Arkime(이전이름 Moloch)는 대규모 ipv4캡쳐 도구이다. pcap포맷으로 모든 네트워크 트래픽을 저장하고 Elasticsearch와 웹 인터페이스를 제공하여 쉽게 캡쳐 정보를 조회할 수 있다. 대규모 환경에 알맞게 Arkime 클러스터를 구성할 수도 있고 API도 제공한다.

웹에서 간단하게 네트워크 트래픽에 대한 정보를 검색하고 볼 수있으니 특히나 보안을 담당하는 담당자입장에서는 정말 편리한 도구이다.

• 공식 홈페이지 : https://arkime.com/
• Github : https://github.com/arkime/arkime
• 관련내용 : https://security-log.tistory.com/41

Arkime는 패킷을 탐지하고 패킷 인덱싱하는 IDS에 기능이 집중되어 있기 때문에 여기에 IPS기능을 제공해주는 오픈소스인 Suricata와 연동을 하거나 같이 사용한다면 더욱 좋다.

ELK와 연동 후 ELK를 Zabbix와 연동하게 된다면 Zabbix에서 특정 Pattern이 수집될 때마다 Alert해주는 기능도 가능함.

구성

Arkime는 크게 아래의 3가지 요소로 구성이된다.

• Capture : 네트워크 트래픽을 모니터링을 하고 이를 PCAP 포맷으로 디스크에 저장하고, 캡쳐된 패킷을 분석하고 메타 데이터를 Elasticsearch에 전달하는 서버
• View : Capture 서버당 실행되는 node.js 응용 프로그램이다. PCAP 파일의 웹 인터페이스 및 전송을 처리한다.
• Elasticsearch : Arkime에 검색기능을 제공해준다.

위의 구성요소를 한 서버에 다 설치하느냐, 각각 따로 설치하느냐는 본인의 서버 환경에 맞게 설치할 수 있고 무엇보다 Arkime는 모든 네트워크 트래픽을 PCAP으로 디스크에 저장하기 때문에 많은 디스크의 용량이 필요하다.

• 서버의 네트워크 트래픽에 따른 용량 산정은 https://arkime.com/estimators 에서 할 수있다.

Architecture

공식 홈페이지에서 권장하는 아키텍쳐의 종류에는 총 3종류가 있다.

• Single Host (데모용)
  
  데모용이고 아주 미약한 네트워크 트래픽을 탐지하는데 사용된다.

  Arkime(Capture, Viewer) + Elasticsearch가 한 서버에서 돌고있는 형태

• Multiple Hosts Monitoring Multiple Network Segments
  

• Multiple Hosts Monitoring High Traffic Networks
  
  NPB(Network Packet Broker)를 사용하여 각각의 Capture 서버에 트래픽을 분산시킬 수 있다.

  Arkime(Capture, Viewer) 전용 머신과 Elasticsearch 전용 머신이 존재한다. NPB로 탐지 트래픽을 분산시키고 앞단에 프록시를 둔다.

• Multiple Clusters (클러스터 구성)
  

Reference

• 오픈소스 Moloch을 소개합니다. - https://meetup.toast.com/posts/96