Arpwatch: Instalação e Configuração »

English version: https://simplificandoredes.com/en/arpwatch-installation-and-configuration/

Vamos apresentar a instalação e configuração da ferramenta Arpwatch. Essa ferramenta permite identificar novas máquinas na rede e até mesmo identificar ataques de homem do meio em sua rede.

Dessa forma, o Arpwatch monitora a tabela ARP e verifica a ocorrência de modificações nas tabelas e o tráfego de pacotes anômalos. Arpwatch: Instalação e Configuração.

Instalação do Arpwatch

Para essa instalação vamos instalar o Arpwatch no pfSense. A instalação é bem tranquila, bastando ao usuário acessar a aba de System / Package Manager /Available Packages e filtrar por arpwatch.

Configuração do Arpwatch

Após a instalação, vamos acessar a aba de serviços e escolher a opção Arpwatch que deverá estar entre as primeiras opções de serviços.

Agora, vamos configurar o Arpwatch. O primeiro passo é habilitar o Arpwatch, sem seguida vamos escolher a interface na qual o Arpwatch vai atuar.

Geralmente escolhemos a interface LAN, dado que queremos analisar nossa rede interna. No entanto o Arpwatch também pode atuar em outras interfaces como a WAN.

O próximo passo é escolher o emal que o Arpwatch vai usar para enviar as notificações.

Lembrar que o pfsense deve ter um email cadastrado na sessão de notificações para que seja possível ao Arpwatch enviar emails. Vamos deixar uma sessão no final desse artigo explicando o processo.

Em seguida, vamos as notificações de email do Cron relativas a outros pacotes. Depois disso, vamos utilizar os endereços Ethernet preenchidos com zeros em arquivos * .dat. Estes dois campos já vêm selecionados por padrão no Arpwatch. No entanto, o usuário pode optar por desmarcá-los.

O próximo passo é a opção que desativa o relatório de prefixos Ethernet CARP / VRRP. Essa opção vem desabilitada por padrão. O usuário deve verificar se tem interesse em habilitá-la. A outra opção, fala de desabilitar o relato de bogons.

Essa parte é interessante, pois o Arpwatch vai identificar quando os dispositivos tentarem uma comunicação interna usando outra rede.

Dessa forma, máquinas que estão com IPs diferentes dos suportados pela rede/mascarara serão descritos como bogons.

O próximo campo desabilita relatos sobre mudanças envolvendo o 0.0.0.0. Eu prefiro desabilitar essa opção pois costuma gerar muitos alertas relativos a requisições de DHCP e atualizações de DHCP.

O próximo campo atualiza o banco de dados do fornecedor ethernet. Não costumo atualizar esse banco de dados. No entanto, pode ser interessante para verificar os tipos de dispositivos em sua rede.

Depois disso temos a possibilidade de apagar o banco de dados com os MACs e IPs coletados. Esse reset vai acontecer quando desinstalar o Arpwatch ou quando fizer uma atualização.

No entanto, não vejo motivo prático para marcar essa opção dado que atualizações podem ocorrer.

Por último, temos a opção de adicionar MACs que serão suprimidos em relação as notificações. Dentre essas notificações podem ser escolhidas todas ou podem ser escolhidas notificações específicas.

A escolha de suprimir MACs vai depender do comportamento dos dispositivos da sua rede. Dessa forma, podemos escolher suprimir alguns dispositivos que estão gerando alertas apesar de estarem com um comportamento normal.

Após escolher as opções desejadas, devemos lembrar de salvar a configuração.

Database do Arpwatch

A próxima aba, chamada de “database”, nos mostra os IPs e MACs que já foram descobertos na rede. Dessa forma, utilizando essa tabela, podemos verificar o IP do dispositivo, o MAC e a data seguida do horário.

Verificando os logs de alerta do Arpwatch

Uma vez aplicado o filtro, podemos verificar as informações que o Arpwatch apresenta. Dentre essas informações, temos a indicação de novas estações, bogons, flip flop, etc.

Apresentaremos uma breve explicação sobre os principais campos dos alertas do Arpwatch:

new activity = Par de endereços MAC/ip que foi usado pela primeira vez seis meses ou mais

new station = Novo endereço MAC.

flip flop = O MAC mudou do endereço visto mais recentemente para o segundo endereço visto mais recentemente. Significa que existe possibilidade de um ataque de homem do meio.

changed ethernet address = O dispositivo mudou para um novo endereço Ethernet.

ethernet mismatch = O MAC de origem não corresponde ao endereço dentro do pacote arp.

reused old ethernet address = O endereço MAC mudou do endereço visto mais recentemente para o terceiro , ou maior, endereço visto menos recentemente. Muito parecido com o flip-flop.

ethernet broadcast : MAC do dispositivo está em broadcast.

ip broadcast : IP do dispositivo está em broadcast.

Bogon: O IP de origem não está na sub-rede local.

Notificações por Email

As notificações por e-mail apresentam a identificação do host. Dentre os campos apresentados temso o hostname, IP, MAC , fabricante atrelado ao MAC e a data e hora do evento.

Configurando as notificações do PfSense

Vale ressaltar que para enviar e-mail com o Arpwatch é necessário cadastrar um e-mail no campo de notificações do pfSense.

A seguir apresentemos um exemplo de e-mail cadastrado no campo de notificações do pfsense.

Após o cadastro do e-mail na aba de notificações do pfsense, é interessante salvar fazer o teste de SMTP. Caso não esteja recebendo o e-mail, verifique se inseriu os dados corretos relativos ao seu provedor de e-mail.

Livros Indicados:

E-Books de Redes e Segurança

Juliana Mascarenhas

Data Scientist and Master in Computer Modeling by LNCC.
Computer Engineer

Como fazer X11 Forwarding com SSH

20 de março de 2024 Nenhum comentário

Vamos mostrar como fazer o X11 Forwarding com SSH utilizando duas máquinas com Linux.

Ler mais

Mesclando arquivos PDFs: REGEX e PyPDF2 com Python

19 de fevereiro de 2024 Nenhum comentário

Imagine que tenha vários de arquivos em pdf para mesclar e manter tudo em apenas…

Ler mais

Instalar Ubuntu Server VirtualBox

16 de fevereiro de 2024 Nenhum comentário

Vamos demonstrar como instalar o Ubuntu server no VirtualBox. Virtualizar o Ubuntu server pode ser…

Ler mais

Criando CRUD MySQL com Python

7 de fevereiro de 2024 Nenhum comentário

Como podemos manipular os dados utilizando as operações CRUD MySQL com python? Agora, iremos criar…

Ler mais

Instalar Ubuntu VirtualBox

6 de fevereiro de 2024 Nenhum comentário

Vamos ensinar como instalar o Ubuntu no VirtualBox. Para isso, vamos realizar uma instalação simples…

Ler mais

Instalar servidor SSH Windows

22 de dezembro de 2023 Nenhum comentário

Esse é um tutorial que ensina como instalar e configurar um servidor SSH em uma…

Ler mais

Cookie	Duração	Descrição
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category . / Definido pelo plugin GDPR Cookie Consent, este cookie é usado para registrar o consentimento do usuário para os cookies na categoria Publicidade = "Advertisement".
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics". / Este cookie é definido pelo plug-in GDPR Cookie Consent. O cookie é usado para armazenar o consentimento do usuário para os cookies na categoria "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional". / O cookie é definido pelo consentimento do cookie GDPR para registrar o consentimento do usuário para os cookies na categoria"Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary". / Este cookie é definido pelo plug-in GDPR Cookie Consent. Os cookies são usados para armazenar o consentimento do usuário para os cookies na categoria "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other". / Este cookie é definido pelo plug-in GDPR Cookie Consent. O cookie é usado para armazenar o consentimento do usuário para os cookies na categoria "Other.".
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance". / Este cookie é definido pelo plug-in GDPR Cookie Consent. O cookie é usado para armazenar o consentimento do usuário para os cookies na categoria "Performance".
CookieLawInfoConsent	1 year	Records the default button state of the corresponding category & the status of CCPA. It works only in coordination with the primary cookie.
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data. / O cookie é definido pelo plug-in GDPR Cookie Consent e é usado para armazenar se o usuário consentiu ou não com o uso de cookies. Não armazena nenhum dado pessoal.

Cookie	Duração	Descrição
_tccl_visit	30 minutes	This cookie is set by the web hosting provider GoDaddy. This is a persistent cookie used for monitoring the website usage performance. / Este cookie é definido pelo provedor de hospedagem na web GoDaddy. Este é um cookie persistente usado para monitorar o desempenho de uso do site.
_tccl_visitor	1 year	This cookie is set by the web hosting provider GoDaddy. This is a persistent cookie used for monitoring the website usage performance. / Este cookie é definido pelo provedor de hospedagem na web GoDaddy. Este é um cookie persistente usado para monitorar o desempenho de uso do site.

Cookie	Duração	Descrição
__gads	1 year 24 days	The __gads cookie, set by Google, is stored under DoubleClick domain and tracks the number of times users see an advert, measures the success of the campaign and calculates its revenue. This cookie can only be read from the domain they are set on and will not track any data while browsing through other sites. / O cookie __gads, definido pelo Google, é armazenado no domínio da DoubleClick e rastreia o número de vezes que os usuários veem um anúncio, mede o sucesso da campanha e calcula sua receita. Este cookie só pode ser lido no domínio em que está configurado e não rastreará nenhum dado durante a navegação em outros sites.
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors. / O cookie _ga, instalado pelo Google Analytics, calcula os dados do visitante, da sessão e da campanha e também acompanha o uso do site para o relatório de análise do site. O cookie armazena informações anonimamente e atribui um número gerado aleatoriamente para reconhecer visitantes únicos.
_ga_4S4FKY1F7W	2 years	This cookie is installed by Google Analytics.
_ga_8V3HHZY0KL	2 years	This cookie is installed by Google Analytics.
_gat_gtag_UA_199766752_1	1 minute	Set by Google to distinguish users. / Definido pelo Google para distinguir os usuários.
_gh_sess	session	GitHub sets this cookie for temporary application and framework state between pages like what step the user is on in a multiple step form.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously. / Instalado pelo Google Analytics, o _gid cookie armazena informações sobre como os visitantes usam um site, ao mesmo tempo que cria um relatório analítico do desempenho do site. Alguns dos dados coletados incluem o número de visitantes, sua fonte e as páginas que visitam anonimamente.
CONSENT	2 years	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.

Cookie	Duração	Descrição
test_cookie	15 minutes	The test_cookie is set by doubleclick.net and is used to determine if the user's browser supports cookies. / O test_cookie é definido por doubleclick.net e é usado para determinar se o navegador do usuário oferece suporte a cookies.
VISITOR_INFO1_LIVE	5 months 27 days	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC	session	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt.innertube::nextId	never	This cookie, set by YouTube, registers a unique ID to store data on what videos from YouTube the user has seen.
yt.innertube::requests	never	This cookie, set by YouTube, registers a unique ID to store data on what videos from YouTube the user has seen.

Cookie	Duração	Descrição
_octo	1 year	No description available.
DEVICE_INFO	5 months 27 days	No description
FCCDCF	12 hours	No description available.
GoogleAdServingTest	session	No description / Sem descrição
logged_in	1 year	No description available.

Instalação do Arpwatch

Configuração do Arpwatch

Database do Arpwatch

Verificando os logs de alerta do Arpwatch

Notificações por Email

Configurando as notificações do PfSense

Livros Indicados:

E-Books de Redes e Segurança

Posts relacionados