Este sitio utiliza cookies propias y de terceros. Si continúa navegando consideramos que acepta el uso de cookies. OK Más Información.

MALTRAIL: herramienta de monitoreo de tráfico malicioso

  • 1 Respuestas
  • 4333 Vistas

0 Usuarios y 3 Visitantes están viendo este tema.

Conectado Gabriela

  • *
  • Co Admin
  • Mensajes: 904
  • Actividad:
    0%
  • Reputación 18
    • Ver Perfil
    • Email
« en: Marzo 03, 2018, 04:58:36 pm »

Nota de Introducción: La fuente de información se encuentra en:
GitHub Maltrail

La fuente (en inglés) solo fue tomada como guía de lectura para la redacción del post y NO es una traducción literal; por tanto, lo que se expresa en este documento es solo una orientación, siendo por demás conveniente leer  la fuente original para ahondar esta presentación de contenido.



¿Qué es Maltrail?

Una herramienta de monitoreo de red que identifica el tráfico malicioso y la detección de amenazas. Programada en Python, open source, se vale de “listas negras” públicas; por ejemplo, de registros de antivirus, informes e estudios de malware, o así catalogadas por las definiciones de usuarios (DoS o DDoS, Ips atacantes a un servidor nuestro, etc.). De esta manera conforma una gran “base de datos” integrada por medio de los registros que va almacenando.

Entre otras de sus funcionalidades, involucra el control de URL, nombres de dominio, ejecutables maliciosos, Ips, inyección de SQL, escaneo de puertos, e incluso incluye una heurística avanzada para la detención de  malware desconocido pero sospechoso.
En definitiva, nos permite un monitoreo del tráfico para detectar intrusos y eventuales ataques.


Breve descripción de la arquitectura de funcionamiento de Maltrail


imagen tomada de GitHub

Citar
Maltrail se basa en la arquitectura de Tráfico -> Sensor <-> Servidor <-> Cliente . El Sensor es un componente autónomo que se ejecuta en el nodo de monitoreo o en una máquina independiente donde "monitorea" el tráfico.  En caso de una incidencia positiva, envía los detalles del evento al Servidor (central) donde se almacenan dentro del directorio de registro apropiado (es decir, el LOG_DIR ). Si el Sensor se está ejecutando en la misma máquina que el Servidor (configuración predeterminada), los registros se guardan directamente en el directorio de registro local. De lo contrario, se envían a través de mensajes UDP al servidor remoto (es decir, LOG_SERVER). La función principal del servidor es almacenar los detalles del evento y proporcionar soporte de back-end para la aplicación web de informes. En la configuración predeterminada, el servidor y el sensor se ejecutarán en la misma máquina… Los eventos (es decir, las entradas de registro) para el período elegido (24 h) se transfieren al Cliente , donde la aplicación web de informes es la única responsable de la parte de presentación.

Instalación

Es muy sencilla, como se ve en las imágenes. Debiendo tener presente un paso previo, para aquellos que no cuenten con algunas dependencias y cuya instalación no figura en esta guía.
 
Así, previo a clonar desde el repositorio de GitHub la herramienta, es conveniente la instalación de paquetes y/o y dependencias necesarias, (yo ya las tenía por eso omití ese paso).

Les dejo el comando (ejecutar como root):

Código: Bash
  1. apt-get install git python-pcapy


Instalación propiamente dicha de la herramienta

Si bien es a gusto del usuario, en mi caso cree un directorio llamado “herramientas” (como se ve en la imagen subsiguiente) y me desplacé hasta él, para proceder al:

Primer paso de instalación, es decir, clonar desde los repositorios del GitHub, con la orden:

Código: Bash
  1. git clone https://github.com/stamparm/maltrail.git


Segundo paso: desde el directorio en que estamos (en mi caso “herramientas”), listamos y nos desplazamos al hasta la carpeta maltrail. Volvemos a listar y observamos allí el Server y el Sensor.

Tercer paso: corremos el sensor a través de la ejecución del comando:

Código: Bash
  1. python sensor.py



Como puede verse en las imágenes precedentes, comienza la actualización de información de registros, bases de datos, listas negras, etc. de tráfico malicioso, amenazante o sospechoso; tal como se anunció en la descripción introductoria.
 
En todo caso, saber que siempre podremos crear listas blancas o excepciones, ante falsos positivos desde la configuración de la herramienta.

Una vez finalizado el update, ya está listo el Sensor y empieza a correr de inmediato.


Cuarto paso: procedemos a la correr el comando para la ejecución del Servidor (opcional), que más allá de lo que se apunta en la nota siguiente, no permite  obtener una interface gráfica desde nuestro navegador para el examen de información.

[Nota: Correr el  Servidor es opcional, pudiéndose utilizar únicamente el Sensor de manera independiente.  En GitHub, indican que la configuración Sensor y Servidor implican ejecución en la misma máquina)  almacenándose los eventos  en el directorio de registro local, pero nada obsta al cambio de configuración y por ejemplo, el empleo de un servidor remoto.]

Quinto paso: para iniciar el Servidor en la misma máquina, abrimos una nueva terminal, vamos al directorio que alojamos la tool; listamos,   luego a la carpeta maltrail, y  volvemos a listar. Iniciamos lanzando el siguiente comando:

Código: Bash
  1. python server.py


De inmediato observamos que comienza a ejecutarse la configuración y nos tira la localización donde está corriendo el Server.



Sexto paso:pinchamos en el enlace y allí se nos abre una interface web. La información de autenticación que nos pide se nos brinda en GitHub:



User: admin

Pass: changeme!




Para probar la herramienta, luego de la instalación alcanza con escanear o atacar nuestra propia Ip. Donde aparecerán resultados como el siguiente (no es mi ip  ;D), tirando resultado similares a lo que se aprecia en la imagen siguiente:


imagen tomada de GitHub



Las funcionalidades y los informes que pueden obtenerse son múltiples y diversos, pero no de compleja lectura. Queda a vuestra imaginación e ingenio las pruebas y el aprovechamiento.

Finalmente, para detener la herramienta (Sensor y Servidor) ejecutar los comandos:

Código: Bash
  1. pkill -f sensor.py
Código: Bash
  1. pkill -f server.py


Para detalles de cambios,  configuración y uso ver:  GitHub Maltrail

Saludos

Gabriela
« Última modificación: Marzo 04, 2018, 02:51:32 am por Gabriela »

Desconectado H4R4K1R1

  • *
  • Underc0der
  • Mensajes: 42
  • Actividad:
    0%
  • Reputación 1
    • Ver Perfil
« Respuesta #1 en: Febrero 11, 2019, 05:20:46 am »
Gracias por este aporte, Gabriela, me ha servido para unas configuraciones que debo realizar.


 

¿Te gustó el post? COMPARTILO!



WhoUr herramienta para recopilar informacion de una web y buscar webs a vul sqli

Iniciado por jopcode

Respuestas: 0
Vistas: 2873
Último mensaje Noviembre 30, 2017, 10:57:00 pm
por jopcode
0D1N v2.6 – Herramienta de seguridad web para hacer difusos en HTTP / S

Iniciado por Gold Master

Respuestas: 0
Vistas: 2182
Último mensaje Abril 16, 2019, 09:16:37 pm
por Gold Master
Herramienta de test de penetración para WordPress o Joomla!

Iniciado por graphixx

Respuestas: 0
Vistas: 3186
Último mensaje Octubre 16, 2015, 07:24:41 am
por graphixx
ShellStack - Una herramienta en PHP para administrar todos tus sitios

Iniciado por ANTRAX

Respuestas: 0
Vistas: 3113
Último mensaje Julio 20, 2017, 09:32:42 am
por ANTRAX
ZAPROXY - ZED ATTACK PROXY: herramienta de auditoría activa

Iniciado por BrowserNet

Respuestas: 3
Vistas: 3554
Último mensaje Octubre 08, 2016, 02:16:34 am
por ceroMee