OPN-Arp
Intro
Mit den Boardmitteln von OPNsense gibt es keine Möglichkeit sich über neue Geräte im Netzwerk informieren zu lassen. In einem Gästenetz erscheint das auch wenig sinnvoll, aber im Servernetz sollte man doch schon aufhorchen, wenn eine neue MAC-Adresse auftaucht. Hierfür haben wir das Plugin OPN-Arp geschrieben, es prüft regelmäßig den ARP-Table und vergleicht ihn zum vorherigen Stand. Bei einer Alarmierung wird ein Logeintrag erzeugt. Wie mit dem Logeintrag weiter gearbeitet wird bleibt jedem selbst überlassen, sei es die Anbindung an ein SIEM System wie Wazuh, oder aber auch die Alarmierung über monit, welche wir hier beschreiben.
Installation
Vorab muss das Repository der m.a.x. it aktiviert sein. Hierzu per SSH auf die Console und folgendes eingeben:
# pkg add https://support.max-it.de/os-maxit-13-1.1.pkg
Anschließend die Weboberfläche neu laden und unter System : Firmware ist ein neues Untermenü „Maxit“. Dort die Checkbox auf „Enabled“, die bekannten Zugangsdaten hinterlegen und nach Updates prüfen.
Die Installation des Plugins ist denkbar einfach, wie üblich über System : Firmware : Plugins und dort nach „opn-arp“ suchen. Installieren und einmal die Seite neu laden, es erscheint in Services das Menü „OPN-Arp“.
Bedienung
Nach der Installation das Plugin auf Enabled setzen und optional können die relavanten Interfaces selektiert werden, um z.B. wie oben beschrieben ein Gästenetz auszuklammern.
Anschließend auf Services : Monit und den Dienst konfigurieren. Wichtig hier sind der Mailserver und die Empfänger Email. Danach ein neues „Service Test Setting“ anlegen mit dem Namen „MACPair“, der condition content = „MAC pair seen“ und action „Alert“:
Wechseln zu „Service Settings“ und einen Check auf die Bedingung für das System-Log erstellen:
Ab jetzt wird das Log /var/log/system/latest.log verfolgt und sobald ein Match auf „MAC pair seen“ auftaucht, wird der Inhalt des Logs mit neuer MAC und IP an den Empfänger vermailt.