miércoles, 23 de marzo de 2016

Tsusen. Herramienta para detectar tráfico anómalo.

Estimados amigos de Inseguros !!!

En el episodio de hoy vamos a jugar con una herramienta del señor Miroslav Stampar llamada Tsusen para monitorizar el tráfico de red de nuestro equipo expuesto a Internet y detectar patrones de comportamiento raros. El propio autor define la herramienta como:



Tsusen (津波センサー) is a standalone network sensor made for gathering information from the regular traffic coming from the outside (i.e. Internet) on a daily basis (e.g. mass-scans, service-scanners, etc.). Any disturbances should be closely watched for as those can become a good prediction base of forthcoming events. For example, exploitation of a newly found web service vulnerability (e.g. Heartbleed) should generate a visible "spike" of total number of "intruders" on affected network port.

Para comprender la capacidad de esta sencilla herramienta vamos a ponerla en marcha en un equipo y vamos a escuchar al mundo.

sudo apt-get install python-pcapy
sudo pip install python-geoip python-geoip-geolite2
cd /tmp/
git clone https://github.com/stamparm/tsusen.git
cd tsusen/
sudo python tsusen.py


En el fichero tsuse.conf podemos modificar la configuración del interface de red que queremos poner a la escucha, puertos o direcciones ip que queremos excluir del informe, y el puerto del servidor web. Serivor web? Si, la potencia de la herramienta reside en ofrecernos un conjunto de gráficas y datos ya analizados en un webserver.

Ahora es cuando realmente vemos el por qué usar esta tool. Nos facilita gráficamente el número de direcciones ip que "han tocado" a algún puerto. Nos guarda todos los datos de ip-origen-destino-puertos y sobre todo, nos guarda el campo "primera vez visto" y el "última vez visto" además de un contador. Todo ello gráficamente para nuestros reportes y análisis.



Muy útil para no sobrecargar el firewall con las reglas y el log/siem. Muy útil para sistemas aislados o honeypots. Como podemos configurar que puertos obviar, podemos quitar los sistemas en producción y dejar algún puerto menos habitual, o cualquier necesidad que se te ocurre.

Espero que os guste. Gracias por leerme !!!