Arpwatch

Arpwatch est un classique, Un outil que nous pouvons mettre en place dans notre organisation en moins d’une minute. Son fonctionnement est très simple, Il nous enverra une alerte lorsqu’il détectera un nouvel ordinateur sur le réseau, ou un nouveau MAC ou une modification de MAC. Idéal pour détecter les intrus ou les visiteurs indésirables sur différents segments du réseau.

Puits, Arpwatch peut fonctionner sur n’importe quelle machine linux comme un démon, L’installation est très simple, sur les distributions basées sur Debian, nous l’installons:

sudo apt-get install arpwatch -y

Nous ajoutons les deux lignes suivantes dans votre fichier de configuration /etc/default/arpwatch, le premier indiquant l’adresse e-mail où nous recevrons les alertes, et le suivant avec le nom de l’interface où il sera écouté:

...
IFACE_ARGS="-m di*****************@do*****.esous"
...
INTERFACES="ENS160"
...

Si nous voulons que la machine elle-même retire les e-mails, Nous devons installer mailutils:

sudo apt-get install ssmtp mailutils -y

Et nous modifions votre fichier de configuration, /etc/ssmtp/ssmtp.conf, laissant quelque chose comme:

#
# Fichier de configuration pour sSMTP sendmail
#
# La personne qui reçoit tous les e-mails pour les identifiants d’utilisateur < 1000
# Videz-le pour désactiver la réécriture.
racine=Ar******@do*****.esous

# L’endroit où va le courrier. Le nom réel de la machine est requis non
# Les enregistrements MX sont consultés. Généralement, les hôtes de messagerie sont nommés mail.domain.com mailhub=mail.dominio.eso

# D’où viendra le courrier?
#réécritureDomaine=

# Le nom d’hôte complet hostname=dominio.eso

# Les utilisateurs sont-ils autorisés à définir leur propre À partir de: adresse?
# OUI - Permettre à l’utilisateur de spécifier son propre From: adresse
# NON - Utilisez le système généré à partir de: adresse FromLineOverride=OUI AuthUser=NOUS*****@do*****.esous
AuthPass=CONTRASEÑA

Podemos probar a enviar un correo de pruebas y que sale:

ÉCHO "Que pasa por tu casa" | mail -s Prueba dirección_*********@do*****.esous

Podremos ver los logs de arpwatch en el syslog:

sudo tail -f /var/log/syslog |grep arpwatch
...
nov. 14 17:14:45 OS-Honeypot-01 systemd[1]: Démarrage du service arpwatch sur l’interface ens160...
nov. 14 17:14:45 OS-Honeypot-01 systemd[1]: Démarrage du service arpwatch sur l’interface ens160.
nov. 14 17:14:45 OS-Honeypot-01 arpwatch: Exécution en tant que uid=113 gid=116 nov. 14 17:14:45 OS-Honeypot-01 arpwatch: écoute sur ens160 Nov 14 17:15:23 OS-Honeypot-01 arpwatch: Nouvelle gare 192.168.1.85 00:50:56:8f:Ff:7a ens160 nov. 14 17:15:25 OS-Honeypot-01 sSMTP[29753]: Courrier envoyé pour Ar******@do*****.esous (221 2.0.0 Au revoir) uid=113 username=arpwatch outbytes=699 nov. 14 17:16:09 OS-Honeypot-01 arpwatch: Nouvelle gare 192.168.1.196 b0:4À:39:2d:F9:0a ens160 nov. 14 17:16:11 OS-Honeypot-01 sSMTP[29756]: Courrier envoyé pour Ar******@do*****.esous (221 2.0.0 Au revoir) uid=113 nom d’utilisateur=arpwatch outbytes=699
...

Et nous pourrons vérifier dans notre e-mail comment il détecte tous les ordinateurs du réseau, et informera de tout changement qu’ils subiront, soit pour changer de MAC, soit pour en ajouter un nouveau sur le réseau. Nous reconnaîtrons instantanément tout intrus, nous pouvons éviter l’empoisonnement par ARP ou ARP Spoofing…

J’espère que cela pourra aider quelqu’un, un utilitaire qui, selon moi, convient à tout type d’entreprise, De plus,, si nous avons un pare-feu pfSense, Nous pouvons l’intégrer directement sur place.

Un câlin à tous, Puisse-t-il se passer TRÈS bien 🙂