Estimados amigos de Inseguros !!!
En el episodio de hoy vamos a jugar con una herramienta del señor Miroslav Stampar llamada Tsusen para monitorizar el tráfico de red de nuestro equipo expuesto a Internet y detectar patrones de comportamiento raros. El propio autor define la herramienta como:
Tsusen (津波センサー) is a standalone network sensor made for gathering information from the regular traffic coming from the outside (i.e. Internet) on a daily basis (e.g. mass-scans, service-scanners, etc.). Any disturbances should be closely watched for as those can become a good prediction base of forthcoming events. For example, exploitation of a newly found web service vulnerability (e.g. Heartbleed) should generate a visible «spike» of total number of «intruders» on affected network port.
Para comprender la capacidad de esta sencilla herramienta vamos a ponerla en marcha en un equipo y vamos a escuchar al mundo.
sudo apt-get install python-pcapy
sudo pip install python-geoip python-geoip-geolite2
cd /tmp/
git clone https://github.com/stamparm/tsusen.git
cd tsusen/
sudo python tsusen.py
En el fichero tsuse.conf podemos modificar la configuración del interface de red que queremos poner a la escucha, puertos o direcciones ip que queremos excluir del informe, y el puerto del servidor web. Serivor web? Si, la potencia de la herramienta reside en ofrecernos un conjunto de gráficas y datos ya analizados en un webserver.
Ahora es cuando realmente vemos el por qué usar esta tool. Nos facilita gráficamente el número de direcciones ip que «han tocado» a algún puerto. Nos guarda todos los datos de ip-origen-destino-puertos y sobre todo, nos guarda el campo «primera vez visto» y el «última vez visto» además de un contador. Todo ello gráficamente para nuestros reportes y análisis.
Muy útil para no sobrecargar el firewall con las reglas y el log/siem. Muy útil para sistemas aislados o honeypots. Como podemos configurar que puertos obviar, podemos quitar los sistemas en producción y dejar algún puerto menos habitual, o cualquier necesidad que se te ocurre.
Espero que os guste. Gracias por leerme !!!
