Wednesday, 24 August 2016

Generar un mapa con la localización IP de los ataques a una red en tiempo real.

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/seguridad-informatica/generar-un-mapa-con-la-localizacion-ip-de-los-ataques-una-red-en-tiempo-real/
TAGS: herramienta geoip_attack_map, syslog y permite

La herramienta geoip_attack_map genera un mapa con la localización IP de los ataques a una red en tiempo real. Contiene un modulo servidor de datos que monitoriza el archivo syslog de Linux y lo analiza para visualizar: IP de origen, IP destino, puerto de origen y puerto de destino. Los protocolos se determinan a través de los puertos comunes y las visualizaciones varían de color basado en el tipo de protocolo.


Captura de pantalla de 2016-08-22 21-11-38


 Este programa se basa enteramente en monitorizar el syslog y permite personalizar las funciones de análisis de registro. En caso de utilizar un sistema de información de seguridad y gestión de eventos (SIEM), es posible normalizar los registros y ahorrar un montón de tiempo, siguiendo estos pasos:



  1. Enviar todos los syslog a la maquina SIEM.

  2. Usar el SIEM para normalizar los registros.

  3. Enviar registros normalizados a cualquier máquina en Linux corriendo syslog-ng, donde se ejecutara el software de servidor de datos de la aplicación para analizarlos.


Instalación y puesta en marcha:

Para instalar todas las dependencias necesarias hay que ejecutar los siguientes comandos (probado en Ubuntu 14.04 x64):

# sudo apt-get install python3-pip redis-server
# sudo pip3 install tornado tornado-redis redis maxminddb

Pasos a seguir para configurarlo:



  • Si se quiere usar el DataServer en una máquina diferente a la AttackMapServer. Hay que cambiar la IP en el archivo “/etc/redis/redis.conf” donde aparece “127.0.0.1”.

  • Asegurarse de que la dirección del WebSocket en “/AttackMapServer/index.html” apunta a la dirección IP del AttackMapServer.

  • Descargar la base de datos MaxMind GeoLite2 y cambiar la variable “db_path” en "DataServer.py" con la ruta de almacenamiento de la base de datos, “db-dl.sh”.

  • Añadir las coordenadas con latitud y longitud de la localización de la red a monitorizar, a la variable “hqLatLng” en “index.html”, para que la representación gráfica sea mas realista.

  • Utilice “syslog-gen.sh” para simular el tráfico simulado y probar el sistema.

Fuente:http://www.gurudelainformatica.es/


Noticias de seguridad informática

No comments:

Post a Comment