Hace poco se dio a conocer el lanzamiento del sistema de captura, almacenamiento e indexación de paquetes de red Arkime 3.1, que proporciona herramientas para evaluar visualmente los flujos de tráfico y buscar información relacionada con la actividad de la red.
El proyecto fue desarrollado originalmente por AOL con el objetivo de crear un reemplazo abierto e implementable para las plataformas de procesamiento de paquetes de red comercial en sus servidores que pueden escalar para manejar el tráfico a velocidades de decenas de gigabits por segundo.
Sobre Arkime
Para quienes desconocen de Arkime, déjenme decirles que anteriormente era conocido como Moloch el cual era un kit de herramientas para capturar e indexar el tráfico en formato PCAP estándar y también proporciona herramientas para un acceso rápido a los datos indexados. El uso del formato PCAP simplifica enormemente la integración con analizadores de tráfico existentes como Wireshark. La cantidad de datos almacenados está limitada solo por el tamaño de la matriz de discos disponible. Los metadatos de la sesión se indexan en un clúster basado en el motor Elasticsearch.
Para analizar la información acumulada se propone una interfaz web que permite la navegación, búsqueda y exportación de muestras. La interfaz web proporciona varios modos de visualización: desde estadísticas generales, mapas de conexión y gráficos visuales con datos sobre cambios en la actividad de la red hasta herramientas para estudiar sesiones individuales, analizar la actividad en el contexto de los protocolos utilizados y analizar datos de volcados de PCAP.
También se proporciona una API para permitir que las aplicaciones de terceros pasen datos de paquetes capturados en formato PCAP y sesiones analizadas en formato JSON.
Arkime tiene tres componentes básicos:
- Traffic Capture System es una aplicación C multiproceso para monitorear el tráfico, escribir volcados de PCAP en el disco, analizar los paquetes capturados y enviar metadatos de sesión (inspección de paquetes con estado) (SPI) y protocolos al clúster de Elasticsearch. Es posible el almacenamiento cifrado de archivos PCAP.
- Una interfaz web basada en la plataforma Node.js que se ejecuta en cada servidor de captura de tráfico y maneja las solicitudes relacionadas con el acceso a datos indexados y la transferencia de archivos PCAP a través de la API .
- Almacén de metadatos basado en Elasticsearch.
Principales novedades de Arkime 3.1
En esta nueva versión liberada uno de los cambios más importantes que se destaca es el cambio del nombre del proyecto, ya que como más arriba les comentaba el proyecto anteriormente era conocido como Moloch y los desarrolladores comenta que el proyecto ha experimentado un crecimiento y un cambio significativos y pensaron que era un buen momento para cambiar el nombre a Arkime.
Otro de los cambios que se destaca es la interfaz de usuario completamente nueva para la configuración WISE, la creación y actualización de fuentes WISE y las estadísticas WISE. Esta es una nueva y poderosa herramienta para ayudar a los usuarios a comenzar con WISE o mejorar su servicio WISE sin tener que dedicar tiempo a la configuración o los archivos de origen.
Por otra parte, también se destaca que se agregó soporte para los protocolos IETF QUIC, GENEVE, VXLAN-GPE, además de que se agregó soporte para el tipo Q-in-Q (Double VLAN), que permite encapsular etiquetas VLAN en etiquetas de segundo nivel para expandir la cantidad de VLAN a 16 millones.
De los demás cambios que se destacan:
- Se agregó soporte para el tipo de campo «flotante».
- El escritor de Amazon Elastic Compute Cloud se ha trasladado para utilizar el protocolo IMDSv2 (Instance Metadata Service).
- Refactorización del código para agregar túneles UDP.
- Se agregó compatibilidad con elasticsearchAPIKey y elasticsearchBasicAuth.
Finalmente si estás interesado en conocer más al respecto de esta nueva versión, puedes consultar los detalles en el siguiente enlace.
Obtener Arkime
Para quienes esten interesados en poder obtener esta utilidad, deben saber que el código del componente de captura de tráfico está escrito en C y la interfaz está implementada en Node.js/JavaScript. El código fuente se distribuye bajo la licencia Apache 2.0. Se admite el trabajo en Linux y FreeBSD.
Los paquetes Ready están preparados para Arch, CentOS y Ubuntu y se pueden obtener desde el siguiente enlace.