Información blog

Linux, tutoriales, noticias, sistemas, redes y seguridad informática, entre otras cosas.

viernes, 2 de octubre de 2015

Observando anomalías con arpwatch

En anteriores ocasiones ha hablado sobre el uso de la herramienta arpwatch, si bien lo he hecho por encima y sin centrarme en demasía en ésta, aún cuando en realidad creo que es interesante entender adecuadamente los mensajes nos puede mostrar con el fin de que sepamos qué motivos pueden haber causado la aparición de éstos y si es algo que puede resultar peligroso o no; ya que, tal y como hemos visto analizando nuestra red local, estos mensajes puede llegar a ser de lo más reveladores. 

arpwatch_portada

Antes de nada habría que preguntare... ¿Para qué sirve realmente arpwatch? Arpwatch es usada principalmente para controlar la actividad del tráfico arp en la red para guardar dicha información en un archivo de log que puede ser consultado en cualquier momento... Aún así, esta herramienta no suele ir instalada por defecto en la mayoría de las distribuciones, si bien instalarla es realmente fácil pues únicamente hay que recurrir a los repositorios oficiales:

apt-get install arpwatch

Ahora únicamente habría que limitarse a consultar los mensajes que la aplicación vaya almacenando en el archivo de syslog; aplicación que siempre correrá en segundo plano sin molestarnos en momento alguno. haciendo uso de su información únicamente cuando nos sea necesario. Esto es tan sencillo como monitorizar los logs mensajes almacenados en /var/log/syslog, para lo cual lo ideal suele ser monitorizar de forma real e instantánea todo lo relacionado con el servicio arpwatch... Lo cual es tan fácil como escribir lo siguiente:

tail -f -n 100 /var/log/syslog |grep arpwatch

Aquí veremos los mensajes más populares claramente diferenciables entre ellos:
  • new station: Este es el mensaje más común de todos y el único que no nos causaría sospecha alguna, ya que simplemente nos informa de que un nuevo dispositivo con una nueva ip y una nueva mac está presente en nuestra red.
  • flip flop: Este es con diferencia el mensaje más preocupante de todos ya que muestra nada más y nada menos que un ataque de arp spoofing realizada desde una ip y una mac (las que aparecerían en el mensaje) con la intención de suplantar una mac presente en la red. En este caso es indispensable bloquear el ataque lo antes posible con el fin de evitar catástrofes lo antes posible.
  • reused old ethernet address: Este mensaje es parecido al anterior ya que una mac en concreto está intentando usar una ip que anteriormente había estado usando (y que en estos momentos no usa). Este mensaje es parecido a flip flop, si bien no tiene por qué ser peligroso.
  • changed ethernet address: Este mensaje es inofensivo, ya que simplemente informa que una mac en concreto está cogiendo una ip nueva; cambio que no causaría problemas en la red y que no debería suponer ningún inconveniente para ninguno de sus "vecinos".
  • bogon: Existe una ip en la red que no está dentro de nuestro rango, lo cual no es recomendable ya que aunque ha sido detectada por nuestro equipo no puede establecer comunicación con ésta.

Como podéis ver, los mensajes son bien distintos entre sí, cada uno con su propio propósito; mensajes que pueden informar sobre eventos "inofensivos" o desastroso según el tipo de mensaje.

Saludos.

No hay comentarios :

Publicar un comentario