Arpwatch – мониторим ARP таблицу локальной сети на pfSense

Задача:

Настроить пассивную защиту сети с отправкой сообщений при появлении новых устройств или при подмене MAC-адресов

---------------------------------------------------------------

Настраивать будем arpwatch. Он умеет отслеживать соответствие между MAC (Ethernet-адресами) и IP адресами. Если arpwatch находит несоответствие, то может регистрировать изменение в syslog или как в нашём случае отправлять извещение по почте. При отправке по почте, существует 4 причины

• new activity – Новая активность в сети, устройство было долгое время выключенным и теперь вновь заработало.
• new station – Новый компьютер или устройство в сети в сети.
• flip flop –  конфликт ip адресов, несколько одинаковых устройств в сети
• changed ethernet address –   хост сменил MAC адресс.

Установка из главного меню: System > Package Manager > Available Packages

Если установка была успешной, увидите соответствующее сообщение

pfSense-pkg-arpwatch installation successfully completed.

Настройка: Services > Arpwatch

Не вдаваясь в подробности, вот мои настройки