Introdu\u00e7\u00e3o<\/p>\n
Arpwatch \u00e9 uma ferramenta que monitora a atividade em uma rede ethernet, mantendo atualizada uma tabela com endere\u00e7os ethernet(MAC) e seus respectivos endere\u00e7os IP. Essa ferramenta tem a capacidade de reportar via email certas mudan\u00e7as.<\/p>\n
O Arpwatch \u00e9 uma ferramenta importante na monitora\u00e7\u00e3o da rede contra ataques de Arp Poisoning ou Arp Spoofing usados para realizar ataques mais sofisticados como Man-in-the-Middle(MITM).<\/p>\n
Instala\u00e7\u00e3o
\nTomando-se como base a distribui\u00e7\u00e3o Fedora, para a instala\u00e7\u00e3o do arpwatch basta executar o comando abaixo:<\/p>\n
# yum install arpwatch<\/p>\n
OBS: Ser\u00e1 necess\u00e1rio a instala\u00e7\u00e3o da libpcap.<\/p>\n
Configura\u00e7\u00e3o
\nO arquivo de configura\u00e7\u00e3o est\u00e1 localizado em \/etc\/sysconfig\/arpwatch. Sua base de dados \u00e9 armazenada em \/var\/arpwatch. Neste diret\u00f3rio est\u00e3o os arquivos arp.dat, que \u00e9 a base de dados propriamente dita e o ethercodes.dat, que possui o bloco de endere\u00e7os MAC atribu\u00eddos aos fabricantes.<\/p>\n
Abaixo vemos a configura\u00e7\u00e3o padr\u00e3o do arpwatch:<\/p>\n
# -u : defines with what user id arpwatch should run<\/p>\n
# 1. -e : the where to send the reports
\n# 2. -s : the -address<\/p>\n
OPTIONS=”-u pcap -e root -s ‘root (Arpwatch)'”<\/p>\n
Vamos configur\u00e1-lo para que envie as mensagens para o nosso e-mail, altere a linha de forma que se pare\u00e7a coma linha abaixo:<\/p>\n
OPTIONS=”-u pcap -e usuario@dominio.com.br -s ‘root (Arpwatch Servidor XXX Rede 192.168.0.0\/24)'”<\/p>\n
Algumas op\u00e7\u00f5es poss\u00edveis s\u00e3o:<\/p>\n
-d: Utilizada para debugging. Essa op\u00e7\u00e3o inibe o envio de relat\u00f3rios via email. Eles s\u00e3o enviados para a sa\u00edda de erro padr\u00e3o (stderr);
\n -f: Informa qual o arquivo da base de dados deve ser usado. O valor padr\u00e3o \u00e9 arp.dat;
\n -i: Usada para sobrescrever a interface padr\u00e3o;
\n -n: Especifica redes locais adicionais. \u00c9 \u00fatil se na mesma rede f\u00edsica, estiver rodando mais de um endere\u00e7amento de rede;
\n -u: define qual usu\u00e1rio executar\u00e1 o arpwatch. Rod\u00e1-lo com um usu\u00e1rio diferente de root \u00e9 extremamente recomendado para melhorar a seguran\u00e7a;
\n -e: Envia mensagens de e-mail para o endere\u00e7o especificado. O padr\u00e3o \u00e9 para o usu\u00e1rio root. Se apenas o caractere ‘-‘ for definido, o envio de alertas via e-mail ser\u00e1 suspenso, no entanto, o logging via syslog continuar\u00e1 ativo (\u00datil quando for executado pela primeira vez na rede, evita o recebimento de muitas mensagens);
\n -s: Envia mensagens de email com endere\u00e7o de retorno, ao contr\u00e1rio do valor padr\u00e3o do root. <\/p>\n
OBS: Antes de ser rodado pela primeira vez \u00e9 necess\u00e1rio que o arquivo da base de dados exista (em branco) e que o usu\u00e1rio especificado em -u seja o dono do diret\u00f3rio \/var\/arpwatch.<\/p>\n
Vamos coloc\u00e1-lo para iniciar no boot:<\/p>\n
# \/sbin\/chkconfig –level 2345 arpwatch on<\/p>\n
Iniciando o arpwatch:<\/p>\n
# \/etc\/init.d\/arpwatch start<\/p>\n
Atrav\u00e9s do comandos abaixo, confirma-se que o arpwatch j\u00e1 est\u00e1 sendo executado:<\/p>\n
# tail -f messages
\nJan 4 10:41:04 vpn01 arpwatch: new station 192.168.0.222 0:10:c6:b9:69:2b
\nJan 4 10:41:14 vpn01 arpwatch: new station 192.168.0.176 0:d:f4:3:2:d8
\nJan 4 10:41:20 vpn01 arpwatch: new station 192.168.0.224 0:11:25:8a:87:9b<\/p>\n
Exemplo de alerta<\/p>\n
Ex1:<\/p>\n
Subject: new station
\nhostname:
\nip address: 192.168.0.185
\nethernet address: 0:d:f4:3:3:1e
\nethernet vendor: Watertek Co.
\ntimestamp: Friday, January 4, 2008 10:40:44 -0300<\/p>\n
Ex2:<\/p>\n
Subject: new station
\nhostname:
\nip address: 192.168.0.245
\nethernet address: 0:30:a:5b:73:24
\nethernet vendor: AZTECH SYSTEMS LTD.
\ntimestamp: Friday, January 4, 2008 10:40:56 -0300<\/p>\n
Entendendo as mensagens
\nnew activity
\nEsse par de endere\u00e7o MAC e endere\u00e7o IP j\u00e1 foi utilizado a seis meses ou mais.<\/p>\n
new station
\nEsse endere\u00e7o ethernet (MAC) nunca foi visto antes.<\/p>\n
flip flop
\nO endere\u00e7o ethernet foi alterado do primeiro mais recente para o segundo mais recente.<\/p>\n
changed ethernet address
\nO Host mudou para um novo endere\u00e7o ethernet (MAC)<\/p>\n
Testando<\/p>\n
A forma de testarmos \u00e9 rodarmos um ataque de arp spoofing em nossa pr\u00f3pria rede. Para o teste foi utilizado o aplicativo ettercap.<\/p>\n
Os seguintes hosts foram utilizados:<\/p>\n
Endere\u00e7o IP\tEndere\u00e7o MAC\tDescri\u00e7\u00e3o
\n192.168.0.224\t00:11:25:8A:87:9B\tHost do Atacante
\n192.168.0.3\t00:10:C6:B9:68:F5\tGateway da rede, host a ser realizado o spoof<\/p>\n
Ap\u00f3s o in\u00edcio do ataque foram recebidos os seguintes alertas:<\/p>\n
MSG1: Arpwatch detecta a mudan\u00e7a do PAR MAC\/IP
\nSubject: changed ethernet address
\nhostname:
\nip address: 192.168.0.3
\nethernet address: 0:11:25:8a:87:9b
\nethernet vendor: IBM Corporation
\nold ethernet address: 0:10:c6:b9:68:f5
\nold ethernet vendor: USI
\ntimestamp: Friday, January 4, 2008 11:16:06 -0300
\nprevious timestamp: Friday, January 4, 2008 11:16:06 -0300
\ndelta: 0 seconds<\/p>\n
MSG2: Arpwatch detecta que o par est\u00e1 oscilando, caracter\u00edstica do ataque de arp spoofing. Ele recebe pacotes ARP do com o MAC correto e em seguida, v\u00e1rios outros como MAC errado.
\nSubject: flip flop
\nhostname:
\nip address: 192.168.0.3
\nethernet address: 0:10:c6:b9:68:f5
\nethernet vendor: USI
\nold ethernet address: 0:11:25:8a:87:9b
\nold ethernet vendor: IBM Corporation
\ntimestamp: Friday, January 4, 2008 11:16:22 -0300
\nprevious timestamp: Friday, January 4, 2008 11:16:21 -0300
\ndelta: 1 second<\/p>\n
MSG3: Arpwatch detecta que o par est\u00e1 oscilando, caracter\u00edstica do ataque de arp spoofing. Ele recebe pacotes ARP do com o MAC correto e em seguida, v\u00e1rios outros como MAC errado.
\nSubject:flip flop
\nhostname:
\nip address: 192.168.0.3
\nethernet address: 0:11:25:8a:87:9b
\nethernet vendor: IBM Corporation
\nold ethernet address: 0:10:c6:b9:68:f5
\nold ethernet vendor: USI
\ntimestamp: Friday, January 4, 2008 11:16:31 -0300
\nprevious timestamp: Friday, January 4, 2008 11:16:22 -0300
\ndelta: 9 seconds<\/p>\n
Conclus\u00e3o
\nDessa forma demonstramos como utilizar o arpwatch para monitorar o tr\u00e1fego ARP de sua rede, e provamos sua efici\u00eancia na detec\u00e7\u00e3o de ataques de Arp Spoofing\/Arp Poisoning.<\/p>\n
A quantidade de alertas depende de alguns fatores. Um deles \u00e9 se a rede est\u00e1 configurada com ip est\u00e1tico ou din\u00e2mico. Se for via DHCP, \u00e9 importante verificar o tempo em que o servidor mant\u00e9m o endere\u00e7o IP para o MAC. Se esse tempo for pequeno, \u00e9 poss\u00edvel que a cada renova\u00e7\u00e3o de endere\u00e7o, voc\u00ea recebe um alerta. Vale a pena ficar atento a esse detalhe.<\/p>\n
Abra\u00e7os.<\/p>\n","protected":false},"excerpt":{"rendered":"
Introdu\u00e7\u00e3o Arpwatch \u00e9 uma ferramenta que monitora a atividade em uma rede ethernet, mantendo atualizada uma tabela com endere\u00e7os ethernet(MAC) e seus respectivos endere\u00e7os IP. Essa ferramenta tem a capacidade de reportar via email certas mudan\u00e7as. O Arpwatch \u00e9 uma ferramenta importante na monitora\u00e7\u00e3o da rede contra ataques de Arp Poisoning ou Arp Spoofing usados […]<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"site-sidebar-layout":"default","site-content-layout":"","ast-site-content-layout":"default","site-content-style":"default","site-sidebar-style":"default","ast-global-header-display":"","ast-banner-title-visibility":"","ast-main-header-display":"","ast-hfb-above-header-display":"","ast-hfb-below-header-display":"","ast-hfb-mobile-header-display":"","site-post-title":"","ast-breadcrumbs-content":"","ast-featured-img":"","footer-sml-layout":"","ast-disable-related-posts":"","theme-transparent-header-meta":"","adv-header-id-meta":"","stick-header-meta":"","header-above-stick-meta":"","header-main-stick-meta":"","header-below-stick-meta":"","astra-migrate-meta-layouts":"default","ast-page-background-enabled":"default","ast-page-background-meta":{"desktop":{"background-color":"var(--ast-global-color-4)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"ast-content-background-meta":{"desktop":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"footnotes":""},"categories":[1],"tags":[23,24,25,14],"class_list":["post-74","post","type-post","status-publish","format-standard","hentry","category-viazap","tag-arpwatch","tag-fli","tag-flop","tag-linux"],"_links":{"self":[{"href":"https:\/\/blog.clusterweb.com.br\/index.php?rest_route=\/wp\/v2\/posts\/74","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/blog.clusterweb.com.br\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blog.clusterweb.com.br\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blog.clusterweb.com.br\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/blog.clusterweb.com.br\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=74"}],"version-history":[{"count":1,"href":"https:\/\/blog.clusterweb.com.br\/index.php?rest_route=\/wp\/v2\/posts\/74\/revisions"}],"predecessor-version":[{"id":75,"href":"https:\/\/blog.clusterweb.com.br\/index.php?rest_route=\/wp\/v2\/posts\/74\/revisions\/75"}],"wp:attachment":[{"href":"https:\/\/blog.clusterweb.com.br\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=74"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blog.clusterweb.com.br\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=74"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blog.clusterweb.com.br\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=74"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}