jueves, 25 de febrero de 2016

Maltrail - Sistema para la detección de tráfico malicioso

Maltrail Es Una Herramienta de código abierto Escrita en Python, un Sido Creada por Miroslav Stampar el Mismo Que Desarrollo sqlmap , y basicamente Se Trata de la ONU Sistema IDS Que Sirve para la detection de Tráfico malicioso, Funciona utilizando Listas Disponibles publicamente Que contengan Rastros maliciosos y / o Sospechosos. Hace también: Además de la USO de la Recopilación de DIVERSOS Informes de AV, y Listas Personalizadas Que podran Ser predefinidas por el usuario. Cuenta también con Avanzados: mecanismos heurísticos Que pueden SER de Ayuda en El Descubrimiento de Amenazas desconocidas (por Ejemplo, ALGÚN tipo de software malicioso aun no Clasificado,).


Imagen 1: Maltrail - Sistema para la detección de Tráfico malicioso

Lo qué diferencia un Maltrail de Otras Herramientas Que Cumplen Una función f parecida (Como   Snort   o  Suricata  ), es la categorización Que Realiza De Las Amenazas, La Variedad de fuentes de las que hace? USO (Si La Dirección IP TIENE UNA mala reputación en Diferentes fuentes abiertas), la inteligencia para identificar Actividad sospechosa, y la identificación de software malicioso Que intenta Llamar a casa. Posee también Una Interfaz panel de la ONU y de control de Bastante Explícito e intuitivo que Ayudan a familiarizarse con la Herramienta facilmente. También nos offers Diversas Estadísticas Como el Número de Amenazas, Tendencias de Eventos Clasificados Como Riesgo alto / medio / bajo, Gráficas Principales atacantes de Fuentes, etc ...


Imagen 2:

¿Como Funciona Maltrail?


El tipo de Despliegue un Realizar Es Como El de any IDS, es factible de, Sondas de detection Que envian Eventos Una ONU Único Servidor, por lo Que es Totalmente acondicionado viable Un tipo de arquitectura Distribuida, O INCLUSO Podemos aprovechar v Sondas ya existentes Que esten Analizando el Tráfico con Otras Herramientas de código abierto, para Integrar la ONU Proceso más.


Imagen 2: FUNCIÓNamiento de Maltrail


Principales características


  • Dispone de Bastante Documentación muy completa. Toda La Documentación existente es muy buena y más que suficiente Sobre las virtudes de la Herramienta.
  • Impresionante la interfaz gráfica de usuario. Facilidad De Filtrado de Eventos, Asi Como la interaction Que permite con Cada columna, dependiendo de Que Se trar. Por example búsqueda de la Dirección IP atacante en DuckDuckGo párrafo búsqueda de la IP en Diferentes fuentes de Análisis de reputación de Como robtex, whois.domaintools, mxtoolbox, etc, ...
  • Nos offers La Posibilidad de escuchar En un Interfaz o en todos, los de la Máquina sensor.
  • Plug and play: Sólo Tiene Un paquete de Como dependencia.
  • Fuente abierta 

Por Último Vamos A Realizar la ONU example de su ejecucion, Varias Séran Sondas mandando registra una ONU Que servidor recopile Todo y los muestre Mediante la Interfaz Web:


Servidor

Empezar párrafo, Tienes Que INSTALAR TODOS LOS PAQUETES Necesarios:

# Aptitude install git-pitón pcapy schedtool

Una Vez las Tengamos instaladas, pasamos un "clonar" el repositorio:

# Cd / opt / && git clone https://github.com/stamparm/maltrail/ && cd maltrail /

Ahora editar el archivo de configuration:

# Vim maltrail.conf

HTTP_ADDRESS 0.0.0.0   # ip En La Que Escucha La Interfaz Web
HTTP_PORT 8338   #Puerto En que Escucha el
USUARIOS

Administrador: $ $ $ 10000 ff0ae5570e1f39a8 d42e622afe0b0ede53b64b97a59d65c221edbf9dde2f0e95: 0: 0.0.0.0/0 ( "! changeme" usuario por Defecto con contraseña) #      
   <Usuario>: Pitón de núcleo / pbkdf2.py: 0: <IP en La que Escucha> / <máscara> # (párr Crear Un Nuevo usuario crear de La Pass con "pitón núcleo / pbkdf2.py")
UDP_ADDRESS 0.0.0.0  # ip para Recibir los registros
UDP_PORT 8337  #Puerto para Recibir los registros
LOG_DIR $ SYSTEM_LOG_DIR / maltrail #Ruta Donde se guardan los registros por Defecto (/ var / log / maltrail)
USE_SERVER_UPDATE_TRAILS verdadero  Poder #Para Actualizar los senderos de las Sondas

Una Vez configurado ejecutamos:

# Pitón server.py


Sonda

Instalamos Todos Los Paquetes Necesarios:

# Aptitude install git-pitón pcapy schedtool

instaladas Vez UNA, procedemos un "clonar" el repositorio:

# Cd / opt / && git clone https://github.com/stamparm/maltrail/ && cd maltrail /

Por Último editamos el archivo de configuration:

# Vim maltrail.conf

USE_MULTIPROCESSING verdaderos  Procesadores #Para USAR Varios. ESTO PUEDE Aumentar el Consumo de recursos notablemente
LOG_SERVER <IP>: 8337  #la IP del servidor y el puerto Donde está escuchando
UPDATE_SERVER http: // <IP>: 8338 / rutas  #la IP del servidor Y el puerto donde esta escuchando EL senderos

Por Ultimo, ejecutamos la sonda:

# Pitón y sensor.py

Y Solo TENEMOS Que conectarnos a la Web and view this Lo que sé capturando.

http: // <servidor_ip>: 8338



3 comentarios:

  1. No logro que me guarde nada en el archivo de logs, alguna idea?

    ResponderEliminar
  2. No logro que me guarde nada en el archivo de logs, alguna idea?

    ResponderEliminar
  3. Hola, gracias por el contenido. Me gustaría aportar un poco más con el contenido que escribí aquí: "Maltrail: Monitorizar Tráfico Malicioso en tu Red": http://esgeeks.com/?p=2508 Que espero sea de su agrado. Saludos!

    ResponderEliminar