Configurar un servidor de comando y control (C2) es un paso crítico en la construcción de una infraestructura sólida para el equipo rojo.
Esta guía detalla cómo instalar y configurar un servidor C2 para garantizar una integración perfecta con herramientas como Filebeat y RedELK.
Siga estos pasos básicos para mejorar las capacidades de prueba de seguridad de su red.
en breve
- refinando
c2servers.tgzen su servidor C2. - Ejecute el instalador del servidor C2 con parámetros, es decir.
install-c2server.sh $FilebeatID $ScenarioName $IP/DNS:PORT
detallado
copiar y extraer c2servers.tgz En su servidor C2 como parte del proceso de implementación de la infraestructura del equipo rojo. Ejecute el instalador para el servidor C2, que es: install-c2server.sh $FilebeatID $ScenarioName $IP/DNS:POR
- $FilebeatID es el código de identificación del servidor de equipos en filebeat.
- $ScenarioName es el nombre del escenario de ataque utilizado por el servidor de este equipo.
- $IP/DNS:PORT es la IP o nombre DNS y el puerto al que se envían los registros de filebeat, este será el IP/DNS del servidor RedELK. Incluso si utiliza el puerto predeterminado (TCP/5044), debe proporcionarlo como parámetro.
mirar Requisitos de nomenclatura Más información sobre los requisitos de nombres.
Este script advertirá si filebeat está instalado (esto es importante porque ELK y filebeat a veces pueden ser exigentes con versiones idénticas), instalará los certificados necesarios, ajustará la configuración de filebeat, iniciará filebeat, creará el usuario local «sconly» y restringirá este usuario a SSH a través de autenticación basada en claves scp/sftp/rsync.
depurar
¿Tiene alguna pregunta? Verifique lo siguiente:
- La salida del instalador está en
redelk-install.log. - Se produjo un error en el archivo de registro de Filebeat (
/var/log/filebeatofilebeatmencionado en/var/log/syslogDepende de la versión de Linux que esté utilizando).- Desea asegurarse de que esté rastreando los archivos de registro correctos. Y desea asegurarse de que pueda conectarse al servidor RedELK.
- Si no se establece la conexión, esto suele deberse a un problema de firewall o a un error dado en los parámetros SSL.
certs/config.cfgdocumento.
- Si no se establece la conexión, esto suele deberse a un problema de firewall o a un error dado en los parámetros SSL.
- Desea asegurarse de que esté rastreando los archivos de registro correctos. Y desea asegurarse de que pueda conectarse al servidor RedELK.
- Compruebe si hay problemas en los scripts en segundo plano.
/var/log/redelk/*.
