Cómo desplegar Malcolm
Malcolm es una herramienta de análisis de tráfico de red de código abierto que utiliza un conjunto de herramientas para crear una herramienta de análisis sólida para administradores de redes. Malcolm acepta datos de tráfico de red en forma de archivos PCAP (captura completa de paquetes) y registros de Zeek.
Malcolm incluye dos interfaces diferentes:
- OpenSearch Dashboards: un complemento de visualización de datos flexible con docenas de paneles preconstruidos.
- Arkime: una potente herramienta para encontrar e identificar sesiones de red compuestas por incidentes de seguridad sospechosos.
Malcolm es fácil de usar, está contenerizado, es seguro y está en desarrollo muy activo. Quiero guiarte a través del proceso de desplegar esta herramienta en un servidor Ubuntu 22.04.
Lo que necesitarás para Malcolm
Para poner en marcha Malcolm, necesitarás una instancia de Ubuntu Server 22.10 y un usuario con privilegios sudo. Eso es todo: manos a la obra.
Cómo crear un nuevo usuario
Lo primero que haremos es crear un nuevo usuario. Conéctate por SSH o inicia sesión en tu instancia de Ubuntu Server y ejecuta el siguiente comando:
Cómo garantizar la validación local de los clientes en un dominio multi-sitiosudo useradd -m -d /opt/malcolm -s /bin/bash -G sudo malcolmCambia la contraseña del nuevo usuario con:
sudo passwd malcolmInicia sesión como ese usuario con:
su - malcolmCómo clonar Malcolm y ejecutar el instalador
Usando git, clona la última versión de Malcolm con:
git clone https://github.com/idaholab/MalcolmIngresa al directorio recién creado con:
cd MalcolmEjecuta el instalador con:
sudo ./scripts/install.pyDurante esta primera etapa de la instalación, se te harán algunas preguntas. Para cada pregunta de Sí/No, responde con Y. La única pregunta que no es de Sí/No es:
Cuál es la mejor opción de protocolo de enrutamiento para una red empresarialIngrese la cuenta de usuario:
A eso, responde con:
malcolm
Cómo configurar Malcolm
Una vez que hayas respondido las preguntas del instalador, necesitas configurar Malcolm. Abre el archivo de configuración con:
sudo ./scripts/install.py –configure
Nuevamente, se te harán varias preguntas. Aquí están las preguntas y las respuestas que debes dar:
Los 8 pasos para solucionar problemas de red y sistemas- Los procesos de Malcolm se ejecutarán con el UID 1000 y el GID 1000. ¿Está bien esto? (Y/n):
Y - Estableciendo 10g para OpenSearch y 3g para Logstash. ¿Está bien esto?
yes - Estableciendo 3 trabajadores para los pipelines de Logstash. ¿Está bien esto? (Y/n):
yes - Reiniciar Malcolm al reiniciar el sistema o el demonio de Docker:
Sí- asegúrate de elegir la opción predeterminada, unless-stopped. - Elegir si configurar Malcolm con HTTPS:
Sí - Elegir si Malcolm se ejecutará detrás de algún proxy:
No - Elegir la configuración de networking: presiona
Enter - Elegir LDAP:
No - ¿Almacenar snapshots de índices de OpenSearch localmente en /opt/malcolm/Malcom/opensearch-backup?
Sí - Elegir si comprimir snapshots de índices de OpenSearch:
Sí - Analizar automáticamente todos los archivos PCAP con Suricata:
Sí - Descargar actualizaciones periódicas de las firmas de Suricata:
Sí - Analizar automáticamente todos los archivos PCAP con Zeek:
Sí - Si deseas eliminar los índices más antiguos cuando la base de datos supere cierto tamaño:
No - Búsqueda inversa de DNS local para direcciones IP de origen y destino en los registros:
No - Búsquedas de proveedores de hardware OUI para direcciones MAC:
Sí - Realizar puntuación de aleatoriedad de cadenas en algunos campos:
sí - Exponer el puerto de OpenSearch a hosts externos:
no - Exponer el puerto de Logstash a hosts externos:
no - Reenviar logs de Logstash a una instancia externa de OpenSearch:
no - Exponer el puerto TCP de Filebeat a hosts externos:
no - Exponer el servidor SFTP (para la carga de archivos PCAP) a hosts externos:
No - Habilitar la extracción de archivos con Zeek:
sí - Elegir
interestingcomo el comportamiento de extracción (Figura A). - Elegir el método de conservación de archivos:
quarantine - Escanear archivos extraídos/PE con ClamAV:
sí - Escanear archivos extraídos/PE con Yara:
sí - Escanear archivos extraídos/PE con Capa:
sí - Búsqueda de hashes de archivos extraídos con VirusTotal:
no - Descargar actualizaciones periódicas de las firmas del escáner:
sí - ¿Malcolm debe capturar el tráfico de red en archivos PCAP para el análisis con Arkime?
sí - Especificar las interfaces de captura (separadas por comas) en las que Malcolm usará para el tráfico de red:
eth0 - Capturar paquetes usando netsniff-ng (Y/n):
sí - Capturar paquetes usando tcpdump (y/N):
no - ¿Debería Malcolm analizar el tráfico con Suricata?
No - Filtro de captura (expresión similar a tcpdump; dejar en blanco para capturar todo el tráfico) NOTA: Puedes desactivar el tráfico relacionado con Elasticsearch (puerto 9200), Logstash (5044), Arkime (8005): not port 9200 and not port 5044 and not port 8005
- Deshabilitar el desvío de hardware de la interfaz de captura y ajustar los tamaños del búfer de anillo: (y/N):
n
Figura A
Una vez que hayas hecho esto, reinicia el sistema con:
sudo rebootCómo crear una cuenta de administrador para Malcolm
Una vez que el sistema haya reiniciado, vuelve a iniciar sesión y cambia al usuario Malcolm con:
su – malcolmCambia al directorio Malcolm del usuario con:
cd ~/MalcolmEjecuta el script de configuración de la cuenta de administrador con:
Diferencias entre redes cliente/servidor y peer-to-peer./scripts/auth_setupResponde todas las preguntas requeridas de la siguiente manera:
- ¿Almacenar nombre de usuario/contraseña del administrador para el acceso local a Malcolm?
sí - Crea un nuevo usuario administrador y asigna una contraseña a ese usuario.
- (Re)genera certificados SSL autofirmados para el tráfico web HTTPS:
sí - (Re)genera certificados autofirmados para un remitente de logs remoto:
sí - ¿Almacenar nombre de usuario/contraseña para reenviar eventos de Logstash a una instancia externa secundaria de OpenSearch?
no - ¿Almacenar nombre de usuario/contraseña para la cuenta de envío de alertas por correo electrónico?
no
Cómo obtener la imagen de Docker requerida
Malcolm se despliega con Docker, así que primero debemos obtener la imagen oficial con:
docker-compose pullLa descarga llevará algún tiempo, así que siéntate y disfruta de la salida que se muestra o haz otra cosa. Dale entre dos y diez minutos para que esto se complete.
Cómo iniciar y acceder a Malcolm
Para iniciar el servicio de Malcolm, ejecuta el siguiente comando:
./scripts/startEl comando anterior desplegará el contenedor de Docker. Dale tiempo suficiente a los contenedores para que se desplieguen y estarás listo para empezar. Malcolm tiene varias URLs diferentes para diferentes tareas. Para cada componente, asegúrate de iniciar sesión con la cuenta de administrador que creaste durante el paso de configuración.
- Para el panel de control de OpenSearch, la dirección es https://SERVIDOR/paneles, donde SERVIDOR es la dirección IP del servidor de alojamiento.
- Para la pantalla de carga de archivos de captura y archivo de registro de Malcolm, la dirección es https://SERVIDOR/upload, donde SERVIDOR es la dirección IP del servidor de alojamiento.
- Para el editor de asignación de hosts y subredes, la dirección es https://SERVIDOR/name-map-ui, donde SERVIDOR es la dirección IP del servidor de alojamiento.
- Para la pantalla de gestión de cuentas, la dirección es https://SERVIDOR:488, donde SERVIDOR es la dirección IP del servidor de alojamiento.
Y eso es todo lo que necesitas para desplegar el Analizador de Tráfico de Red Malcolm. Esperemos que saques mucho provecho de esta poderosa herramienta.
Qué son los switches Cisco y cómo funcionanSuscríbete al canal How To Make Tech Work de Newsmatic en YouTube para obtener los últimos consejos tecnológicos para profesionales de negocios de Jack Wallen.
En Newsmatic nos especializamos en tecnología de vanguardia, contamos con los artículos mas novedosos sobre Redes, allí encontraras muchos artículos similares a Cómo desplegar Malcolm , tenemos lo ultimo en tecnología 2023.
Artículos Relacionados