Detectando Arp Spoofing con ArpWatch en Ubuntu

Fuente: Aclaracion. Probado, y funcionando en Wheezy. En un Post anterior les mostré lo sencillo que era llevar a cabo un ataque de hombre en el medio mediante ARP poisoning y les daba algunas recomendaciones sobre cuidarse de las WiFi públicas etc. Pero todos sabemos que en algún momento es posible que necesitemos conectarnos a una de estas conexiones públicas sea por x Razón, y es aquí donde entra una herramienta que nos ayuda a detectar esos cambios en nuestra tabla ARP que pueden indicar un posible ataque de Hombre en el medio, llamado ArpWatch. ArpWatch es una herramienta para monitorear el Trafico ARP en una red, genera un registro de la relación Dirección IP/Dirección Física junto con una marca de tiempo. Puede generar además a opción del administrador un correo cuando ocurre un cambio en las relaciones o cuando se agrega una entrada nueva. Es por esto que los administradores de sistemas utilizan esta herramienta para detectar el ARP Spoofing. En esta entrada vamos a ver como lo instalamos, configuramos y ejecutamos en Ubuntu que es la distribución que actualmente estoy utilizando en mi laptop personal. Es bueno mencionar que varía ligeramente con relación a las otras distribuciones pero solo en la ubicación de los archivos, así que pueden aplicar lo que voy a indicar en este tutorial. Vamos a comenzar con la instalación, En este caso voy a seguir los pasos como root, pero lo pueden hacer con sudo. # yum install arpwatch # apt-get install arpwatch Ahora vamos al archivo de configuración y agregamos la interfaz donde escuchará Arpwatch #vi /etc/arpwatch.conf eth0 -m [email protected] wlan0 -m [email protected] Finalmente iniciamos el servicio de ArpWatch # /etc/init.d/arpwatch start/stop/restart Aquí ya tenemos a ArpWatch verificando las relaciones en la tabla ARP y nos notificará en caso de algún cambio o cuando se agregue una nueva dirección a la tabla. # tail /var/log/syslog |grep arpwatch Aquí les muestro una porción de lo que se puede mostrar Jul 8 11:19:47 Lap-Sec arpwatch: Running as uid=118 gid=127 Jul 8 11:19:47 Lap-Sec arpwatch: listening on eth0 Jul 8 11:20:07 Lap-Sec arpwatch: new station x.x.x.x 08:00:27:72:ba:a5 eth0 Jul 8 11:20:08 Lap-Sec arpwatch: new station station x.x.x.x 2c:44:fd:66:66:2e eth0 Jul 8 11:20:11 Lap-Sec arpwatch: new station station x.x.x.x 00:00:00:04:05:02 eth0 Aqui, un ejemplo de un Correo de notificacion. From arpwatch@Lap-Sec Tue Jul 8 10:13:32 2014 Return-Path: Date: Tue, 8 Jul 2014 10:13:31 -0400 From: arpwatch@Lap-Sec (Arpwatch Lap-Sec) To: jason@Lap-Sec Subject: new station (x.x.x.x) eth0 Status: R hostname: ip address: x.x.x.x interface: eth0 ethernet address: 08:00:27:72:ba:a5 ethernet vendor: CADMUS COMPUTER SYSTEMS timestamp: Tuesday, July 8, 2014 10:12:31 -0400 From arpwatch@Lap-Sec Tue Jul 8 10:39:44 2014 Return-Path: Date: Tue, 8 Jul 2014 10:39:44 -0400 From: arpwatch@Lap-Sec (Arpwatch Lap-Sec) To: jason@Lap-Sec Subject: flip flop (x.x.x.x) eth0 Status: R hostname: ip address: x.x.x.x interface: eth0 ethernet address: 00:00:00:04:05:02 ethernet vendor: XEROX CORPORATION old ethernet address: 08:00:27:72:ba:a5 old ethernet vendor: CADMUS COMPUTER SYSTEMS timestamp: Tuesday, July 8, 2014 10:38:40 -0400 previous timestamp: Tuesday, July 8, 2014 10:37:26 -0400 delta: 1 minute