Maltrail Detectar Tráfico Malicioso

Maltrail: Monitorizar Tráfico Malicioso en tu Red

Esta herramienta posee mecanismos heurísticos avanzados para ayudar a descubrir amenazas. Mira lo que Maltrail es capaz de hacer para protegerte.

El sistema de detección Maltrail le ayuda a supervisar/monitorear el tráfico malicioso dentro de su red, el cuál se registra y se puede acceder desde el navegador para su posterior revisión.

1. ¿Qué es Maltrail?

Maltrail es una herramienta de detección de tráfico malicioso, basado en la arquitectura Tráfico-Sensor-Cliente-Servidor, que utiliza listas negras públicas que contengan direcciones web sospechosas y/o malware, junto con las direcciones estáticas recopiladas por diversos informes antivirus.

Tráfico-Sensor-cliente-servidor Maltrail
Arquitectura Tráfico-Sensor-cliente-servidor de Maltrail (Vía Github)

Maltrail es un componente autónomo, que se ejecuta en un nodo de monitorización o máquina por donde pasa el tráfico. En caso de que el resultado sea positivo, los detalles del evento se envían al servidor, almacenados en un directorio de registro apropiado.


Si el sensor se está ejecutando en la misma máquina que el servidor, los archivos de registro se almacenan en el directorio de registro local, de lo contrario se envían a través de mensajes UDP al servidor remoto.

En relación con el servidor, es responsable de almacenar los detalles del evento y proporcionar soporte de back-end para la aplicación web en la que se visualizarán todos los informes. Por definición, el servidor y el sensor se ejecutan en la misma máquina.

Fuente Conocida!

El desarrollador de esta herramienta es Miroslav Stampar, el mismo detrás de sqlmap.

2. Instalación, configuración y prueba del sensor

Requisitos

Se necesita tener instalado python, python-pcapy y git. Para la siguiente demostración estaré utilizando Kali Linux.
  • Paso 1: Escribir en el terminal, el siguiente comando:
git clone https://github.com/stamparm/maltrail.git

Puede acceder a la ruta de Maltrail y listarla para confirmar el contenido:

cd maltrail/
ls -l
git clone maltrail
git clone maltrail
  • Paso 2: Ejecutar el sensor. Durante este proceso, actualizará las listas respectivas.
./sensor.py
Ejecutar Sensor Maltrail
Ejecutar el Sensor
  • Paso 3. Abra una nueva ventana de terminal (Ctrl + Shift + N – ó – Ctrl + Shift + T), y ejecute el servidor.
./server.py
Ejecutar Server de Maltrail
Ejecutar el Server
  • Paso 4. A través del navegador, introduzca la dirección IP del servidor, el puerto 8338, e ingrese.
tuIP:8338
Interfaz Web de Maltrail
Interfaz Web

Credenciales en Maltrail

La credencial por defecto es 'admin:changeme!' Esta contraseña (changeme!) debe ser cambiada tan pronto como sea posible.
  • Paso 5: Abra una tercera ventana de terminal y hacer ping a la IP 136.161.101.53. Con esto recogeremos una prueba (Ver imagen del Paso 6).

Abra el archivo de registro de Maltrail y vea su contenido con el siguiente comando:

cat /var/log/maltrail/$(date +%Y-%m-%d).log
Ver Registro de Maltrail
Ver Registro de Maltrail
  • Paso 6: El evento se registró y puede ser consultado

Como debe haberse percatado, el acceso al servidor se realiza por HTTP, lo que significa que no es una conexión cifrada. Para ello es posible realizar algunas configuraciones en los siguientes pasos.

Registro del ping 136.161.101.53
Registro del ping a 136.161.101.53
  • Paso 7: Detener la ejecución del servidor a través de las teclas CTRL + C. En la misma ventana de terminal, y en el directorio Maltrail, abra el archivo maltrail.conf con un editor de texto.
nano maltrail.conf

En la línea USE_SSL debe reemplazar FALSE por TRUE.


  • Paso 8: Si inicia el servidor nuevamente no podrá, porque para utilizar una conexión HTTPS es necesario generar un certificado y la respectiva clave privada. Los crea mediante el siguiente comando:
openssl req -new -x509 -keyout server.pem -out server.pem -days 365 -nodes -subj '/O=Maltrail CA/C=EU'
Creando conexión HTTPS
Creando certificado SSL
  • Paso 9: Acceda al archivo maltrail.conf como se hizo en el paso 7 y elimine el comentario (#) de las líneas resaltadas de la imagen.
Habilitando SSL Maltrail
Habilitando SSL
  • Paso 10: Por último, iniciar el servidor. Verá que ahora el acceso por HTTPS ya es posible.
Server HTTPS en Maltrail
Server HTTPS en Maltrail

3. Conclusión

Vale mencionar que hemos utilizado un certificado SSL autofirmado (Paso 8) por lo que al acceder a https://IP:8338 pueda ver un mensaje de alerta que deba permitirlo.

Conexión HTTPS en Maltrail
Conexión HTTPS en Maltrail

A partir de ahora, todo el tráfico malicioso o sospechoso quedará registrado y podrá ser accedido a través del navegador, cuya interfaz permite filtrar los eventos además de clasificar por nivel de gravedad, mostrar la dirección/protocolo de origen y destino, y algunas otras cosas más.

Sistema de Detección de Trafico Malicioso Maltrail
Sistema de Detección de Trafico Malicioso Maltrail

Mi Carro Close (×)

Tu carrito está vacío
Ver tienda