Arpwatch

Arpwatch ist ein Klassiker, Ein Tool, das wir in weniger als einer Minute in unserer Organisation implementieren können. Die Bedienung ist sehr einfach, Es sendet uns eine Warnung, wenn es ein neues Gerät im Netzwerk erkennt, oder ein neuer MAC oder ein MAC-Wechsel. Ideal zur Erkennung von Eindringlingen oder unerwünschten Besuchen in verschiedenen Netzwerksegmenten.

gut, Arpwatch puede correr en cualquier máquina linux como un demonio, su instalación es muy sencilla, en distribuciones basadas en Debian lo instalamos:

sudo apt-get install arpwatch -y

Añadimos las dos siguientes líneas en su fichero de configuración /etc/default/arpwatch, la primera indicando la dirección de correo donde recibiremos las alertas, y la siguiente con el nombre de la interfaz donde se pondrá a escuchar:

...
IFACE_ARGS="-m direccion_de_correo@dominio.eso"
...
INTERFACES="ens160"
...

Si queremos que la propia máquina saque los mails, necesitamos instalar mailutils:

sudo apt-get install ssmtp mailutils -y

Y editamos su fichero de configuración, /etc/ssmtp/ssmtp.conf, Sein etwas wie:
#
# Config file for sSMTP sendmail
#
# The person who gets all mail for userids < 1000
# Make this empty to disable rewriting.
rdieot=einrpweintch@ddiemichnio.eso

# Der Ort, an den die Post geht. Der tatsächliche Maschinenname ist erforderlich
# MX-Datensätze werden herangezogen. Häufig benannte Mailhosts sind mail.domain.com
mailhub=mail.domain.that

# Woher scheint die Post zu kommen??
#rewriteDomain=

# Der vollständige Hostname
hostname=dominio.eso

# Dürfen Benutzer ihr eigenes Von festlegen?: Adresse?
# JA - Erlauben Sie dem Benutzer, sein eigenes Von anzugeben: Adresse
# NEIN - Verwenden Sie das vom System generierte From: Adresse
FromLineOverride=JA

AinthUser=usueinricho@ddiemichnio.esÖ
AuthPass=CONTRASEÑA

Wir können versuchen, eine Test-E-Mail zu senden, und es kommt heraus:
Echo "Was passiert in Ihrem Haus?" | mail -s Test direccivonn_de_cdierreo@dominio.eso

Wir können die Arpwatch-Protokolle im Syslog sehen:
sudo tail -f /var/log/syslog |schnappte sich Arpwatch
...
Nov 14 17:14:45 OS-Honeypot-01 systemd[1]: Arpwatch-Dienst wird auf der Schnittstelle ens160 gestartet..
Nov 14 17:14:45 OS-Honeypot-01 systemd[1]: Arpwatch-Dienst auf Schnittstelle ens160 gestartet.
Nov 14 17:14:45 OS-Honeypot-01 arpwatch: Läuft als uid=113 gid=116
Nov 14 17:14:45 OS-Honeypot-01 arpwatch: Hören auf ens160
Nov 14 17:15:23 OS-Honeypot-01 arpwatch: neuer Bahnhof 192.168.1.85 00:50:56:8f:ff:7und ens160
Nov 14 17:15:25 OS-Honeypot-01 sSMTP[29753]: Gesendete E-Mail für arpwatch@düberinicho.dies isto (221 2.0.0 Tschüss) uid=113 Benutzername=arpwatch outbytes=699
Nov 14 17:16:09 OS-Honeypot-01 arpwatch: neuer Bahnhof 192.168.1.196 b0:4ein:39:2d:f9:0und ens160
Nov 14 17:16:11 OS-Honeypot-01 sSMTP[29756]: Gesendete E-Mail für arpwatch@domichnidie.eso (221 2.0.0 Tschüss) uid=113 Benutzername=arpwatch outbytes=699
...

Und wir können in unserer E-Mail überprüfen, wie alle Geräte im Netzwerk erkannt werden, und wird Sie über etwaige Änderungen informieren, oder dass sie ihren MAC ändern oder dass ein neuer im Netzwerk hinzugefügt wird. Wir werden jeden Eindringling sofort erkennen, Wir können ARP-Poisoning oder ARP-Spoofing vermeiden…
Ich hoffe, es kann jemandem helfen, Ein Dienstprogramm, das meiner Meinung nach in jede Art von Unternehmen passt, auch, wenn wir eine pfSense-Firewall haben, Wir können es direkt dort integrieren.
eine Umarmung an alle, geht SEHR gut 🙂
Hector Herrero
Letzte Artikel von Hector Herrero (Alle anzeigen)