アープウォッチ
Arpwatch es un clásico, una herramienta que podemos implementar en nuestra organización en menos de un minuto. Su funcionamiento es muy sencillo, nos enviará una alerta cuando detecte un equipo nuevo en la red, o una nueva MAC o un cambio de MAC. Ideal para detectar intrusos o visitas no deseadas en distintos segmentos de red.
まぁ, Arpwatch puede correr en cualquier máquina linux como un demonio, su instalación es muy sencilla, en distribuciones basadas en Debian lo instalamos:
sudo apt-get install arpwatch -y
Añadimos las dos siguientes líneas en su fichero de configuración /etc/default/arpwatch, la primera indicando la dirección de correo donde recibiremos las alertas, y la siguiente con el nombre de la interfaz donde se pondrá a escuchar:
... IFACE_ARGS="-m di*****************@do*****.e下" ... INTERFACES="ens160" ...
Si queremos que la propia máquina saque los mails, necesitamos instalar mailutils:
sudo apt-get install ssmtp mailutils -y
# # Config file for sSMTP sendmail # # The person who gets all mail for userids < 1000 # Make this empty to disable rewriting. root=ar******@do*****.e下 # The place where the mail goes. The actual machine name is required no # MX records are consulted. Commonly mailhosts are named mail.domain.com mailhub=mail.dominio.eso # Where will the mail seem to come from? #rewriteDomain= # The full hostname hostname=dominio.eso # Are users allowed to set their own From: 住所? # はい - Allow the user to specify their own From: 住所 # いいえ - Use the system generated From: address FromLineOverride=YES AuthUser=私達*****@do*****.e下 AuthPass=CONTRASEÑA
エコー "Que pasa por tu casa" | mail -s Prueba dirección_*********@do*****.e下
sudo tail -f /var/log/syslog |grep arpwatch ... Nov 14 17:14:45 os-honeypot-01 systemd[1]: Starting arpwatch service on interface ens160... Nov 14 17:14:45 os-honeypot-01 systemd[1]: Started arpwatch service on interface ens160. Nov 14 17:14:45 os-honeypot-01 arpwatch: Running as uid=113 gid=116 Nov 14 17:14:45 os-honeypot-01 arpwatch: listening on ens160 Nov 14 17:15:23 os-honeypot-01 arpwatch: new station 192.168.1.85 00:50:56:8f:ff:7a ens160 Nov 14 17:15:25 os-honeypot-01 sSMTP[29753]: Sent mail for ar******@do*****.e下 (221 2.0.0 さようなら) uid=113 username=arpwatch outbytes=699 Nov 14 17:16:09 os-honeypot-01 arpwatch: new station 192.168.1.196 b0:4宛先:39:2d:f9:0a ens160 Nov 14 17:16:11 os-honeypot-01 sSMTP[29756]: Sent mail for ar******@do*****.e下 (221 2.0.0 さようなら) uid=113 username=arpwatch outbytes=699 ...
