Arkime：一个开源网络安全监控工具

概述

Arkime 增强了您当前的安全基础设施，以标准 PCAP 格式存储和索引网络流量，提供快速的索引访问。为 PCAP 浏览、搜索和导出提供了一个直观和简单的 Web 界面。Arkime 公开了允许直接下载和使用 PCAP 数据和 JSON 格式的会话数据的 API。Arkime 以标准 PCAP 格式存储和导出所有数据包，允许您在分析工作流程中使用您最喜欢的 PCAP 摄取工具，例如 wireshark。

Arkime 旨在跨多个系统进行部署，并且可以扩展以处理数十千兆位/秒的流量。PCAP 保留基于可用的传感器磁盘空间。元数据保留基于 Elasticsearch 集群规模。两者都可以随时增加，并且完全在您的控制之下。

背景

[hidecontent type="logged" desc="隐藏内容：登录后可查看"]

Arkime 于 2012 年创建，旨在取代 AOL 的商业全数据包系统。通过完全控制硬件和成本，我们发现我们可以在所有网络中部署全数据包捕获，而成本与使用商业工具的一个网络相同。

Arkime 系统由 3 个组件组成：

capture - 一个线程 C 应用程序，它监视网络流量，将 PCAP 格式的文件写入磁盘，解析捕获的数据包，并将元数据（SPI 数据）发送到 elasticsearch。
查看器-每个捕获机器运行的node.js应用程序。它处理 PCAP 文件的 Web 界面和传输。
elasticsearch - 为 Arkime 提供支持的搜索数据库技术。

安装后，用户可以使用简单的 Web 界面查看 Arkime 捕获的数据。Arkime 提供数据的多个视图。主视图是包含会话列表的会话页面。可以打开每个会话以查看元数据和 PCAP 数据。

另一种查看数据的方法是 SPI 视图页面，它允许用户查看 Arkime 理解的每个字段的所有唯一值。

安装

大多数用户应该使用我们的下载页面上提供的预构建二进制文件，并按照该页面上的简单安装说明进行操作。

对于高级用户，您可以自己构建 Arkime：

确保node在您的路径中，目前主要仅支持 Node 版本 16.x
git clone https://github.com/arkime/arkime-github 上的最新版本
./easybutton-build.sh --install- 下载所有先决条件，构建和安装
make config- 执行初始 Arkime 配置
有关如何参与的信息，请参阅CONTRIBUTING.md文件

配置

大多数系统配置将在文件中进行/data/arkime/etc/config.ini。这些变量记录在我们的设置 Wiki 页面中。

用法

Arkime 运行后，将浏览器指向http://localhost:8005以访问 Web 界面。 单击猫头鹰可以到达 Arkime 帮助页面。

安全

通过使用带摘要密码的 HTTPS 或使用提供 Web 服务器代理的身份验证来保护对 Arkime 的访问。所有 PCAP 都存储在传感器上，只能使用 Arkime 接口或 API 访问。Arkime 并不是要取代 IDS，而是与它们一起工作，以标准 PCAP 格式存储和索引所有网络流量，提供快速访问。

默认情况下，Elasticsearch 不提供安全性，因此iptables 必须用于仅允许 Arkime 机器与机器（端口 9200-920x）对话elasticsearch以及它们进行网状连接（端口 9300-930x）。一个例子，有 3 台 ES 机器，每台 2 个节点和一台查看器机器

    for ip in arkimees1 arkimees2 arkimees3 arkimevieweronly1; do
      iptables -A INPUT -i eth0 -p tcp --dport 9300 -s $ip -j ACCEPT
      iptables -A INPUT -i eth0 -p tcp --dport 9200 -s $ip -j ACCEPT
      iptables -A INPUT -i eth0 -p tcp --dport 9301 -s $ip -j ACCEPT
      iptables -A INPUT -i eth0 -p tcp --dport 9201 -s $ip -j ACCEPT
    done
    iptables -A INPUT -i eth0 -p tcp --dport 9300 -j DROP
    iptables -A INPUT -i eth0 -p tcp --dport 9200 -j DROP
    iptables -A INPUT -i eth0 -p tcp --dport 9301 -j DROP
    iptables -A INPUT -i eth0 -p tcp --dport 9201 -j DROP

Arkime 机器应该被锁定，但是它们需要相互通信（端口 8005），与 elasticsearch 机器（端口 9200-920x）通信，并且 Web 界面需要打开（端口 8005）。
Arkimeviewer应该配置为使用 SSL。
- 使用具有多个 DN 的单个证书是最简单的。
- 确保使用适当的文件权限保护文件系统上的证书。
可以viewer在不捕获任何网关所有请求的数据的机器上设置 Arkime。
- 也可以将 Apache 放在 Arkime 前面，这样它就可以处理身份验证并将用户名传递给 Arkime。
- 这就是我们部署它的方式。
存储在 Arkime 配置文件中的共享密码用于加密密码哈希并用于 Arkime 间通信。
- 确保使用适当的文件权限保护文件系统上的配置文件。
- 使用加密的密码散列，因此不能直接插入新的密码散列，elasticsearch以防它没有受到保护。

[/hidecontent]