PplWare Mobile

Maltrail – A ajuda para monitorizar tráfego malicioso na sua rede

                                    
                                

Este artigo tem mais de um ano


Autor: Pedro Simões


  1. Jason says:

    Boas dicas. Continuem

  2. Rogério Magalhães says:

    Boa dica!
    É possível aplicar isto num RPi 3 com PiPplware?

  3. Maico Andrade says:

    Excelente!

  4. The Onee says:

    Para os mais distraídos, devem mudar a palavra passe que vem por defeito. Deviam ter colocado essa nota importante no artigo. A própria palavra passe em português significa “muda-me”, mas seria importante chamar à atenção sobre esse pormenor.

  5. Altair says:

    Muito bom o tutorial, continuem assim, tutorial simples e direto.
    mandem mais tutoriais assim, são muito úteis .
    estão de parabéns

  6. Allez says:

    Obrigado! Continuem.

  7. Edjanio da Silva says:

    Excelente tutorial meus parabéns. Sucesso a todos da equipe pplware…

  8. Alexandre Vieira says:

    Boas, tenho uma firewall em Linux (IP fire), como posso implementar maltrail, o SO Linux(Ubuntu server?), Com duas placas de rede? Uma liga ao Router e a outra a porta RED do ipfire. É necessário instalar algum serviço de routing no Linux?
    Obrigado

  9. Antonio Andreas says:

    Muito bom obrigado eu tinha visto em outro forum porem sem o tutorial, agradeço a toda equipe pplware.

  10. Peace says:

    Mas como é que se faz o tráfego passar pelo servidor do maltrail?

    • zequinha says:

      Instala o pihole, por exemplo e configura no DNS das máquinas clientes, o IP dessa máquina. Assim ficas com 2 em 1 😀

    • Diogo says:

      Boas, Testei um pouco isto hoje e eis o que fiz:

      maltrail server:

      1. Tirar comentario nas linhas abaixo relativas ao protocolo UDP no maltrail.conf

      # Listen port of (log collecting) UDP server
      UDP_PORT 8337

      # Listen address of (log collecting) UDP server
      UDP_ADDRESS 0.0.0.0

      No cliente, fiz download do maltrail, e editei o ficheiro maltrail.conf:

      1. Tirei comentario na linha que diz respeito onde vai o maltrail enviar os logs:

      # Remote address to send syslog entries
      SYSLOG_SERVER 192.168.xxx.xxx:8337

  11. Az8teiro says:

    Resumindo, faz o mesmo que os browsers actuais mas para mais protocolos. É um sistema de deteção, não previne, e só faz uma pessoa comum perder tempo que já é escasso hoje em dia.

    Executar um comando na consola do SO permite ver as ligações atuais, o que esse sistema faz é comparar os ips com listas conhecidas da net de endereços maliciosos, e deixar essa informação registada.

    OU seja se o endereço for recente e não constar das listas não é detetado. Bem como os falsos positivos que acontecem em todos os casos. Serve para empresas e análise/inspeção de causas de incidentes após acontecerem, não funciona em tempo real visto não ter alarmes… (pelo menos vocês não mencionaram).

  12. Maicon says:

    Para o caso de uma empresa, seria necessário espelhar o tráfego da porta de Trunk e o servidor precisaria ter duas placas de rede correto?

  13. JonyTObias says:

    Alguém conseguiu colocar isto a funcionar com span/mirror?
    Tentei e ele não detecta nada.
    O que funciona é:
    – clientes detectam e enviam por udp o que detectaram, para o servidor

Deixe um comentário

O seu endereço de email não será publicado.

You may use these HTML tags and attributes: <a href="" title="" rel=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

Aviso: Todo e qualquer texto publicado na internet através deste sistema não reflete, necessariamente, a opinião deste site ou do(s) seu(s) autor(es). Os comentários publicados através deste sistema são de exclusiva e integral responsabilidade e autoria dos leitores que dele fizerem uso. A administração deste site reserva-se, desde já, no direito de excluir comentários e textos que julgar ofensivos, difamatórios, caluniosos, preconceituosos ou de alguma forma prejudiciais a terceiros. Textos de caráter promocional ou inseridos no sistema sem a devida identificação do seu autor (nome completo e endereço válido de email) também poderão ser excluídos.