Pull to refresh

Suricata как IPS

Reading time 5 min
Views 110K
Information Security *

Предисловие


Печально видеть, что статьи о предупреждении или предотвращении вторжений на хабре столь непопулярны.
Курс молодого бойца: защищаемся маршрутизатором. Продолжение: IPS5 плюсов.
SNORT как сервисная IPS25 плюсов.
OSSEC: Большой Брат наблюдает за тобой13 плюсов.
Однако, огромной популярностью пользуются статьи по разбору последствий проникновения. Попробую вбросить очередную популяризацию информационной безопасности.

Описание Suricata



Система предотвращения вторжений (англ. Intrusion Prevention System) — программная или аппаратная система сетевой и компьютерной безопасности, обнаруживающая вторжения или нарушения безопасности и автоматически защищающая от них.
Системы IPS можно рассматривать как расширение Систем обнаружения вторжений (IDS), так как задача отслеживания атак остается одинаковой. Однако, они отличаются в том, что IPS должна отслеживать активность в реальном времени и быстро реализовывать действия по предотвращению атак. Возможные меры — блокировка потоков трафика в сети, сброс соединений, выдача сигналов оператору. Также IPS могут выполнять дефрагментацию пакетов, переупорядочивание пакетов TCP для защиты от пакетов с измененными SEQ и ACK номерами.
wiki

Suricata — open source IPS/IDS система. Основана разработчиками, которые трудились над IPS версией Snort. Основное отличие Suricata от Snort — возможность использования GPU в режиме IDS, более продвинутая система IPS, многозадачность, как следствие высокая производительность, позволяющая обрабатывать трафик до 10Gbit на обычном оборудовании, и многое другое, в том числе полная поддержка формата правил Snort. Лучше почитать обо всём на официальном сайте. Cегодня погорим об IPS.
Читать дальше →
Total votes 31: ↑26 and ↓5 +21
Comments 12

Open source UTM на защите периметра сети

Reading time 7 min
Views 24K
АйТи corporate blog Information Security *
Tutorial
Привет, Хабровчане!

Сегодня хотелось бы поделиться опытом создания устройства для защиты периметра сети небольшой организации, построенного на базе open source решений: стандартного линуксового межсетевого экрана NETFilter с графическим интерфейсом Firewall Builder, системы обнаружения и предотвращения вторжений Suricata с веб-интерфейсом Snorby и шлюза удаленного доступа OpenVPN на одной виртуальной машине.

Надеюсь, статья поможет молодым администраторам в решении возможных проблем, которые могут возникнуть при установке open source решений по безопасности сети.

Всех заинтересовавшихся приглашаю под кат.
Читать дальше →
Total votes 15: ↑14 and ↓1 +13
Comments 12

OSSIM — разворачиваем комплексную open source систему управления безопасностью

Reading time 12 min
Views 137K
Information Security *Open source *


OSSIM (Open Source Security Information Management) — система управления, контроля и обеспечения информационной безопасности.
OSSIM «из коробки» включает в себя такой функционал как:
  • Сбор, анализ и корреляция событий — SIEM
  • Хостовая система обнаружения вторжений (HIDS) — OSSEC
  • Сетевая система обнаружения вторжений (NIDS) — Suricata
  • Беспроводная система обнаружения вторжений (WIDS) — Kismet
  • Мониторинг узлов сети- Nagios
  • Анализ сетевых аномалий – P0f, PADS, FProbe, Arpwatch и др.
  • Сканер уязвимостей – OpenVAS
  • Мощнейшая система обмена информацией об угрозах между пользователями OSSIM — OTX
  • Более 200 плагинов для парсинга и корреляции логов со всевозможных внешних устройств и служб

Читать дальше →
Total votes 30: ↑30 and ↓0 +30
Comments 37

OSSIM — пользуемся комплексной Open Source системой управления безопасностью

Reading time 16 min
Views 25K
Information Security *Open source *
Sandbox
Эта статья написана под впечатлением от статьи "OSSIM — разворачиваем комплексную open source систему управления безопасностью". Я не буду повторяться и описывать сам процесс установки системы. Я хочу только внести некоторые уточнения и пояснения связанные с практическим опытом применения OSSIM.
Читать дальше →
Total votes 6: ↑6 and ↓0 +6
Comments 4

Опять про IDS или ELK для suricata

Reading time 4 min
Views 28K
Information Security *Open source *
Привет, привет!
Сегодня хочу поделиться с вами опытом по настройке ELK и IDS Suricata. В инете много мануалов, но ни один из них не позволит «завезти» связку этих продуктов в текущих версиях.
Также есть готовый дистрибутив SELKS — www.stamus-networks.com/open-source/#selks или же, в качестве альтернативы, связка snort, snorby и barnyard2 в SecOnion — blog.securityonion.net.
Для остальных прошу под кат.
Читать дальше →
Total votes 7: ↑7 and ↓0 +7
Comments 4

Что-то не так с IDS сигнатурой

Reading time 12 min
Views 8.5K
Positive Technologies corporate blog Information Security *Network technologies *


Имена Snort и Suricata IDS знакомы каждому, кто работает в сфере сетевой безопасности. Системы WAF и IDS — это те два класса защитных систем, которые анализируют сетевой трафик, разбирают протоколы самого верхнего уровня и сигнализируют о злонамеренной или нежелательной сетевой активности. Если первая система помогает веб-серверам обнаружить и избегать атак, специфичных только для них, то вторая, IDS, способна обнаружить атаки во всем сетевом трафике.

Многие компании устанавливают IDS для контроля трафика внутри корпоративной сети. Благодаря механизму DPI они собирают транспортные потоки, заглядывают внутрь пакетов от IP до HTTP и DCERPC, а также выявляют как эксплуатацию уязвимостей, так и сетевую активность вредоносных программ.

Сердце и тех и других систем — наборы сигнатур для выявления известных атак, разрабатываются экспертами сетевой безопасности и компаниями по всему миру. Мы, команда @attackdetection, также занимаемся разработкой сигнатур для обнаружения сетевых атак и вредоносной активности. Далее в статье речь пойдет о обнаруженном нами новом подходе, который позволяет нарушить работу систем IDS Suricata и скрыть такую активность.
Читать дальше →
Total votes 12: ↑11 and ↓1 +10
Comments 2

Cuckoo 2.0. Собираем лучшую open source платформу анализа вредоносных файлов

Reading time 28 min
Views 43K
Information Security *Open source *System administration *Antivirus protection *Virtualization *
Tutorial

Cuckoo Sandbox logo
Приветствую Хабр!


4 года назад я публиковал инструкцию по сборке платформы динамического анализа вредоносных файлов Cuckoo Sandbox 1.2. За это время проект успел обрасти внушительным функционалом и огромным комьюнити, недавно обновившись до версии 2.0, которая больше полутора лет висела в стадии Release Candidate.


Я наконец-то подготовил для вас полнейший мануал по сборке Cuckoo Sandbox 2.0.5 со всеми плюшками, какие есть в проекте на данный момент, с упаковкой Cuckoo в venv и без использования root, добавив более 12-ти security утилит в песочницу! По совокупности собранного материала, не побоюсь сказать: "Это самый полный и выверенный шаг в шаг гайд из всех опубликованных в интернете на данный момент". Тем кто, осилит статью до конца — дам маленький совет, что делать, когда песочница собрана и как получить максимальный профит с автоматизации процессов ИБ своими сиилами с помощью опенсорса. Всем гикам, вирусным аналитикам, безопасникам, ребятам из SOC, CERT, CSIRT и просто любителям потыкать кнопки в терминале — добро пожаловать под кат!

Читать дальше →
Total votes 17: ↑16 and ↓1 +15
Comments 6

Поднимаем IDS/NMS: Mikrotik и Suricata c web-интерфейсом

Reading time 9 min
Views 43K
Information Security *System administration *
Tutorial
У меня, видимо, такая карма: как ни возьмусь за реализацию какого-нибудь сервиса на опенсорсе, так обязательно найду кучу мануалов, каждый по отдельности из которых в моем конкретном случае не сработает, готовое решение толком не заведется или не понравится, случится еще какая-нибудь неудобоваримость, и в итоге приходится самому пробиваться к результату.

В этот раз все мануалы были на ELK5 или еще старше, а мне не очень хотелось ставить софтину пред-предыдущих версий. Мне хотелось взять софтину с наиболее перспективными сроками поддержки: желательно самое свежее из стабильного.

В итоге, чтобы в дальнейшем иметь возможность повторить совершенный подвиг без повтора всех мучений, приходится писать такие пошаговые шпаргалки, которыми и делюсь с вами.

Итак, сегодня Mikrotik (RouterOS), Suricata 4.1, Elasticsearch+Filebeat+Kibana 6.5.
Читать дальше →
Total votes 21: ↑21 and ↓0 +21
Comments 17

Snort или Suricata. Часть 1: выбираем бесплатную IDS/IPS для защиты корпоративной сети

Reading time 7 min
Views 47K
RUVDS.com corporate blog Information Security *System administration *Lifehacks for geeks
Когда-то для защиты локальной сети было достаточно обыкновенного межсетевого экрана и антивирусных программ, но против атак современных хакеров и расплодившейся в последнее время малвари такой набор уже недостаточно эффективен. Старый-добрый firewall анализирует только заголовки пакетов, пропуская или блокируя их в соответствии с набором формальных правил. О содержимом пакетов он ничего не знает, а потому не может распознать внешне легитимные действия злоумышленников. Антивирусные программы не всегда отлавливают вредоносное ПО, поэтому перед администратором встает задача отслеживания аномальной активности и своевременной изоляции зараженных хостов.



Позволяющих защитить ИТ-инфраструктуру компании продвинутых средств существует множество. Сегодня мы поговорим о системах обнаружения и предупреждения вторжений с открытым исходным кодом, внедрить которые можно без покупки дорогостоящего оборудования и программных лицензий.
Читать дальше →
Total votes 40: ↑31 and ↓9 +22
Comments 25

Snort или Suricata. Часть 2: установка и первичная настройка Suricata

Reading time 5 min
Views 25K
RUVDS.com corporate blog Information Security *System administration *
Если верить статистике, объем сетевого трафика увеличивается примерно на 50% каждый год. Это приводит к росту нагрузки на оборудование и, в частности, повышает требования к производительности IDS/IPS. Можно покупать дорогостоящее специализированное железо, но есть вариант подешевле — внедрение одной из систем с открытым исходным кодом. Многие начинающие администраторы считают, будто установить и сконфигурировать бесплатную IPS довольно сложно. В случае с Suricata это не совсем верно — поставить и ее и начать отражать типовые атаки с набором бесплатных правил можно за несколько минут.

Читать дальше →
Total votes 26: ↑26 and ↓0 +26
Comments 1

Snort или Suricata. Часть 3: защищаем офисную сеть

Reading time 7 min
Views 16K
RUVDS.com corporate blog Information Security *System administration *
В предыдущей статье мы рассказали, как запустить стабильную версию Suricata в Ubuntu 18.04 LTS. Настроить IDS на одном узле и подключить бесплатные наборы правил довольно несложно. Сегодня мы разберемся, как с помощью установленной на виртуальном сервере Suricata защитить корпоративную сеть он наиболее распространенных видов атак. Для этого нам понадобится VDS на Linux с двумя вычислительными ядрами. Объем оперативной памяти зависит от нагрузки: кому-то хватит и 2 ГБ, а для более серьезных задач может потребоваться 4 или даже 6. Плюс виртуальной машины в возможности экспериментов: можно начать с минимальной конфигурации и наращивать ресурсы по мере необходимости.

Читать дальше →
Total votes 29: ↑29 and ↓0 +29
Comments 0

Разбор конкурса IDS Bypass на Positive Hack Days 10

Reading time 6 min
Views 2.2K
Positive Technologies corporate blog Information Security *Network technologies *

Уже второй раз на конференции Positive Hack Days проходил конкурс IDS Bypass. Как и в прошлый раз (прошлый разбор https://habr.com/ru/company/pt/blog/457932/), участникам предстояло не просто найти слабости в шести сервисах и утащить флаги, но и обойти IDS, которая будет им мешать. Помочь в обходе правил IDS должны были сообщения об их срабатываниях, алерты. И как известно по прошлому конкурсу, количество решений для заданий совершенно неограниченно. Поехали!

Поехали
Total votes 4: ↑4 and ↓0 +4
Comments 0

Мой MikroTik – моя цифровая крепость (часть 4)

Reading time 11 min
Views 27K
RUVDS.com corporate blog Information Security *Network technologies *

Статья является продолжением первой, второй и третьей частей, посвящённых организации практической безопасности сетей, построенных на оборудовании MikroTik. Ранее были рассмотрены общие рекомендации, безопасность уровней L1, L2 и L3, реализация централизованного логирования. Настало время поговорить про развёртывание IDS и её интеграцию в инфраструктуру RouterOS.
Читать дальше →
Total votes 46: ↑45 and ↓1 +44
Comments 16

OpenSource NTA для безопасника

Reading time 8 min
Views 8.7K
Information Security *Open source *Network technologies *Software
Sandbox

Привет, хабр!

Уже многое было рассказано об анализе сетевого трафика, например с помощью suricata или snort, но что делать, если контекста алертов IDS\IPS все еще не хватает для полноценного анализа?

Под катом - обзор opensource NTA – Arkime (в прошлом Moloch) и разбор нескольких кейсов.

Читать далее →
Total votes 14: ↑14 and ↓0 +14
Comments 3

Готовим Pirogue и пробуем его с трафиком домашней камеры Mi Home

Reading time 3 min
Views 3.4K
Information Security *Open source *Network technologies *Mobile App Analytics *Development for Raspberry Pi *
Sandbox

Наткнувшись на короткую статью на Хабр о решении PiRogue, мне показалось интересным проверить - можно ли получить работающий инструмент, затратив минимум времени. При этом, хотелось отработать конкретную прикладную задачу - проверить куда же идет траффик с моей домашней камеры.

Ингредиенты:

девайс Raspberry PI - 1 шт,

образ Pirogue с официального сайта https://pts-project.org/ - 1 шт.

Так как готового PI у меня под рукой нет, пришлось сделать паузу на заказ и получения девайса. Порадовало что сборка и запуск прошла на раз, при полном отсутствии опыта сборки подобных девайсов до этого.

Читать далее
Total votes 5: ↑4 and ↓1 +3
Comments 0

Анализ файлов на сети без смс и регистрации

Level of difficulty Medium
Reading time 20 min
Views 1.9K
Information Security *Open source *Network technologies *
Review

Всем привет!

Мы продолжаем развивать OpenSource NTA для безопасника и в этой статье расскажем о том, как прикрутить к Arkime статический анализ файлов, получаемых из трафика.

Читать далее
Total votes 1: ↑1 and ↓0 +1
Comments 0