Arpwatch

Arpwatch é um clássico, uma ferramenta que podemos implementar na nossa organização em menos de um minuto. O seu funcionamento é muito simples, Ele nos enviará um alerta quando detetar um novo computador na rede, ou uma nova alteração MAC ou MAC. Ideal para detetar intrusos ou visitantes indesejados em diferentes segmentos de rede.

Poço, O Arpwatch pode correr em qualquer máquina Linux como um daemon, a sua instalação é muito simples, em distribuições baseadas em Debian instalamo-lo:

sudo apt-get install arpwatch -y

Adicionamos as duas seguintes linhas no seu ficheiro de configuração /etc/default/arpwatch, a primeira indicando o endereço de e-mail onde iremos receber os alertas, e a seguinte com o nome da interface onde irá escutar:

...
IFACE_ARGS="-m di*****************@*****io.eso"
...
INTERFACES="ens160"
...

Se quisermos que a própria máquina envie os e-mails, precisamos de instalar mailutils:

sudo apt-get install ssmtp mailutils -y

E editamos o seu ficheiro de configuração, /etc/ssmtp/ssmtp.conf, deixando algo como:

#
# Ficheiro de configuração para sSMTP sendmail
#
# A pessoa que recebe todos os e-mails para os userids < 1000
# Deixe isto vazio para desativar a reescrita.
root=ar******@*****io.eso

# O local onde o e-mail vai. O nome real da máquina é necessário não
# Os registros MX são consultados. Normalmente, os mailhosts são nomeados mail.domain.com
mailhub=mail.dominio.eso

# De onde o e-mail parece vir?
#rewriteDomain=

# O nome completo do host
hostname=dominio.eso

# Os usuários têm permissão para definir seu próprio From: Endereço?
# SIM - Permitir que o usuário especifique seu próprio From: Endereço
# NÃO - Use o sistema gerado De: address
FromLineOverride=YES

AuthUser=EUA*****@*****io.eso
AuthPass=CONTRASEÑA

Podemos probar a enviar un correo de pruebas y que sale:

ECO "Que pasa por tu casa" | mail -s Prueba dirección_*********@*****io.eso

Podremos ver los logs de arpwatch en el syslog:

sudo tail -f /var/log/syslog |grep arpwatch
...
nov 14 17:14:45 os-honeypot-01 systemd[1]: Starting arpwatch service on interface ens160...
nov 14 17:14:45 os-honeypot-01 systemd[1]: Started arpwatch service on interface ens160.
nov 14 17:14:45 os-honeypot-01 arpwatch: Running as uid=113 gid=116
Nov 14 17:14:45 os-honeypot-01 arpwatch: listening on ens160
Nov 14 17:15:23 os-honeypot-01 arpwatch: new station 192.168.1.85 00:50:56:8f:ff:7a ens160
Nov 14 17:15:25 os-honeypot-01 sSMTP[29753]: Sent mail for ar******@*****io.eso (221 2.0.0 Bye) uid=113 username=arpwatch outbytes=699
Nov 14 17:16:09 os-honeypot-01 arpwatch: new station 192.168.1.196 b0:4Para:39:2d:f9:0a ens160
Nov 14 17:16:11 os-honeypot-01 sSMTP[29756]: Sent mail for ar******@*****io.eso (221 2.0.0 Bye) uid=113 username=arpwatch outbytes=699
...

Y podremos verificar en nuestro correo cómo va detetando todos los equipos de la red, y avisará de cualquier cambio que sufran, o bien que se cambien de MAC o bien que se añada una nueva en la red. Conoceremos al momento cualquier intruso, podremos evitar envenenamientos de ARP o ARP Spoofing…

Espero que a alguien le pueda servir, una utilidad que creo encaja en cualquier tipo de empresa, Além disso, si tenemos pfSense de firewall, podremos integrarla diretamente ahí.

Un abrazo a todos, que vaya MUY bien 🙂