アープウォッチ

印刷に優しい, PDFとEメール

Arpwatchはクラシックな, 私たちの組織で1分以内に実装できるツール. その動作は非常に簡単です, ネットワーク上で新しい機器を検出したときにアラートを送信します, または新しいMACやMACの変更を検出します. 異なるネットワークセグメントで不正侵入者や望ましくない訪問者を検出するのに理想的です.

まぁ, Arpwatchは任意のLinuxマシンでデーモンとして実行できます, そのインストールは非常に簡単です, Debianベースのディストリビューションでは、次のコマンドでインストールします:

sudo apt-get install arpwatch -y

設定ファイル /etc/default/arpwatch に次の2行を追加します, 最初の行にはアラートを受け取るメールアドレスを指定します, 次の行には監視するインターフェース名を指定します:

...
IFACE_ARGS="-m di*****************@*****io.eso"
...
INTERFACES="ens160"
...

もしマシン自体がメールを送信するようにしたい場合, mailutils をインストールする必要があります:

sudo apt-get install ssmtp mailutils -y

そして設定ファイルを編集します, /etc/ssmtp/ssmtp.conf, のようなものを残します:
#
# sSMTP sendmail の設定ファイル
#
# ユーザーIDのすべてのメールを受け取る人 < 1000
# 書き換えを無効にするには空にしてください.
root=ar******@*****io.eso

# メールが届く場所. 実際のマシン名が必要で、はい
# MX レコードが参照されます. 一般的にメールホストは mail.domain.com と名付けられます
mailhub=mail.dominio.eso

# メールがどこから来るように見えるか?
#rewriteDomain=

# 完全なホスト名
hostname=dominio.eso

# ユーザーが独自の From を設定できるか: 住所?
# はい - ユーザーが自分の From を指定できるようにする: 住所
# いいえ - システム生成の From を使用する: アドレス
FromLineOverride=YES

AuthUser=私達*****@*****io.eso
AuthPass=パスワード

テストメールを送信して確認できます:
エコー "Que pasa por tu casa" | mail -s Prueba dirección_*********@*****io.eso

Podremos ver los logs de arpwatch en el syslog:
sudo tail -f /var/log/syslog |grep arpwatch
...
Nov 14 17:14:45 os-honeypot-01 systemd[1]: Starting arpwatch service on interface ens160...
Nov 14 17:14:45 os-honeypot-01 systemd[1]: Started arpwatch service on interface ens160.
Nov 14 17:14:45 os-honeypot-01 arpwatch: Running as uid=113 gid=116
Nov 14 17:14:45 os-honeypot-01 arpwatch: ens160
Nov をリスニング 14 17:15:23 os-honeypot-01 arpwatch: new station 192.168.1.85 00:50:56:8f:ff:7a ens160
Nov 14 17:15:25 os-honeypot-01 sSMTP[29753]: Sent mail for ar******@*****io.eso (221 2.0.0 さようなら) uid=113 username=arpwatch outbytes=699
Nov 14 17:16:09 os-honeypot-01 arpwatch: new station 192.168.1.196 b0:4宛先:39:2d:f9:0a ens160
Nov 14 17:16:11 os-honeypot-01 sSMTP[29756]: Sent mail for ar******@*****io.eso (221 2.0.0 さようなら) uid=113 username=arpwatch outbytes=699
...

Y podremos verificar en nuestro correo cómo va detectando todos los equipos de la red, y avisará de cualquier cambio que sufran, o bien que se cambien de MAC o bien que se añada una nueva en la red. Conoceremos al momento cualquier intruso, podremos evitar envenenamientos de ARP o ARP Spoofing…
Espero que a alguien le pueda servir, una utilidad que creo encaja en cualquier tipo de empresa, さらに, si tenemos pfSense de firewall, podremos integrarla directamente ahí.
Un abrazo a todos, que vaya MUY bien 🙂

おすすめの投稿

Fortigateの攻撃やボットネットから身を守る
読む
Crowdsec の一元的なデプロイ
読む
EicarとCentreonによるファイアウォールのUTMルールの監視
読む
Citrix NetScaler Iを使用したVPN - 配備 & 事前認証
読む

著者

によって エクトル・エレーロ 
nheobug@bujarra.com
Autor del blog Bujarra.com Cualquier necesidad que tengas, 私に連絡することを躊躇しないでください, できる限りお手伝いします, シェアリングは生きていること ;) . ドキュメントを楽しむ!!!

ホームアシスタントで自宅の電力消費量を測定する

23 5月のde 2023

ホームアシスタント付きのスペイン語音声アシスタント + OpenAIの統合 + VoIPの

7 ジューン・デ 2023