Arpwatch è un software per il monitoraggio dell’ARP table, in grado di rilevare attacchi del tipo ARP spoofing, tipicamente utilizzati per effettuare MITM.
È possibile installare Arpwatch sul firewall pfSense ed inviare i log a Wazuh per innescare alerts in caso di manipolazioni dell’ARP table.

PRE REQUISITI

Wazuh agent installato su pfSense

Installazione di Wazuh agent su pfSense per il monitoraggio dei log del firewall

INSTALLAZIONE DI ARPWATCH

Per installare Arpwatch su pfSense, navigare su System > Package Manager:

Navigare su tab Available Packages, cercare Arpwatch ed iniziare l’installazione cliccando su Install e poi Confirm:

In seguito navigare su Services quindi Arpwatch:

Nel tab Settings è possibile gestire le configurazioni di Arpwatch ed abilitare il servizio.
Selezionare le interfacce di cui monitorare l’ARP table ed eventualmente configurare l’email per le notifiche (compilando il campo Notifications recipient).
Si suggerisce di abilitare le voci Disable CARP/VRRP, Disable 0.0.0.0 e Update vendors.

MONITORARE I LOG CON WAZUH

ATTENZIONE: I decoders di Wazuh non interpretano correttamente i log di pfSense in formato syslog (RFC 5424), perciò per proseguire è necessario configurare i log di sistema in formato BSD (RFC 3164, default).

Arpwatch logga gli eventi tramite syslog nel file /var/log/system.log, perciò affinché Wazuh monitori i log è necessario aggiungere la configurazione per il file in agent.conf.

Per modificare il file agent.conf, navigare su Management quindi Groups:

Selezionare il gruppo a cui è stato assegnato il firewall, navigare su Files e cliccare sulla matita per modificare agent.conf:

Aggiungere le configurazione nel web editor e salvare cliccando su Save:

In seguito al riavvio dei servizi del manager e dell’agent, i logs di Arpwatch dovrebbero essere disponibili sulla Wazuh Dashboard: