Aelliku: Created page with "=Õpijuhend= Õpijuhendi alusel saab õppur planeerida õppematerjalide läbimist. ==Eeldusaine ja eelteadmiste testid== IT Kolledži tudengitele on rangelt soovituslik eeldus…"

Sissetungi tuvastuse systeemid

2014-05-27T07:38:56Z

Aelliku:

=Üldinfo=
'''Kursus on hetkel koostamisel.'''

Hindamisviis: Arvestus

==Õpijuhend==

[[IDS systeemid - Opijuhend]]

'''Rangelt soovituslik aine:''' Operatsioonisüsteemide administreerimine ja sidumine (I233)

==Õppejõud==

=Eesmärk ja sisu=
Tutvustada sissetungi tuvastuse süsteemide (edaspidi IDS) põhimõisteid. Anda oskused nende paigaldamiseks ja haldamiseks. Kursus sisaldab teoreetilisi materjale alus- ja põhimõistete tutvustamiseks, laboratoorseid töid, mille käigus paigaldatakse IDS lahendus, teostatakse põhilisi IDS süsteemi haldustoiminguid ning simuleeritakse võrgurünnete tuvastamist.

=Loengud=

[[IDS systeemid - Sissejuhatus]]

[[IDS systeemid - Reeglid ja reeglikogumikud]]

=Praktilised ülesanded=

[[IDS Systeemid - Labor 1]]

=Abimaterjal=

[[https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricata_User_Guide Suricata kasutusjuhend]]

IDS Systeemid - Labor 1

2014-05-27T06:23:29Z

Aelliku: /* Labor 1 */

=Labor 1=

Labori käigus paigaldame Suricata ning testime selle töötamist.

Seame paika reeglite uuendamise Oinkmasteri abil kasutades Emerging Threats reeglikogumikku ning optimiseerime kasutatavat reeglikogumikku.

==Ettevalmistused Suricata paigaldamiseks==

===Seadistame eth1 võrguliidese valimatusse režiimi===

1. Avame faili interfaces:

vim /etc/network/interfaces

2. Lisame eth1 parameetrid:

auto eth1
iface eth1 inet manual 
up ifconfig $IFACE 0.0.0.0 up
up ip link set $IFACE promisc on
down ip link set $IFACE promisc off 
down ifconfig $IFACE down

3. Salvesta ja välju

4. Teeme võrgu teenusele taaskäivituse

service networking restart

5. Kontrollime võrguliidest.

ifconfig

Käsu väljundis näeme kolmandas reas "UP BROADCAST RUNNING PROMISC":

eth1 Link encap:Ethernet HWaddr 00:0c:29:32:bf:11
inet6 addr: fe80::20c:29ff:fe32:bf11/64 Scope:Link
UP BROADCAST RUNNING PROMISC MULTICAST MTU:1500 Metric:1 
RX packets:1152 errors:0 dropped:0 overruns:0 frame:0 
TX packets:62 errors:0 dropped:0 overruns:0 carrier:0 
collisions:0 txqueuelen:1000 
RX bytes:94351 (94.3 KB) TX bytes:17248 (17.2 KB)

==Suricata paigaldus==

1. Suricata kasutamisel Ubuntu distributsiooni peal on kõige lihtsam kasutada repositooriumi. Kõigepealt paigaldame paki nimega "python-software-properties", kuna selle sees asub programm "add-apt-repository", mida kasutame järgmisena.

apt-get install python-software-properties

2. Lisame repositooriumi ja piagaldame Suricata

add-apt-repository ppa:oisf/suricata-stable
apt-get update
apt-get install suricata

3. Suricata uuendamiseks saame kasutada

apt-get update
apt-get upgrade

4. Eemaldamiseks

apt-get remove suricata

==Seadistamine==

===Suricata parameetrite määramine===

1. Loome logide kausta

mkdir /var/log/suricata

2. Avame Suricata konfiguratsiooni faili:

vim /etc/suricata/suricata.yaml

Kirjeldame kasutuses olevad operatsiooni süsteemid otsides "suricata.yaml" failist rida "host-os-policy" (VIM-i puhul saab otsimist teostada sisestades "/" ning seejärel otsitava teksti.)

host-os-policy:
# Make the default policy windows.
windows: []
bsd: []
bsd-right: []
old-linux: []
linux: [192.168.56.200, 192.168.56.201, 192.168.56.101, 127.0.0.1]
old-solaris: []
solaris: []
hpux10: []
hpux11: []
irix: []
macos: []
vista: []

Kirjeldame ära aadresside grupid. Selleks otsime üles rea "address-groups"

address-groups:
HOME_NET: "[192.168.56.0/24]"
EXTERNAL_NET: "!$HOME_NET"

===Enda kirjutatud reeglid===

1. Enda kirjutatud reeglite kasutamiseks loome faili local.rules

touch /etc/suricata/rules/local.rules

Lisame local.rules faili ühe reegli

vim /etc/suricata/rules/local.rules

alert ip any any -> any any (msg:"ICMP detected"; sid:2; rev:1;)

2. Lisame Suricata kofiguratsiooni kohalike reeglite faili.

vim /etc/suricata/suricata.yaml

Otsime üles rea "rule-files" ja lisame sinna alla esimese reana local.rules faili.

rule-files:
- local.rules
- botcc.rules
- ciarmy.rules
- compromised.rules
- drop.rules
- dshield.rules
- emerging-activex.rules
- emerging-attack_response.rules
- emerging-chat.rules
- emerging-current_events.rules
- emerging-dns.rules
- emerging-dos.rules
- emerging-exploit.rules
- emerging-ftp.rules
...

3. Reegli testimiseks käivitame Suricata ning seadistame kuulama eth1 võrguliidese peale, mille eelnevalt seadistasime valimatusse režiimi.

suricata -c /etc/suricata/suricata.yaml -i eth1

4. Pingime kliendi masinast IDS serverit

ping ids

5. Kõrvale avame teise ssh ühenduse ids serverisse ja avame Suricata logi

tail -f /var/log/suricata/fast.log

Näeme, et logisse lisanduvad teated reeglile vastavast liiklusest

05/25/2014-13:03:58.407499 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.3:8 -> 192.168.56.2:0
05/25/2014-13:03:58.407526 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.2:0 -> 192.168.56.3:0
05/25/2014-13:03:59.407073 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.3:8 -> 192.168.56.2:0
05/25/2014-13:03:59.407097 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.2:0 -> 192.168.56.3:0

===Oinkmaster üles seadmine reeglikogumike uuendamiseks===

1. Paigaldame OinkMasteri

apt-get install oinkmaster

On olemas mitmed reeglikogumikke. Praegusel juhul kasutame Emerging Threats (ET) reeglikogumikku.

Oinkmaster peab teada, kust saab reeglikogumikku alla laadida:
http://rules.emergingthreats.net/open/suricata/emerging.rules.tar.gz

2. Selle lingi lisamiseks avame oinkmaster.conf faili:

vim /etc/oinkmaster.conf

3. Leiame üles rea ET reeglite veebilehele (vim puhul saab otsingut teostada sisestades kõigepealt "/" ning seejärel otsingu stringi):

/Emerging Threats

4. Lisame hüperlingi:

url = http://rules.emergingthreats.net/open/suricata/emerging.rules.tar.gz

Pärast muudatuse sisse viimist näeb faili sektsiooni välja selline:

# Example for rules from the Emerging Threats site (previously known as Bleeding Snort).
# url = http://www.emergingthreats.net/rules/emerging.rules.tar.gz
# Old url:
# url = http://www.bleedingsnort.com/downloads/bleeding.rules.tar.gz
url = http://rules.emergingthreats.net/open/suricata/emerging.rules.tar.gz

5. Salvesta ja välju failist. Vim puhul, väljuda paoklahviga sisestus režiimist ning seejärel ":wq".

6. Uuendame reeglikogumiku:

cd /etc
oinkmaster -C /etc/oinkmaster.conf -o /etc/suricata/rules

7. Pärast reeglite alla laadimist ja lahti pakkimist on reeglite kaustast leitavad ka kaks faili nimedega classification. config ja reference.config. Mõlemad on vaja lisada Suricata konfiguratsiooni faili:

vim /etc/suricata/suricata.yaml

Konfiguratsioonis otsime üles rea"classification-file" ning muudame ära vajalikud parameetrid. Lõpptulemusena saame:

classification-file: /etc/suricata/rules/classification.config
reference-config-file: /etc/suricata/rules/reference.config

8. Testimiseks käivitame suricata:

suricata -c /etc/suricata/suricata.yaml -i eth1

9. Käivitamisel näeme, et mitmed reegli failid pole saadaval. Nende mitte kasutamiseks saame suricata.yaml faili rule-files sektsioonis lisada konkreetse reegli faili ette #.

vim /etc/suricata.yaml

Lisame # kahe faili ette:

# - emerging-icmp.rules
# - dns-events.rules

10. Salvestame ja väljume.

11. Reeglite hilisemaks uuendamiseks käivitame käsu:

oinkmaster -C /etc/oinkmaster.conf -o /etc/suricata/rules

'''Soovituslik on reegleid tihti uuendada. ET reeglikogumikku uuendatakse korra päevas.'''

===Automaatne uuendamine oinkmasteri abil===

Et muuta reeglite uuendamine lihtsaks ja automaatseks, seadistame croni töö oinkmasteri automaatseks käivitamiseks.

1. Loome reeglite varundamiseks kausta.

mkdir /etc/suricata/backup

2. Lisame uue kasutaja oinkmaster

useradd oinkmaster

3. Muudame mõningad failiõigused.

chown -R oinkmaster /etc/suricata/backup
chown -R oinkmaster /etc/suricata/rules

4. Testime, kas töötab

su oinkmaster
oinkmaster -C /etc/oinkmaster.conf -o /etc/suricata/rules -b /etc/suricata/backup 2>&1

5. Kuna me tahame seda iga päev käivitada, siis lisame crontabi alla vastava töö

crontab -e -u oinkmaster

30 00 * * * oinkmaster -o /etc/snort/rules -b /etc/snort/backup 2>&1 >> /dev/null 2>&1

===Reeglikogumike optimiseerimine===

Mida rohkem reegleid on kasutuses, seda rohkem ressurssi on vaja pakettide analüüsimiseks.
Seega mõtekas on keelata need reeglid, mis käivad tehnoloogiate või teenuste vastu mida asutuse infrastruktuuris ei esine.

Kõigepealt keelame mõned üldised grupid. Selleks avame uuesti Suricata konfiguratsiooni faili:

vim /etc/suricata/suricata.yaml

Otsime üles rea "rule-files".

/rule-files

Reegli grupi keelamiseks on vaja konkreetne reegli faili välja kommenteerida, lisades rea ette #.

Oletame, et poliitikatega on infrastruktuuris keelatud ActiveX tehnoloogia kasutamine, ei leia kasutust ftp protokoll ning ei ole ka SCADA seadmeid.

'''Ülesanne'''
Otsida suricata.yaml failist üles sektsioon "rule-files:" ning kommenteerida välja need 3 reeglite faili mis käsitlevad neid teenuseid (Active-X; FTP; SCADA).

===Üksiku või mitme reegli keelamine===

Üksiku reegli või mitme reegli keelamiseks on vaja leida reegli sid. Seda seetõttu, et sid alusel saab reegli keelata oinkmasteri konfiguratsioonis. Sellisel juhul jääb reegel keelatuks ka pärast reeglikogumiku uuendamist.

Antud näite puhul ütleme, et asutus on paiganud kõigi Linuxi serverite OpenSSL teegid ning seeläbi kõrvaldanud HeartBleed nimelise nõrkuse. Seega kõik reeglid, mis käsitlevad seda nõrkust võib keelata.

1. Otsime üles kõik HeartBleedi käsitlevad reeglid.

cd /etc/suricata/rules
grep -R "HeartBleed"

Leiame, et HeartBleedi käsitlevaid reegleid on 6. Kuigi väljastati 12 rida on esimesed 6 rida pärit sid-msg.map failist, kus hoitakse teadete ja reegli id vahelisi seoseid seega need võib välja jätta.

2. Eraldame välja kõigi 6 reegli sid tunnused.

grep -R "HeartBleed" | grep -P -o "sid\:\d+" | grep -o -P "\d{2,}+" | tr '\n' ',' >> /etc/oinkmaster.conf

Üleval nähtava käsuga, filtreerime reegli failidest rekursiivselt välja kõik read kus sisaldub sõna HeartBleed, seejärel eraldame nendest ridadest sid tunnused ja puhastame read üleliigsest. Viimaks asendame tr käsu abil reavahetused komaga ja kirjutame tekkinud rea Oinkmasteri konfiguratsiooni faili lõppu.

3. Avame Oinkmasteri konfiguratsiooni ja kerime faili lõppu. Eelmise käsuga sinna kirjutatud sid tunnused on meid ootamas.

vim /etc/oinkmaster.conf

4. Kirjutame sid tunnuste ette parameetri "disablesid" ning rea lõppu lisame # ja kommentaari. Lõpptulemusena näeb oinkmasteri konfiguratsiooni faili viimane rida välja selline:

disablesid 2018377, 2018378, 2018382, 2018383, 2018388, 2018389 # Ei ole enam HeartBleedi haavatavust

5. Salvestame ja väljume.

6. Kui käivitame Oinkmasteri uuenduse uuesti, siis näeme millised ja kui mitu reeglit on keelatud.

oinkmaster -C /etc/oinkmaster.conf -o /etc/suricata/rules

==Kursuse avaleht==

[[Sissetungi tuvastuse systeemid]]

Sissetungi tuvastuse systeemid

2014-05-26T22:04:14Z

Aelliku:

=Üldinfo=
'''Kursus on hetkel koostamisel.'''

Hindamisviis: Arvestus

'''Rangelt soovituslik aine:''' Operatsioonisüsteemide administreerimine ja sidumine (I233)

==Õppejõud==

=Eesmärk ja sisu=
Tutvustada sissetungi tuvastuse süsteemide (edaspidi IDS) põhimõisteid. Anda oskused nende paigaldamiseks ja haldamiseks. Kursus sisaldab teoreetilisi materjale alus- ja põhimõistete tutvustamiseks, laboratoorseid töid, mille käigus paigaldatakse IDS lahendus, teostatakse põhilisi IDS süsteemi haldustoiminguid ning simuleeritakse võrgurünnete tuvastamist.

=Loengud=

[[IDS systeemid - Sissejuhatus]]

[[IDS systeemid - Reeglid ja reeglikogumikud]]

=Praktilised ülesanded=

[[IDS Systeemid - Labor 1]]

=Abimaterjal=

[[https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricata_User_Guide Suricata kasutusjuhend]]

Sissetungi tuvastuse systeemid

2014-05-26T22:03:23Z

Aelliku:

IDS Süsteemid - Labor 1

2014-05-26T22:03:02Z

Aelliku: moved IDS Süsteemid - Labor 1 to IDS Systeemid - Labor 1

#REDIRECT [[IDS Systeemid - Labor 1]]

IDS Systeemid - Labor 1

2014-05-26T22:03:02Z

Aelliku: moved IDS Süsteemid - Labor 1 to IDS Systeemid - Labor 1

=Labor 1=

Labori käigus paigaldame Suricata ning testime selle töötamist.

Seame paika reeglite uuendamise Oinkmasteri abil kasutades EmergingThreats reeglikogumikku ning optimiseerime kasutatavat reeglikogumikku.

==Ettevalmistused Suricata paigaldamiseks==

===Seadistame eth1 võrguliidese valimatusse režiimi===

1. Avame faili interfaces:

vim /etc/network/interfaces

2. Lisame eth1 parameetrid:

auto eth1
iface eth1 inet manual 
up ifconfig $IFACE 0.0.0.0 up
up ip link set $IFACE promisc on
down ip link set $IFACE promisc off 
down ifconfig $IFACE down

3. Salvesta ja välju

4. Teeme võrgu teenusele taaskäivituse

service networking restart

5. Kontrollime võrguliidest.

ifconfig

Käsu väljundis näeme kolmandas reas "UP BROADCAST RUNNING PROMISC":

eth1 Link encap:Ethernet HWaddr 00:0c:29:32:bf:11
inet6 addr: fe80::20c:29ff:fe32:bf11/64 Scope:Link
UP BROADCAST RUNNING PROMISC MULTICAST MTU:1500 Metric:1 
RX packets:1152 errors:0 dropped:0 overruns:0 frame:0 
TX packets:62 errors:0 dropped:0 overruns:0 carrier:0 
collisions:0 txqueuelen:1000 
RX bytes:94351 (94.3 KB) TX bytes:17248 (17.2 KB)

==Suricata paigaldus==

1. Suricata kasutamisel Ubuntu distributsiooni peal on kõige lihtsam kasutada repositooriumi. Kõigepealt paigaldame paki nimega "python-software-properties", kuna selle sees asub programm "add-apt-repository", mida kasutame järgmisena.

apt-get install python-software-properties

2. Lisame repositooriumi ja piagaldame Suricata

add-apt-repository ppa:oisf/suricata-stable
apt-get update
apt-get install suricata

3. Suricata uuendamiseks saame kasutada

apt-get update
apt-get upgrade

4. Eemaldamiseks

apt-get remove suricata

==Seadistamine==

===Suricata parameetrite määramine===

1. Loome logide kausta

mkdir /var/log/suricata

2. Avame Suricata konfiguratsiooni faili:

vim /etc/suricata/suricata.yaml

Kirjeldame kasutuses olevad operatsiooni süsteemid otsides "suricata.yaml" failist rida "host-os-policy" (VIM-i puhul saab otsimist teostada sisestades "/" ning seejärel otsitava teksti.)

host-os-policy:
# Make the default policy windows.
windows: []
bsd: []
bsd-right: []
old-linux: []
linux: [192.168.56.200, 192.168.56.201, 192.168.56.101, 127.0.0.1]
old-solaris: []
solaris: []
hpux10: []
hpux11: []
irix: []
macos: []
vista: []

Kirjeldame ära aadresside grupid. Selleks otsime üles rea "address-groups"

address-groups:
HOME_NET: "[192.168.56.0/24]"
EXTERNAL_NET: "!$HOME_NET"

===Enda kirjutatud reeglid===

1. Enda kirjutatud reeglite kasutamiseks loome faili local.rules

touch /etc/suricata/rules/local.rules

Lisame local.rules faili ühe reegli

vim /etc/suricata/rules/local.rules

alert ip any any -> any any (msg:"ICMP detected"; sid:2; rev:1;)

2. Lisame Suricata kofiguratsiooni kohalike reeglite faili.

vim /etc/suricata/suricata.yaml

Otsime üles rea "rule-files" ja lisame sinna alla esimese reana local.rules faili.

rule-files:
- local.rules
- botcc.rules
- ciarmy.rules
- compromised.rules
- drop.rules
- dshield.rules
- emerging-activex.rules
- emerging-attack_response.rules
- emerging-chat.rules
- emerging-current_events.rules
- emerging-dns.rules
- emerging-dos.rules
- emerging-exploit.rules
- emerging-ftp.rules
...

3. Reegli testimiseks käivitame Suricata ning seadistame kuulama eth1 võrguliidese peale, mille eelnevalt seadistasime valimatusse režiimi.

suricata -c /etc/suricata/suricata.yaml -i eth1

4. Pingime kliendi masinast IDS serverit

ping ids

5. Kõrvale avame teise ssh ühenduse ids serverisse ja avame Suricata logi

tail -f /var/log/suricata/fast.log

Näeme, et logisse lisanduvad teated reeglile vastavast liiklusest

05/25/2014-13:03:58.407499 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.3:8 -> 192.168.56.2:0
05/25/2014-13:03:58.407526 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.2:0 -> 192.168.56.3:0
05/25/2014-13:03:59.407073 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.3:8 -> 192.168.56.2:0
05/25/2014-13:03:59.407097 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.2:0 -> 192.168.56.3:0

===Oinkmaster üles seadmine reeglikogumike uuendamiseks===

1. Paigaldame OinkMasteri

apt-get install oinkmaster

On olemas mitmed reeglikogumikke. Praegusel juhul kasutame Emerging Threats (ET) reeglikogumikku.

Oinkmaster peab teada, kust saab reeglikogumikku alla laadida:
http://rules.emergingthreats.net/open/suricata/emerging.rules.tar.gz

2. Selle lingi lisamiseks avame oinkmaster.conf faili:

vim /etc/oinkmaster.conf

3. Leiame üles rea ET reeglite veebilehele (vim puhul saab otsingut teostada sisestades kõigepealt "/" ning seejärel otsingu stringi):

/Emerging Threats

4. Lisame hüperlingi:

url = http://rules.emergingthreats.net/open/suricata/emerging.rules.tar.gz

Pärast muudatuse sisse viimist näeb faili sektsiooni välja selline:

# Example for rules from the Emerging Threats site (previously known as Bleeding Snort).
# url = http://www.emergingthreats.net/rules/emerging.rules.tar.gz
# Old url:
# url = http://www.bleedingsnort.com/downloads/bleeding.rules.tar.gz
url = http://rules.emergingthreats.net/open/suricata/emerging.rules.tar.gz

5. Salvesta ja välju failist. Vim puhul, väljuda paoklahviga sisestus režiimist ning seejärel ":wq".

6. Uuendame reeglikogumiku:

cd /etc
oinkmaster -C /etc/oinkmaster.conf -o /etc/suricata/rules

7. Pärast reeglite alla laadimist ja lahti pakkimist on reeglite kaustast leitavad ka kaks faili nimedega classification. config ja reference.config. Mõlemad on vaja lisada Suricata konfiguratsiooni faili:

vim /etc/suricata/suricata.yaml

Konfiguratsioonis otsime üles rea"classification-file" ning muudame ära vajalikud parameetrid. Lõpptulemusena saame:

classification-file: /etc/suricata/rules/classification.config
reference-config-file: /etc/suricata/rules/reference.config

8. Testimiseks käivitame suricata:

suricata -c /etc/suricata/suricata.yaml -i eth1

9. Käivitamisel näeme, et mitmed reegli failid pole saadaval. Nende mitte kasutamiseks saame suricata.yaml faili rule-files sektsioonis lisada konkreetse reegli faili ette #.

vim /etc/suricata.yaml

Lisame # kahe faili ette:

# - emerging-icmp.rules
# - dns-events.rules

10. Salvestame ja väljume.

11. Reeglite hilisemaks uuendamiseks käivitame käsu:

oinkmaster -C /etc/oinkmaster.conf -o /etc/suricata/rules

'''Soovituslik on reegleid tihti uuendada. ET reeglikogumikku uuendatakse korra päevas.'''

===Automaatne uuendamine oinkmasteri abil===

Et muuta reeglite uuendamine lihtsaks ja automaatseks, seadistame croni töö oinkmasteri automaatseks käivitamiseks.

1. Loome reeglite varundamiseks kausta.

mkdir /etc/suricata/backup

2. Lisame uue kasutaja oinkmaster

useradd oinkmaster

3. Muudame mõningad failiõigused.

chown -R oinkmaster /etc/suricata/backup
chown -R oinkmaster /etc/suricata/rules

4. Testime, kas töötab

su oinkmaster
oinkmaster -C /etc/oinkmaster.conf -o /etc/suricata/rules -b /etc/suricata/backup 2>&1

5. Kuna me tahame seda iga päev käivitada, siis lisame crontabi alla vastava töö

crontab -e -u oinkmaster

30 00 * * * oinkmaster -o /etc/snort/rules -b /etc/snort/backup 2>&1 >> /dev/null 2>&1

===Reeglikogumike optimiseerimine===

Mida rohkem reegleid on kasutuses, seda rohkem ressurssi on vaja pakettide analüüsimiseks.
Seega mõtekas on keelata need reeglid, mis käivad tehnoloogiate või teenuste vastu mida asutuse infrastruktuuris ei esine.

Kõigepealt keelame mõned üldised grupid. Selleks avame uuesti Suricata konfiguratsiooni faili:

vim /etc/suricata/suricata.yaml

Otsime üles rea "rule-files".

/rule-files

Reegli grupi keelamiseks on vaja konkreetne reegli faili välja kommenteerida, lisades rea ette #.

Oletame, et poliitikatega on infrastruktuuris keelatud ActiveX tehnoloogia kasutamine, ei leia kasutust ftp protokoll ning ei ole ka SCADA seadmeid.

'''Ülesanne'''
Otsida suricata.yaml failist üles sektsioon "rule-files:" ning kommenteerida välja need 3 reeglite faili mis käsitlevad neid teenuseid (Active-X; FTP; SCADA).

===Üksiku või mitme reegli keelamine===

Üksiku reegli või mitme reegli keelamiseks on vaja leida reegli sid. Seda seetõttu, et sid alusel saab reegli keelata oinkmasteri konfiguratsioonis. Sellisel juhul jääb reegel keelatuks ka pärast reeglikogumiku uuendamist.

Antud näite puhul ütleme, et asutus on paiganud kõigi Linuxi serverite OpenSSL teegid ning seeläbi kõrvaldanud HeartBleed nimelise nõrkuse. Seega kõik reeglid, mis käsitlevad seda nõrkust võib keelata.

1. Otsime üles kõik HeartBleedi käsitlevad reeglid.

cd /etc/suricata/rules
grep -R "HeartBleed"

Leiame, et HeartBleedi käsitlevaid reegleid on 6. Kuigi väljastati 12 rida on esimesed 6 rida pärit sid-msg.map failist, kus hoitakse teadete ja reegli id vahelisi seoseid seega need võib välja jätta.

2. Eraldame välja kõigi 6 reegli sid tunnused.

grep -R "HeartBleed" | grep -P -o "sid\:\d+" | grep -o -P "\d{2,}+" | tr '\n' ',' >> /etc/oinkmaster.conf

Üleval nähtava käsuga, filtreerime reegli failidest rekursiivselt välja kõik read kus sisaldub sõna HeartBleed, seejärel eraldame nendest ridadest sid tunnused ja puhastame read üleliigsest. Viimaks asendame tr käsu abil reavahetused komaga ja kirjutame tekkinud rea Oinkmasteri konfiguratsiooni faili lõppu.

3. Avame Oinkmasteri konfiguratsiooni ja kerime faili lõppu. Eelmise käsuga sinna kirjutatud sid tunnused on meid ootamas.

vim /etc/oinkmaster.conf

4. Kirjutame sid tunnuste ette parameetri "disablesid" ning rea lõppu lisame # ja kommentaari. Lõpptulemusena näeb oinkmasteri konfiguratsiooni faili viimane rida välja selline:

disablesid 2018377, 2018378, 2018382, 2018383, 2018388, 2018389 # Ei ole enam HeartBleedi haavatavust

5. Salvestame ja väljume.

6. Kui käivitame Oinkmasteri uuenduse uuesti, siis näeme millised ja kui mitu reeglit on keelatud.

oinkmaster -C /etc/oinkmaster.conf -o /etc/suricata/rules

==Kursuse avaleht==

[[Sissetungi tuvastuse systeemid]]

IDS süsteemid - Reeglid ja reeglikogumikud

2014-05-26T22:02:48Z

Aelliku: moved IDS süsteemid - Reeglid ja reeglikogumikud to IDS systeemid - Reeglid ja reeglikogumikud

#REDIRECT [[IDS systeemid - Reeglid ja reeglikogumikud]]

IDS systeemid - Reeglid ja reeglikogumikud

2014-05-26T22:02:48Z

Aelliku: moved IDS süsteemid - Reeglid ja reeglikogumikud to IDS systeemid - Reeglid ja reeglikogumikud

=Reeglid ja reeglikogumikud=

Reeglid mängivad väga suurt rolli Suricata puhul. Enamustel juhtudel kasutatakse juba saada olevaid tasuta või tasulisi reeglikogumikke. Kõige populaarsemad on Emerging Threats, Emerging Threats Pro ja Source fire poolt välja antav VRT.
Kõigepealt käsitleme reeglite struktuuri ja nende loomist ning seejärel vaatame üle reeglikogumike lisamise ja haldamise.

==Reeglid==
Reeglid koosnevad kolmest komponendist:
Tegevus, päis, valikud ehk action, header, rule-options.

[[File: Suricata_Intro_sig.png]]

Joonis 1. [[https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricata_Rules Näide Suricata reeglist]]

===Tegevus ehk action===
Paketi reeglile vastamisel teostatakse selle komponendi alusel üks neljast tegevusest:
*Pass - Kui pakett vastab reeglile, siis paketi kontrollimine ülejäänud reeglite vastu jäetakse vahele.
*Drop - Oluline ainult IPS režiimid puhul. Reeglile vastamisel ei saadeta paketti edasi ning genereeritakse teade Suricata logisse.
*Reject - Reeglile vastamisel lükatakse pakett tagasi. Nii saatjale kui saadetavale saadetakse TCP ühenduse puhul Reset pakett ning muude protokollide puhul ICMP veateade. Genereeritakse ka teade ning IPS puhul lisandub Drop tegevuse täitmine.
*Alert - Reeglile vastamisel genereeritakse teade.

===Päis ehk header===

'''Protokoll'''

Tegevusele järgneva võtmesõnaga tähistatakse, millist protokolli antud reegel käsitleb. Ülevalpoole olevas näites on selleks TCP. Valida on 4 valiku vahel: tcp, udp, icm, ip. Ip tähistab ükskõik millist liiklust. Suricata puhul on lisanduvateks võtmesõnadeks: http, tls, ftp, smb ja dns.
Kui signatuuris on defineeritud kindel protokoll siis pakett saab reeglile vastata ainult juhul kui kasutatav protokoll ka vastab.

'''Allikas ja sihtpunkt'''

Mõlema puhul saab määrata võrgu aadressid. Kasutada võib nii IPv4 kui ka IPv6.
Kasutatavad lisa parameetrid on “!” ehk siis not. Näiteks “! 127.0.0.1” tähistab, et kõik aadressid peale selle.
Nurksulgudega (“[ ]”) saab aadresse grupeerida. Näiteks: ! [1.1.1.1, 1.1.1.2] tähistab, et kõik võrguaadressid peale nende kahe.

Konfiguratsioonis saab seadistada ka lisa parameetreid nagu $HOME_NET ehk alamvõrgud mis on sisevõrgus kasutusel ja $EXTERNAL_NET ehk väline võrk. $EXTERNAL_NET puhul on populaarne seadistada väärtuseks !$HOME_NET ehk siis kõik aadressid peale sisevõrgu aadresside(Mitte kasutada $EXTERNAL_NET parameetrit kui $HOME_NET väärtuseks on “any”).

Mõningad näited [[https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricata_Rules Suricata dokumentatsioonist]]:

! 1.1.1.1 (Every IP address but 1.1.1.1)
![1.1.1.1, 1.1.1.2] (Every IP address but 1.1.1.1 and 1.1.1.2)
$HOME_NET (Your setting of HOME_NET in yaml)
[$EXTERNAL_NET, !$HOME_NET] (EXTERNAL_NET and not HOME_NET)
[10.0.0.0/24, !10.0.0.5] (10.0.0.0/24 except for 10.0.0.5)
[…..,[....]]
[…. ,![.....]]

Allika ja sihtpunkti aadresside juurde saab defineerida ka pordi. Tüüpiliselt on allika port op.süsteemi poolt automaatselt valitud ja seetõttu on tavaliselt reeglites seatud allika pordiks “any”. Seda määrab ka kasutatav protokoll. Samamoodi nagu aadresside puhul on ka portide puhul võimalik kasutada lisa parameetreid:

“!” - eitus/erand

“:” - vahemik

“[ ]” - millised osad kuuluvad kokku

“,” - eraldamiseks

Näited:
[80, 81, 82] (port 80, 81 and 82)
[80: 82] (Range from 80 till 82)
[1024: ] (From 1024 till the highest port-number)
!80 (Every port but 80)
[80:100,!99] (Range from 80 till 100 but 99 excluded)
[1:80,![2,4]]
[….[.....]]

Kõigi reeglite puhul määratakse kõige pealt allika aadress ja port, seejärel pannakse paika liikluse suund ning suunale järgneb sihtpunkt.
Suuna saab määrata kahel viisil:

“->” - tähistab ühe suunalist liiklust.
Näiteks: “allikas -> sihtpunkt” mida illustreerib reegel “alert tcp 1.2.3.4 1024 -> 5.6.7.8 80”
Reegel vastab juhul kui liiklus on aadressilt 1.2.3.4 aadressile 5.6.7.8.

“<>” - reegel kehtib mõlema suunalise liikluse korral.

===Valikud===

Valikutel on kindel Unixi maailmast tuttav "võti: väärtus" formaat:
name: settings;

Mõnel juhul järgneb nimele kohe semikoolon. Näiteks parameeter “nocase;”

On olemas spetsiifilised sätted metaandmete, päiste, paketi sisu ning paketivoogude kohta:

[[https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Meta-settings Metaandmete sätted]]

[[https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Payload_keywords Lasti võtmesõnad]]

[[https://redmine.openinfosecfoundation.org/projects/suricata/wiki/HTTP-keywords HTTP võtmesõnad]]

[[https://redmine.openinfosecfoundation.org/projects/suricata/wiki/DNS-keywords DNS võtmesõnad]]

[[https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Flow-keywords Flow võtmesõnad]]

[[https://redmine.openinfosecfoundation.org/projects/suricata/wiki/IPReputationRules IP Reputatsiooni reeglid]]

==Reegli ehitamine==
Tundes neid põhilisi komponente saame ehitada oma reegli. Oletame, et me tahame ehitada reegli mis genereeriks teate teatud veebilehe poole pöördumisel välisvõrgust. Veebiserver ise asub sisevõrgus.

Sellisel juhul määrame esmalt tegevuse tüübiks teade. Protokolliks määrame http. Allikaks on $EXTERNAL_NET ning sihtpunktiks on $HOME_NET ja port on 80. Järgnevad reegli valikud mis ümbritsetakse sulgudega.

Esmalt määrame teate:
msg:“Otsitud liiklus”;
Kui pakett vastab reeglile siis teade kuvatakse koos muude andmetega
Suricata logis.

Järgnevalt määrame paketivoo:
flow:established,to_server;
Sellega määrame, et paketivoog on alustatud ning suunaga serveri poole

Määrame http päringust otsitava stringi(käesoleval juhul on veebilehe nimi “secret_page.html”):
content:”/secret_page.html”; http_uri;
Sellega määrame, et otsitav string on secret_page.html ning see peab sisalduma URIs.

Siia juurde määrame ka tüübi ning viite:
classtype:trojan-activity;
reference: url, www.example.com/viide;
Tüüpe on palju erinevaid ja võib ise kirjutatud reegli puhul olla enda valitud.

Viide on tavaliselt hüperlink mõne antud nõrkuse kirjeldust sisaldavale veebisaidile.
Suricata puhul on selleks tihtipeale: http://doc.emergingthreats.net/

Lõpuks määrame ka reegli id ja versiooni numbrid:
sid:123;
rev:1;
Tavaks on, et id on enne versiooni ja nad on kaks viimast parameetrit.
ID nagu ikka on unikaalne numbriline väärtus.
Reegli muutmisel versiooni numbrit suurendatakse.

Nüüd on komponendid paigas ja aeg reegel kokku panna:

alert http $EXTERNAL_NET any -> $HOME_NET 80 (msg:“Otsitud liiklus”; flow:established,to_server; content:”/secret_page.html”;
http_uri; classtype:trojan-activity; reference: url, www.example.com/viide;
sid:123; rev:1;)

==Reeglikogumikud==

Signatuuri põhised IDS lahendused sarnanevad antiviirustele selles, et ka nemad suudavad tuvastada ainult asju mille jaoks neil on reegel olemas. Suricata ja Snordi mõlema puhul on avalikult kätte saadavad reeglite kogumikud, mida täiendatakse pidevalt.
Suricata puhul on selleks [[http://www.emergingthreats.net/ Emerging Threats]] (edaspidi ET) ning Snordi puhul [[http://www.snort.org/snort-rules VRT]] reeglid.

ET kogumikku uuendatakse kord päevas ning VRT kogumikku kuni mitu korda nädalas.
Kogumikud on siiski mõlema toote puhul kasutatavad, tänu mõlema lahenduse sarnasusele reeglite aspektis.
Mõlemast on saadaval ka tasulised versioonid ning tasulisi versioone leidub turul teisigi. Tasuliste reeglikogumike eelisteks on tavaliselt kas suurem reeglite arv või lühem uuendamise intervall.

Reeglikogumikke on võimalik lisada käsitsi, kuid palju optimaalsem ja mugavam lahendus on kasutada mõnda selleks mõeldud tarkvara. Populaarseimad on [[https://code.google.com/p/pulledpork/ PulledPork]] ja [[http://oinkmaster.sourceforge.net/ Oinkmaster]].

Antud kursuse praktiliste ülesannete raames kasutame Emerging Threats reeglikogumikku ja halduseks Oinkmasterit.

==Kursuse avaleht==

[[Sissetungi tuvastuse systeemid]]

IDS süsteemid - Sissejuhatus

2014-05-26T22:02:20Z

Aelliku: moved IDS süsteemid - Sissejuhatus to IDS systeemid - Sissejuhatus

#REDIRECT [[IDS systeemid - Sissejuhatus]]

IDS systeemid - Sissejuhatus

2014-05-26T22:02:20Z

Aelliku: moved IDS süsteemid - Sissejuhatus to IDS systeemid - Sissejuhatus

IDS Systeemid - Labor 1

2014-05-26T22:02:06Z

Aelliku: /* Kursuse avaleht */

=Labor 1=

Labori käigus paigaldame Suricata ning testime selle töötamist.

Seame paika reeglite uuendamise Oinkmasteri abil kasutades EmergingThreats reeglikogumikku ning optimiseerime kasutatavat reeglikogumikku.

==Ettevalmistused Suricata paigaldamiseks==

===Seadistame eth1 võrguliidese valimatusse režiimi===

1. Avame faili interfaces:

vim /etc/network/interfaces

2. Lisame eth1 parameetrid:

auto eth1
iface eth1 inet manual 
up ifconfig $IFACE 0.0.0.0 up
up ip link set $IFACE promisc on
down ip link set $IFACE promisc off 
down ifconfig $IFACE down

3. Salvesta ja välju

4. Teeme võrgu teenusele taaskäivituse

service networking restart

5. Kontrollime võrguliidest.

ifconfig

Käsu väljundis näeme kolmandas reas "UP BROADCAST RUNNING PROMISC":

eth1 Link encap:Ethernet HWaddr 00:0c:29:32:bf:11
inet6 addr: fe80::20c:29ff:fe32:bf11/64 Scope:Link
UP BROADCAST RUNNING PROMISC MULTICAST MTU:1500 Metric:1 
RX packets:1152 errors:0 dropped:0 overruns:0 frame:0 
TX packets:62 errors:0 dropped:0 overruns:0 carrier:0 
collisions:0 txqueuelen:1000 
RX bytes:94351 (94.3 KB) TX bytes:17248 (17.2 KB)

==Suricata paigaldus==

1. Suricata kasutamisel Ubuntu distributsiooni peal on kõige lihtsam kasutada repositooriumi. Kõigepealt paigaldame paki nimega "python-software-properties", kuna selle sees asub programm "add-apt-repository", mida kasutame järgmisena.

apt-get install python-software-properties

2. Lisame repositooriumi ja piagaldame Suricata

add-apt-repository ppa:oisf/suricata-stable
apt-get update
apt-get install suricata

3. Suricata uuendamiseks saame kasutada

apt-get update
apt-get upgrade

4. Eemaldamiseks

apt-get remove suricata

==Seadistamine==

===Suricata parameetrite määramine===

1. Loome logide kausta

mkdir /var/log/suricata

2. Avame Suricata konfiguratsiooni faili:

vim /etc/suricata/suricata.yaml

Kirjeldame kasutuses olevad operatsiooni süsteemid otsides "suricata.yaml" failist rida "host-os-policy" (VIM-i puhul saab otsimist teostada sisestades "/" ning seejärel otsitava teksti.)

host-os-policy:
# Make the default policy windows.
windows: []
bsd: []
bsd-right: []
old-linux: []
linux: [192.168.56.200, 192.168.56.201, 192.168.56.101, 127.0.0.1]
old-solaris: []
solaris: []
hpux10: []
hpux11: []
irix: []
macos: []
vista: []

Kirjeldame ära aadresside grupid. Selleks otsime üles rea "address-groups"

address-groups:
HOME_NET: "[192.168.56.0/24]"
EXTERNAL_NET: "!$HOME_NET"

===Enda kirjutatud reeglid===

1. Enda kirjutatud reeglite kasutamiseks loome faili local.rules

touch /etc/suricata/rules/local.rules

Lisame local.rules faili ühe reegli

vim /etc/suricata/rules/local.rules

alert ip any any -> any any (msg:"ICMP detected"; sid:2; rev:1;)

2. Lisame Suricata kofiguratsiooni kohalike reeglite faili.

vim /etc/suricata/suricata.yaml

Otsime üles rea "rule-files" ja lisame sinna alla esimese reana local.rules faili.

rule-files:
- local.rules
- botcc.rules
- ciarmy.rules
- compromised.rules
- drop.rules
- dshield.rules
- emerging-activex.rules
- emerging-attack_response.rules
- emerging-chat.rules
- emerging-current_events.rules
- emerging-dns.rules
- emerging-dos.rules
- emerging-exploit.rules
- emerging-ftp.rules
...

3. Reegli testimiseks käivitame Suricata ning seadistame kuulama eth1 võrguliidese peale, mille eelnevalt seadistasime valimatusse režiimi.

suricata -c /etc/suricata/suricata.yaml -i eth1

4. Pingime kliendi masinast IDS serverit

ping ids

5. Kõrvale avame teise ssh ühenduse ids serverisse ja avame Suricata logi

tail -f /var/log/suricata/fast.log

Näeme, et logisse lisanduvad teated reeglile vastavast liiklusest

05/25/2014-13:03:58.407499 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.3:8 -> 192.168.56.2:0
05/25/2014-13:03:58.407526 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.2:0 -> 192.168.56.3:0
05/25/2014-13:03:59.407073 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.3:8 -> 192.168.56.2:0
05/25/2014-13:03:59.407097 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.2:0 -> 192.168.56.3:0

===Oinkmaster üles seadmine reeglikogumike uuendamiseks===

1. Paigaldame OinkMasteri

apt-get install oinkmaster

On olemas mitmed reeglikogumikke. Praegusel juhul kasutame Emerging Threats (ET) reeglikogumikku.

Oinkmaster peab teada, kust saab reeglikogumikku alla laadida:
http://rules.emergingthreats.net/open/suricata/emerging.rules.tar.gz

2. Selle lingi lisamiseks avame oinkmaster.conf faili:

vim /etc/oinkmaster.conf

3. Leiame üles rea ET reeglite veebilehele (vim puhul saab otsingut teostada sisestades kõigepealt "/" ning seejärel otsingu stringi):

/Emerging Threats

4. Lisame hüperlingi:

url = http://rules.emergingthreats.net/open/suricata/emerging.rules.tar.gz

Pärast muudatuse sisse viimist näeb faili sektsiooni välja selline:

# Example for rules from the Emerging Threats site (previously known as Bleeding Snort).
# url = http://www.emergingthreats.net/rules/emerging.rules.tar.gz
# Old url:
# url = http://www.bleedingsnort.com/downloads/bleeding.rules.tar.gz
url = http://rules.emergingthreats.net/open/suricata/emerging.rules.tar.gz

5. Salvesta ja välju failist. Vim puhul, väljuda paoklahviga sisestus režiimist ning seejärel ":wq".

6. Uuendame reeglikogumiku:

cd /etc
oinkmaster -C /etc/oinkmaster.conf -o /etc/suricata/rules

7. Pärast reeglite alla laadimist ja lahti pakkimist on reeglite kaustast leitavad ka kaks faili nimedega classification. config ja reference.config. Mõlemad on vaja lisada Suricata konfiguratsiooni faili:

vim /etc/suricata/suricata.yaml

Konfiguratsioonis otsime üles rea"classification-file" ning muudame ära vajalikud parameetrid. Lõpptulemusena saame:

classification-file: /etc/suricata/rules/classification.config
reference-config-file: /etc/suricata/rules/reference.config

8. Testimiseks käivitame suricata:

suricata -c /etc/suricata/suricata.yaml -i eth1

9. Käivitamisel näeme, et mitmed reegli failid pole saadaval. Nende mitte kasutamiseks saame suricata.yaml faili rule-files sektsioonis lisada konkreetse reegli faili ette #.

vim /etc/suricata.yaml

Lisame # kahe faili ette:

# - emerging-icmp.rules
# - dns-events.rules

10. Salvestame ja väljume.

11. Reeglite hilisemaks uuendamiseks käivitame käsu:

oinkmaster -C /etc/oinkmaster.conf -o /etc/suricata/rules

'''Soovituslik on reegleid tihti uuendada. ET reeglikogumikku uuendatakse korra päevas.'''

===Automaatne uuendamine oinkmasteri abil===

Et muuta reeglite uuendamine lihtsaks ja automaatseks, seadistame croni töö oinkmasteri automaatseks käivitamiseks.

1. Loome reeglite varundamiseks kausta.

mkdir /etc/suricata/backup

2. Lisame uue kasutaja oinkmaster

useradd oinkmaster

3. Muudame mõningad failiõigused.

chown -R oinkmaster /etc/suricata/backup
chown -R oinkmaster /etc/suricata/rules

4. Testime, kas töötab

su oinkmaster
oinkmaster -C /etc/oinkmaster.conf -o /etc/suricata/rules -b /etc/suricata/backup 2>&1

5. Kuna me tahame seda iga päev käivitada, siis lisame crontabi alla vastava töö

crontab -e -u oinkmaster

30 00 * * * oinkmaster -o /etc/snort/rules -b /etc/snort/backup 2>&1 >> /dev/null 2>&1

===Reeglikogumike optimiseerimine===

Mida rohkem reegleid on kasutuses, seda rohkem ressurssi on vaja pakettide analüüsimiseks.
Seega mõtekas on keelata need reeglid, mis käivad tehnoloogiate või teenuste vastu mida asutuse infrastruktuuris ei esine.

Kõigepealt keelame mõned üldised grupid. Selleks avame uuesti Suricata konfiguratsiooni faili:

vim /etc/suricata/suricata.yaml

Otsime üles rea "rule-files".

/rule-files

Reegli grupi keelamiseks on vaja konkreetne reegli faili välja kommenteerida, lisades rea ette #.

Oletame, et poliitikatega on infrastruktuuris keelatud ActiveX tehnoloogia kasutamine, ei leia kasutust ftp protokoll ning ei ole ka SCADA seadmeid.

'''Ülesanne'''
Otsida suricata.yaml failist üles sektsioon "rule-files:" ning kommenteerida välja need 3 reeglite faili mis käsitlevad neid teenuseid (Active-X; FTP; SCADA).

===Üksiku või mitme reegli keelamine===

Üksiku reegli või mitme reegli keelamiseks on vaja leida reegli sid. Seda seetõttu, et sid alusel saab reegli keelata oinkmasteri konfiguratsioonis. Sellisel juhul jääb reegel keelatuks ka pärast reeglikogumiku uuendamist.

Antud näite puhul ütleme, et asutus on paiganud kõigi Linuxi serverite OpenSSL teegid ning seeläbi kõrvaldanud HeartBleed nimelise nõrkuse. Seega kõik reeglid, mis käsitlevad seda nõrkust võib keelata.

1. Otsime üles kõik HeartBleedi käsitlevad reeglid.

cd /etc/suricata/rules
grep -R "HeartBleed"

Leiame, et HeartBleedi käsitlevaid reegleid on 6. Kuigi väljastati 12 rida on esimesed 6 rida pärit sid-msg.map failist, kus hoitakse teadete ja reegli id vahelisi seoseid seega need võib välja jätta.

2. Eraldame välja kõigi 6 reegli sid tunnused.

grep -R "HeartBleed" | grep -P -o "sid\:\d+" | grep -o -P "\d{2,}+" | tr '\n' ',' >> /etc/oinkmaster.conf

Üleval nähtava käsuga, filtreerime reegli failidest rekursiivselt välja kõik read kus sisaldub sõna HeartBleed, seejärel eraldame nendest ridadest sid tunnused ja puhastame read üleliigsest. Viimaks asendame tr käsu abil reavahetused komaga ja kirjutame tekkinud rea Oinkmasteri konfiguratsiooni faili lõppu.

3. Avame Oinkmasteri konfiguratsiooni ja kerime faili lõppu. Eelmise käsuga sinna kirjutatud sid tunnused on meid ootamas.

vim /etc/oinkmaster.conf

4. Kirjutame sid tunnuste ette parameetri "disablesid" ning rea lõppu lisame # ja kommentaari. Lõpptulemusena näeb oinkmasteri konfiguratsiooni faili viimane rida välja selline:

disablesid 2018377, 2018378, 2018382, 2018383, 2018388, 2018389 # Ei ole enam HeartBleedi haavatavust

5. Salvestame ja väljume.

6. Kui käivitame Oinkmasteri uuenduse uuesti, siis näeme millised ja kui mitu reeglit on keelatud.

oinkmaster -C /etc/oinkmaster.conf -o /etc/suricata/rules

==Kursuse avaleht==

[[Sissetungi tuvastuse systeemid]]

IDS systeemid - Reeglid ja reeglikogumikud

2014-05-26T22:01:52Z

Aelliku: /* Reeglikogumikud */

=Reeglid ja reeglikogumikud=

Reeglid mängivad väga suurt rolli Suricata puhul. Enamustel juhtudel kasutatakse juba saada olevaid tasuta või tasulisi reeglikogumikke. Kõige populaarsemad on Emerging Threats, Emerging Threats Pro ja Source fire poolt välja antav VRT.
Kõigepealt käsitleme reeglite struktuuri ja nende loomist ning seejärel vaatame üle reeglikogumike lisamise ja haldamise.

==Reeglid==
Reeglid koosnevad kolmest komponendist:
Tegevus, päis, valikud ehk action, header, rule-options.

[[File: Suricata_Intro_sig.png]]

Joonis 1. [[https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricata_Rules Näide Suricata reeglist]]

===Tegevus ehk action===
Paketi reeglile vastamisel teostatakse selle komponendi alusel üks neljast tegevusest:
*Pass - Kui pakett vastab reeglile, siis paketi kontrollimine ülejäänud reeglite vastu jäetakse vahele.
*Drop - Oluline ainult IPS režiimid puhul. Reeglile vastamisel ei saadeta paketti edasi ning genereeritakse teade Suricata logisse.
*Reject - Reeglile vastamisel lükatakse pakett tagasi. Nii saatjale kui saadetavale saadetakse TCP ühenduse puhul Reset pakett ning muude protokollide puhul ICMP veateade. Genereeritakse ka teade ning IPS puhul lisandub Drop tegevuse täitmine.
*Alert - Reeglile vastamisel genereeritakse teade.

===Päis ehk header===

'''Protokoll'''

Tegevusele järgneva võtmesõnaga tähistatakse, millist protokolli antud reegel käsitleb. Ülevalpoole olevas näites on selleks TCP. Valida on 4 valiku vahel: tcp, udp, icm, ip. Ip tähistab ükskõik millist liiklust. Suricata puhul on lisanduvateks võtmesõnadeks: http, tls, ftp, smb ja dns.
Kui signatuuris on defineeritud kindel protokoll siis pakett saab reeglile vastata ainult juhul kui kasutatav protokoll ka vastab.

'''Allikas ja sihtpunkt'''

Mõlema puhul saab määrata võrgu aadressid. Kasutada võib nii IPv4 kui ka IPv6.
Kasutatavad lisa parameetrid on “!” ehk siis not. Näiteks “! 127.0.0.1” tähistab, et kõik aadressid peale selle.
Nurksulgudega (“[ ]”) saab aadresse grupeerida. Näiteks: ! [1.1.1.1, 1.1.1.2] tähistab, et kõik võrguaadressid peale nende kahe.

Konfiguratsioonis saab seadistada ka lisa parameetreid nagu $HOME_NET ehk alamvõrgud mis on sisevõrgus kasutusel ja $EXTERNAL_NET ehk väline võrk. $EXTERNAL_NET puhul on populaarne seadistada väärtuseks !$HOME_NET ehk siis kõik aadressid peale sisevõrgu aadresside(Mitte kasutada $EXTERNAL_NET parameetrit kui $HOME_NET väärtuseks on “any”).

Mõningad näited [[https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricata_Rules Suricata dokumentatsioonist]]:

! 1.1.1.1 (Every IP address but 1.1.1.1)
![1.1.1.1, 1.1.1.2] (Every IP address but 1.1.1.1 and 1.1.1.2)
$HOME_NET (Your setting of HOME_NET in yaml)
[$EXTERNAL_NET, !$HOME_NET] (EXTERNAL_NET and not HOME_NET)
[10.0.0.0/24, !10.0.0.5] (10.0.0.0/24 except for 10.0.0.5)
[…..,[....]]
[…. ,![.....]]

Allika ja sihtpunkti aadresside juurde saab defineerida ka pordi. Tüüpiliselt on allika port op.süsteemi poolt automaatselt valitud ja seetõttu on tavaliselt reeglites seatud allika pordiks “any”. Seda määrab ka kasutatav protokoll. Samamoodi nagu aadresside puhul on ka portide puhul võimalik kasutada lisa parameetreid:

“!” - eitus/erand

“:” - vahemik

“[ ]” - millised osad kuuluvad kokku

“,” - eraldamiseks

Näited:
[80, 81, 82] (port 80, 81 and 82)
[80: 82] (Range from 80 till 82)
[1024: ] (From 1024 till the highest port-number)
!80 (Every port but 80)
[80:100,!99] (Range from 80 till 100 but 99 excluded)
[1:80,![2,4]]
[….[.....]]

Kõigi reeglite puhul määratakse kõige pealt allika aadress ja port, seejärel pannakse paika liikluse suund ning suunale järgneb sihtpunkt.
Suuna saab määrata kahel viisil:

“->” - tähistab ühe suunalist liiklust.
Näiteks: “allikas -> sihtpunkt” mida illustreerib reegel “alert tcp 1.2.3.4 1024 -> 5.6.7.8 80”
Reegel vastab juhul kui liiklus on aadressilt 1.2.3.4 aadressile 5.6.7.8.

“<>” - reegel kehtib mõlema suunalise liikluse korral.

===Valikud===

Valikutel on kindel Unixi maailmast tuttav "võti: väärtus" formaat:
name: settings;

Mõnel juhul järgneb nimele kohe semikoolon. Näiteks parameeter “nocase;”

On olemas spetsiifilised sätted metaandmete, päiste, paketi sisu ning paketivoogude kohta:

[[https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Meta-settings Metaandmete sätted]]

[[https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Payload_keywords Lasti võtmesõnad]]

[[https://redmine.openinfosecfoundation.org/projects/suricata/wiki/HTTP-keywords HTTP võtmesõnad]]

[[https://redmine.openinfosecfoundation.org/projects/suricata/wiki/DNS-keywords DNS võtmesõnad]]

[[https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Flow-keywords Flow võtmesõnad]]

[[https://redmine.openinfosecfoundation.org/projects/suricata/wiki/IPReputationRules IP Reputatsiooni reeglid]]

==Reegli ehitamine==
Tundes neid põhilisi komponente saame ehitada oma reegli. Oletame, et me tahame ehitada reegli mis genereeriks teate teatud veebilehe poole pöördumisel välisvõrgust. Veebiserver ise asub sisevõrgus.

Sellisel juhul määrame esmalt tegevuse tüübiks teade. Protokolliks määrame http. Allikaks on $EXTERNAL_NET ning sihtpunktiks on $HOME_NET ja port on 80. Järgnevad reegli valikud mis ümbritsetakse sulgudega.

Esmalt määrame teate:
msg:“Otsitud liiklus”;
Kui pakett vastab reeglile siis teade kuvatakse koos muude andmetega
Suricata logis.

Järgnevalt määrame paketivoo:
flow:established,to_server;
Sellega määrame, et paketivoog on alustatud ning suunaga serveri poole

Määrame http päringust otsitava stringi(käesoleval juhul on veebilehe nimi “secret_page.html”):
content:”/secret_page.html”; http_uri;
Sellega määrame, et otsitav string on secret_page.html ning see peab sisalduma URIs.

Siia juurde määrame ka tüübi ning viite:
classtype:trojan-activity;
reference: url, www.example.com/viide;
Tüüpe on palju erinevaid ja võib ise kirjutatud reegli puhul olla enda valitud.

Viide on tavaliselt hüperlink mõne antud nõrkuse kirjeldust sisaldavale veebisaidile.
Suricata puhul on selleks tihtipeale: http://doc.emergingthreats.net/

Lõpuks määrame ka reegli id ja versiooni numbrid:
sid:123;
rev:1;
Tavaks on, et id on enne versiooni ja nad on kaks viimast parameetrit.
ID nagu ikka on unikaalne numbriline väärtus.
Reegli muutmisel versiooni numbrit suurendatakse.

Nüüd on komponendid paigas ja aeg reegel kokku panna:

alert http $EXTERNAL_NET any -> $HOME_NET 80 (msg:“Otsitud liiklus”; flow:established,to_server; content:”/secret_page.html”;
http_uri; classtype:trojan-activity; reference: url, www.example.com/viide;
sid:123; rev:1;)

==Reeglikogumikud==

Signatuuri põhised IDS lahendused sarnanevad antiviirustele selles, et ka nemad suudavad tuvastada ainult asju mille jaoks neil on reegel olemas. Suricata ja Snordi mõlema puhul on avalikult kätte saadavad reeglite kogumikud, mida täiendatakse pidevalt.
Suricata puhul on selleks [[http://www.emergingthreats.net/ Emerging Threats]] (edaspidi ET) ning Snordi puhul [[http://www.snort.org/snort-rules VRT]] reeglid.

ET kogumikku uuendatakse kord päevas ning VRT kogumikku kuni mitu korda nädalas.
Kogumikud on siiski mõlema toote puhul kasutatavad, tänu mõlema lahenduse sarnasusele reeglite aspektis.
Mõlemast on saadaval ka tasulised versioonid ning tasulisi versioone leidub turul teisigi. Tasuliste reeglikogumike eelisteks on tavaliselt kas suurem reeglite arv või lühem uuendamise intervall.

Reeglikogumikke on võimalik lisada käsitsi, kuid palju optimaalsem ja mugavam lahendus on kasutada mõnda selleks mõeldud tarkvara. Populaarseimad on [[https://code.google.com/p/pulledpork/ PulledPork]] ja [[http://oinkmaster.sourceforge.net/ Oinkmaster]].

Antud kursuse praktiliste ülesannete raames kasutame Emerging Threats reeglikogumikku ja halduseks Oinkmasterit.

==Kursuse avaleht==

[[Sissetungi tuvastuse systeemid]]

IDS systeemid - Sissejuhatus

2014-05-26T22:01:24Z

Aelliku: /* Võrgu kuulamine */

Sissetungi tuvastuse süsteemid

2014-05-26T22:00:46Z

Aelliku: moved Sissetungi tuvastuse süsteemid to Sissetungi tuvastuse systeemid: Kodeerimise viga ü tähe kasutamisel

#REDIRECT [[Sissetungi tuvastuse systeemid]]

Sissetungi tuvastuse systeemid

2014-05-26T22:00:46Z

Aelliku: moved Sissetungi tuvastuse süsteemid to Sissetungi tuvastuse systeemid: Kodeerimise viga ü tähe kasutamisel

=Üldinfo=
'''Kursus on hetkel koostamisel.'''

Hindamisviis: Arvestus

'''Rangelt soovituslik aine:''' Operatsioonisüsteemide administreerimine ja sidumine (I233)

==Õppejõud==

=Eesmärk ja sisu=
Tutvustada sissetungi tuvastuse süsteemide (edaspidi IDS) põhimõisteid. Anda oskused nende paigaldamiseks ja haldamiseks. Kursus sisaldab teoreetilisi materjale alus- ja põhimõistete tutvustamiseks, laboratoorseid töid, mille käigus paigaldatakse IDS lahendus, teostatakse põhilisi IDS süsteemi haldustoiminguid ning simuleeritakse võrgurünnete tuvastamist.

=Loengud=

[[IDS süsteemid - Sissejuhatus]]

[[IDS süsteemid - Reeglid ja reeglikogumikud]]

=Praktilised ülesanded=

[[IDS Süsteemid - Labor 1]]

IDS Systeemid - Labor 1

2014-05-26T21:56:23Z

Aelliku:

=Labor 1=

Labori käigus paigaldame Suricata ning testime selle töötamist.

Seame paika reeglite uuendamise Oinkmasteri abil kasutades EmergingThreats reeglikogumikku ning optimiseerime kasutatavat reeglikogumikku.

==Ettevalmistused Suricata paigaldamiseks==

===Seadistame eth1 võrguliidese valimatusse režiimi===

1. Avame faili interfaces:

vim /etc/network/interfaces

2. Lisame eth1 parameetrid:

auto eth1
iface eth1 inet manual 
up ifconfig $IFACE 0.0.0.0 up
up ip link set $IFACE promisc on
down ip link set $IFACE promisc off 
down ifconfig $IFACE down

3. Salvesta ja välju

4. Teeme võrgu teenusele taaskäivituse

service networking restart

5. Kontrollime võrguliidest.

ifconfig

Käsu väljundis näeme kolmandas reas "UP BROADCAST RUNNING PROMISC":

eth1 Link encap:Ethernet HWaddr 00:0c:29:32:bf:11
inet6 addr: fe80::20c:29ff:fe32:bf11/64 Scope:Link
UP BROADCAST RUNNING PROMISC MULTICAST MTU:1500 Metric:1 
RX packets:1152 errors:0 dropped:0 overruns:0 frame:0 
TX packets:62 errors:0 dropped:0 overruns:0 carrier:0 
collisions:0 txqueuelen:1000 
RX bytes:94351 (94.3 KB) TX bytes:17248 (17.2 KB)

==Suricata paigaldus==

1. Suricata kasutamisel Ubuntu distributsiooni peal on kõige lihtsam kasutada repositooriumi. Kõigepealt paigaldame paki nimega "python-software-properties", kuna selle sees asub programm "add-apt-repository", mida kasutame järgmisena.

apt-get install python-software-properties

2. Lisame repositooriumi ja piagaldame Suricata

add-apt-repository ppa:oisf/suricata-stable
apt-get update
apt-get install suricata

3. Suricata uuendamiseks saame kasutada

apt-get update
apt-get upgrade

4. Eemaldamiseks

apt-get remove suricata

==Seadistamine==

===Suricata parameetrite määramine===

1. Loome logide kausta

mkdir /var/log/suricata

2. Avame Suricata konfiguratsiooni faili:

vim /etc/suricata/suricata.yaml

Kirjeldame kasutuses olevad operatsiooni süsteemid otsides "suricata.yaml" failist rida "host-os-policy" (VIM-i puhul saab otsimist teostada sisestades "/" ning seejärel otsitava teksti.)

host-os-policy:
# Make the default policy windows.
windows: []
bsd: []
bsd-right: []
old-linux: []
linux: [192.168.56.200, 192.168.56.201, 192.168.56.101, 127.0.0.1]
old-solaris: []
solaris: []
hpux10: []
hpux11: []
irix: []
macos: []
vista: []

Kirjeldame ära aadresside grupid. Selleks otsime üles rea "address-groups"

address-groups:
HOME_NET: "[192.168.56.0/24]"
EXTERNAL_NET: "!$HOME_NET"

===Enda kirjutatud reeglid===

1. Enda kirjutatud reeglite kasutamiseks loome faili local.rules

touch /etc/suricata/rules/local.rules

Lisame local.rules faili ühe reegli

vim /etc/suricata/rules/local.rules

alert ip any any -> any any (msg:"ICMP detected"; sid:2; rev:1;)

2. Lisame Suricata kofiguratsiooni kohalike reeglite faili.

vim /etc/suricata/suricata.yaml

Otsime üles rea "rule-files" ja lisame sinna alla esimese reana local.rules faili.

rule-files:
- local.rules
- botcc.rules
- ciarmy.rules
- compromised.rules
- drop.rules
- dshield.rules
- emerging-activex.rules
- emerging-attack_response.rules
- emerging-chat.rules
- emerging-current_events.rules
- emerging-dns.rules
- emerging-dos.rules
- emerging-exploit.rules
- emerging-ftp.rules
...

3. Reegli testimiseks käivitame Suricata ning seadistame kuulama eth1 võrguliidese peale, mille eelnevalt seadistasime valimatusse režiimi.

suricata -c /etc/suricata/suricata.yaml -i eth1

4. Pingime kliendi masinast IDS serverit

ping ids

5. Kõrvale avame teise ssh ühenduse ids serverisse ja avame Suricata logi

tail -f /var/log/suricata/fast.log

Näeme, et logisse lisanduvad teated reeglile vastavast liiklusest

05/25/2014-13:03:58.407499 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.3:8 -> 192.168.56.2:0
05/25/2014-13:03:58.407526 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.2:0 -> 192.168.56.3:0
05/25/2014-13:03:59.407073 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.3:8 -> 192.168.56.2:0
05/25/2014-13:03:59.407097 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.2:0 -> 192.168.56.3:0

===Oinkmaster üles seadmine reeglikogumike uuendamiseks===

1. Paigaldame OinkMasteri

apt-get install oinkmaster

On olemas mitmed reeglikogumikke. Praegusel juhul kasutame Emerging Threats (ET) reeglikogumikku.

Oinkmaster peab teada, kust saab reeglikogumikku alla laadida:
http://rules.emergingthreats.net/open/suricata/emerging.rules.tar.gz

2. Selle lingi lisamiseks avame oinkmaster.conf faili:

vim /etc/oinkmaster.conf

3. Leiame üles rea ET reeglite veebilehele (vim puhul saab otsingut teostada sisestades kõigepealt "/" ning seejärel otsingu stringi):

/Emerging Threats

4. Lisame hüperlingi:

url = http://rules.emergingthreats.net/open/suricata/emerging.rules.tar.gz

Pärast muudatuse sisse viimist näeb faili sektsiooni välja selline:

# Example for rules from the Emerging Threats site (previously known as Bleeding Snort).
# url = http://www.emergingthreats.net/rules/emerging.rules.tar.gz
# Old url:
# url = http://www.bleedingsnort.com/downloads/bleeding.rules.tar.gz
url = http://rules.emergingthreats.net/open/suricata/emerging.rules.tar.gz

5. Salvesta ja välju failist. Vim puhul, väljuda paoklahviga sisestus režiimist ning seejärel ":wq".

6. Uuendame reeglikogumiku:

cd /etc
oinkmaster -C /etc/oinkmaster.conf -o /etc/suricata/rules

7. Pärast reeglite alla laadimist ja lahti pakkimist on reeglite kaustast leitavad ka kaks faili nimedega classification. config ja reference.config. Mõlemad on vaja lisada Suricata konfiguratsiooni faili:

vim /etc/suricata/suricata.yaml

Konfiguratsioonis otsime üles rea"classification-file" ning muudame ära vajalikud parameetrid. Lõpptulemusena saame:

classification-file: /etc/suricata/rules/classification.config
reference-config-file: /etc/suricata/rules/reference.config

8. Testimiseks käivitame suricata:

suricata -c /etc/suricata/suricata.yaml -i eth1

9. Käivitamisel näeme, et mitmed reegli failid pole saadaval. Nende mitte kasutamiseks saame suricata.yaml faili rule-files sektsioonis lisada konkreetse reegli faili ette #.

vim /etc/suricata.yaml

Lisame # kahe faili ette:

# - emerging-icmp.rules
# - dns-events.rules

10. Salvestame ja väljume.

11. Reeglite hilisemaks uuendamiseks käivitame käsu:

oinkmaster -C /etc/oinkmaster.conf -o /etc/suricata/rules

'''Soovituslik on reegleid tihti uuendada. ET reeglikogumikku uuendatakse korra päevas.'''

===Automaatne uuendamine oinkmasteri abil===

Et muuta reeglite uuendamine lihtsaks ja automaatseks, seadistame croni töö oinkmasteri automaatseks käivitamiseks.

1. Loome reeglite varundamiseks kausta.

mkdir /etc/suricata/backup

2. Lisame uue kasutaja oinkmaster

useradd oinkmaster

3. Muudame mõningad failiõigused.

chown -R oinkmaster /etc/suricata/backup
chown -R oinkmaster /etc/suricata/rules

4. Testime, kas töötab

su oinkmaster
oinkmaster -C /etc/oinkmaster.conf -o /etc/suricata/rules -b /etc/suricata/backup 2>&1

5. Kuna me tahame seda iga päev käivitada, siis lisame crontabi alla vastava töö

crontab -e -u oinkmaster

30 00 * * * oinkmaster -o /etc/snort/rules -b /etc/snort/backup 2>&1 >> /dev/null 2>&1

===Reeglikogumike optimiseerimine===

Mida rohkem reegleid on kasutuses, seda rohkem ressurssi on vaja pakettide analüüsimiseks.
Seega mõtekas on keelata need reeglid, mis käivad tehnoloogiate või teenuste vastu mida asutuse infrastruktuuris ei esine.

Kõigepealt keelame mõned üldised grupid. Selleks avame uuesti Suricata konfiguratsiooni faili:

vim /etc/suricata/suricata.yaml

Otsime üles rea "rule-files".

/rule-files

Reegli grupi keelamiseks on vaja konkreetne reegli faili välja kommenteerida, lisades rea ette #.

Oletame, et poliitikatega on infrastruktuuris keelatud ActiveX tehnoloogia kasutamine, ei leia kasutust ftp protokoll ning ei ole ka SCADA seadmeid.

'''Ülesanne'''
Otsida suricata.yaml failist üles sektsioon "rule-files:" ning kommenteerida välja need 3 reeglite faili mis käsitlevad neid teenuseid (Active-X; FTP; SCADA).

===Üksiku või mitme reegli keelamine===

Üksiku reegli või mitme reegli keelamiseks on vaja leida reegli sid. Seda seetõttu, et sid alusel saab reegli keelata oinkmasteri konfiguratsioonis. Sellisel juhul jääb reegel keelatuks ka pärast reeglikogumiku uuendamist.

Antud näite puhul ütleme, et asutus on paiganud kõigi Linuxi serverite OpenSSL teegid ning seeläbi kõrvaldanud HeartBleed nimelise nõrkuse. Seega kõik reeglid, mis käsitlevad seda nõrkust võib keelata.

1. Otsime üles kõik HeartBleedi käsitlevad reeglid.

cd /etc/suricata/rules
grep -R "HeartBleed"

Leiame, et HeartBleedi käsitlevaid reegleid on 6. Kuigi väljastati 12 rida on esimesed 6 rida pärit sid-msg.map failist, kus hoitakse teadete ja reegli id vahelisi seoseid seega need võib välja jätta.

2. Eraldame välja kõigi 6 reegli sid tunnused.

grep -R "HeartBleed" | grep -P -o "sid\:\d+" | grep -o -P "\d{2,}+" | tr '\n' ',' >> /etc/oinkmaster.conf

Üleval nähtava käsuga, filtreerime reegli failidest rekursiivselt välja kõik read kus sisaldub sõna HeartBleed, seejärel eraldame nendest ridadest sid tunnused ja puhastame read üleliigsest. Viimaks asendame tr käsu abil reavahetused komaga ja kirjutame tekkinud rea Oinkmasteri konfiguratsiooni faili lõppu.

3. Avame Oinkmasteri konfiguratsiooni ja kerime faili lõppu. Eelmise käsuga sinna kirjutatud sid tunnused on meid ootamas.

vim /etc/oinkmaster.conf

4. Kirjutame sid tunnuste ette parameetri "disablesid" ning rea lõppu lisame # ja kommentaari. Lõpptulemusena näeb oinkmasteri konfiguratsiooni faili viimane rida välja selline:

disablesid 2018377, 2018378, 2018382, 2018383, 2018388, 2018389 # Ei ole enam HeartBleedi haavatavust

5. Salvestame ja väljume.

6. Kui käivitame Oinkmasteri uuenduse uuesti, siis näeme millised ja kui mitu reeglit on keelatud.

oinkmaster -C /etc/oinkmaster.conf -o /etc/suricata/rules

==Kursuse avaleht==

[[Sissetungi tuvastuse süsteemid]]

IDS Systeemid - Labor 1

2014-05-26T21:52:04Z

Aelliku:

=Labor 1=

Labori käigus paigaldame Suricata ning testime selle töötamist.

Seame paika reeglite uuendamise Oinkmasteri abil kasutades EmergingThreats reeglikogumikku ning optimiseerime kasutatavat reeglikogumikku.

==Ettevalmistused Suricata paigaldamiseks==

===Seadistame eth1 võrguliidese valimatusse režiimi===

1. Avame faili interfaces:

vim /etc/network/interfaces

2. Lisame eth1 parameetrid:

auto eth1
iface eth1 inet manual 
up ifconfig $IFACE 0.0.0.0 up
up ip link set $IFACE promisc on
down ip link set $IFACE promisc off 
down ifconfig $IFACE down

3. Salvesta ja välju

4. Teeme võrgu teenusele taaskäivituse

service networking restart

5. Kontrollime võrguliidest.

ifconfig

Käsu väljundis näeme kolmandas reas "UP BROADCAST RUNNING PROMISC":

eth1 Link encap:Ethernet HWaddr 00:0c:29:32:bf:11
inet6 addr: fe80::20c:29ff:fe32:bf11/64 Scope:Link
UP BROADCAST RUNNING PROMISC MULTICAST MTU:1500 Metric:1 
RX packets:1152 errors:0 dropped:0 overruns:0 frame:0 
TX packets:62 errors:0 dropped:0 overruns:0 carrier:0 
collisions:0 txqueuelen:1000 
RX bytes:94351 (94.3 KB) TX bytes:17248 (17.2 KB)

==Suricata paigaldus==

1. Suricata kasutamisel Ubuntu distributsiooni peal on kõige lihtsam kasutada repositooriumi. Kõigepealt paigaldame paki nimega "python-software-properties", kuna selle sees asub programm "add-apt-repository", mida kasutame järgmisena.

apt-get install python-software-properties

2. Lisame repositooriumi ja piagaldame Suricata

add-apt-repository ppa:oisf/suricata-stable
apt-get update
apt-get install suricata

3. Suricata uuendamiseks saame kasutada

apt-get update
apt-get upgrade

4. Eemaldamiseks

apt-get remove suricata

==Seadistamine==

===Suricata parameetrite määramine===

1. Loome logide kausta

mkdir /var/log/suricata

2. Avame Suricata konfiguratsiooni faili:

vim /etc/suricata/suricata.yaml

Kirjeldame kasutuses olevad operatsiooni süsteemid otsides "suricata.yaml" failist rida "host-os-policy" (VIM-i puhul saab otsimist teostada sisestades "/" ning seejärel otsitava teksti.)

host-os-policy:
# Make the default policy windows.
windows: []
bsd: []
bsd-right: []
old-linux: []
linux: [192.168.56.200, 192.168.56.201, 192.168.56.101, 127.0.0.1]
old-solaris: []
solaris: []
hpux10: []
hpux11: []
irix: []
macos: []
vista: []

Kirjeldame ära aadresside grupid. Selleks otsime üles rea "address-groups"

address-groups:
HOME_NET: "[192.168.56.0/24]"
EXTERNAL_NET: "!$HOME_NET"

===Enda kirjutatud reeglid===

1. Enda kirjutatud reeglite kasutamiseks loome faili local.rules

touch /etc/suricata/rules/local.rules

Lisame local.rules faili ühe reegli

vim /etc/suricata/rules/local.rules

alert ip any any -> any any (msg:"ICMP detected"; sid:2; rev:1;)

2. Lisame Suricata kofiguratsiooni kohalike reeglite faili.

vim /etc/suricata/suricata.yaml

Otsime üles rea "rule-files" ja lisame sinna alla esimese reana local.rules faili.

rule-files:
- local.rules
- botcc.rules
- ciarmy.rules
- compromised.rules
- drop.rules
- dshield.rules
- emerging-activex.rules
- emerging-attack_response.rules
- emerging-chat.rules
- emerging-current_events.rules
- emerging-dns.rules
- emerging-dos.rules
- emerging-exploit.rules
- emerging-ftp.rules
...

3. Reegli testimiseks käivitame Suricata ning seadistame kuulama eth1 võrguliidese peale, mille eelnevalt seadistasime valimatusse režiimi.

suricata -c /etc/suricata/suricata.yaml -i eth1

4. Pingime kliendi masinast IDS serverit

ping ids

5. Kõrvale avame teise ssh ühenduse ids serverisse ja avame Suricata logi

tail -f /var/log/suricata/fast.log

Näeme, et logisse lisanduvad teated reeglile vastavast liiklusest

05/25/2014-13:03:58.407499 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.3:8 -> 192.168.56.2:0
05/25/2014-13:03:58.407526 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.2:0 -> 192.168.56.3:0
05/25/2014-13:03:59.407073 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.3:8 -> 192.168.56.2:0
05/25/2014-13:03:59.407097 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.2:0 -> 192.168.56.3:0

===Oinkmaster üles seadmine reeglikogumike uuendamiseks===

1. Paigaldame OinkMasteri

apt-get install oinkmaster

On olemas mitmed reeglikogumikke. Praegusel juhul kasutame Emerging Threats (ET) reeglikogumikku.

Oinkmaster peab teada, kust saab reeglikogumikku alla laadida:
http://rules.emergingthreats.net/open/suricata/emerging.rules.tar.gz

2. Selle lingi lisamiseks avame oinkmaster.conf faili:

vim /etc/oinkmaster.conf

3. Leiame üles rea ET reeglite veebilehele (vim puhul saab otsingut teostada sisestades kõigepealt "/" ning seejärel otsingu stringi):

/Emerging Threats

4. Lisame hüperlingi:

url = http://rules.emergingthreats.net/open/suricata/emerging.rules.tar.gz

Pärast muudatuse sisse viimist näeb faili sektsiooni välja selline:

# Example for rules from the Emerging Threats site (previously known as Bleeding Snort).
# url = http://www.emergingthreats.net/rules/emerging.rules.tar.gz
# Old url:
# url = http://www.bleedingsnort.com/downloads/bleeding.rules.tar.gz
url = http://rules.emergingthreats.net/open/suricata/emerging.rules.tar.gz

5. Salvesta ja välju failist. Vim puhul, väljuda paoklahviga sisestus režiimist ning seejärel ":wq".

6. Uuendame reeglikogumiku:

cd /etc
oinkmaster -C /etc/oinkmaster.conf -o /etc/suricata/rules

7. Pärast reeglite alla laadimist ja lahti pakkimist on reeglite kaustast leitavad ka kaks faili nimedega classification. config ja reference.config. Mõlemad on vaja lisada Suricata konfiguratsiooni faili:

vim /etc/suricata/suricata.yaml

Konfiguratsioonis otsime üles rea"classification-file" ning muudame ära vajalikud parameetrid. Lõpptulemusena saame:

classification-file: /etc/suricata/rules/classification.config
reference-config-file: /etc/suricata/rules/reference.config

8. Testimiseks käivitame suricata:

suricata -c /etc/suricata/suricata.yaml -i eth1

9. Käivitamisel näeme, et mitmed reegli failid pole saadaval. Nende mitte kasutamiseks saame suricata.yaml faili rule-files sektsioonis lisada konkreetse reegli faili ette #.

vim /etc/suricata.yaml

Lisame # kahe faili ette:

# - emerging-icmp.rules
# - dns-events.rules

10. Salvestame ja väljume.

11. Reeglite hilisemaks uuendamiseks käivitame käsu:

oinkmaster -C /etc/oinkmaster.conf -o /etc/suricata/rules

'''Soovituslik on reegleid tihti uuendada. ET reeglikogumikku uuendatakse korra päevas.'''

===Automaatne uuendamine oinkmasteri abil===

Et muuta reeglite uuendamine lihtsaks ja automaatseks, seadistame croni töö oinkmasteri automaatseks käivitamiseks.

1. Loome reeglite varundamiseks kausta.

mkdir /etc/suricata/backup

2. Lisame uue kasutaja oinkmaster

useradd oinkmaster

3. Muudame mõningad failiõigused.

chown -R oinkmaster /etc/suricata/backup
chown -R oinkmaster /etc/suricata/rules

4. Testime, kas töötab

su oinkmaster
oinkmaster -C /etc/oinkmaster.conf -o /etc/suricata/rules -b /etc/suricata/backup 2>&1

5. Kuna me tahame seda iga päev käivitada, siis lisame crontabi alla vastava töö

crontab -e -u oinkmaster

30 00 * * * oinkmaster -o /etc/snort/rules -b /etc/snort/backup 2>&1 >> /dev/null 2>&1

===Reeglikogumike optimiseerimine===

Mida rohkem reegleid on kasutuses, seda rohkem ressurssi on vaja pakettide analüüsimiseks.
Seega mõtekas on keelata need reeglid, mis käivad tehnoloogiate või teenuste vastu mida asutuse infrastruktuuris ei esine.

Kõigepealt keelame mõned üldised grupid. Selleks avame uuesti Suricata konfiguratsiooni faili:

vim /etc/suricata/suricata.yaml

Otsime üles rea "rule-files".

/rule-files

Reegli grupi keelamiseks on vaja konkreetne reegli faili välja kommenteerida, lisades rea ette #.

Oletame, et poliitikatega on infrastruktuuris keelatud ActiveX tehnoloogia kasutamine, ei leia kasutust ftp protokoll ning ei ole ka SCADA seadmeid.

'''Ülesanne'''
Otsida suricata.yaml failist üles sektsioon "rule-files:" ning kommenteerida välja need 3 reeglite faili mis käsitlevad neid teenuseid (Active-X; FTP; SCADA).

===Üksiku või mitme reegli keelamine===

Üksiku reegli või mitme reegli keelamiseks on vaja leida reegli sid. Seda seetõttu, et sid alusel saab reegli keelata oinkmasteri konfiguratsioonis. Sellisel juhul jääb reegel keelatuks ka pärast reeglikogumiku uuendamist.

Antud näite puhul ütleme, et asutus on paiganud kõigi Linuxi serverite OpenSSL teegid ning seeläbi kõrvaldanud HeartBleed nimelise nõrkuse. Seega kõik reeglid, mis käsitlevad seda nõrkust võib keelata.

1. Otsime üles kõik HeartBleedi käsitlevad reeglid.

cd /etc/suricata/rules
grep -R "HeartBleed"

Leiame, et HeartBleedi käsitlevaid reegleid on 6. Kuigi väljastati 12 rida on esimesed 6 rida pärit sid-msg.map failist, kus hoitakse teadete ja reegli id vahelisi seoseid seega need võib välja jätta.

2. Eraldame välja kõigi 6 reegli sid tunnused.

grep -R "HeartBleed" | grep -P -o "sid\:\d+" | grep -o -P "\d{2,}+" | tr '\n' ',' >> /etc/oinkmaster.conf

Üleval nähtava käsuga, filtreerime reegli failidest rekursiivselt välja kõik read kus sisaldub sõna HeartBleed, seejärel eraldame nendest ridadest sid tunnused ja puhastame read üleliigsest. Viimaks asendame tr käsu abil reavahetused komaga ja kirjutame tekkinud rea Oinkmasteri konfiguratsiooni faili lõppu.

3. Avame Oinkmasteri konfiguratsiooni ja kerime faili lõppu. Eelmise käsuga sinna kirjutatud sid tunnused on meid ootamas.

vim /etc/oinkmaster.conf

4. Kirjutame sid tunnuste ette parameetri "disablesid" ning rea lõppu lisame # ja kommentaari. Lõpptulemusena näeb oinkmasteri konfiguratsiooni faili viimane rida välja selline:

disablesid 2018377, 2018378, 2018382, 2018383, 2018388, 2018389 # Ei ole enam HeartBleedi haavatavust

5. Salvestame ja väljume.

6. Kui käivitame Oinkmasteri uuenduse uuesti, siis näeme millised ja kui mitu reeglit on keelatud.

oinkmaster -C /etc/oinkmaster.conf -o /etc/suricata/rules

IDS Systeemid - Labor 1

2014-05-26T21:29:14Z

Aelliku: Created page with "=Labor 1= Labori käigus paigaldame Suricata ning testime selle töötamist. Seame paika reeglite uuendamise Oinkmasteri abil kasutades EmergingThreats reeglikogumikku ning opt…"

=Labor 1=

Labori käigus paigaldame Suricata ning testime selle töötamist.

Seame paika reeglite uuendamise Oinkmasteri abil kasutades EmergingThreats reeglikogumikku ning optimiseerime kasutatavat reeglikogumikku.

==Ettevalmistused Suricata paigaldamiseks==

===Seadistame eth1 võrguliidese valimatusse režiimi===

1. Avame faili interfaces:

vim /etc/network/interfaces

2. Lisame eth1 parameetrid:

auto eth1
iface eth1 inet manual 
up ifconfig $IFACE 0.0.0.0 up
up ip link set $IFACE promisc on
down ip link set $IFACE promisc off 
down ifconfig $IFACE down

3. Salvesta ja välju

4. Teeme võrgu teenusele taaskäivituse

service networking restart

5. Kontrollime võrguliidest.

ifconfig

Käsu väljundis näeme kolmandas reas "UP BROADCAST RUNNING PROMISC":

eth1 Link encap:Ethernet HWaddr 00:0c:29:32:bf:11
inet6 addr: fe80::20c:29ff:fe32:bf11/64 Scope:Link
UP BROADCAST RUNNING PROMISC MULTICAST MTU:1500 Metric:1 
RX packets:1152 errors:0 dropped:0 overruns:0 frame:0 
TX packets:62 errors:0 dropped:0 overruns:0 carrier:0 
collisions:0 txqueuelen:1000 
RX bytes:94351 (94.3 KB) TX bytes:17248 (17.2 KB)

==Suricata paigaldus==

1. Suricata kasutamisel Ubuntu distributsiooni peal on kõige lihtsam kasutada repositooriumi. Kõigepealt paigaldame paki nimega "python-software-properties", kuna selle sees asub programm "add-apt-repository", mida kasutame järgmisena.

apt-get install python-software-properties

2. Lisame repositooriumi ja piagaldame Suricata

add-apt-repository ppa:oisf/suricata-stable
apt-get update
apt-get install suricata

3. Suricata uuendamiseks saame kasutada

apt-get update
apt-get upgrade

4. Eemaldamiseks

apt-get remove suricata

==Seadistamine==

1. Loome logide kausta

mkdir /var/log/suricata

2. Avame Suricata konfiguratsiooni faili:

vim /etc/suricata/suricata.yaml

Kirjeldame kasutuses olevad operatsiooni süsteemid otsides "suricata.yaml" failist rida "host-os-policy" (VIM-i puhul saab otsimist teostada sisestades "/" ning seejärel otsitava teksti.)

host-os-policy:
# Make the default policy windows.
windows: []
bsd: []
bsd-right: []
old-linux: []
linux: [192.168.56.200, 192.168.56.201, 192.168.56.101, 127.0.0.1]
old-solaris: []
solaris: []
hpux10: []
hpux11: []
irix: []
macos: []
vista: []

Kirjeldame ära aadresside grupid. Selleks otsime üles rea "address-groups"

address-groups:
HOME_NET: "[192.168.56.0/24]"
EXTERNAL_NET: "!$HOME_NET"

3. Enda kirjutatud reeglite kasutamiseks loome faili local.rules

touch /etc/suricata/rules/local.rules

Lisame local.rules faili ühe reegli

vim /etc/suricata/rules/local.rules

alert ip any any -> any any (msg:"ICMP detected"; sid:2; rev:1;)

4. Lisame Suricata kofiguratsiooni kohalike reeglite faili.

vim /etc/suricata/suricata.yaml

Otsime üles rea "rule-files" ja lisame sinna alla esimese reana local.rules faili.

rule-files:
- local.rules
- botcc.rules
- ciarmy.rules
- compromised.rules
- drop.rules
- dshield.rules
- emerging-activex.rules
- emerging-attack_response.rules
- emerging-chat.rules
- emerging-current_events.rules
- emerging-dns.rules
- emerging-dos.rules
- emerging-exploit.rules
- emerging-ftp.rules
...

===Oinkmaster üles seadmine reeglikogumike uuendamiseks===

1. Paigaldame OinkMasteri

apt-get install oinkmaster

On olemas mitmed reeglikogumikke. Praegusel juhul kasutame Emerging Threats (ET) reeglikogumikku.

Oinkmaster peab teada, kust saab reeglikogumikku alla laadida:
http://rules.emergingthreats.net/open/suricata/emerging.rules.tar.gz

2. Selle lingi lisamiseks avame oinkmaster.conf faili:

vim /etc/oinkmaster.conf

3. Leiame üles rea ET reeglite veebilehele (vim puhul saab otsingut teostada sisestades kõigepealt "/" ning seejärel otsingu stringi):

/Emerging Threats

4. Lisame hüperlingi:

url = http://rules.emergingthreats.net/open/suricata/emerging.rules.tar.gz

Pärast muudatuse sisse viimist näeb faili sektsiooni välja selline:

# Example for rules from the Emerging Threats site (previously known as Bleeding Snort).
# url = http://www.emergingthreats.net/rules/emerging.rules.tar.gz
# Old url:
# url = http://www.bleedingsnort.com/downloads/bleeding.rules.tar.gz
url = http://rules.emergingthreats.net/open/suricata/emerging.rules.tar.gz

5. Salvesta ja välju failist. Vim puhul, väljuda paoklahviga sisestus režiimist ning seejärel ":wq".

6. Uuendame reeglikogumiku:

cd /etc
oinkmaster -C /etc/oinkmaster.conf -o /etc/suricata/rules

7. Pärast reeglite alla laadimist ja lahti pakkimist on reeglite kaustast leitavad ka kaks faili nimedega classification. config ja reference.config. Mõlemad on vaja lisada Suricata konfiguratsiooni faili:

vim /etc/suricata/suricata.yaml

Konfiguratsioonis otsime üles rea"classification-file" ning muudame ära vajalikud parameetrid. Lõpptulemusena saame:

classification-file: /etc/suricata/rules/classification.config
reference-config-file: /etc/suricata/rules/reference.config

8. Testimiseks käivitame suricata:

suricata -c /etc/suricata/suricata.yaml -i eth1

9. Käivitamisel näeme, et mitmed reegli failid pole saadaval. Nende mitte kasutamiseks saame suricata.yaml faili rule-files sektsioonis lisada konkreetse reegli faili ette #.

vim /etc/suricata.yaml

Lisame # kahe faili ette:

# - emerging-icmp.rules
# - dns-events.rules

10. Salvestame ja väljume.

11. Reeglite hilisemaks uuendamiseks käivitame käsu:

oinkmaster -C /etc/oinkmaster.conf -o /etc/suricata/rules

'''Soovituslik on reegleid tihti uuendada. ET reeglikogumikku uuendatakse korra päevas.'''

===Automaatne uuendamine oinkmasteri abil===

Et muuta reeglite uuendamine lihtsaks ja automaatseks, seadistame croni töö oinkmasteri automaatseks käivitamiseks.

1. Loome reeglite varundamiseks kausta.

mkdir /etc/suricata/backup

2. Lisame uue kasutaja oinkmaster

useradd oinkmaster

3. Muudame mõningad failiõigused.

chown -R oinkmaster /etc/suricata/backup
chown -R oinkmaster /etc/suricata/rules

4. Testime, kas töötab

su oinkmaster
oinkmaster -C /etc/oinkmaster.conf -o /etc/suricata/rules -b /etc/suricata/backup 2>&1

5. Kuna me tahame seda iga päev käivitada, siis lisame crontabi alla vastava töö

crontab -e -u oinkmaster

30 00 * * * oinkmaster -o /etc/snort/rules -b /etc/snort/backup 2>&1 >> /dev/null 2>&1

===Reeglikogumike optimiseerimine===

Mida rohkem reegleid on kasutuses, seda rohkem ressurssi on vaja pakettide analüüsimiseks.
Seega mõtekas on keelata need reeglid, mis käivad tehnoloogiate või teenuste vastu mida asutuse infrastruktuuris ei esine.

Kõigepealt keelame mõned üldised grupid. Selleks avame uuesti Suricata konfiguratsiooni faili:

vim /etc/suricata/suricata.yaml

Otsime üles rea "rule-files".

/rule-files

Reegli grupi keelamiseks on vaja konkreetne reegli faili välja kommenteerida, lisades rea ette #.

Oletame, et poliitikatega on infrastruktuuris keelatud ActiveX tehnoloogia kasutamine, ei leia kasutust ftp protokoll ning ei ole ka SCADA seadmeid.

'''Ülesanne'''
Otsida suricata.yaml failist üles sektsioon "rule-files:" ning kommenteerida välja need 3 reeglite faili mis käsitlevad neid teenuseid (Active-X; FTP; SCADA).

===Üksiku või mitme reegli keelamine===

Üksiku reegli või mitme reegli keelamiseks on vaja leida reegli sid. Seda seetõttu, et sid alusel saab reegli keelata oinkmasteri konfiguratsioonis. Sellisel juhul jääb reegel keelatuks ka pärast reeglikogumiku uuendamist.

Antud näite puhul ütleme, et asutus on paiganud kõigi Linuxi serverite OpenSSL teegid ning seeläbi kõrvaldanud HeartBleed nimelise nõrkuse. Seega kõik reeglid, mis käsitlevad seda nõrkust võib keelata.

1. Otsime üles kõik HeartBleedi käsitlevad reeglid.

cd /etc/suricata/rules
grep -R "HeartBleed"

Leiame, et HeartBleedi käsitlevaid reegleid on 6. Kuigi väljastati 12 rida on esimesed 6 rida pärit sid-msg.map failist, kus hoitakse teadete ja reegli id vahelisi seoseid seega need võib välja jätta.

2. Eraldame välja kõigi 6 reegli sid tunnused.

grep -R "HeartBleed" | grep -P -o "sid\:\d+" | grep -o -P "\d{2,}+" | tr '\n' ',' >> /etc/oinkmaster.conf

Üleval nähtava käsuga, filtreerime reegli failidest rekursiivselt välja kõik read kus sisaldub sõna HeartBleed, seejärel eraldame nendest ridadest sid tunnused ja puhastame read üleliigsest. Viimaks asendame tr käsu abil reavahetused komaga ja kirjutame tekkinud rea Oinkmasteri konfiguratsiooni faili lõppu.

3. Avame Oinkmasteri konfiguratsiooni ja kerime faili lõppu. Eelmise käsuga sinna kirjutatud sid tunnused on meid ootamas.

vim /etc/oinkmaster.conf

4. Kirjutame sid tunnuste ette parameetri "disablesid" ning rea lõppu lisame # ja kommentaari. Lõpptulemusena näeb oinkmasteri konfiguratsiooni faili viimane rida välja selline:

disablesid 2018377, 2018378, 2018382, 2018383, 2018388, 2018389 # Ei ole enam HeartBleedi haavatavust

5. Salvestame ja väljume.

6. Kui käivitame Oinkmasteri uuenduse uuesti, siis näeme millised ja kui mitu reeglit on keelatud.

oinkmaster -C /etc/oinkmaster.conf -o /etc/suricata/rules