Архив метки: Maltrail

Maltrail. Система обнаружения вредоносного трафика

Maltrail это небольшая система обнаружения вредоносного и подозрительного трафика, написанная на Python.
Данная система работает по принципу черных списков. Полезна при анализе трафика локальной сети на аномалии и наличие вредоносного ПО.
Maltrail состоит из двух компонентов (сенсор и сервер), которые могут быть разнесены по разным серверам или виртуальным машинам.
При этом, для более полного сбора информации сенсор лучше устанавливать на SPAN-порт на которых зеркалируется весь трафик или на пограничное оборудование (например пограничный маршрутизатор, если он поддерживает установку стороннего ПО).
Сенсоров может быть несколько и они все будут отправлять информацию на сервер мониторинга Maltrail. При этом сенсоры могут находиться в различных сегментах сети или в разных сетях. Единственный минус — трафик между сервером и сенсорами никак не шифруется, поэтому вопрос безопасности передачи данного трафика стоит рассмотреть отдельно (например отдельный, изолированный VLAN).

Перейдем к настройке системы.
Для начала установим все требуемые пакеты:

Теперь скопируем себе Maltrail с GutHub:

Переместим Maltrail в /opt:

и перейдем в папку с Maltrail:

Читать далее Maltrail. Система обнаружения вредоносного трафика