安装 Meerkat

打印友好, PDF & Email

在这篇文章中,我们将看到在 Debian 上安装 Meerkat 必须遵循的步骤 10.6. Meerkat 是一个高性能的网络引擎, 饰演 IDS (入侵检测系统), IPS的 (入侵防御系统) 并用作网络监控系统, 当然, 开源!

多亏了 Meerkat,我们将能够实时了解我们的网络中发生的事情, 我们将能够了解正在发生的事情, 哪些计算机与哪些计算机通信… 等等, 我们将能够制定规则来通知我们感兴趣的流量, 爆炸. 在另一个文档中,我们将介绍如何将 Meerkat 收集的数据导出到 Elasticsearch, 等等, 使用 Kibana 或 Grafana 来可视化所述流量.

我们在 Debian Buster 中安装 meerkat,运行:

回波 "DEB HTTP://http.debian.net/debian buster-backports main" > /etc/apt/sources.list.d/backports.list apt-get update apt-get install meerkat -t buster-backports apt-get install meerkat-oinkmaster

 

在 Meerkat 配置文件中 (/etc/meerkat/meerkat.yaml) 至少我们必须正确编写将监听流量的网络接口的名称, 我们可以定义本地 IP 范围是什么,如果我们想在一行的简单视图中输出,我们将启用 (Like 在 Snort 中):

af 数据包:
  - 接口: EN192 HOME_NET: "[192.168.1.0/24,192.168.0.0/24,192.168.33.0/24]"

输出:
  - 快:
      启用: Yes 文件名: fast.log 附加: 是的

 

我们之前已经安装了 Oinkmaster, 我们将使用它来管理规则并使规则保持最新状态. 在配置文件中 (/etc/oinkmaster.conf 中) 我们添加以下 URL:

网址 = HTTP://rules.emergingthreats.net/open/suricata/emerging.rules.tar.gz

 

重新加载和更新规则:

SystemCTL Restart Meerkata SystemCTL Status Meerkat Surycat-oinkmaster-updater

 

正如我们提到的, 我们可以创建带有规则的文件 (/etc/meerkat/rules/myrules.rules), 例如,第一个, 如果检测到存在 ICMP 流量 (从任何出发地到任何目的地) 这会在日志文件中生成一个日志. 因此,如果它检测到有人在 ping 操作,它会告诉我们, 加:

警报 ICMP any any -> 任何 (味精: "检测到 ICMP";)

 

请记住,我们必须在 Meerkat 配置文件中指明 (/etc/meerkat/meerkat.yaml) 包含我们刚刚定义的规则的文件的名称:

规则文件:
  ...
  - myrules.rules

 

我们重置 Meerkat 以便您阅读所做的最新更改:

Systemctl Restart Meerkat Systemctl Meerkat Status

 

我们可以从任何计算机对任何 IP 进行 PING,并且它应该记录在我们指示的输出中:

乒 8.8.8.8
尾巴 -f /var/log/meerkat/eve.json 尾巴 -f /var/log/meerkat/fast.log

 

现在能够了解可能性非常酷, 我们将能够记录我们的猫鼬所看到的一切. 请记住,如果您已将其部署为虚拟机, 您必须启用混杂模式, 或者如果您的 switch 可以, 将所有流量重定向到您的端口. 以下是一些其他初始规则的示例,可以对其进行一些操作:

警报 TCP any any -> 任何 (内容:"Gmail 格式"; 味精: "我们检测 Gmail"; SID:1000002;)
警报 ICMP any any -> 任何 (味精: "检测到 ICMP";)
警报 ICMP $HOME_NET any -> $EXTERNAL_NET任何 (味精: "检测到输出 ICMP"; SID:1; 转速:1; 类类型:ICMP 自定义事件;)
警报 ICMP $EXTERNAL_NET any -> $HOME_NET任何 (味精: "检测到入口 ICMP"; SID:2; 转速:1; 类类型:ICMP 自定义事件;)
警报 ICMP $HOME_NET any -> $HOME_NET任何 (味精: "在本地网络上检测到 ICMP"; SID:3; 转速:1; 类类型:ICMP 自定义事件;)
警报 tcp $EXTERNAL_NET any -> $HOME_NET任何 (味精: "Internet 连接到 LAN"; SID:5; 转速:1;)
警报 TCP 192.168.1.254 任何-> 192.168.1.XXX 任意 (味精: "与 Jitsi 的 Internet 连接"; SID:6; 转速:1;)
警报 TCP 192.168.1.254 任何-> 192.168.1.XXX 任意 (味精: "与 Grafana 的互联网连接"; SID:7; 转速:1;)
警报 TCP 192.168.1.254 任何-> 192.168.1.XXX 任意 (味精: "与 NextCloud 的 Internet 连接"; SID:8; 转速:1;)
警报 TCP 192.168.1.254 任何-> 192.168.1.XXX 任意 (味精: "到 OTRS 的 Internet 连接"; SID:9; 转速:1;)
警报 TCP any any -> 192.168.1.XXX 任意 (味精: "与 Citrix 的 Internet 连接"; SID:10; 转速:1;)

歌词大意: 我说的, 这是第一个文档,我们可以看到如何安装和组装 Meerkat。, 如何使其功能齐全,我们将在未来的文档中继续开发, 至少是为了按照我们在 Elasticsearch 中所说的那样存储它,并使用 Grafana 或 Kibana 对其进行可视化, 适量.

推荐文章

Prometheus 和 Grafana 的 Windows 指标
Prometheus 和 Grafana 的 FortiGate 指标
ElastAlert 的规则和警报 2
使用 Prometheus 和 Grafana 的 Ping 指标

作者

赫克托·埃雷罗 
nheobug@bujarra.com
Autor del blog Bujarra.com Cualquier necesidad que tengas, 请随时与我联系, 我会尽我所能帮助你, 分享就是生活 ;) . 享受文档!!!

面向 IT 的播客 - 我们的智能家居 Home Assistant - 第一部分

14 十二月 2020

面向 IT 的播客 - 这一切都始于 2020

14 一月 2021