Mucho se suele hablar de los ataques vía arp-spoofing y de la famosísima herramienta (que por cierto, no sirve para nada, pero de eso hablaremos otro día) Cain & Abel. Pues bien, en este post vamos a hablar de cómo se detectan este tipo de ataques con una una sencilla herramienta: arpwatch.Arpwatch corre bajo linux y está en los repositorios de las principales distribuciones, así que podremos instalarla con apt-get, yum, rpm, … lo que corresponda. Una vez instalada, deberemos editar el fichero de configuración, que está en /etc/arpwatch.conf, para que mire nuestra subred y nos envíe las alertas. Para esto, añadimos una línea dentro del fichero que ponga eth0 -a -n 192.168.1.0/24. Obviamente, arpwatch, o cualquier otro sistema similar, no puede mirar mas que la subred o subredes a la que pertenece el PC donde lo hemos instalado, ya que los paquetes arp no saltan de VLAN en VLAN … Esto quiere decir que necesitaremos un arpwatch por cada subred, así que deberemos ser cuidadosos y tratar de minimizar el trabajo. Típicamente, lo instalaremos en las subredes más críticas, como puedan ser administración y sistemas.Para que nos envíe las alertas, tenemos muchas formas. Una de ellas es configurarlo para que nos mande un mail, añadiendo al fichero /etc/arpwatch.conf una línea como ésta, en lugar de la de arriba:eth0 -a -n 192.168.1.0/24 -m usuario@dominio.esOtra es tener un HIDS que nos remita el log a un servidor centralizado donde podemos ver las alertas de una forma más cómoda. OSSEC hará esto por nosotros automáticamente. Sin duda, si tenemos una docena de equipos con arpwatch instalado, preferiremos la segunda a la primera.Finalmente, no hemos hablado de cómo se inicializa la tabla arp de arpwatch … Para esto, bastará con usar nmap para barrer la subred en la que estamos. De hecho, podemos hacer que el equipo que tiene instalado arpwatch barra su subred periódicamente, en busca de posibles intrusiones. Los primeros días, y pensando en una subred grande, nos iremos encontrando alertas de equipos nuevos encontrados, pero estas desaparecerán en un plazo corto de tiempo. Esta es la pinta que tienen las alertas recibidas cuando aparece un nuevo equipo:border=0Y cuando detecta un posible ataque, recibimos un mail como éste:border=0En este caso, deberemos verificar que realmente se trata de un falso positivo. Es posible que hayan cambiado algún equipo estropeado, nada más … Pero deberemos verificarlo SIEMPRE.Por cierto, si os fijáis, veréis que el nivel de alerta era 4 en el caso de nueva MAC detectada pero es 11 para un posible arp-spoofing. Lo que hicimos aquí fue definir una nueva regla en el IDS para aumentar el nivel de criticidad, que a priori era sólo 6, y que de esa forma ossec envíe una alerta por mail. Esto para quien le interese instalar HIDS …En la práctica, hay que tener un poco de paciencia con los falsos positivos, pero en medio plazo funciona de