arkime

Arkime es un sistema de red de red de código abierto a gran escala y captura de paquetes.

Arkime aumenta su infraestructura de seguridad actual para almacenar e indexar el tráfico de red en formato PCAP estándar, proporcionando acceso rápido e indexado. Se proporciona una interfaz web intuitiva y simple para la navegación, búsqueda y exportación de PCAP. Arkime expone API que permiten los datos de PCAP y los datos de la sesión formateados por JSON para descargar y consumir directamente. Arkime almacena y exporta todos los paquetes en formato PCAP estándar, lo que le permite usar también sus herramientas favoritas de ingerencia de PCAP, como Wireshark, durante su flujo de trabajo de análisis.

Arkime está construido para implementarse en muchos sistemas y puede escalar para manejar decenas de gigabits/segundos de tráfico. La retención de PCAP se basa en el espacio de disco del sensor disponible. La retención de metadatos se basa en la escala de clúster Elasticsearch. Ambos se pueden aumentar en cualquier momento y están bajo su control completo.

Obtenga más información sobre Arkime.com

• Fondo
• Instalación
• Configuración
• Uso
• Seguridad
• API
• Contribuir
• Licencia

Arkime, anteriormente llamado Moloch, fue creado para reemplazar los sistemas comerciales de paquetes completos en AOL en 2012. Al tener un control completo de hardware y costos, descubrimos que podríamos implementar la captura de paquetes completos en todas nuestras redes por el mismo costo que solo una red utilizando una herramienta comercial, con una retención más grande.

El sistema Arkime se compone de 3 componentes principales:

• Captura : una aplicación C enhebrada que monitorea el tráfico de red, escribe archivos formateados PCAP en el disco local, analiza los paquetes capturados y envía metadatos (datos SPI) a Opessearch/Elasticsearch.
• Visor : una aplicación Node.js que se ejecuta por máquina de captura. Maneja la interfaz web y la transferencia de paquetes al navegador.
• OpenSearch/Elasticsearch : la tecnología de base de datos de búsqueda que alimenta a Arkime.

También proporcionamos varias aplicaciones opcionales:

• Cont3xt : una aplicación que proporciona un enfoque estructurado para recopilar inteligencia contextual en apoyo de investigaciones técnicas.
• Esproxy : un proxy que proporciona seguridad adicional entre Captura y OpenSearch/Elasticsearch.
• Parlamento : una aplicación que monitorea y es una puerta de entrada a múltiples grupos de Arcime.
• WiseService : una aplicación que integra la inteligencia de amenazas en los metadatos de la sesión.

Arkime ofrece una interfaz web fácil de usar para explorar datos de red. La página Sessions proporciona una descripción completa, enumerando sesiones individuales que se pueden ampliar para ver los metadatos y los detalles de los paquetes.

La página de vista SPI ofrece un desglose detallado de los datos, que muestra todos los valores únicos para cada campo reconocido por Arkime

La mayoría de los usuarios deben usar los binarios previos a la construcción disponibles en nuestra página de descargas y seguir las simples instrucciones de instalación.

Para usuarios avanzados, puede construir Arkime usted mismo:

• Asegúrese de que node esté en su ruta, actualmente admite el nodo versión 20.X
• git clone https://github.com/arkime/arkime - Última versión en Github
• ./easybutton-build.sh --install -Descarga todos los requisitos previos, construir e instalar Arkime
• make config : realiza una configuración inicial de Arkime
• Consulte el archivo contribuyente.md para obtener información sobre cómo involucrarse

La mayor parte de la configuración del sistema se encuentra en el archivo /opt/arkime/etc/config.ini . Las variables están documentadas en nuestra página de configuración.

Una vez que Arkime se ejecute, apunte su navegador a http: // localhost: 8005 para acceder a la interfaz web. Haga clic en el búho para llegar a la página de ayuda de Arkime.

El acceso a Arkime se protege mediante el uso de HTTPS con contraseñas de resumen o utilizando una autenticación que proporciona proxy del servidor web. Todos los PCAP se almacenan en los sensores y solo se accede utilizando la interfaz Arkime o la API. Arkime no está destinado a reemplazar un IDS, sino que trabaja junto a ellos para almacenar e indexar todo el tráfico de red en formato PCAP estándar, proporcionando acceso rápido.

• Arkime se puede configurar para usar las claves de usuario o API de OpenSearch/Elasticsearch.

• Las máquinas Arkime deben bloquearse, sin embargo, deben hablar entre sí (puerto 8005), a las máquinas Elasticsearch (puertos 9200-920X), y la interfaz web debe estar abierta (puerto 8005).

• viewer de Arkime debe configurarse para usar TLS.

  • Es más fácil usar un solo certificado con múltiples DNS o un comodín.
  • Asegúrese de proteger el certificado en el sistema de archivos con los permisos de archivo adecuados.
  • Editar Configuración de CertFile y KeyFile en /opt/arkime/etc/config.ini.ini para habilitar.

• Para implementaciones grandes, es posible configurar un viewer de Arkime en una máquina central que no captura ningún dato, en su lugar, las puertas de enlace de la máquina todas las solicitudes de interfaz de usuario.

  • El uso de un proxy inverso (Caddy, Apache, ...) puede manejar la autenticación y pasar el nombre de usuario a Arkime, así es como lo implementamos.

• Se utiliza una contraseña compartida almacenada en el archivo de configuración de Arkime para cifrar los hash de contraseña y para la comunicación inter-marina.

  • Asegúrese de proteger el archivo de configuración en el sistema de archivos con los permisos de archivo adecuados.
  • Se usan hash de contraseña cifrado para que no se pueda insertar un nuevo hash de contraseña en OpenSearch/Elasticsearch directamente en caso de que no se haya asegurado.

Puede obtener más información sobre la API de Arkime en nuestra página API.

Consulte el archivo Contributing.MD para obtener información sobre cómo involucrarse. Agradecemos problemas, solicitudes de funciones, solicitudes de extracción y actualizaciones de documentación en GitHub. Para obtener preguntas sobre el uso y la solución de problemas de Arkime, utilice los canales Slack.

La mejor manera de comunicarse con nosotros es en Slack. Solicite una invitación para unirse al espacio de trabajo de Arkime Slack aquí.

Este proyecto tiene licencia bajo los términos de la licencia de código abierto Apache 2.0. Consulte la licencia para los términos completos.