arpWatch es un daemon para sistemas GNU/Linux que nos permite de forma rápida tener un sistema de notificación de nuevos equipos conectados a la red. En realidad este pequeño daemon se dedica a observar el listado de correspondencias entre las entradas de la tabla arp y la dirección origen para comprobar su correspondencia. En el momento que un nuevo equipo es conectado a la red, automáticamente se notifica al administrador de ello vía correo electrónico.
arpwatch está en los repositorios de las principales distribuciones, por lo que su instalación resulta sencilla apoyándonos en las herramientas de los diferentes sistemas operativos (debian, red hat, etc.).
debian> apt-get install arpwatch redhat> yum install arpwatch
Tras ello, y para ponerlo a funcionar, únicamente hay que editar el fichero de configuración (/etc/arpwatch.conf) e indicarle el interfaz de red que deseemos monitorizar, así como la red del mismo y también la dirección de correo electrónico a la que mandar los cambios detectados.
eth0 -m arpwatch@mi.dominio.com -n 192.168.0.0/24 eth1 -m arpwatch@mi.dominio.com -n 192.168.1.0/24
Efectivamente, arpwatch permite incluir varios interfaces de red que monitorizar. Una vez configurado, simplemente arrancamos el nuevo servicio,
shell> /etc/init.d/arpwatch start
y comenzarán a llegar los correos de todos aquellos equipos accesibles en dicha red en ese momento. Un ejemplo del mail enviado sería,
hostname: backup.local.net
ip address: 192.168.1.100
interface: eth0
ethernet address: 00:0f:51:XX:YY:ZZ
ethernet vendor: Merit Li-Lin Ent.
timestamp: Saturday, August 2, 2014 10:57:05 +0200
Hay que decir que en un primer momento enviará un correo por cada equipo que vaya detectando y a partir de ahí, únicamente los nuevos equipos que se conecten. Si la red es bastante estática, por ejemplo una intranet, estos cambios deben de ser mínimos y ante cualquier nuevo evento, habría que revisarlo, pues puede ser un equipo no autorizado.
arpwatch y cómo detectar ataques ARP Spoofing
Como ya dijimos, arpwatch se encarga de mantener un registro de la relación entre IP -> MAC junto a una marca temporal. Si dicho registro se altera, notifica de dicha alteración. Los ataques de ARP Spoofing se basan en el envío de falsos mensajes ARP (spoofed) con la finalidad de asociar una dirección MAC del atacante con una dirección IP.
En caso de intento de envenenamiento de la tabla arp, arpwatch notificaría de dichos cambios y aunque no permitiría detenerlos ni mitigarlo, sí cuando menos detectarlos.
En caso de intento de envenenamiento de la tabla arp, arpwatch notificaría de dichos cambios y aunque no permitiría detenerlos ni mitigarlo, sí cuando menos detectarlos.
No hay comentarios :
Publicar un comentario