El sistema de detección de comportamiento malicioso Maltrail alivia la carga de la vigilancia constante en su servidor Linux.
Si se toma en serio la seguridad de sus servidores (y escritorios, por cierto), sabe lo importante que es estar siempre atento a los comportamientos maliciosos. Esto puede ser una tarea de 24/7/365, y si usted tiene muchas máquinas, su trabajo se vuelve casi imposible. Afortunadamente, hay una serie de herramientas prácticas disponibles, que contribuyen en gran medida a aliviar esa carga. Una de estas herramientas es Maltrail.
Más información sobre ciberseguridad
Maltrail es un sistema de detección de tráfico malicioso que utiliza listas negras disponibles públicamente (y otras pistas de varios informes AV y listas definidas por el usuario) para ayudar a descubrir amenazas desconocidas mediante el monitoreo del tráfico contra esas listas. Maltrail se ejecuta desde la línea de comandos, pero incluye una práctica (y opcional) interfaz web.
Quiero mostrarte cómo instalar Maltrail en Ubuntu Server 18.04 y luego añadir la interfaz web para una fácil detección de tráfico malicioso.
VER: Protección de la política de Linux (Tech Pro Research)
Actualizar/actualizar
Lo primero que hay que hacer es actualizar el servidor. Recuerde, si se actualiza el kernel, será necesario reiniciar (para que los cambios surtan efecto. Debido a esto, ejecute la actualización/actualización en el momento en que sea factible reiniciar.
Para actualizar/actualizar su servidor Ubuntu, abra una ventana de terminal y emita los comandos:
sudo apt-get updatesudo apt-get upgrade
Una vez que esto se complete, reinicie el servidor (si es necesario. Ahora está listo para instalar.
Instalación
Primero, debemos ocuparnos de un par de dependencias. Desde la ventana del terminal, emita el comando:
sudo apt-get install git python-pcapy python-setuptools
Una vez que ese comando se complete, es hora de clonar Maltrail. Esto se hace con el comando:
clon de git https://github.com/stamparm/maltrail.git
Cambie al directorio de maltratos recién creado e inicie el sensor con el comando:
python sensor.py
Esto descargará todas las listas necesarias para Maltrail y ejecutará el servicio. Sin embargo, no podrá acceder a la interfaz basada en web. Por qué? Aunque el servicio se está ejecutando, el servidor no lo está. Inicie sesión en el servidor de alojamiento por segunda vez (probablemente utilizando SSH), cambie al directorio maltrail clonado y emita el comando:
python server.py
En este punto, tanto el servicio como el servidor están funcionando.
La interfaz web
Abra un navegador web y diríjalo a http://SERVER_IP:8338 (donde SERVER_IP es la dirección IP del servidor que alberga Maltrail. Se le pedirá que inicie sesión en la interfaz web de Maltrail (.
Las credenciales por defecto son admin/changeme! Es evidente que querrá cambiar esto. Para ello, emita el comando:
sudo nano mailtrail/maltrai.conf
En ese archivo, verás las líneas:
USUARIOSadmin:RANDOM_STRING_OF_CHARACTERS changeeme!
No puede simplemente cambiar la contraseña para el usuario administrador. Debe añadir un nuevo usuario y crear una contraseña de sha256 con el comando (ejecutar como el usuario que desea añadir):
echo -n 'CONTRASEÑA' | sha256sum | cut -d " " " -f 1
donde PASSWORD es una contraseña segura para el usuario.
Ese comando producirá una larga cadena de caracteres. Copie esa cadena y péguela en la sección USUARIOS del archivo de configuración:
NOMBRE DE USUARIO:CADENA_AL AZAR_DE_CARACTERES:0:0.0.0.0.0/0
donde USERNAME es el nombre de usuario que se agregará y RANDOM_STRING_OF_CHARACTERS es la cadena que se copió de la salida del comando echo. Guarde y cierre ese archivo. Reinicie el servicio/servidor Maltrails y podrá iniciar sesión con el nuevo usuario. Una vez que haya iniciado sesión con ese usuario, puede eliminarlo del archivo de configuración (por motivos de seguridad.
Maltrail tardará algún tiempo en registrar los eventos. Una vez que lo haga, aparecerá en la interfaz web ), y usted puede actuar en consecuencia.
Un (algo) fácil sistema de detección de eventos maliciosos
Aunque Maltrail no es la herramienta más sencilla de ejecutar y usar, es un medio práctico para detectar eventos maliciosos en sus servidores Linux. Inténtelo y vea si puede hacer que funcione bien para sus necesidades.
Boletín informativo de consejotecnologico.com
Refuerce las defensas de seguridad de TI de su organización manteniéndose al día de las últimas noticias, soluciones y mejores prácticas en materia de ciberseguridad. Entregado los martes y jueves