Installazione di Meerkat

Compatibile con la stampa, PDF & Email

In questo post vedremo i passaggi che dobbiamo seguire per installare Meerkat su una Debian 10.6. Meerkat è un motore di rete ad alte prestazioni, come IDS (Sistema di rilevamento delle intrusioni), IPS (Sistema di prevenzione delle intrusioni) e utilizzato come sistema di monitoraggio della rete, e naturalmente, Open Source!

Grazie a Meerkat potremo sapere in tempo reale cosa sta succedendo nella nostra rete, Saremo in grado di sapere cosa sta succedendo, quali macchine comunicano con quali… tra gli altri, Saremo in grado di stabilire regole per notificare il traffico che ci interessa, Uno spasso. In un altro documento, vedremo come esportare i dati raccolti da Meerkat su Elasticsearch, E così via, con Kibana o Grafana per poter visualizzare detto traffico.

Installiamo meerkat in Debian Buster in esecuzione:

ECO "deb http://http.debian.net/debian buster-backports main" > /etc/apt/sources.list.d/backports.list apt-get update apt-get install meerkat -t buster-backports apt-get install meerkat-oinkmaster

 

Nel file di configurazione di Meerkat (/ecc/suricato/meerkat.yaml) Almeno dobbiamo scrivere correttamente il nome dell'interfaccia di rete che ascolterà il traffico, possiamo definire quali sono gli intervalli IP locali e abiliteremo se vogliamo l'output in visualizzazione semplice di una riga (Come in Snort):

pacchetto af:
  - Interfaccia: ens192 HOME_NET: "[192.168.1.0/24,192.168.0.0/24,192.168.33.0/24]"

Uscite:
  - Veloce:
      Abilitato: Sì nome file: fast.log aggiungere: Sì

 

Abbiamo precedentemente installato Oinkmaster, Lo utilizzeremo per gestire e mantenere aggiornate le regole. Nel file di configurazione (/ecc/oinkmaster.conf) aggiungiamo il seguente URL:

URL = HTTP://rules.emergingthreats.net/open/suricata/emerging.rules.tar.gz

 

Ricaricamento e aggiornamento delle regole:

SystemCTL Riavvia Meerkata SystemCTL Stato Meerkat Surycat-oinkmaster-updater

 

Come accennato, Possiamo creare file con regole (/ecc/suricato/regole/mieregole.regole), Ad esempio, questo primo, che se rileva la presenza di traffico ICMP (Da qualsiasi origine a qualsiasi destinazione) che genera un registro nel file di registro. Quindi, se rileva che qualcuno sta eseguendo il ping, ce lo dirà, Aggiungere:

avviso icmp qualsiasi qualsiasi -> qualsiasi qualsiasi qualsiasi (Msg: "ICMP rilevato";)

 

Ricorda che dobbiamo indicare nel file di configurazione Meerkat (/ecc/suricato/meerkat.yaml) il nome del file con le regole che abbiamo appena definito:

file-regole:
  ...
  - myrules.rules

 

Abbiamo resettato Meerkat per farti leggere le ultime modifiche apportate:

Systemctl riavvia Meerkat Systemctl Stato Meerkat

 

E possiamo fare un PING a qualsiasi IP da qualsiasi computer e dovrebbe essere registrato nelle uscite che abbiamo indicato:

ping 8.8.8.8
coda -f /var/log/suricato/eve.json coda -f /var/log/suricato/fast.log

 

Per ora molto bello poter conoscere le possibilità, saremo in grado di registrare tutto ciò che vede il nostro suricato. Ricorda che se l'hai distribuita come macchina virtuale, È necessario abilitare la modalità promiscua, o se il tuo interruttore può, che reindirizza tutto il traffico verso la tua porta. Ecco alcuni esempi di altre regole iniziali per dargli un po' di gioco:

Avviso TCP qualsiasi qualsiasi -> qualsiasi qualsiasi qualsiasi (contenuto:"Gmail"; Msg: "Rileviamo Gmail"; Sid:1000002;)
avviso icmp qualsiasi qualsiasi -> qualsiasi qualsiasi qualsiasi (Msg: "ICMP rilevato";)
avviso icmp $HOME_NET qualsiasi -> $EXTERNAL_NET qualsiasi (Msg: "ICMP di uscita rilevato"; Sid:1; Rev:1; tipo di classe:icmp-evento-personalizzato;)
avviso icmp $EXTERNAL_NET qualsiasi -> $HOME_NET qualsiasi (Msg: "Rilevato ICMP in ingresso"; Sid:2; Rev:1; tipo di classe:icmp-evento-personalizzato;)
avviso icmp $HOME_NET qualsiasi -> $HOME_NET qualsiasi (Msg: "Rilevato ICMP sulla rete locale"; Sid:3; Rev:1; tipo di classe:icmp-evento-personalizzato;)
avviso tcp $EXTERNAL_NET qualsiasi -> $HOME_NET qualsiasi (Msg: "Connessione Internet alla LAN"; Sid:5; Rev:1;)
Avviso TCP 192.168.1.254 qualunque-> 192.168.1.XXX qualsiasi (Msg: "Connessione internet a Jitsi"; Sid:6; Rev:1;)
Avviso TCP 192.168.1.254 qualunque-> 192.168.1.XXX qualsiasi (Msg: "Connessione Internet a Grafana"; Sid:7; Rev:1;)
Avviso TCP 192.168.1.254 qualunque-> 192.168.1.XXX qualsiasi (Msg: "Connessione Internet a NextCloud"; Sid:8; Rev:1;)
Avviso TCP 192.168.1.254 qualunque-> 192.168.1.XXX qualsiasi (Msg: "Connessione Internet a OTRS"; Sid:9; Rev:1;)
Avviso TCP qualsiasi qualsiasi -> 192.168.1.XXX qualsiasi (Msg: "Connessione Internet a Citrix"; Sid:10; Rev:1;)

E quello che ho detto, questo è un primo documento in cui vediamo come installare e assemblare il suricato., come renderlo pienamente funzionale che continueremo a sviluppare con i documenti futuri, almeno con l'intenzione di memorizzarlo come abbiamo detto in Elasticsearch e visualizzarlo con Grafana o Kibana, quanto basta.

Post consigliati

Metriche ping con Prometheus e Grafana
Leggere
Regole e avvisi con ElastAlert 2
Leggere
Metriche di Windows con Prometheus e Grafana
Leggere
Metriche FortiGate con Prometheus e Grafana
Leggere

Autore

presso Héctor Herrero 
nheobug@bujarra.com
Autor del blog Bujarra.com Cualquier necesidad que tengas, Non esitate a contattarmi, Cercherò di aiutarti ogni volta che potrò, Condividere è vivere ;) . Goditi i documenti!!!

Un podcast per l'IT - La nostra casa intelligente con Home Assistant - Parte I

14 Dicembre 2020

Un podcast per l'IT - Tutto è iniziato nel 2020

14 di gennaio 2021