Argus. Auditando el tráfico de red. Parte 6. Argus y Geolocalización con GeoIP.

Seguimos con la serie dedidada a Argus (Auditing Network Activity). Hemos visto su instalación, uso básico y avanzado, gráficas, auditoría remota, generación de gráficas con Ragraph y Afterglow. Las diversas herramientas que componen la suite como ra, racluster, rasort, argus, etc, etc.

En esta ocasión vamos a usar ralabel y ra para extraer y mostrar datos de Geolocalización mediante GeoIP.

(actualizado 30-11-2112)

Requisitos previos. Configuración Argus-client con soporte GeoIP.

Necesitamos tener instalado GeoIP C library. Para ello:

wget http://geolite.maxmind.com/download/geoip/api/c/GeoIP-1.4.8.tar.gz
tar zxf GeoIP-1.4.8.tar.gz
cd GeoIP-1.4.8
./configure
make

en este punto es posible que recibamos un error «make[1]:***[GeoIP.lo] Error 1«. Para solventar esto hacemos:

libtoolize -f

volvemos a hacer el ./configure y seguimos con:

make
make check
sudo make install

Ahora vamos a descargar e instalar la última versión de Argus-client con soporte GeoIP:

wget http://qosient.com/argus/src/argus-clients-3.0.4.1.tar.gz
tar zxf argus-clients-3.0.4.1.tar.gz
cd argus-clients-3.0.4.1

./configure –with-GeoIP=yes
make
sudo make install

Dentro de la carpeta: /argus-clients-3.0.4.1/support/Config/ tenemos el archivo ralabel.conf, necesario para configurar todo lo relacionado con el «etiquetado» de los datos argus con información de Geolocalización.

Copiamos este archivo (ralabel.conf) por ejemplo a /etc/

Editamos ralabel.conf y al final tenemos las siguientes líneas/directivas:

RALABEL_GEOIP_CITY=»saddr,daddr:cco3,inode:lat,lon»
RALABEL_GEOIP_CITY_FILE=»/usr/local/share/GeoIP/GeoLiteCity.dat«

Deben estar descomentadas y correctamente configurada la ubicación de GeoLiteCity.dat. Si no lo tenemos hay que dscargarlo y descomprmirlo en el lugar configurado en RALABEL_GEOIP_CITY_FILE.

La línea RALABEL_GEOIP_CITY=»saddr,daddr:cco3,inode:lat,lon» configurar que datos vamos a extraer/mostrar en una etiqueta label para la salidad de ra.

En mi caso he modificado esta línea para dejarla de esta forma:

RALABEL_GEOIP_CITY=»*:city,region,cname,lat,long«

Todo dependiendo de lo que necesitemos.

En este caso queremos extraer y mostrar datos de:

*:city ciudad, si es aplicable, tanto para origen como destino
region la región
cname
lat latitud
long longitud

Podeís añadir las keywords siguientes:

cco – country_code
cco3 – country_code3
cname – country_name
reg – region
city – city
pcode – postal_code
lat – latitude
long – longitude
metro – metro_code
area – area_code
cont – continent_code
off – GMT time offset

Hay otra línea que es la siguiente y yo he descomentado:

RALABEL_BIND_NAME=»all»

que es para resolución DNS. Para el ejemplo lo comentaremos para que todo sea más rápido.

Doy por entendido que conocéis el funcionamiento de las herramietnas argus. De cualquier forma podéis repasar los conceptos aquí: https://seguridadyredes.wordpress.com/cat/argus

Preparando la información de Geolocalización con ralabel.

Con utilidad ralabel de Argus, vamos a pasar los datos argus con las opciones configuradas en ralabel.conf para extrar los datos de Geolocalización.

Para ello tengo un fichero de datos 050608.arg.:

ralabel -f /etc/ralabel.conf -r 050608.arg -w 050608.out

salvamos el resultado con –w en 050608.out

En su momento vimos que los datos argus los generábamos a partir de un archivo de captura de red .pcap de la forma:

sudo argus -mJRU 1024 -r captura.pcap -w salida.arg

donde:

-m para direcciones MAC
-J generar para los paquetes valores de rendimiento
-R generar datos de response.time
-U 1024 como el snaplen de tcpdump, bytes a tomar en cuenta
–r lee una captura en formato .pcap
-w para salvar en archivo y formato argus

Mostrando la información.

Para mostrar la información de Geolocalización, añadiremos +label:n Esto significa añadir las etiquetas con un números de columnas n. Además podemos, con la opción -s, mostrar información standart como tiempo, duración, paquetes, bytes, dirección de flujo, estado de la conexión, puertos, protocolo, y resto de cantidad de inforamción de que disponemos.

En este caso solo vamos a mostrar saddr, daddr y la información geoIP.

Lo hacemos de esta forma:

Ordenamos los datos antes según el criterío que, en cada momento necesitemos. Y voy a usar racluster para agrupar (lo hmos visto en otros capítulos) y rasort para ordenar:

racluster -m saddr daddr -r 050608.out -w – | rasort -m saddr daddr -w final.out

y ahora mostramos datos:

ra -LO -r final.out -s saddr:15 bytes +label:70 -N50

Como ya sabéis con:

-LO mostramos las etiquetas de columnas
-r leemos archivo
-s mostramos información en columnas y número (:15)
+label:70 mostramos la información extra de GeoIP en 70 columnas
-N50 solo los 50 primeros

El resultado:

argus ra geolocalizando

Ahora tenemos una sola IP con varios destinos diferentes:

convertimos .pcap en datos argus:

sudo argus -mJRU 1024 -r captura.pcap -w salida.arg

Pasamos al etiquetado con ralabel:

ralabel -f /etc/ralabel.conf -r salida.arg -w salida.label

Agrupamos por origen / destino y visualizamos:

racluster -m saddr daddr -r salida.label -w – | ra -LO -s saddr daddr +label:100

Resultado (pinchar para agrandar) mostrando el agrupamiento por origen en flujo servidor – cliente:

Una red local con muchas IPs locales involucradas. No saldrán etiquetas para IPs locales.

Ya hemos pasado el archivo .pcap por argus y etiquetado con ralabel. Solo nos queda:

racluster -M matrix -r lan031110.label -w – | ra -LO -s daddr saddr +label:50

Resultado:

argus geolocalizacion

Enlaces Relacionados con Geolocalización mediante herramientas .pcap:

Prelude IDS / IPS. Geolocalización de eventos de scan de puertos con Prelude-correlator y PortscanGeoinfo.

Tshark. GeoIP / Geolocalización usando Column format y proto,colinfo.

Enlaces Relacionados con Argus Auditing Network Activity.

==================================

Hasta aquí por hoy. Hasta la próxima.