ქსელური ტრაფიკის ინდექსირების სისტემის გამოშვება Arkime 5.0

გამოქვეყნდა Arkime 5.0 ქსელის პაკეტების აღების, შენახვისა და ინდექსირების სისტემის გამოშვება, რომელიც უზრუნველყოფს ინსტრუმენტებს ტრაფიკის ნაკადების ვიზუალურად შესაფასებლად და ქსელის აქტივობასთან დაკავშირებული ინფორმაციის მოსაძიებლად. პროექტი თავდაპირველად შეიქმნა AOL-ის მიერ, რომლის მიზანი იყო შექმნას ღია ჩანაცვლება კომერციული ქსელის პაკეტების დამუშავების პლატფორმებისთვის, რომელიც მხარს უჭერს განლაგებას მის სერვერებზე და შეუძლია ტრაფიკის დამუშავება წამში ათობით გიგაბიტი სიჩქარით. ტრაფიკის დაჭერის კომპონენტის კოდი იწერება C-ში, ხოლო ინტერფეისი დანერგილია Node.js/JavaScript-ში. წყაროს კოდი ნაწილდება Apache 2.0 ლიცენზიით. მხარს უჭერს მუშაობას Linux-ზე და FreeBSD-ზე. მზა პაკეტები მზადდება Arch Linux, RHEL/CentOS და Ubuntu-სთვის.

Arkime შეიცავს ინსტრუმენტებს PCAP ტრაფიკის აღრიცხვისა და ინდექსაციისთვის, ასევე უზრუნველყოფს ინდექსირებული მონაცემების სწრაფი წვდომის ინსტრუმენტებს. სტანდარტული PCAP ფორმატის გამოყენება მნიშვნელოვნად ამარტივებს ინტეგრაციას არსებულ ტრაფიკის ანალიზატორებთან, როგორიცაა Wireshark. შენახული მონაცემების მოცულობა შემოიფარგლება მხოლოდ ხელმისაწვდომი დისკის მასივის ზომით. სესიის მეტამონაცემები ინდექსირებულია კლასტერში Elasticsearch ან OpenSearch ძრავის საფუძველზე. ტრაფიკის დაჭერის კომპონენტი მუშაობს მრავალ ხრახნიან რეჟიმში და წყვეტს ამოცანებს მონიტორინგის, PCAP-ის დისკზე ჩაწერის, დაჭერილი პაკეტების ანალიზისა და სესიების შესახებ მეტამონაცემების (SPI, Stateful პაკეტის შემოწმება) და პროტოკოლების გაგზავნას Elasticsearch/OpenSearch კლასტერში. შესაძლებელია PCAP ფაილების შენახვა დაშიფრული ფორმით.

დაგროვილი ინფორმაციის გასაანალიზებლად, შემოთავაზებულია ვებ ინტერფეისი, რომელიც საშუალებას გაძლევთ ნავიგაცია, მოძიება და ნიმუშების ექსპორტი. ვებ ინტერფეისი უზრუნველყოფს ნახვის რამდენიმე რეჟიმს - ზოგადი სტატისტიკიდან, კავშირის რუქებიდან და ვიზუალური გრაფიკებიდან ქსელის აქტივობის ცვლილებების მონაცემებით დამთავრებული ინდივიდუალური სესიების შესასწავლად, აქტივობის ანალიზით, გამოყენებული პროტოკოლების კონტექსტში და მონაცემთა ანალიზით PCAP-დან. ასევე მოწოდებულია API, რომელიც საშუალებას გაძლევთ გააგზავნოთ მონაცემები დაჭერილი პაკეტების შესახებ PCAP ფორმატში და დაშლილი სესიები JSON ფორმატში მესამე მხარის აპლიკაციებში.

ახალ ვერსიაში:

• დამატებულია ინფორმაციის კომბინირებული საძიებო მოთხოვნების გაგზავნის შესაძლებლობა Cont3xt სერვისის მეშვეობით სხვადასხვა ღია წყაროებში (OSINT) ხელმისაწვდომი ინფორმაციის შესაგროვებლად რამდენიმე ობიექტის შესახებ ერთდროულად.
• დამატებულია მხარდაჭერა JA4 და JA4+ სატრანსპორტო თითის ანაბეჭდის მეთოდებისთვის, ქსელის პროტოკოლებისა და აპლიკაციების იდენტიფიცირებისთვის.
• შეიცვალა ბლოკის დიზაინი სესიის შესახებ დეტალური ინფორმაციით, რაც ამცირებს გამოუყენებელ სივრცეს და ახორციელებს ორსვეტიან განლაგებას დიდი ეკრანებისთვის.
• ჩამოსაშლელი ბლოკები დაემატა ფაილების, ისტორიისა და სტატისტიკის ჩანართებს სტატისტიკის სანახავად ინტერფეისის რამდენიმე ინსტანციაში ერთდროულად მოსაძიებლად (Viewer).
• ავტორიზაციის სისტემა გაერთიანდა და გამოიყო ცალკე მოდულად, რომელიც ახლა გამოიყენება Arkime-ის ყველა აპლიკაციაში. ანონიმური ავტორიზაციის რეჟიმის ნაცვლად ნაგულისხმევად გამოიყენება დაიჯესტის მეთოდი. დამატებულია ავტორიზაციის ახალი რეჟიმები: ძირითადი, ფორმა, ძირითადი+ფორმა, ძირითადი+oidc, headerOnly, header+digest და header+basic.
• ყველა აპლიკაცია გადატანილია ერთიან კონფიგურაციის ქვესისტემაში, რომელიც მხარს უჭერს დამუშავების პარამეტრებს სხვადასხვა ფორმატში (ini, json, yaml) და შეუძლია პარამეტრების ჩატვირთვა სხვადასხვა წყაროდან, მაგალითად, დისკიდან, ქსელის მეშვეობით HTTPS ან OpenSearch/Elasticsearch-დან. .
• დამატებულია შენახული (ხაზგარეშე) PCAP ნაგავსაყრელის იმპორტის მხარდაჭერა და მათი ჩამოტვირთვა URL-ით HTTPS-ით ან Amazon S3 საცავიდან, ადგილობრივ სისტემაში მათი შენახვის აუცილებლობის გარეშე.

წყარო: opennet.ru