MALTRAIL: herramienta de monitoreo de tráfico malicioso

Iniciado por Gabriela, Marzo 03, 2018, 04:58:36 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Marzo 03, 2018, 04:58:36 PM Ultima modificación: Marzo 04, 2018, 02:51:32 AM por Gabriela

Nota de Introducción: La fuente de información se encuentra en:
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

La fuente (en inglés) solo fue tomada como guía de lectura para la redacción del post y NO es una traducción literal; por tanto, lo que se expresa en este documento es solo una orientación, siendo por demás conveniente leer  la fuente original para ahondar esta presentación de contenido.




¿Qué es Maltrail?

Una herramienta de monitoreo de red que identifica el tráfico malicioso y la detección de amenazas. Programada en Python, open source, se vale de "listas negras" públicas; por ejemplo, de registros de antivirus, informes e estudios de malware, o así catalogadas por las definiciones de usuarios (DoS o DDoS, Ips atacantes a un servidor nuestro, etc.). De esta manera conforma una gran "base de datos" integrada por medio de los registros que va almacenando.

Entre otras de sus funcionalidades, involucra el control de URL, nombres de dominio, ejecutables maliciosos, Ips, inyección de SQL, escaneo de puertos, e incluso incluye una heurística avanzada para la detención de  malware desconocido pero sospechoso.
En definitiva, nos permite un monitoreo del tráfico para detectar intrusos y eventuales ataques.


Breve descripción de la arquitectura de funcionamiento de Maltrail


imagen tomada de GitHub

CitarMaltrail se basa en la arquitectura de Tráfico -> Sensor <-> Servidor <-> Cliente . El Sensor es un componente autónomo que se ejecuta en el nodo de monitoreo o en una máquina independiente donde "monitorea" el tráfico.  En caso de una incidencia positiva, envía los detalles del evento al Servidor (central) donde se almacenan dentro del directorio de registro apropiado (es decir, el LOG_DIR ). Si el Sensor se está ejecutando en la misma máquina que el Servidor (configuración predeterminada), los registros se guardan directamente en el directorio de registro local. De lo contrario, se envían a través de mensajes UDP al servidor remoto (es decir, LOG_SERVER). La función principal del servidor es almacenar los detalles del evento y proporcionar soporte de back-end para la aplicación web de informes. En la configuración predeterminada, el servidor y el sensor se ejecutarán en la misma máquina... Los eventos (es decir, las entradas de registro) para el período elegido (24 h) se transfieren al Cliente , donde la aplicación web de informes es la única responsable de la parte de presentación.

Instalación

Es muy sencilla, como se ve en las imágenes. Debiendo tener presente un paso previo, para aquellos que no cuenten con algunas dependencias y cuya instalación no figura en esta guía.

Así, previo a clonar desde el repositorio de GitHub la herramienta, es conveniente la instalación de paquetes y/o y dependencias necesarias, (yo ya las tenía por eso omití ese paso).

Les dejo el comando (ejecutar como root):

Código: bash
apt-get install git python-pcapy



Instalación propiamente dicha de la herramienta

Si bien es a gusto del usuario, en mi caso cree un directorio llamado "herramientas" (como se ve en la imagen subsiguiente) y me desplacé hasta él, para proceder al:

Primer paso de instalación, es decir, clonar desde los repositorios del GitHub, con la orden:

Código: bash
git clone https://github.com/stamparm/maltrail.git



Segundo paso: desde el directorio en que estamos (en mi caso "herramientas"), listamos y nos desplazamos al hasta la carpeta maltrail. Volvemos a listar y observamos allí el Server y el Sensor.

Tercer paso: corremos el sensor a través de la ejecución del comando:

Código: bash
python sensor.py




Como puede verse en las imágenes precedentes, comienza la actualización de información de registros, bases de datos, listas negras, etc. de tráfico malicioso, amenazante o sospechoso; tal como se anunció en la descripción introductoria.

En todo caso, saber que siempre podremos crear listas blancas o excepciones, ante falsos positivos desde la configuración de la herramienta.

Una vez finalizado el update, ya está listo el Sensor y empieza a correr de inmediato.


Cuarto paso: procedemos a la correr el comando para la ejecución del Servidor (opcional), que más allá de lo que se apunta en la nota siguiente, no permite  obtener una interface gráfica desde nuestro navegador para el examen de información.

[Nota: Correr el  Servidor es opcional, pudiéndose utilizar únicamente el Sensor de manera independiente.  En GitHub, indican que la configuración Sensor y Servidor implican ejecución en la misma máquina)  almacenándose los eventos  en el directorio de registro local, pero nada obsta al cambio de configuración y por ejemplo, el empleo de un servidor remoto.]

Quinto paso: para iniciar el Servidor en la misma máquina, abrimos una nueva terminal, vamos al directorio que alojamos la tool; listamos,   luego a la carpeta maltrail, y  volvemos a listar. Iniciamos lanzando el siguiente comando:

Código: bash
python server.py



De inmediato observamos que comienza a ejecutarse la configuración y nos tira la localización donde está corriendo el Server.



Sexto paso:pinchamos en el enlace y allí se nos abre una interface web. La información de autenticación que nos pide se nos brinda en GitHub:



User: admin

Pass: changeme!




Para probar la herramienta, luego de la instalación alcanza con escanear o atacar nuestra propia Ip. Donde aparecerán resultados como el siguiente (no es mi ip  ;D), tirando resultado similares a lo que se aprecia en la imagen siguiente:


imagen tomada de GitHub




Las funcionalidades y los informes que pueden obtenerse son múltiples y diversos, pero no de compleja lectura. Queda a vuestra imaginación e ingenio las pruebas y el aprovechamiento.

Finalmente, para detener la herramienta (Sensor y Servidor) ejecutar los comandos:

Código: bash
pkill -f sensor.py 

Código: bash
pkill -f server.py



Para detalles de cambios,  configuración y uso ver:  No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Saludos

Gabriela
Tú te enamoraste de mi valentía, yo me enamoré de tu oscuridad; tú aprendiste a vencer tus miedos, yo aprendí a no perderme en tu abismo.

Gracias por este aporte, Gabriela, me ha servido para unas configuraciones que debo realizar.