem Namen der Schnittstelle, an der sie abgehört werden soll:

...
IFACE_ARGS="-m di*****************@do*****Also"
...
SCHNITTSTELLEN="ENS160"
...

Si queremos que la propia máquina saque los mails, necesitamos instalar mailutils:

sudo apt-get install ssmtp mailutils -y

Y editamos su fichero de configuración, /usw./ssmtp/ssmtp.conf, Hinterlassen Sie so etwas wie:

#
# Konfigurationsdatei für sSMTP sendmail
#
# Die Person, die alle E-Mails für Benutzer-IDs erhält < 1000
# Legen Sie dieses Feld fest, um das Umschreiben zu deaktivieren.
root=Ar******@do*****Also

# Der Ort, an den die Post geht. Der tatsächliche Maschinenname ist erforderlich nein
# MX-Einträge werden konsultiert. Normalerweise werden Mailhosts mail.domain.com mailhub=mail.dominio.eso benannt

# Woher wird die Post zu kommen scheinen??
#rewriteDomain=

# Der vollständige Hostname hostname=dominio.eso

# Dürfen Benutzer ihre eigene Von: Adresse?
# JA - Erlauben Sie dem Benutzer, sein eigenes Von anzugeben: Adresse
# NEIN - Verwenden Sie das System, das von: Adresse FromLineOverride=YES AuthUser=UNS*****@do*****Also
AuthPass=CONTRASEÑA

Wir können versuchen, eine Test-E-Mail zu senden, und sie geht raus:

ECHO "Was ist bei Ihnen zu Hause los?" | mail -s Adressen-Testn_*********@do*****Also

Wir werden in der Lage sein, die arpwatch-Protokolle im Syslog zu sehen:

sudo tail -f /var/log/syslog |Grep Arpwatch
...
Nov 14 17:14:45 OS-Honeypot-01 System[1]: Starten des arpwatch-Dienstes über die Schnittstelle ens160...
Nov 14 17:14:45 OS-Honeypot-01 System[1]: Arpwatch-Dienst auf der Schnittstelle ens160 gestartet.
Nov 14 17:14:45 OS-Honeypot-01 Arpwatch: Läuft als uid=113 gid=116 Nov 14 17:14:45 OS-Honeypot-01 Arpwatch: Hören auf ens160 Nov 14 17:15:23 OS-Honeypot-01 Arpwatch: Neuer Bahnhof 192.168.1.85 00:50:56:8f:Ff:7von ens160 Nov 14 17:15:25 OS-Honeypot-01 sSMTP[29753]: Gesendete Mail für Ar******@do*****Also (221 2.0.0 Auf Wiedersehen) uid=113 Benutzername=arpwatch outbytes=699 Nov 14 17:16:09 OS-Honeypot-01 Arpwatch: Neuer Bahnhof 192.168.1.196 b0:4An:39:2d:F9:0von ens160 Nov 14 17:16:11 OS-Honeypot-01 sSMTP[29756]: Gesendete Mail für Ar******@do*****Also (221 2.0.0 Auf Wiedersehen) uid=113 Benutzername=arpwatch outbytes=699
...

Und wir werden in der Lage sein, in unserer E-Mail zu überprüfen, wie alle Computer im Netzwerk erkannt werden, und werden über alle Änderungen, die sie erleiden, informieren, entweder um die MACs zu ändern oder um eine neue im Netzwerk hinzuzufügen. Wir werden jeden Eindringling sofort erkennen, Wir können eine Vergiftung durch ARP oder ARP Spoofing vermeiden…

Ich hoffe, es kann jemandem helfen, ein Dienstprogramm, von dem ich glaube, dass es in jede Art von Unternehmen passt, Außerdem, wenn wir eine Firewall pfSense haben, Wir können es direkt dort integrieren.

Eine Umarmung an alle, Möge es SEHR gut 🙂 gehen