Network Analysis with Raspberry,NTop & Elasticsearch

Oggi vedremo come catturare il traffico di rete che poi andremo ad inviare ed analizzare sul nostro SIEM Custom (che abbiamo creato nel precedente articolo) .

Nel mio caso per poter catturare ed analizzare il traffico di rete della mia abitazione ho utilizzato :

  • Una Raspberry Pi2
  • Dongle USB to Ethernet
  • Switch ZyXel GS1200-8
  • Ntopng

Come prima cosa una volta installato l’OS sulla Raspberry (io ho installato Ubuntu) possiamo andare a collegare il nostro Dongle USB alla nostra rasp.

Una volta che il Dongle è stato inserito andiamo a verificare che l’interfaccia sia stata riconosciuta , con il comando ip link (ne esistono vari di comandi)

Ora possiamo mettere UP la nostra nuova interfaccia di rete, con il comando ifconfig eth1 up

Nel mio caso ho collegato la porta eth1 della Raspberry alla porta 8 del mio switch Zyxel, che una volta configurata in “Monitor Port” acquisirà il traffico di tutte le altre porte scelte come Mirrored.

Passiamo ora all’installazione del servizio ntopng, per installarlo basta seguire la guida ufficiale che potete trovare qui

Una volta installato ntopng, dovrebbe partire in automatico e se ci colleghiamo tramite browser a http://ipraspberry:3000 dovremmo avere la nostra dashboard.

Lista Flows catturati da Ntopng

Ora andiamo a stoppare il servizio con il comando:

  • systemctl stop ntopng

Successivamente andiamo a farlo ri-partire con una modalità diversa da quella standard, dando il comando :

https://www.ntop.org/ntopng/exploring-your-traffic-using-ntopng-with-elasticsearchkibana/)

così facendo stiamo indicando a ntopng di inviare i flows che lui cattura verso l’istanza di Elasticsearch che abbiamo tirato su nel precedente articolo.

Se vogliamo avvire ntopng su una specifica interfaccia di rete (nel nostro caso la eth1) e mandarlo in background possiamo usare il seguente comando :

Ora che i Flows vengono inotrati alla nostra istanza di ElasticSearch, andiamo a vedere come creare un Index su di essa :

  • Colleghiamoci a Kibana
  • Sotto il menù Index Management, controllare che si sia creato il nuovo index:
  • Sotto il menù KibanaàIndex Patterns, controllare che ci sia l’index creato se non presente crearlo

Una volta creato l’index, se ci spostiamo sotto Discover , lo troveremo e lo potremo selezionare

Rispondi

Effettua il login con uno di questi metodi per inviare il tuo commento:

Logo di WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione /  Modifica )

Google photo

Stai commentando usando il tuo account Google. Chiudi sessione /  Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione /  Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione /  Modifica )

Connessione a %s...

Questo sito utilizza Akismet per ridurre lo spam. Scopri come vengono elaborati i dati derivati dai commenti.