Seguimos con la serie dedidada a Argus (Auditing Network Activity). Hemos visto su instalación, uso básico y avanzado, gráficas, auditoría remota, generación de gráficas con Ragraph y Afterglow. Las diversas herramientas que componen la suite como ra, racluster, rasort, argus, etc, etc.
En esta ocasión vamos a usar ralabel y ra para extraer y mostrar datos de Geolocalización mediante GeoIP.
(actualizado 30-11-2112)
Requisitos previos. Configuración Argus-client con soporte GeoIP.
Necesitamos tener instalado GeoIP C library. Para ello:
wget http://geolite.maxmind.com/download/geoip/api/c/GeoIP-1.4.8.tar.gz
tar zxf GeoIP-1.4.8.tar.gz
cd GeoIP-1.4.8
./configure
make
en este punto es posible que recibamos un error «make[1]:***[GeoIP.lo] Error 1«. Para solventar esto hacemos:
libtoolize -f
volvemos a hacer el ./configure y seguimos con:
make
make check
sudo make install
Ahora vamos a descargar e instalar la última versión de Argus-client con soporte GeoIP:
wget http://qosient.com/argus/src/argus-clients-3.0.4.1.tar.gz
tar zxf argus-clients-3.0.4.1.tar.gz
cd argus-clients-3.0.4.1
./configure –with-GeoIP=yes
make
sudo make install
Dentro de la carpeta: /argus-clients-3.0.4.1/support/Config/ tenemos el archivo ralabel.conf, necesario para configurar todo lo relacionado con el «etiquetado» de los datos argus con información de Geolocalización.
Copiamos este archivo (ralabel.conf) por ejemplo a /etc/
Editamos ralabel.conf y al final tenemos las siguientes líneas/directivas:
RALABEL_GEOIP_CITY=»saddr,daddr:cco3,inode:lat,lon»
RALABEL_GEOIP_CITY_FILE=»/usr/local/share/GeoIP/GeoLiteCity.dat«
Deben estar descomentadas y correctamente configurada la ubicación de GeoLiteCity.dat. Si no lo tenemos hay que dscargarlo y descomprmirlo en el lugar configurado en RALABEL_GEOIP_CITY_FILE.
La línea RALABEL_GEOIP_CITY=»saddr,daddr:cco3,inode:lat,lon» configurar que datos vamos a extraer/mostrar en una etiqueta label para la salidad de ra.
En mi caso he modificado esta línea para dejarla de esta forma:
RALABEL_GEOIP_CITY=»*:city,region,cname,lat,long«
Todo dependiendo de lo que necesitemos.
En este caso queremos extraer y mostrar datos de:
- *:city ciudad, si es aplicable, tanto para origen como destino
- region la región
- cname
- lat latitud
- long longitud
Podeís añadir las keywords siguientes:
- cco – country_code
- cco3 – country_code3
- cname – country_name
- reg – region
- city – city
- pcode – postal_code
- lat – latitude
- long – longitude
- metro – metro_code
- area – area_code
- cont – continent_code
- off – GMT time offset
Hay otra línea que es la siguiente y yo he descomentado:
RALABEL_BIND_NAME=»all»
que es para resolución DNS. Para el ejemplo lo comentaremos para que todo sea más rápido.
Doy por entendido que conocéis el funcionamiento de las herramietnas argus. De cualquier forma podéis repasar los conceptos aquí: https://seguridadyredes.wordpress.com/cat/argus
Preparando la información de Geolocalización con ralabel.
Con utilidad ralabel de Argus, vamos a pasar los datos argus con las opciones configuradas en ralabel.conf para extrar los datos de Geolocalización.
Para ello tengo un fichero de datos 050608.arg.:
ralabel -f /etc/ralabel.conf -r 050608.arg -w 050608.out
salvamos el resultado con –w en 050608.out
En su momento vimos que los datos argus los generábamos a partir de un archivo de captura de red .pcap de la forma:
sudo argus -mJRU 1024 -r captura.pcap -w salida.arg
donde:
- -m para direcciones MAC
- -J generar para los paquetes valores de rendimiento
- -R generar datos de response.time
- -U 1024 como el snaplen de tcpdump, bytes a tomar en cuenta
- –r lee una captura en formato .pcap
- -w para salvar en archivo y formato argus
Mostrando la información.
Para mostrar la información de Geolocalización, añadiremos +label:n Esto significa añadir las etiquetas con un números de columnas n. Además podemos, con la opción -s, mostrar información standart como tiempo, duración, paquetes, bytes, dirección de flujo, estado de la conexión, puertos, protocolo, y resto de cantidad de inforamción de que disponemos.
En este caso solo vamos a mostrar saddr, daddr y la información geoIP.
Lo hacemos de esta forma:
Ordenamos los datos antes según el criterío que, en cada momento necesitemos. Y voy a usar racluster para agrupar (lo hmos visto en otros capítulos) y rasort para ordenar:
racluster -m saddr daddr -r 050608.out -w – | rasort -m saddr daddr -w final.out
y ahora mostramos datos:
ra -LO -r final.out -s saddr:15 bytes +label:70 -N50
Como ya sabéis con:
- -LO mostramos las etiquetas de columnas
- -r leemos archivo
- -s mostramos información en columnas y número (:15)
- +label:70 mostramos la información extra de GeoIP en 70 columnas
- -N50 solo los 50 primeros
El resultado:
Ahora tenemos una sola IP con varios destinos diferentes:
convertimos .pcap en datos argus:
sudo argus -mJRU 1024 -r captura.pcap -w salida.arg
Pasamos al etiquetado con ralabel:
ralabel -f /etc/ralabel.conf -r salida.arg -w salida.label
Agrupamos por origen / destino y visualizamos:
racluster -m saddr daddr -r salida.label -w – | ra -LO -s saddr daddr +label:100
Resultado (pinchar para agrandar) mostrando el agrupamiento por origen en flujo servidor – cliente:
Una red local con muchas IPs locales involucradas. No saldrán etiquetas para IPs locales.
Ya hemos pasado el archivo .pcap por argus y etiquetado con ralabel. Solo nos queda:
racluster -M matrix -r lan031110.label -w – | ra -LO -s daddr saddr +label:50
Resultado:
Enlaces Relacionados con Geolocalización mediante herramientas .pcap:
Enlaces Relacionados con Argus Auditing Network Activity.
- Argus. Auditando el tráfico de red. Parte 4. Generación de gráficas con AfterGlow.
- Argus. Auditando el tráfico de red. Parte 5. Auditoría de host remoto.
- Argus. Auditando el tráfico de red. Parte I
- Argus. Auditando el tráfico de red. Parte 2
- Argus. Auditando el tráfico de red. Parte 3. Generación de gráficas con ragraph.
- Visualización gráfica Nmap / Scapy Scan con Afterglow / Argus racluster. Clustering y gráficas fdp. Parte 1
==================================
Hasta aquí por hoy. Hasta la próxima.
Pingback: Visualización gráfica datos GeoIP con Argus, ra y Afterglow. | Seguridad y Redes
Pingback: Tcpick un sniffer que realiza seguimiento y reensamblado de flujos tcp. Mostrando datos payload. | Seguridad y Redes