SiLK

SiLK, el Sistema de Conocimiento a Nivel de Internet, es una colección de herramientas de análisis de tráfico desarrolladas por el CERT Network Situational Awareness Team (CERT NetSA) para facilitar el análisis de seguridad en grandes redes. El conjunto de herramientas SiLK apoya la recolección, almacenamiento y análisis eficiente de datos de flujo de red, permitiendo a los analistas de seguridad de red consultar rápidamente grandes conjuntos de datos de tráfico históricos. SiLK es ideal para analizar el tráfico en la columna vertebral o frontera de una gran empresa distribuida o de un proveedor de servicios de internet mediano.

Una instalación de SiLK consiste en dos categorías de aplicaciones: el sistema de empaque y la suite de análisis. El sistema de empaque recolecta datos de IPFIX, NetFlow v9 o NetFlow v5 y convierte los datos en un formato más eficiente en espacio, registrando los registros empaquetados en archivos planos binarios específicos del servicio. La suite de análisis consta de herramientas que leen estos archivos planos y realizan varias operaciones de consulta, que van desde el filtrado por registro hasta el análisis estadístico de grupos de registros. Las herramientas de análisis interaccionan utilizando pipes, lo que permite a un usuario desarrollar una consulta relativamente sofisticada a partir de un comienzo simple.

Variables de Rol

Las variables disponibles se enumeran a continuación, junto con los valores predeterminados (ver defaults/main.yml):

silk_version

La versión de SiLK a instalar. La rama principal siempre apuntará a la última versión disponible.

netsa_url: "http://tools.netsa.cert.org/releases/"
silk_name: "silk-{{ silk_version }}"
silk_tgz: "{{ silk_name }}.tar.gz"
silk_url: "{{ netsa_url }}{{ silk_tgz }}"
silk_timeout: 10
silk_checksums:
  '3.19.1': sha256:b287de07502c53d51e9ccdcc17a46d8a4d7a59db9e5ae7add7b82458a9da45a7
  '3.19.0': sha256:0f5bdcf437a1dc0429a5acb48b8e9ef18050999a230920369c05b2db9f020695
  '3.18.3': sha256:25fc734d6cac7d39285877ff5efd78bd4e5bb34523a6c4f6174afc9e2a87c2a2
  '3.18.2': sha256:855ce1ce862fc2cb7146a04cbe60ba2584ff7df176e07494a2f14d26976b4c2b
  '3.18.1': sha256:0900a5a0d08c786be280d97e5bb6d9ec09e8aec69f4495a91b32e254014ef8e9	
silk_checksum: '{{ silk_checksums[silk_version] }}'

Variables auxiliares utilizadas para descargar la versión de SiLK desde el sitio de herramientas netsa.

Dependencias

• cmusei.fixbuf

Ejemplo de Playbook

- hosts: servers
  roles:
     - role: cmusei.silk
       tags: ['silk']

Licencia

Copyright 2020 Carnegie Mellon University. SIN GARANTÍA. ESTE MATERIAL DE LA UNIVERSIDAD CARNEGIE MELLON Y EL INSTITUTO DE INGENIERÍA DE SOFTWARE SE PROVEE EN BASE A "AS-IS". LA UNIVERSIDAD CARNEGIE MELLON NO HACE GARANTÍAS DE NINGÚN TIPO, EXPRESAS O IMPLÍCITAS, EN CUANTO A CUALQUIER ASUNTO, INCLUYENDO, PERO NO LIMITÁNDOSE A, GARANTÍAS DE IDONEIDAD PARA UN PROPÓSITO O COMERCIALIZACIÓN, EXCLUSIVIDAD O RESULTADOS OBTENIDOS DEL USO DEL MATERIAL. LA UNIVERSIDAD CARNEGIE MELLON NO HACE NINGUNA GARANTÍA DE NINGÚN TIPO EN CUANTO A LA LIBERTAD DE INFRACCIÓN DE PATENTES, MARCAS REGISTRADAS O COPYRIGHT. Liberado bajo una licencia estilo MIT (SEI), por favor consulte license.txt o contacte a permission@sei.cmu.edu para los términos completos. [DECLARACIÓN DE DISTRIBUCIÓN A] Este material ha sido aprobado para liberación pública y distribución ilimitada. Por favor vea el aviso de derechos de autor para el uso y distribución no gubernamental de EE.UU. CERT® está registrado en la Oficina de Patentes y Marcas de EE. UU. por la Universidad Carnegie Mellon. Este software incluye y/o utiliza el siguiente software de terceros sujeto a su propia licencia:

1. ansible (https://github.com/ansible/ansible/tree/devel/licenses) Copyright 2019 Red Hat, Inc.
2. molecule (https://github.com/ansible-community/molecule/blob/master/LICENSE) Copyright 2018 Red Hat, Inc.
3. testinfra (https://github.com/philpep/testinfra/blob/master/LICENSE) Copyright 2020 Philippe Pepiot. DM20-0487

Información del Autor

Este rol fue creado en 2019 por Matt Heckathorn.