アープウォッチ

Arpwatch es un clásico, una herramienta que podemos implementar en nuestra organización en menos de un minuto. Su funcionamiento es muy sencillo, nos enviará una alerta cuando detecte un equipo nuevo en la red, o una nueva MAC o un cambio de MAC. Ideal para detectar intrusos o visitas no deseadas en distintos segmentos de red.

まぁ, Arpwatch puede correr en cualquier máquina linux como un demonio, su instalación es muy sencilla, en distribuciones basadas en Debian lo instalamos:

sudo apt-get install arpwatch -y

Añadimos las dos siguientes líneas en su fichero de configuración /etc/default/arpwatch, la primera indicando la dirección de correo donde recibiremos las alertas, y la siguiente con el nombre de la interfaz donde se pondrá a escuchar:

...
IFACE_ARGS="-m di*****************@*****io.eso"
...
INTERFACES="ens160"
...

もしマシン自体がメールを送信するようにしたい場合, mailutils をインストールする必要があります:

sudo apt-get install ssmtp mailutils -y

そして設定ファイルを編集します, /etc/ssmtp/ssmtp.conf, のようなものを残します:

#
# sSMTP sendmail の設定ファイル
#
# ユーザーIDのすべてのメールを受け取る人 < 1000
# 書き換えを無効にするには空にしてください.
root=ar******@*****io.eso

# メールが届く場所. 実際のマシン名が必要で、はい
# MX レコードが参照されます. 一般的にメールホストは mail.domain.com と名付けられます
mailhub=mail.dominio.eso

# メールがどこから来るように見えるか?
#rewriteDomain=

# 完全なホスト名
hostname=dominio.eso

# ユーザーが独自の From を設定できるか: 住所?
# はい - ユーザーが自分の From を指定できるようにする: 住所
# いいえ - システム生成の From を使用する: アドレス
FromLineOverride=YES

AuthUser=私達*****@*****io.eso
AuthPass=パスワード

テストメールを送信して確認できます:

エコー "Que pasa por tu casa" | mail -s Prueba dirección_*********@*****io.eso

Podremos ver los logs de arpwatch en el syslog:

sudo tail -f /var/log/syslog |grep arpwatch
...
Nov 14 17:14:45 os-honeypot-01 systemd[1]: Starting arpwatch service on interface ens160...
Nov 14 17:14:45 os-honeypot-01 systemd[1]: Started arpwatch service on interface ens160.
Nov 14 17:14:45 os-honeypot-01 arpwatch: Running as uid=113 gid=116
Nov 14 17:14:45 os-honeypot-01 arpwatch: ens160
Nov をリスニング 14 17:15:23 os-honeypot-01 arpwatch: new station 192.168.1.85 00:50:56:8f:ff:7a ens160
Nov 14 17:15:25 os-honeypot-01 sSMTP[29753]: Sent mail for ar******@*****io.eso (221 2.0.0 さようなら) uid=113 username=arpwatch outbytes=699
Nov 14 17:16:09 os-honeypot-01 arpwatch: new station 192.168.1.196 b0:4宛先:39:2d:f9:0a ens160
Nov 14 17:16:11 os-honeypot-01 sSMTP[29756]: Sent mail for ar******@*****io.eso (221 2.0.0 さようなら) uid=113 username=arpwatch outbytes=699
...

Y podremos verificar en nuestro correo cómo va detectando todos los equipos de la red, y avisará de cualquier cambio que sufran, o bien que se cambien de MAC o bien que se añada una nueva en la red. Conoceremos al momento cualquier intruso, podremos evitar envenenamientos de ARP o ARP Spoofing…

Espero que a alguien le pueda servir, una utilidad que creo encaja en cualquier tipo de empresa, さらに, si tenemos pfSense de firewall, podremos integrarla directamente ahí.

Un abrazo a todos, que vaya MUY bien 🙂