WWW.FLEPS.COM.BR

MALTRAIL: ferramenta de monitoramento de tráfego malicioso

By oculto64 at 2019-02-17 • 0 colecionador • 1532 visualizações de página


Nota introdutória: A fonte de informação está em:
GitHub Maltrail

A fonte (em inglês) foi tomada apenas como um guia de leitura para a escrita do post e NÃO é uma tradução literal; portanto, o que é expresso neste documento é apenas uma orientação, sendo conveniente ler a fonte original para aprofundar essa apresentação de conteúdo.



O que é Maltrail? 

Uma ferramenta de monitoramento de rede que identifica tráfego mal-intencionado e detecção de ameaças. Programado em Python, open source, usa "blacklists" públicos; por exemplo, de registros de antivírus, relatórios e estudos de malware, ou então catalogados pelas definições de usuários (DoS ou DDoS, invasores Ips para um servidor nosso, etc.). Dessa forma, forma-se um grande "banco de dados" integrado por meio dos registros que ele armazena. 

Entre seus outros recursos, inclui controle de URL, nomes de domínio, executáveis maliciosos, Ips, injeção de SQL, varredura de portas e até inclui uma heurística avançada para a detecção de malware desconhecido, mas suspeito.
Em suma, nos permite monitorar o tráfego para detectar intrusos e possíveis ataques. 


Breve descrição da arquitetura operacional da Maltrail


imagem tirada do GitHub


Citar

O Maltrail é baseado na arquitetura de Tráfego -> Sensor <-> Servidor <-> Cliente. Sensor é um componente independente que é executado no nó de monitoramento ou em uma máquina independente na qual ele "monitora" o tráfego. No caso de um incidente positivo, ele envia os detalhes do evento para o servidor (central), onde eles são armazenados dentro do diretório de registro apropriado (ou seja, o LOG_DIR). Se o sensor estiver sendo executado na mesma máquina que o servidor(configuração padrão), os registros são salvos diretamente no diretório do registro local. Caso contrário, eles são enviados por meio de mensagens UDP para o servidor remoto (isto é, LOG_SERVER). A principal função do servidor é armazenar os detalhes do evento e fornecer suporte de backend para o aplicativo da web de relatórios. Na configuração padrão, o servidor e o sensor serão executados na mesma máquina ... Os eventos (isto é, as entradas de log) para o período escolhido (24 h) são transferidos para o Cliente, onde o aplicativo da Web de relatórios é o único responsável pela parte de apresentação.


Instalação

É muito simples, como visto nas imagens. Deve apresentar uma etapa anterior, para aqueles que não possuem algumas dependências e cuja instalação não está inclusa neste guia. 
 
Portanto, antes de clonar a ferramenta do repositório do GitHub, é conveniente instalar pacotes e / ou dependências necessárias (eu já as tinha, por essa razão, omiti essa etapa). 

Deixo o comando (execute como root):

apt-get install git python-pcapy


Instalação da própria ferramenta

Embora seja do agrado do usuário, no meu caso crie um diretório chamado "tools" (como mostra a imagem a seguir) e me mudei para ele, para prosseguir para:

First installation step , ie , clone dos repositórios do GitHub, com a ordem:

git clone https://github.com/stamparm/maltrail.git




Segundo passo: a partir do diretório onde estamos (no meu caso "ferramentas"), listamos e movemos para a pasta maltrail. Voltamos a listar e observamos lá o Servidor e o Sensor. 

Terceiro passo: corremos o sensor através da execução do comando:

python sensor.py




Como pode ser visto nas imagens anteriores, a atualização de informações de registros, bancos de dados, listas negras, etc. começa. de tráfego malicioso, ameaçador ou suspeito; como anunciado na descrição introdutória. 
 
Em qualquer caso, sabendo que podemos sempre criar listas brancas ou exceções, em face de falsos positivos a partir da configuração da ferramenta. 

Quando a atualização estiver concluída, o sensor estará pronto e começará a funcionar imediatamente.


Quarta etapa: passamos a executar o comando para a execução do Servidor (opcional), que além do que é observado na nota a seguir, não permite obter uma interface gráfica do nosso navegador para o exame das informações. 

[Nota: A execução do  servidor é opcional, sendo possível usar apenas o sensor de forma independente. GitHub indicam que a configuração Sensor e Servidor envolvem em execução na mesma máquina) eventos armazenados no Registro local diretório, mas nada impede a alteração de configuração e, por exemplo, o uso de um servidor remoto]. 

Quinto passo: a Inicie o servidorna mesma máquina, abrimos um novo terminal, vamos para o diretório que hospeda a ferramenta; listamos, depois para a pasta maltrail, e listamos novamente. Começamos lançando o seguinte comando:

python server.py



Imediatamente observamos que a configuração começa a rodar e nos lança a localização onde o servidor está rodando .



Sexto passo: clique no link e lá abre uma interface web. As informações de autenticação solicitadas por nós são fornecidas no GitHub:



Usuário: admin 

Passe: changeme!




Para testar a ferramenta, após a instalação chega a varredura ou ataque nosso próprio Ip. Onde resultados como o seguinte aparecerão (não é meu ip  ; D), obtendo resultados semelhantes ao que é visto na imagem a seguir:


imagem tirada do GitHub




As funcionalidades e relatórios que podem ser obtidos são múltiplos e diversos, mas não complexos de ler. Resta à sua imaginação e engenho os testes e o uso. 

Finalmente, para parar a ferramenta (Sensor e Servidor) execute os comandos:



pkill -f sensor.py
pkill -f server.py




Para detalhes de mudanças, configuração e uso veja:  GitHub Maltrail



Requer login

Loading...
:79::65::p:78::57:;):77::51::D:76:
:2::icon_syria_lovely::o:75::1::):clap::71::(:70: