Arpwatch

Druckfreundlich, PDF & Email

Arpwatch ist ein Klassiker, Ein Tool, das wir in weniger als einer Minute in unserer Organisation implementieren können. Die Bedienung ist sehr einfach, Es sendet uns eine Warnung, wenn es einen neuen Computer im Netzwerk erkennt, oder eine neue MAC oder MAC-Änderung. Ideal für die Erkennung von Eindringlingen oder unerwünschten Besuchern in verschiedenen Netzwerksegmenten.

Brunnen, Arpwatch kann auf jedem Linux-Rechner wie ein Dämon laufen, Die Installation ist sehr einfach, auf Debian-basierten Distributionen installieren wir es:

sudo apt-get install arpwatch -y

Wir fügen die nächsten beiden Zeilen in Ihrer Konfigurationsdatei /etc/default/arpwatch hinzu, die erste gibt die E-Mail-Adresse an, an die wir die Benachrichtigungen erhalten werden, und die nächste mit dem Namen der Schnittstelle, an der sie abgehört werden soll:

...
IFACE_ARGS="-m 
        
            di*****************@do*****.eso
            
                
                
                
            
            
                
                
                
            
        
"
...
INTERFACES="ens160"
...

Si queremos que la propia máquina saque los mails, necesitamos instalar mailutils:

sudo apt-get install ssmtp mailutils -y

Y editamos su fichero de configuración, /etc/ssmtp/ssmtp.conf, Hinterlassen Sie so etwas wie:
#
# Config file for sSMTP sendmail
#
# The person who gets all mail for userids < 1000
# Make this empty to disable rewriting.
root=
        
            ar******@do*****.eso
            
                
                
                
            
            
                
                
                
            
        


# The place where the mail goes. The actual machine name is required no
# MX records are consulted. Commonly mailhosts are named mail.domain.com
mailhub=mail.dominio.eso

# Where will the mail seem to come from?
#rewriteDomain=

# The full hostname
hostname=dominio.eso

# Are users allowed to set their own From: address?
# JA - Allow the user to specify their own From: address
# NEIN - Use the system generated From: address
FromLineOverride=YES

AuthUser=
        
            DE*****@do*****.ESO
            
                
                
                
            
            
                
                
                
            
        

AuthPass=CONTRASEÑA

Podemos probar a enviar un correo de pruebas y que sale:
ECHO "Que pasa por tu casa" | mail -s Prueba direcció
        
            n_*********@do*****.eso
            
                
                
                
            
            
                
                
                
            
        

Podremos ver los logs de arpwatch en el syslog:
sudo tail -f /var/log/syslog |grep arpwatch
...
Nov 14 17:14:45 os-honeypot-01 systemd[1]: Starting arpwatch service on interface ens160...
Nov 14 17:14:45 os-honeypot-01 systemd[1]: Started arpwatch service on interface ens160.
Nov 14 17:14:45 os-honeypot-01 arpwatch: Running as uid=113 gid=116
Nov 14 17:14:45 os-honeypot-01 arpwatch: listening on ens160
Nov 14 17:15:23 os-honeypot-01 arpwatch: new station 192.168.1.85 00:50:56:8f:ff:7a ens160
Nov 14 17:15:25 os-honeypot-01 sSMTP[29753]: Sent mail for 
        
            ar******@do*****.eso
            
                
                
                
            
            
                
                
                
            
        
 (221 2.0.0 Bye) uid=113 username=arpwatch outbytes=699
Nov 14 17:16:09 os-honeypot-01 arpwatch: new station 192.168.1.196 b0:4An:39:2d:f9:0a ens160
Nov 14 17:16:11 os-honeypot-01 sSMTP[29756]: Sent mail for 
        
            ar******@do*****.eso
            
                
                
                
            
            
                
                
                
            
        
 (221 2.0.0 Bye) uid=113 username=arpwatch outbytes=699
...

Y podremos verificar en nuestro correo cómo va detectando todos los equipos de la red, y avisará de cualquier cambio que sufran, o bien que se cambien de MAC o bien que se añada una nueva en la red. Conoceremos al momento cualquier intruso, podremos evitar envenenamientos de ARP o ARP Spoofing
Espero que a alguien le pueda servir, una utilidad que creo encaja en cualquier tipo de empresa, Außerdem, si tenemos pfSense de firewall, podremos integrarla directamente ahí.
Un abrazo a todos, que vaya MUY bien 🙂

Empfohlene Beiträge

Verfasser

nheobug@bujarra.com
Autor del blog Bujarra.com Cualquier necesidad que tengas, Zögern Sie nicht, mich zu kontaktieren, Ich werde versuchen, dir zu helfen, wann immer ich kann, Teilen ist Leben ;) . Genießen Sie Dokumente!!!