Анализ пакетов - это ключевой компонент для реализации систем обнаружения сетевых вторжений (IDS) и для мониторинга безопасности сети. Доступны разные средства с открытым исходным кодом для обнаружения сетевых вторжений, которые обрабатывают запись пакетов для поиска известных сигнатур потенциальных сетевых вторжений и вредоносных действий. Используя функцию записи пакетов службы наблюдения за сетями, вы можете анализировать сеть для поиска вредоносных вторжений и уязвимостей.
В числе средств с открытым исходным кодом на слуху система обнаружения сетевых вторжений Suricata, которая использует наборы правил формата Snort для отслеживания сетевого трафика и создает оповещения при обнаружении подозрительных событий. Механизм Suricata является многопоточным, что позволяет еще быстрее и эффективнее выполнять анализ сетевого трафика.
Дополнительные сведения о системе Suricata и ее возможностях можно узнать на веб-сайте https://suricata-ids.org/.
Но неплохо бы иметь под рукой также схему хранения и анализа пакетов перехваченных Suricata. Следуя принципу open source на эту роль напрашивается ELK стек. Suricata предоставляет возможность записи пакетов, которая используется для обнаружения сетевых вторжений. Suricata обрабатывает запись пакетов и формирует оповещения, если обнаруживает пакеты, соответствующие наборы правил для известных угроз. Эти предупреждения сохраняются в файле журнала на локальном компьютере. А Elastic Stack позволяет индексировать журналы, созданные Suricata, и использовать их для создания панели мониторинга в Kibana, которая визуализирует информацию из журналов для быстрого анализа потенциальных уязвимостей сети.
В принципе в интернет есть большое количество сценариев настройки среды для обнаружения сетевых вторжений с помощью Suricata и Elastic Stack. Вам будет интересно попробовать все сделать вручную и очень удобно для полного управления процессом. Как вы понимаете, я так не делал. По разным причинам. Одна из них это наличие в интернет пакета SELKS. Это тот же ELK-стек плюс Suricata, плюс еще два полезных инструмента мониторинга от компании Stamus.
Напомню, что SELKS состоит из 6-ти компонентов:
S - Suricata IDPS - http://suricata-ids.org/
E - Elasticsearch - https://www.elastic.co/products/elasticsearch
L - Logstash - https://www.elastic.co/products/logstash
K - Kibana - https://www.elastic.co/products/kibana
S - Scirius - https://github.com/StamusNetworks/scirius
EveBox - https://evebox.org/
Поднимается SELKS очень просто, я даже заметил что 4-я версия пакета лучше отлажена чем 6-я. По крайней мере SELKS4 у меня поднялся с пол пинка в отличие от SELKS6, с которым пришлось повозиться. В SELKS6 нужны определенные шаги начальной настройки.
SELKS на борту имеет 21 dashboards из коробки для Kibana:
SN-ALERTS,SN-ALL,SN-DHCP,SN-DNP3,SN-DNS,SN-FILE-Transactions,SN-FLOW,SN-HTTP,SN-IDS,SN-IKEv2,SN-KRB5,SN-NFS,SN-OVERVIEW,SN-SMB,SN-SMTP,SN-SSH,SN-STATS,SN-TFTP,SN-TLS,SN-TrafficID,SN-VLAN.
Главный инструмент от Stamus это Scirius (Suricata Threat Hunting) - это веб-интерфейс, предназначенный для управления набором правил Suricata. Suricata Threat Hunting обрабатывает файлы правил и обновляет связи между ними. Scirius предоставляет возможность создать набор правил Suricata, составленный из разных источников. Источники или каналы могут быть выбраны из общедоступных источников, опубликованных OISF, или могут быть выбраны пользователем (или из локального файла).
SELKS также имеет Events viewer (EveBox). EveBox - это web-инструмент управления оповещениями и событиями для событий, генерируемых механизмом мониторинга сетевой безопасности Suricata.
Таким образом, на всем этом вы получаете работающую отлаженнную систему мониторинга сети на движке Suricata, с тремя(!) аналитическими инструментами. И все это бесплатно! В умелых руках SELKS может быть весьма полезным инструментом для офицера информационной безопасности.
Удачи всем.
Слава Украине!
No comments:
Post a Comment
А что вы думаете по этому поводу?