@media screen and (min-width: 580px) { .flotantewhatsapp{ display:none; } }

Compartir por WhatsApp

pfsense-controlar-nuevas-macs-en-vuestra-lan-con-arpwatch-3

Pfsense: Controlar nuevas MACs e IPs en vuestra LAN con ArpWatch

Pfsense: Controlar nuevas MACs e IPs en vuestra LAN con ArpWatch

Hoy os vamos a enseñar a monitorizar conexiones de dispositivos en vuestra red LAN.

Para ello vamos a usar ARPWATCH, que es un programa de código abierto, que nos va a permitir controlar toda actividad de tráfico Ethernet, que tenga que ver con cambio de IPs y direcciones MAC.

Para hacer esto, empareja la MAC y la IP con marcas de tiempo, y las va revisando. Como buena herramienta de monitorización, nos permitirá mandar informes vía email.

A nivel de seguridad, nos puede servir para vigilar la red, ante suplantaciones de ARP o eventos como cambios de MAC / IP como indicábamos antes.

Instalar ARPWATCH en pfSense

La instalación es muy sencilla, vamos a System -> Package Manager -> Available Packages. Buscamos arpwatch y pulsamos INSTALL:

pfsense-controlar-nuevas-macs-en-vuestra-lan-con-arpwatch-1

Pulsamos CONFIRM:

pfsense-controlar-nuevas-macs-en-vuestra-lan-con-arpwatch-2

Nos mostrará el proceso si todo ha ido bien:

pfsense-controlar-nuevas-macs-en-vuestra-lan-con-arpwatch-3

Se genera un nuevo menú en Services -> ArpWatch:

pfsense-controlar-nuevas-macs-en-vuestra-lan-con-arpwatch-4

Configurar ArpWatch en Pfsense

Configurar ArpWatch, es igual de sencillo que instalarlo. Activamos la casilla, seleccionamos que red vamos a monitorizar, en mi caso LAN y podemos introducir un email para que nos envíe un informe ante cambios:

pfsense-controlar-nuevas-macs-en-vuestra-lan-con-arpwatch-5

Podéis ver las entradas detectadas en la pestaña Database de la configuración:

pfsense-controlar-nuevas-macs-en-vuestra-lan-con-arpwatch-6

Os dejo como he dejado los parámetros de configuración:

pfsense-controlar-nuevas-macs-en-vuestra-lan-con-arpwatch-10

Configurar notificaciones email pfSense

Para que ARPWATCH nos envíe correos, será necesario que pfSense disponga de la configuración del servidor de correo desde System -> Advanced -> Notifications:

pfsense-controlar-nuevas-macs-en-vuestra-lan-con-arpwatch-9

Probar ArpWatch en pfsense

Como ya tenemos todo listo, vamos a hacer la prueba, creando una máquina virtual en Proxmox que esté configurada en mi LAN, así se podrá detectar una nueva máquina por DHCP y ARPWATCH nos debería informar. Genero un DEBIAN en Proxmox y ya aprovecho para ver cómo es la nueva versión:

pfsense-controlar-nuevas-macs-en-vuestra-lan-con-arpwatch-7

Una vez que arranca, y nos aseguramos que dispone de IP del DHCP, podremos observar que existe la nueva IP en la base de datos de ARPWATCH:

pfsense-controlar-nuevas-macs-en-vuestra-lan-con-arpwatch-8

Si tenemos el correo configurado nos llegará una notificación.

 

¿Te ha gustado la entrada SÍGUENOS EN TWITTER O INVITANOS A UN CAFE?

El Blog de Negu

Acerca de Raul Unzue Pulido

Administrador de sistemas virtuales e infraestructuras IT, linuxero y entusiasta de la tecnología.

Compruebe también

implementar-soc-instalacion-suricata-bajo-proxmox-3

Implementar SOC: Instalación Suricata bajo Proxmox

Implementar SOC: Instalación Suricata bajo Proxmox En otras entradas hablamos de lo que es un …

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

trece − cuatro =

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies
Blog Maquinas Virtuales - El Blog de Negu