Arpwatch

Arpwatch es un clásico, una herramienta que podemos implementar en nuestra organización en menos de un minuto. Su funcionamiento es muy sencillo, nos enviará una alerta cuando detecte un equipo nuevo en la red, o una nueva MAC o un cambio de MAC. Ideal para detectar intrusos o visitas no deseadas en distintos segmentos de red.

Onena, Arpwatch puede correr en cualquier máquina linux como un demonio, su instalación es muy sencilla, en distribuciones basadas en Debian lo instalamos:

sudo apt-get install arpwatch -y

Añadimos las dos siguientes líneas en su fichero de configuración /etc/default/arpwatch, la primera indicando la dirección de correo donde recibiremos las alertas, y la siguiente con el nombre de la interfaz donde se pondrá a escuchar:

...
IFACE_ARGS="-m di*****************@*****io.eso"
...
INTERFACES="ens160"
...

Si queremos que la propia máquina saque los mails, necesitamos instalar mailutils:

sudo apt-get install ssmtp mailutils -y

Y editamos su fichero de configuración, /etc/ssmtp/ssmtp.conf, quedando algo como:

#
# Config file for sSMTP sendmail
#
# The person who gets all email for userids < 1000
# Hutsik egin hau berridatzia desgaitzeko.
root=ar******@*****io.eso

# Mezua doan lekua. Benetako makinaren izena beharrezkoa da ez
# MX erregistroak kontsultatu egiten dira. Normalean posta-ostalariei mail.domain.com
mailhub=mail.dominio.eso

# Nondik datorren dirudien mezua?
#rewriteDomain=

# Ostalari-izen osoa
hostname=dominio.eso

# Erabiltzaileek baimena al dute beren From ezartzeko: helbidea?
# BAI - Baimendu erabiltzaileari bere From zehazteko: helbidea
# NO - Erabili From sortutako sistema: address
FromLineOverride=YES

AuthUser=us*****@*****io.eso
AuthPass=CONTRASEÑA

Podemos probar a enviar un correo de pruebas y que sale:

echo "Que pasa por tu casa" | mail -s Prueba dirección_*********@*****io.eso

Podremos ver los logs de arpwatch en el syslog:

sudo tail -f /var/log/syslog |grep arpwatch
...
Nov 14 17:14:45 os-honeypot-01 systemd[1]: Arpwatch zerbitzua ens160 interfazean abiarazten da...
Nov 14 17:14:45 os-honeypot-01 systemd[1]: Arpwatch zerbitzua ens160 interfazean abiarazi da.
Nov 14 17:14:45 os-honeypot-01 arpwatch: Running as uid=113 gid=116
Nov 14 17:14:45 os-honeypot-01 arpwatch: listening on ens160
Nov 14 17:15:23 os-honeypot-01 arpwatch: new station 192.168.1.85 00:50:56:8f:ff:7a ens160
Nov 14 17:15:25 os-honeypot-01 sSMTP[29753]: Sent mail for ar******@*****io.eso (221 2.0.0 Bye) uid=113 username=arpwatch outbytes=699
Nov 14 17:16:09 os-honeypot-01 arpwatch: new station 192.168.1.196 b0:4a:39:2d:f9:0a ens160
Nov 14 17:16:11 os-honeypot-01 sSMTP[29756]: Sent mail for ar******@*****io.eso (221 2.0.0 Bye) uid=113 username=arpwatch outbytes=699
...

Y podremos verify en nuestro correo cómo va detectando todos los equipos de la red, y avisará de cualquier cambio que sufran, o bien que se cambien de MAC o bien que se añada una nueva en la red. Unean bertan edozein sartzaileren berri izango dugu, ARP edo ARP Spoofing bidezko pozoitzeak saihestu ahal izango ditugu…

Espero dut norbaiti baliagarria izango zaiola, Enpresa mota guztietan egokitzen den erabilgarritasun bat dela uste dut, gainera, pfSense su-bertako firewall badugu, Bertan zuzenean integratu ahal izango dugu.

Besarkada handi bat guztioi, Osoa ondo joan dadila 🙂