Cazando Malware (Parte III)


En esta tercera parte vamos a ver la instalación tanto de Elasticsearch como de Kibana.

Comencemos por Elasticsearch:

Parte III A: Instalación y configuración de Elasticsearch

*Nota: Necesita java y al menos 2gb de ram disponibles. 
Yo recomiendo encarecidamente ponerlo en una máquina aparte de los honeypots, tanto por seguridad como por requisitos del sistema.

Instalamos Java
$ sudo apt-get install openjdk-8-jre
Descargamos e instalamos Elastichsearch

*Nota: En nuestro caso es la versión 5.6.3 Os recomiendo mirar la última release que estuviera disponible en el momento que lo instaléis.
$ curl –O https://artifacts.elastic.co/downloads/elasticsearch/elasticsearch-5.6.3.deb
$ dpkg –i elasticsearch-5.6.3.deb
Editamos el fichero /etc/elasticsearch/elasticsearch.yml
cluster.name: mycluster1
node.name: node-1
network.host: 0.0.0.0
http.port: 9200
Iniciamos el servicio
$ service elasticsearch start
$ service elasticsearch status
Comprobamos que el servicio esta levantado correctamente.


Para depurar algún fallo que pudiera ocurrir podemos recurrir a los logs de errores o accesos etc... que se guardan en /var/log/elasticsearch/ 



*Nota: Los resaltados en rojo son los logs en uso del día actual. El resto son los logs que han ido rotando. Recomiendo meter este directorio en un "crontab" para que solo se guarden los de los últimos 3 meses por ejemplo, así ahorraremos espacio.


Parte III B: Instalación de Kibana

*Nota: Esto puede se puede realizar en nuestra propia máquina local. No hace falta que sea remoto, excepto que lo consideremos estrictamente necesario.

Instalamos java
sudo apt-get install openjdk-8-jre
Descargamos e instalamos Kibana

*Nota: En nuestro caso es la versión 5.6.3. Os recomiendo mirar la última release que estuviera disponible en el momento que lo instaléis.
$ curl –O https://artifacts.elastic.co/downloads/kibana/kibana-5.6.3-linux-x86_64.tar.gz
$ tar xvfz kibana-5.6.3-linux-x86_64.tar.gz
$ cd kibana-5.6.3-linux-x86_64
Editamos ficheros config/kibana.yml
$ elasticsearch.url: "localhost:9200" 
*Nota: En caso de utilizar un Elasticsearch remoto, modificar esta línea poniendo la dirección del Elasticsearch al que se va a conectar Kibana para mostrar los datos.

Ejecutamos Kibana.
$ ./bin/kibana
En este punto ya debería de conectar con el Elasticsearch y funcionar correctamente, y nos deberia aparecer en el arranque lo siguiente:


nos conectaremos para acceder al Kibana a la dirección que nos da que si esta por defecto será http://localhost:5601

En caso contrario reiniciar los servicios de Logstash de los honeypots debería ser suficiente para que se sincronicen.

La configuración de Kibana es bastante amplia. En el próximo capítulo veremos una serie de conceptos básicos sobre Kibana para un manejo básico del mismo. Además de cómo implementar cierta seguridad, como por ejemplo: enviar los logs del Logstash a Elasticsearch estableciendo una contraseña o de como implementar usuarios y permisos a la hora de entrar al Kibana.
Pero lo dicho eso para la próxima parte.

¡Un saludo a todos!

Aquí tenéis todas las partes del laboratorio:

2 comentarios :

  1. Vas a fueguísimo con ésto. Todo muy bien mascadito y bien explicado.
    A tope con esto!

    ResponderEliminar
  2. Gracias ! xD , la parte IV y la parte V para mi son las mas interesantes así que creo que queda todavia lo mejor.

    ResponderEliminar