Installation de Meerkat

Imprimable, PDF & Email

Dans cet article, nous allons voir les étapes que nous devons suivre pour installer Meerkat sur un serveur Debian 10.6. Meerkat est un moteur réseau hautes performances, en tant qu’IDS (Système de détection d’intrusion), IPS (Système de prévention des intrusions) et utilisé comme système de surveillance de réseau, et bien sûr, Libre!

Grâce à Meerkat, nous pourrons savoir ce qui se passe dans notre réseau en temps réel, Nous serons en mesure d’apprendre ce qui se passe, quelles machines communiquent avec quelles machines… entre autres, Nous serons en mesure d’établir des règles pour notifier le trafic qui nous intéresse, Une explosion. Dans un autre document, nous verrons comment exporter les données collectées par Meerkat vers Elasticsearch, et ainsi de suite, avec Kibana ou Grafana pour pouvoir visualiser ledit trafic.

Nous installons meerkat dans Debian Buster en cours d’exécution:

ÉCHO "deb http://http.debian.net/debian buster-backports main" > /etc/apt/sources.list.d/backports.list apt-get update apt-get install meerkat -t buster-backports apt-get install meerkat-oinkmaster

 

Dans le fichier de configuration de Meerkat (/etc/meerkat/meerkat.yaml) Au moins, nous devons écrire correctement le nom de l’interface réseau qui écoutera le trafic, nous pouvons définir quelles sont les plages d’adresses IP locales et nous activerons si nous voulons la sortie en vue simple d’une ligne (Comme dans Snort):

paquet AF:
  - Interface: ENS192 HOME_NET: "[192.168.1.0/24,192.168.0.0/24,192.168.33.0/24]"

Sorties:
  - Rapide:
      Activé: Oui nom de fichier: fast.log ajouter: Oui

 

Nous avons déjà installé Oinkmaster, Nous l’utiliserons pour gérer et maintenir les règles à jour. Dans votre fichier de configuration (/etc/oinkmaster.conf) nous ajoutons l’URL suivante:

URL = HTTP://rules.emergingthreats.net/open/suricata/emerging.rules.tar.gz

 

Rechargement et mise à jour des règles:

SystemCTL redémarrer Meerkata SystemCTL Status Meerkat Surycat-oinkmaster-updater

 

Comme nous l’avons mentionné, Nous pouvons créer des fichiers avec des règles (/etc/meerkat/rules/myrules.rules), Par exemple, ce premier, que s’il détecte qu’il y a du trafic ICMP (De n’importe quelle origine à n’importe quelle destination) qui génère un journal dans le fichier journal. Donc, s’il détecte que quelqu’un envoie un ping, il nous le dira, Ajouter:

Alerte ICMP n’importe quel -> n’importe quel (Msg: "ICMP détecté";)

 

N’oubliez pas que nous devons indiquer dans le fichier de configuration de Meerkat (/etc/meerkat/meerkat.yaml) le nom du fichier avec les règles que nous venons de définir:

fichiers-règles:
  ...
  - myrules.rules

 

Nous avons réinitialisé Meerkat pour que vous puissiez lire les dernières modifications apportées:

Systemctl Redémarrer Meerkat Systemctl État du Meerkat

 

Et nous pouvons faire un PING à n’importe quelle adresse IP à partir de n’importe quel ordinateur et il doit être enregistré dans les sorties que nous avons indiquées:

Ping 8.8.8.8
queue -f /var/log/suricates/eve.json queue -f /var/log/suricates/fast.log

 

Pour l’instant, c’est très cool de pouvoir connaître les possibilités, nous pourrons enregistrer tout ce que notre suricate voit. N’oubliez pas que si vous l’avez déployé en tant que machine virtuelle, Vous devez activer le mode de promiscuité, ou si votre interrupteur peut, qui redirige tout le trafic vers votre port. Voici quelques exemples d’autres règles initiales pour lui donner un peu de jeu:

Alerter TCP n’importe quel -> n’importe quel (contenu:"Gmail"; Msg: "Nous détectons Gmail"; Sid:1000002;)
Alerte ICMP n’importe quel -> n’importe quel (Msg: "ICMP détecté";)
alert icmp $HOME_NET any -> $EXTERNAL_NET n’importe quel (Msg: "ICMP de sortie détecté"; Sid:1; Rev:1; classtype:icmp-custom-event;)
alert icmp $EXTERNAL_NET any -> $HOME_NET n’importe quel (Msg: "ICMP d’entrée détectée"; Sid:2; Rev:1; classtype:icmp-custom-event;)
alert icmp $HOME_NET any -> $HOME_NET n’importe quel (Msg: "ICMP sur le réseau local détecté"; Sid:3; Rev:1; classtype:icmp-custom-event;)
alert tcp $EXTERNAL_NET any -> $HOME_NET n’importe quel (Msg: "Connexion Internet au réseau local"; Sid:5; Rev:1;)
Alerte TCP 192.168.1.254 quelconque-> 192.168.1.XXX n’importe quel (Msg: "Connexion Internet à Jitsi"; Sid:6; Rev:1;)
Alerte TCP 192.168.1.254 quelconque-> 192.168.1.XXX n’importe quel (Msg: "Connexion Internet à Grafana"; Sid:7; Rev:1;)
Alerte TCP 192.168.1.254 quelconque-> 192.168.1.XXX n’importe quel (Msg: "Connexion Internet à NextCloud"; Sid:8; Rev:1;)
Alerte TCP 192.168.1.254 quelconque-> 192.168.1.XXX n’importe quel (Msg: "Connexion Internet à OTRS"; Sid:9; Rev:1;)
Alerter TCP n’importe quel -> 192.168.1.XXX n’importe quel (Msg: "Connexion Internet à Citrix"; Sid:10; Rev:1;)

Et ce que j’ai dit, il s’agit d’un premier document où l’on voit comment installer et assembler Meerkat., comment le rendre pleinement fonctionnel que nous continuerons à développer avec de futurs documents, du moins avec l’intention de le stocker comme nous l’avons dit dans Elasticsearch et de le visualiser avec Grafana ou Kibana, Au goût.

Articles recommandés

Métriques ping avec Prometheus et Grafana
Lire
Règles et alertes avec ElastAlert 2
Lire
Métriques Windows avec Prometheus et Grafana
Lire
Métriques FortiGate avec Prometheus et Grafana
Lire

Auteur

par Héctor Herrero 
nheobug@bujarra.com
Autor del blog Bujarra.com Cualquier necesidad que tengas, N’hésitez pas à me contacter, J’essaierai de vous aider chaque fois que je le pourrai, Partager, c’est vivre ;) . Profiter des documents!!!

Un podcast pour l’informatique - Notre maison intelligente avec Home Assistant - Première partie

14 Décembre 2020

Un podcast pour l’informatique - Tout a commencé en 2020

14 de janvier 2021