SECSTACK
SECSTACK

GNU/Linux ve Siber Güvenlik üzerine dökümanlar.

SECSTACK
Author

Share


Tags


.gz text aramak arkime arkime kurulumu bitwarden bitwarden kurulum bitwarden ubuntu canonical livepatch canonical livepatch yapılandırma centos grub rescue centos nfs yapılandırma centos samba yapılandırma chronograf chrony chrony ntp chrony ntp server chrony ntp server kurulumu chrony nts chrony nts yapılandırma dns over tls dns server kurulumu dnssec ed25519 ed25519 openssh ed25519 ssh full packet capture grafana grafana ile prometheus izleme grub rescue grub troubleshooting grub yeniden kurulumu influxdb iptables nftables geçişi iptables nftables kural geçişi irc server kapacitor kernelcare uchecker knot resolver knot resolver dns kurulumu knot resolver kurulumu linux nts server kurulum lvm lvm disk genişletme lvm genişletme lvm ikincil disk genişletme lvm ikincil genişletme lvm var olan disk genişletme lvm var olan genişletme moloch moloch kurulumu network time security nfs nfs yapılandırma nftables ngircd ngircd server ngircd ubuntu ntp server kurulumu nts nts server kurulum openvpn openvpn hardening ossec ossec hids ossec kurulumu outdated shared libraries prometheus restic restic kullanımı rsync rsync dosya transfer rsync kullanımı rsyslog rsyslog log yönlendirme rsyslog uygulama log yönlendirme samba samba yapılandırma scp scp dosya transfer scp kullanımı selks selks kurulumu setperms setugids sftp sftp kullanımı smbclient smbclient kullanımı ssh anahtar oluşturma ssh key oluşturma sshfs sshfs kullanımı sshfs nasıl kullanılır sshuttle stubby stubby kurulumu stubby yapılandırması suricata suricata kurulumu systemd systemd service hardening systemd-resolved systemd-resolved dns over tls systemd-resolved dnssec telegraf tick stack tick stack kurulumu ubuntu nfs yapılandırma ubuntu samba yapılandırma uchecker unbound unbound dns unbound dns kurulumu unbound forwarding dns vpn over ssh vuls vuls vulnerability scanner vuls vulnerability scanner kurulumu zcat zgrep zmore

Arkime (Moloch) ile Full Packet Capture (FPC)

arkime

Arkime (eski adı ile Moloch) açık kaynak, ölçeklenebilir bir paket yakalama ve indexleme çözümüdür. AOL tarafından 2012 yılında geliştirilmiştir. Apache License, Version 2.0 altında yayınlanmaktadır.

Arkime, onlarca gigabit / saniyelik trafiği işleyecek şekilde ölçeklendirilebilir. Yakalanan paketlerin CSV ve PCAP formatında dışa aktarımını desteklemektedir. Her session için metadata ve pcap verilerini görüntüleyebilirsiniz. Arama yeteneği ile sonuçların daraltılmasına yönelik sorgular oluşturabilirsiniz. Zaman aralıklarını özelleştirerek aramalarınızı, belirli aralıklar için yapabilirsiniz. Mouse yardımı ile arama bölümüne kolonlar atayarak koşullar ekleyebilirsiniz.

PCAP retention, kullanılabilir disk alanına bağlıdır. Metadata retention, Elasticsearch cluster ölçeklendirmesine bağlıdır. Her ikisi de istediğiniz zaman arttırılabilir.

Arkime üç bileşenden oluşmaktadır.

Kurulum

Kurulumu Ubuntu Server 20.04.1 LTS üzerinde gerçekleştirmekteyim. Minimum 2vCPU ve 4GB RAM kurulum için yeterli olacaktır.

Arkime web arayüzüne erişebilmek için 8005/TCP port adresine izin verilmesi gerekmektedir.

# ufw allow 8005/tcp

moloch_2.7.1-1_amd64.deb paketini indiriyoruz.

# wget https://s3.amazonaws.com/files.molo.ch/builds/ubuntu-20.04/moloch_2.7.1-1_amd64.deb

moloch_2.7.1-1_amd64.deb paketini yüklüyoruz.

# apt install ./moloch_2.7.1-1_amd64.deb

Yapılandırma

Arkime yapılandırmasına geçiyoruz.

# /data/moloch/bin/Configure

Full Packet Capture (FPC) yapılacak interface adını giriyoruz.

Found interfaces: lo;ens32 
Semicolon ';' seperated list of interfaces to monitor [eth1] ens32

Elasticsearch kurulumunun yapılmasını istiyoruz.

Install Elasticsearch server locally for demo, must have at least 3G of memory, NOT recommended for production use (yes or no) [no] yes

Dilediğiniz bir parola belirleyebilirsiniz.

Password to encrypt S2S and other things [no-default] parola

GEO dosyalarının indirilmesini istiyoruz.

Download GEO files? (yes or no) [yes] yes 

Elasticsearch servisini başlatıyoruz ve başlangıca ekliyoruz.

# systemctl start elasticsearch.service
# systemctl enable elasticsearch.service

Elasticsearch için Moloch yapılandırmasını başlatıyoruz.

# /data/moloch/db/db.pl http://localhost:9200 init
It is STRONGLY recommended that you stop ALL Arkime captures and viewers before proceeding.  Use 'db.pl http://localhost:9200 backup' to backup db first.

There is 1 elastic search data node, if you expect more please fix first before proceeding.

Currently using Elasticsearch version  7.7.1  7.8.0 or newer is recommended
This is a fresh Arkime install
Erasing
Creating


Finished

İlk kurulum için admin kullanıcısı oluşturuyor ve parolasını belirliyoruz. Bu kullanıcı, Arkime web arayüz erişimi için kullanılacaktır.

# /data/moloch/bin/moloch_add_user.sh admin "Admin User" parola --admin
Added

molochcapture ve molochviewer servislerini başlatarak başlangıca ekliyoruz.

# systemctl start molochcapture.service
# systemctl start molochviewer.service
# systemctl enable molochcapture.service
# systemctl enable molochviewer.service

Arkime web arayüzüne erişebilirsiniz. http://X.X.X.X:8005

Author

SECSTACK

View Comments