System-Linux

Aller au contenu | Aller au menu | Aller à la recherche

Présentation et installation de Maltrail

Maltrail.png

Système de détection de trafic réseau malicieux.

Maltrail est un système de détection de trafic réseau malicieux qui utilise des listes noires publiques, des schémas connus ou remontés par les éditeurs d'antivirus qui permettent de traquer les noms de domaine, les URL ou les adresses IP utilisées pour envoyer des malwareq et mener des attaques. Il vous permettra de détecter tout ce qui se passe d'étrange au niveau de votre serveur

Maltrail est codé en python donc il vous faudra python mais aussi pcapy et schedtool :

yum install pcapy
ou
apt-get install python-pcapy

Il vous faudra aussi Schedtool (pour sous centos 7) :

wget http://packages.psychotic.ninja/7/base/x86_64/RPMS/schedtool-1.3.0-12.el7.psychotic.x86_64.rpm
rpm -ivh schedtool-1.3.0-12.el7.psychotic.x86_64.rpm

Récupération de Maltrail :

cd /data
git clone https://github.com/stamparm/maltrail.git
cd maltrail

Lancer la sonde :

python sensor.py &
...
[Entrée]]

Le &, pour lancer en tache de fond et récupérer la main.

Lancer l'interface :

python server.py &
...
[[Entrée]]

Activer le Promiscuous mode sur votre carte réseau (si vous vouez analyser tous les flux même ceux qui ne sont pas pour vous) :

ifconfig eth0 promisc

Ouvrir le port choisit dans iptables :

# iptables -I INPUT -p tcp -m tcp --dport 8338 -j ACCEPT
# iptables -I OUTPUT -p tcp -m tcp --sport 8338 -j ACCEPT

Si vous voulez changer le port, éditez :

/data/maltrail/maltrail.conf

Login et mot de passe par défaut (à changer biensur)

login: admin
password : changeme!

Changer le mot de passe :

echo -n 'votremotdepasse' | sha256sum | cut -d " " -f 1

Documentation :

https://github.com/stamparm/maltrai...

Par GanGan | le mardi, mars 8 2016 08:00