Arpwatch 公司
Arpwatch 是经典之作, 我们可以在不到一分钟的时间内在我们的组织中实施的工具. 它的作非常简单, 当它在网络上检测到新计算机时,它会向我们发送警报, 或新的 MAC 或 MAC 更改. 非常适合检测不同网段上的入侵者或不受欢迎的访客.
井, Arpwatch puede correr en cualquier máquina linux como un demonio, su instalación es muy sencilla, en distribuciones basadas en Debian lo instalamos:
sudo apt-get install arpwatch -y
Añadimos las dos siguientes líneas en su fichero de configuración /etc/default/arpwatch, la primera indicando la dirección de correo donde recibiremos las alertas, y la siguiente con el nombre de la interfaz donde se pondrá a escuchar:
... IFACE_ARGS="-m di*****************@do*****.e下" ... INTERFACES="ens160" ...
Si queremos que la propia máquina saque los mails, necesitamos instalar mailutils:
sudo apt-get install ssmtp mailutils -y
Y editamos su fichero de configuración, /etc/ssmtp/ssmtp.conf, 留下类似:
# # Config file for sSMTP sendmail # # The person who gets all mail for userids < 1000 # Make this empty to disable rewriting. root=ar******@do*****.e下 # The place where the mail goes. The actual machine name is required no # MX records are consulted. Commonly mailhosts are named mail.domain.com mailhub=mail.dominio.eso # Where will the mail seem to come from? #rewriteDomain= # The full hostname hostname=dominio.eso # Are users allowed to set their own From: 地址? # 是的 - Allow the user to specify their own From: 地址 # 不 - Use the system generated From: address FromLineOverride=YES AuthUser=我们*****@do*****.e下 AuthPass=CONTRASEÑA
Podemos probar a enviar un correo de pruebas y que sale:
回波 "Que pasa por tu casa" | mail -s Prueba dirección_*********@do*****.e下
Podremos ver los logs de arpwatch en el syslog:
sudo tail -f /var/log/syslog |grep arpwatch ... Nov 14 17:14:45 os-honeypot-01 systemd[1]: Starting arpwatch service on interface ens160... Nov 14 17:14:45 os-honeypot-01 systemd[1]: Started arpwatch service on interface ens160. Nov 14 17:14:45 os-honeypot-01 arpwatch: Running as uid=113 gid=116 Nov 14 17:14:45 os-honeypot-01 arpwatch: listening on ens160 Nov 14 17:15:23 os-honeypot-01 arpwatch: new station 192.168.1.85 00:50:56:8f:快:7a ens160 Nov 14 17:15:25 os-honeypot-01 sSMTP[29753]: Sent mail for ar******@do*****.e下 (221 2.0.0 再见) uid=113 username=arpwatch outbytes=699 Nov 14 17:16:09 os-honeypot-01 arpwatch: new station 192.168.1.196 b0:4自:39:2d:f9:0a ens160 Nov 14 17:16:11 os-honeypot-01 sSMTP[29756]: Sent mail for ar******@do*****.e下 (221 2.0.0 再见) uid=113 username=arpwatch outbytes=699 ...
Y podremos verificar en nuestro correo cómo va detectando todos los equipos de la red, y avisará de cualquier cambio que sufran, o bien que se cambien de MAC o bien que se añada una nueva en la red. Conoceremos al momento cualquier intruso, podremos evitar envenenamientos de ARP o ARP Spoofing…
Espero que a alguien le pueda servir, una utilidad que creo encaja en cualquier tipo de empresa, 另外, si tenemos pfSense de firewall, podremos integrarla directamente ahí.
Un abrazo a todos, que vaya MUY bien 🙂
