Instalando o Meerkat

Impressão amigável, PDF & Email

Neste post veremos os passos que devemos seguir para instalar o Meerkat em um Debian 10.6. O Meerkat é um mecanismo de rede de alto desempenho, como IDS (Sistema de detecção de intrusão), IPS (Sistema de prevenção de intrusão) e usado como um sistema de monitoramento de rede, e, claro,, Código aberto!

Graças ao Meerkat, poderemos saber o que está acontecendo em nossa rede em tempo real, Seremos capazes de aprender o que está acontecendo, quais máquinas se comunicam com quais… entre outros, Poderemos fazer regras para notificar o tráfego que nos interessa, Uma explosão. Em outro documento, veremos como exportar os dados coletados pelo Meerkat para o Elasticsearch, e assim por diante, com Kibana ou Grafana para poder visualizar o referido tráfego.

Instalamos o meerkat no Debian Buster em execução:

ECO "deb http://http.debian.net/debian buster-backports main" > /etc/apt/sources.list.d/backports.list apt-get update apt-get install meerkat -t buster-backports apt-get install meerkat-oinkmaster

 

No arquivo de configuração do Meerkat (/etc/meerkat/meerkat.yaml) pelo menos devemos escrever corretamente o nome da interface de rede que ouvirá o tráfego, podemos definir quais são os intervalos de IP locais e habilitaremos se quisermos a saída em uma visualização simples de uma linha (Como em Snort):

pacote af:
  - Interface: ens192 HOME_NET: "[192.168.1.0/24,192.168.0.0/24,192.168.33.0/24]"

Saídas:
  - Rápido:
      Habilitado: Sim nome do arquivo: fast.log anexar: Sim

 

Já instalamos o Oinkmaster, Vamos usá-lo para gerenciar e manter as regras atualizadas. Em seu arquivo de configuração (/etc/oinkmaster.conf) adicionamos o seguinte URL:

URL = HTTP://rules.emergingthreats.net/open/suricata/emerging.rules.tar.gz

 

Recarregando e atualizando regras:

SystemCTL Restart Meerkata SystemCTL Status Meerkat Surycat-oinkmaster-updater

 

Como mencionamos, Podemos criar arquivos com regras (/etc/suricato/regras/myrules.rules), Por exemplo, este primeiro, que, se detectar que há tráfego ICMP (De qualquer origem para qualquer destino) que gera um log no arquivo de log. Então, se detectar que alguém está pingando, ele nos dirá, Adicionar:

alerta icmp qualquer -> qualquer qualquer (Msg: "ICMP detectado";)

 

Lembre-se de que devemos indicar no arquivo de configuração do Meerkat (/etc/meerkat/meerkat.yaml) o nome do arquivo com as regras que acabamos de definir:

arquivos de regras:
  ...
  - myrules.rules

 

Redefinimos o Meerkat para você ler as últimas alterações feitas:

systemctl reiniciar meerkat systemctl meerkat status

 

E podemos fazer um PING para qualquer IP de qualquer computador e deve ser gravado nas saídas que indicamos:

Ping 8.8.8.8
cauda -f /var/log/suricato/eve.json cauda -f /var/log/suricato/fast.log

 

Por enquanto muito legal poder conhecer possibilidades, seremos capazes de gravar tudo o que nosso Meerkat vê. Lembre-se de que, se você o implantou como uma máquina virtual, Você tem que ativar o modo promíscuo, ou se o seu switch puder, que redireciona todo o tráfego para sua porta. Aqui estão alguns exemplos de outras regras iniciais para dar um pouco de jogo:

Alerta TCP qualquer -> qualquer qualquer (conteúdo:"Gmail"; Msg: "Detectamos o Gmail"; Sid:1000002;)
alerta icmp qualquer -> qualquer qualquer (Msg: "ICMP detectado";)
alert icmp $HOME_NET qualquer -> $EXTERNAL_NET qualquer (Msg: "ICMP de saída detectado"; Sid:1; Rev:1; Tipo de classe:evento personalizado icmp;)
alerta icmp $EXTERNAL_NET qualquer -> $HOME_NET qualquer (Msg: "ICMP de entrada detectado"; Sid:2; Rev:1; Tipo de classe:evento personalizado icmp;)
alert icmp $HOME_NET qualquer -> $HOME_NET qualquer (Msg: "ICMP na rede local detectado"; Sid:3; Rev:1; Tipo de classe:evento personalizado icmp;)
alerta tcp $EXTERNAL_NET qualquer -> $HOME_NET qualquer (Msg: "Conexão com a Internet para LAN"; Sid:5; Rev:1;)
TCP de alerta 192.168.1.254 qualquer-> 192.168.1.XXX qualquer (Msg: "Conexão com a Internet para Jitsi"; Sid:6; Rev:1;)
TCP de alerta 192.168.1.254 qualquer-> 192.168.1.XXX qualquer (Msg: "Conexão com a Internet para o Grafana"; Sid:7; Rev:1;)
TCP de alerta 192.168.1.254 qualquer-> 192.168.1.XXX qualquer (Msg: "Conexão com a Internet para NextCloud"; Sid:8; Rev:1;)
TCP de alerta 192.168.1.254 qualquer-> 192.168.1.XXX qualquer (Msg: "Conexão com a Internet para OTRS"; Sid:9; Rev:1;)
Alerta TCP qualquer -> 192.168.1.XXX qualquer (Msg: "Conexão com a Internet para Citrix"; Sid:10; Rev:1;)

E o que eu disse, este é o primeiro documento onde vemos como instalar e montar o Meerkat., Como torná-lo totalmente funcional que continuaremos a desenvolver com documentos futuros, pelo menos com a intenção de armazená-lo como dissemos no Elasticsearch e visualizá-lo com Grafana ou Kibana, a gosto.

Postagens recomendadas

Métricas FortiGate com Prometheus e Grafana
Ler
Métricas do Windows com Prometheus e Grafana
Ler
Regras e alertas com ElastAlert 2
Ler
Métricas de ping com Prometheus e Grafana
Ler

Autor

por Héctor Herrero 
nheobug@bujarra.com
Autor del blog Bujarra.com Cualquier necesidad que tengas, Não hesite em contactar-me, Vou tentar ajudá-lo sempre que puder, Compartilhar é viver ;) . Desfrute de documentos!!!

Um podcast para TI - Nossa casa inteligente com Home Assistant - Parte I

14 Dezembro 2020

Um podcast para TI - Tudo começou em 2020

14 de Janeiro 2021