Система мониторинга ArpWatch

###### tags: `PFSense` `ArpWatch` `Cisco` # Система мониторинга ArpWatch ![](https://i.imgur.com/lnHLZG3.png) FW-Wan install: ![](https://i.imgur.com/JQU53F2.png) Disable bogons - Немаршрутизируемые в Интернет адреса Подробнее: https://www.securitylab.ru/blog/personal/aodugin/305208.php Если арпвотч на дебиане: `apt install arpwatch -y` ![](https://i.imgur.com/4K1QeEj.png) Теперь запускаем службы: `systemctl enable arpwatch@ens3` `systemctl start arpwatch@ens3` ![](https://i.imgur.com/YG2HR7t.png) Делаем перенаправление всего трафика на арпвотч: Циска: ![](https://i.imgur.com/hucT01x.png) на любой машине в сети, скажем на вин 7 проявляем любую сетевую активность: ![](https://i.imgur.com/t8ZMF6O.png) Появился новый узел. Взлом на Кали: `apt install dsniff -y` Спуфим мак: ![](https://i.imgur.com/wFw4vSX.png) Видим что на pfsense детект обнаружен: ![](https://i.imgur.com/2EN73hJ.png) flip-flop говорит об атаке arpspoof на arpwatch debian обязательно включить promisc-режим чтобы видеть все атаки: `ip link set ens3 promisc on` Cisco Arp-inspection: ![](https://i.imgur.com/DrS8kh4.png) ![](https://i.imgur.com/9v7ier4.png) DHCP-snooping - защита от атаки с подменой DHCP-сервера ![](https://i.imgur.com/kHMQTpu.png) ![](https://i.imgur.com/T8SB4Mq.png) ![](https://i.imgur.com/WJwIkbj.png) https://wiki.merionet.ru/seti/26/nastrojka-dhcp-snooping-i-dynamic-arp-inspection-na-cisco/ Что мы сделали - мы разрешили хосты с их маками, для корректной инспекции, теперь при включенной инспекции мы защитили себя от атаки типа Man-in-The-Middle. (Это такой вид атаки, когда к вашей сети подключается устройство злоумышленника и, например, объявляет, что IP адрес, принадлежащий авторизованному серверу, принадлежит ему. После этого все данные, которые отправляются на сервер переходят через устройство злоумышленника.)