Arpwatch

Arpwatch è un classico, Uno strumento che possiamo implementare nella nostra organizzazione in meno di un minuto. Il suo funzionamento è molto semplice, Ci invierà un avviso quando rileva un nuovo computer sulla rete, o un nuovo MAC o una modifica MAC. Ideale per il rilevamento di intrusi o visitatori indesiderati su diversi segmenti di rete.

Bene, Arpwatch può essere eseguito su qualsiasi macchina Linux come un demone, L'installazione è molto semplice, sulle distribuzioni basate su Debian lo installiamo:

sudo apt-get install arpwatch -y

Aggiungiamo le due righe successive nel file di configurazione /etc/default/arpwatch, il primo indicando l'indirizzo email dove riceveremo gli avvisi, e il successivo con il nome dell'interfaccia dove verrà ascoltato:

...
IFACE_ARGS="-m di*****************@do*****.esotto"
...
INTERFACCE="ens160"
...

Si queremos que la propia máquina saque los mails, necesitamos instalar mailutils:

sudo apt-get install ssmtp mailutils -y

Y editamos su fichero de configuración, /ecc/ssmtp/ssmtp.conf, lasciando qualcosa come:

#
# File di configurazione per sSMTP sendmail
#
# La persona che riceve tutta la posta per gli userid < 1000
# Rendere vuoto questo per disabilitare la riscrittura.
root=Ar******@do*****.esotto

# Il luogo dove va la posta. Il nome effettivo della macchina è richiesto no
# I record MX vengono consultati. Comunemente gli host di posta sono chiamati mail.domain.com mailhub=mail.dominio.eso

# Da dove sembrerà arrivare la posta?
#rewriteDomain=

# Il nome host completo hostname=dominio.eso

# Gli utenti possono impostare il proprio Da: indirizzo?
# SÌ - Consenti all'utente di specificare il proprio Da: indirizzo
# NO - Utilizzare il sistema generato da: indirizzo FromLineOverride=SÌ AuthUser=NOI*****@do*****.esotto
AuthPass=CONTRASEÑA

Podemos probar a enviar un correo de pruebas y que sale:

ECO "Cosa sta succedendo a casa tua" | mail -s Test dell'indirizzon_*********@do*****.esotto

Saremo in grado di vedere i log di arpwatch nel syslog:

sudo tail -f /var/log/syslog |Grep Arpwatch
...
Nov 14 17:14:45 OS-Honeypot-01 Sistema[1]: Avvio del servizio arpwatch sull'interfaccia ens160...
Nov 14 17:14:45 OS-Honeypot-01 Sistema[1]: Avviato il servizio arpwatch sull'interfaccia ens160.
Nov 14 17:14:45 OS-Honeypot-01 Arpwatch: Funzionante come uid=113 gid=116 Nov 14 17:14:45 OS-Honeypot-01 Arpwatch: ascoltando su ens160 nov 14 17:15:23 OS-Honeypot-01 Arpwatch: Nuova stazione 192.168.1.85 00:50:56:8f:Ff:7a ens160 nov 14 17:15:25 OS-Honeypot-01 sSMTP[29753]: Posta inviata per Ar******@do*****.esotto (221 2.0.0 Arrivederci) uid=113 username=arpwatch outbytes=699 novembre 14 17:16:09 OS-Honeypot-01 Arpwatch: Nuova stazione 192.168.1.196 b0:4A:39:2d:F9:0a ens160 nov 14 17:16:11 OS-Honeypot-01 sSMTP[29756]: Posta inviata per Ar******@do*****.esotto (221 2.0.0 Arrivederci) UID=113 Nome utente=ARPWATCH Outbytes=699
...

E saremo in grado di verificare nella nostra e-mail come rileva tutti i computer sulla rete, e comunicherà eventuali modifiche subite, per modificare i MAC o per aggiungerne uno nuovo sulla rete. Riconosceremo immediatamente qualsiasi intruso, possiamo evitare l'avvelenamento da ARP o ARP Spoofing…

Spero che possa aiutare qualcuno, un'utilità che credo si adatti a qualsiasi tipo di azienda, Inoltre, se abbiamo il firewall pfSense, possiamo integrarlo direttamente lì.

Un abbraccio a tutti, Che vada MOLTO bene 🙂