ICO wiki - User contributions [en]

Linuxi administreerimine eksamiabi 2014

2014-01-17T12:02:08Z

Maleppik: /* Teil ununes root parool ära ja student kasutaja pole administraatorite grupis. (vana admin läks töölt ära ja parooli keegi ei mäleta) */

= Eksami näidiste lehe Sisukord =
Eksami ajal saab veel kaitsta laboreid, kuid soovitav on need enne eksamit ära kaitsta, kuna eksam on päris pingeline.

 Linux eksam on praktiline, koosneb neljast osast:

[[#1._Puppet_abil_tuleb_teha_lihtsaid_asju]] (kasutaja, kaust/fail teatud sisu ja õigustega, paigaldada pakke) 10p 10min

[[#2._Puppet_abil_teenuse_seadistamine_keerulisem]] 15p 15min (kui apache seadistamine, siis eemaldage paki apache kirjeldus)

[[#3._Linux_paigalduse_parandamine_.28lihtne.29]] 15p 10min

[[#4._Linux_paigalduse_parandamine_.28raske.29]] 9p 25min

 1. Näiteülesanded:

*Loo kasutaja kjk212 koos kodukasutaga
*Paigalda pakk apache2
*Paigalda pakk htop
*Tekita fail, mille sisu on selle ülesande tekst asukohta /var/eksam/yl1.txt
*Sea loodud faili omanikuks eespool loodud kasutaja ja grupiks audio. Sea õigused selliselt, et kasutaja saab kõike teha ja grupp lugeda/kirjutada. Teised ei saa midagi teha.

2. Näiteküsimused

*Paigalda www.planet.zz virtualhost (nagu aine wikis kirjas)
*Paigalda ntp teenus (aine wikist)
*Paigalda BIND teenus (aine wikist) [http://enos.itcollege.ee/~mernits/Linux%20administreerimine/bind.ogv http://enos.itcollege.ee/~mernits/Linux%20administreerimine/bind.ogv] [[Nimeserveri seadistamine BIND9 näitel]]

 3. Linux paigalduse parandamine (lihtne) 15min

*Teil ununes root parool ära ja student kasutaja pole administraatorite grupis. (vana admin läks töölt ära ja parooli keegi ei mäleta)
*Teie server tõsteti valesse VLANi (virtualboxis teise võrku)
*Teie server tõsteti teise võrku, mille IP on teine ja võrgu administraator unustas teile seda öelda ja läks puhkusele (tehke nii, et töötaks)
*Praktikal olev tudeng rikkus ära faili, kus määratakse alglaadimisel ühendatavad kettajaod ja failisüsteemid
*Praktikal olev tudeng tegi katki puppet paigalduse (ja on endaga täitsa rahul) Tehke korda ja selgitage, mida ta valesti tegi.

4. Linux paigalduse parandamine (raske) 20min

*Praktikal olev tudeng rikkus ära kõvaketta kettajagude tabeli. Taastage süsteem.
*Praktikal olev tudeng kustustas ühelt kettalt palju pilte ja kettajagude tabeli. Taastage pildid.
*Praktikal olev tudeng "konfigureeris" ehk saboteeris teie labor 2 teenuse ära - Tehke korda ja selgitage, mida ta valesti tegi.

= 1. Puppet abil tuleb teha lihtsaid asju =
== Loo kasutaja kjk212 koos kodukasutaga ==

Loo serveris '''''/etc/puppet/manifests/classes/users.pp''''' fail, sisuga
<source lang="php">
class users {
user { 'kjk212':
ensure => present,
uid => '1500',
gid => 'root',
shell => '/bin/sh',
home => '/home/kjk212',
managehome => true,
}
}
</source>

Failis ''''/etc/puppet/manifests/site.pp'''' 
lisa ''''include users'''' kliendi node alla

<source lang="php">
import "classes/*"
node 'desktop.planet.zz' inherits basenode {
include users
}
</source>

== Paigalda pakk apache2 ja htop ning eemalda cowsay ==

Loo serveris '''''/etc/puppet/manifests/classes/users.pp''''' fail sisuga
<source lang="php">
class tarkvara {
package { ['htop', 'apache2']: ensure => latest, }
package { 'cowsay': ensure => absent,}
}
</source>

Failis ''''/etc/puppet/manifests/site.pp'''' 
lisa ''''include tarkvara'''' kliendi node alla

<source lang="php">
import "classes/*"
node 'desktop.planet.zz' inherits basenode {
include tarkvara
}
</source>

== Tekita fail, mille sisu on ==
Tekita fail, mille sisu on selle ülesande tekst asukohta /var/eksam/yl1.txt 
Sea loodud faili omanikuks eespool loodud kasutaja ja grupiks audio. Sea õigused selliselt, et kasutaja saab kõike teha ja grupp lugeda/kirjutada. Teised ei saa midagi teha

Loo serveris '''''/etc/puppet/manifests/classes/fail.pp''''' , sisuga
<source lang="php">
class lihtne {
file { "/var/eksam/yl1.txt":
ensure => present,
mode => 760,
owner => kjk212,
group => audio,
content => "Tekita fail, mille sisu on selle ülesande tekst asukohta /var/eksam/yl1.txt
Sea loodud faili omanikuks eespool loodud kasutaja ja grupiks audio. Sea õigused selliselt, et kasutaja saab kõike teha ja grupp lugeda/kirjutada. Teised ei saa midagi teha."
}
}
</source>
Kui kausta pole olemas, mille sisse fail tuleb luua lisa peale classi algust ''class lihtne {'' veel read
<source lang="php">
file { [ "/var/eksam/" ]:
ensure => directory,
}
</source>

Failis ''''/etc/puppet/manifests/site.pp'''' 
lisa ''''include lihtne'''' kliendi node alla

<source lang="php">
import "classes/*"
node 'desktop.planet.zz' inherits basenode {
include lihtne
}
</source>

= 2. Puppet abil teenuse seadistamine keerulisem =
== Paigalda www.planet.zz virtualhost ==
Esmalt lisa apache konfimise moodul
<source lang="php">
puppet module install puppetlabs/apache
</source>
ja host faili modimiseks
<source lang="php">
puppet module install puppetlabs/stdlib
</source>

Veendu, et mujal ei ole puppetis apache tarkvara pailgalduse käsku

Faili ''''/etc/puppet/manifests/classes/apache.pp'''' sisuks pane
<source lang="php">
class apachesrv {
class { 'apache': }

apache::vhost { 'www.planet.zz':
port => '80',
docroot => '/var/www/www.planet.zz',
}
file { "/var/www/www.planet.zz/index.html":
ensure => present,
content => "www.planet.zz\n<br\n>Server tootab\n",
}
}
</source>
Kui pole dns-i, siis saab lisada hosts faili vastava rea lisades puppetis apache konfi lõppu enne } read
<source lang="php">
file_line { 'host_planet':
ensure => present,
line => "127.0.0.1 www.planet.zz",
path => '/etc/hosts',
}
</source>

Failis ''''/etc/puppet/manifests/site.pp'''' 
lisa ''''include apachesrv'''' kliendi node alla

<source lang="php">
import "classes/*"
node 'desktop.planet.zz' inherits basenode {
include apachesrv
}
</source>

== Paigalda ntp teenus ==
Esmalt lisa ntp konfimise moodul
<source lang="php">
puppet module install puppetlabs/ntp
</source>

Faili ''''/etc/puppet/manifests/classes/ntpsrv.pp'''' sisuks pane
<source lang="php">
class ntpserver {
class { '::ntp':
servers => [ 'ntp.eenet.ee', 'ntp.ut.ee' ],
panic => false, #Hea kasutada virtuaalmasinate puhul.
}
}
</source>

Failis ''''/etc/puppet/manifests/site.pp'''' 
lisa ''''include ntpsrv'''' kliendi node alla

<source lang="php">
import "classes/*"
node 'desktop.planet.zz' inherits basenode {
include ntpserver
}
</source>

== Paigalda BIND teenus ==
Süsteemi seaded üle vaadata! 
.bashrc
export LC_ALL=C
Puppet DNS (BIND9) Module <ref name="bind">http://forge.puppetlabs.com/ajjahn/dns</ref>
puppet module install ajjahn/dns

Kui on varem paigaldatud apache moodul või mõni muu, mis sisaldab 'concat'-i tuleb kasutada
puppet module install ajjahn/dns --ignore-dependencies

Konfiguratsioon:
fail /etc/puppet/manifests/classes/dns.pp
<source lang="php">
class testdns {
include dns::server

# Forward Zone
dns::zone { 'planet.zz':
soa => "ns1.planet.zz",
soa_email => 'admin.planet.zz',
nameservers => ["ns1"]
}

# Reverse Zone
dns::zone { '56.168.192.IN-ADDR.ARPA':
soa => "ns1.planet.zz",
soa_email => 'admin.planet.zz',
nameservers => ["ns1"]
}

# A Records:
dns::record::a {
'client':
zone => 'planet.zz',
data => ["192.168.56.101"],
ptr => true;
}

# CNAME Record:
dns::record::cname {'www':
zone => 'planet.zz',
data => 'client.planet.zz',
}

}</source>

fail /etc/puppet/manifests/site.pp
<source lang="php">
node 'client.planet.zz' {
include testdns
}</source>

Testimine klientarvutis:
nslookup www.planet.zz 192.168.56.101
Vastus:
<source lang="bash">
Server: 192.168.56.101
Address: 192.168.56.101#53

www.planet.zz canonical name = client.planet.zz.
Name: client.planet.zz
Address: 192.168.56.101
</source>

= 3. Linux paigalduse parandamine (lihtne) =
==Teil ununes root parool ära ja student kasutaja pole administraatorite grupis. (vana admin läks töölt ära ja parooli keegi ei mäleta)==
Reset root password (Ubuntu Linux) without CD<ref name="faqforge">http://www.faqforge.com/linux/reset-root-password-ubuntu-linux-without-cd</ref>

Algkäivitamise ajal hoia all Shift või tee aktiivseks muudmoodi GRUB alglaadijas Ubuntu xxx (recovery mode) rida (nool alla). Ära vajuta [Enter]! 
Vajuta [e] selle rea muutmiseks 
Otsi rida, mis sisaldab ''linux /boot/vmlinuz-3.2.0-18-generic root=UUID=b8b64ed1-ae94-43c6-92\d2-a19dfd9a727e ro recovery nomodeset'' 
Asenda ''ro recovery nomodeset'' järgnevaga: ''rw init=/bin/bash'' 
Vihje: US klaviatuuril '=' on `´ nupp ning '/' on -_ 
Vajuta käivitamiseks [F10] 
Arvuti käivitub ning logitakse sisse juurkasutaja õigustes. 
Parooli vahetamiseks sisesta käsk
passwd
ning lähtesta root parool. Tee serverile reset (Restarti saab teha nii: Virtualboxi menüüst machine ja Insert Ctrl-Alt-Del).

Testimise jaoks kirjuta terminali käsk (mitte sudo -i, kuna see küsib kasutaja parooli juurkasutaja asemel):
su -

==Teie server tõsteti valesse VLANi (virtualboxis teise võrku)==
==Teie server tõsteti teise võrku, mille IP on teine ja võrgu administraator unustas teile seda öelda ja läks puhkusele (tehke nii, et töötaks)==
==Praktikal olev tudeng rikkus ära faili, kus määratakse alglaadimisel ühendatavad kettajaod ja failisüsteemid==
Katki tehti /etc/fstab

Kui on antud katki tehtud ketas, siis tuleb see eelnevalt külge ühendada: https://wiki.itcollege.ee/index.php/Linuxi_administreerimine_eksamiabi_2014#4._Linux_paigalduse_parandamine_.28raske.29

Kontrollida, mis nime all lisatud ketas süsteemis on
fdisk -l

Seejärel tuleb ketas mountida ajutisse kausta
mkdir /tmp/eksam
mount /dev/sdb1 /tmp/eksam
/dev/sdb1 on lisatud ketta esimene partitsioon

Katki tehtud töös oleva arvuti fstab parandamiseks ava see käsuga:
nano /etc/fstab
või kui tegu lisatud ja mountitud kettaga:
nano /tmp/eksam/etc/fstab

Töötav fstab võiks välja näha selline:
<source lang="bash">
# /etc/fstab: static file system information.
#
# Use 'blkid' to print the universally unique identifier for a
# device; this may be used with UUID= as a more robust way to name devices
# that works even if disks are added and removed. See fstab(5).
#
# <file system> <mount point> <type> <options> <dump> <pass>
# / was on /dev/sda1 during installation
UUID=9edff746-7198-40f6-bcf4-c0f6a1af8ab9 / ext4 errors=remount-ro 0 1
# swap was on /dev/sda5 during installation
UUID=afd69f4d-5c96-4d75-a298-68e54c4607bd none swap sw 0 0
</source>
UUID=... asemel võib kasutada ka seadme nime /dev/sda1, /dev/sdb2 jne
Seega võib töötav rida välja näha ka selline
<source lang="bash">/dev/sdb1 /var/lab ext4 defaults 0 0 </source>

*<file system>UUID viitab konkreetsele kettale, /dev/sdb1 viitab tegelikult füüsilisele ühenduspesale
*<mount point> - kuhu on seade külge ühendatud, juurkaust '/', saaleala 'none' jne
*<type> failisüsteemi tüüp, võib olla auto, üritatakse ära arvata, ext3/ext4/swap jne
*<options> noexec, readonly, acl, trim (ssd) jne
*<dump> legacy pärast
*<pass> kas teha kettakontrolli iga x käivituse tagant

==Praktikal olev tudeng tegi katki puppet paigalduse (ja on endaga täitsa rahul) Tehke korda ja selgitage, mida ta valesti tegi.==

= 4. Linux paigalduse parandamine (raske) =

Kui on antud vmdk või vdi failina ketas või katki tehtud teise virtuaalmasina ketas, siis VirtualBoxis külge ühendamiseks tee järgnev:

Virtuaalmasin lülita välja 

'''!! Kui on kasutusel snapshotid, siis tuleb teha katkisest masinast kas clone või kõik snapshotid kustutada, et alles jääks vaid üks vmdk fail. Vastasel korral ei ole võimalik õiget virtuaalmasina ketast järgmises punktis külge ühendada !!''' 
Machine->Settings Storage->Controller: Sata->Add a hard disk (parempoolne pluss nupuga ikoon) 
Choose existing disk 
Näita kätte õppejõult saadud fail või teise virtuaalmasina ketas (kloonitud masina või ilma snapshotita masina!) 
OK 
Käivita virtuaalmasin 
Kontrolli, et arvuti näitab lisatud ketast (juurkasutaja õigustes!)
fdisk -l
Uus ketas peaks tekkima /dev/sdb või sdc-na. 
Kui partitsioonitabel on katki peaks tulema ka teade "Disk /dev/sdb doesn't contain a valid partition table"

== dd abil kirjutati esimesed 512 baiti üle ==
*loe läbi eelnev peatükk
*testdisk abil taastada partitsioonitabel vt järgmine peatükk
*taastada GRUB alglaadur kas käsitsi töötava ketta pealt kopeerides või 'grub-install' käsu abil:

1) UNIX / Linux: Copy Master Boot Record (MBR) <ref name="mbr">http://www.cyberciti.biz/faq/howto-copy-mbr/</ref> - ei tööta?!
kopeerime bootstrapi töötavalt kettalt faili
dd if=/dev/sda of=/tmp/mbrsda.bak bs=512 count=1
kopeerime töötava ketta bootstrap osa katkisele kettale
dd if=/tmp/mbrsda.bak of=/dev/sdb bs=446 count=1

2) Ühenda ketas mnt kausta <ref name="grub2">http://www.howtogeek.com/114884/how-to-repair-grub2-when-ubuntu-wont-boot/</ref>
mount /dev/sdb1 /mnt
Installi grubi bootloader
grub-install --boot-directory=/mnt/boot /dev/sdb
ühenda ketas lahti tagasi
umount /dev/sdb1

==Praktikal olev tudeng rikkus ära kõvaketta kettajagude tabeli. Taastage süsteem==
How to recover partitions and data using Linux - Tutorial<ref name="dedo">http://www.dedoimedo.com/computers/linux-data-recovery.html</ref>

Tiri testdisk<ref name="testdisk">http://www.cgsecurity.org/wiki/TestDisk</ref>
apt-get install testdisk
Käivita testdisk
testdisk
Loo uus logifail [Create] 
Vali kettaseade, mida parandada (/dev/sdb) 
Vali partitsioonitabeli tüüp [Intel/PC] 
Vali [Analyse] 
[Quick Search] 
Arvatavasti pole tegu Vista või uuema all tehtud partitsiooniga, seega vasta 'N' 
[[image:testdisk1.png|none|631x562px]]
Viimases reas näitab leitud partitsiooni infot
Vajuta Enter ja siis Write
fdisk -l
peaks nüüd näitama taastatud partitsiooni. 
Et ilma taaskäivituseta parandatud kettale ligi pääseda, siis tuleb fdisk abil partitsiooniinfo kettale sünkroniseerida.
fdisk /dev/sdb
w

==Praktikal olev tudeng kustustas ühelt kettalt palju pilte ja kettajagude tabeli. Taastage pildid.==
Paigalda photorec <ref name="photorec">http://www.cgsecurity.org/wiki/PhotoRec</ref> (testdisk paketis)
apt-get install testdisk
Käivita photorec
photorec
Vali õige kettaseade (/dev/sdb) [Proceed] 
[Search] 
Vali 'unknown' partitsioon 
Vali failisüsteemi tüüp [ext2/ext3] 
Vali kaust kuhu salvestatakse taastatud failid ja vajuta [C] 
Taastatud failid asuvad valitud kaustas alamkaustas [recup_dir.1] vms.

==Praktikal olev tudeng "konfigureeris" ehk saboteeris teie labor 2 teenuse ära - Tehke korda ja selgitage, mida ta valesti tegi.==
Personaalne..

==Kasutatud materjal==
<references/>

Linuxi administreerimine eksamiabi 2014

2014-01-17T12:01:43Z

Maleppik: /* Teil ununes root parool ära ja student kasutaja pole administraatorite grupis. (vana admin läks töölt ära ja parooli keegi ei mäleta) */

= Eksami näidiste lehe Sisukord =
Eksami ajal saab veel kaitsta laboreid, kuid soovitav on need enne eksamit ära kaitsta, kuna eksam on päris pingeline.

 Linux eksam on praktiline, koosneb neljast osast:

[[#1._Puppet_abil_tuleb_teha_lihtsaid_asju]] (kasutaja, kaust/fail teatud sisu ja õigustega, paigaldada pakke) 10p 10min

[[#2._Puppet_abil_teenuse_seadistamine_keerulisem]] 15p 15min (kui apache seadistamine, siis eemaldage paki apache kirjeldus)

[[#3._Linux_paigalduse_parandamine_.28lihtne.29]] 15p 10min

[[#4._Linux_paigalduse_parandamine_.28raske.29]] 9p 25min

 1. Näiteülesanded:

*Loo kasutaja kjk212 koos kodukasutaga
*Paigalda pakk apache2
*Paigalda pakk htop
*Tekita fail, mille sisu on selle ülesande tekst asukohta /var/eksam/yl1.txt
*Sea loodud faili omanikuks eespool loodud kasutaja ja grupiks audio. Sea õigused selliselt, et kasutaja saab kõike teha ja grupp lugeda/kirjutada. Teised ei saa midagi teha.

2. Näiteküsimused

*Paigalda www.planet.zz virtualhost (nagu aine wikis kirjas)
*Paigalda ntp teenus (aine wikist)
*Paigalda BIND teenus (aine wikist) [http://enos.itcollege.ee/~mernits/Linux%20administreerimine/bind.ogv http://enos.itcollege.ee/~mernits/Linux%20administreerimine/bind.ogv] [[Nimeserveri seadistamine BIND9 näitel]]

 3. Linux paigalduse parandamine (lihtne) 15min

*Teil ununes root parool ära ja student kasutaja pole administraatorite grupis. (vana admin läks töölt ära ja parooli keegi ei mäleta)
*Teie server tõsteti valesse VLANi (virtualboxis teise võrku)
*Teie server tõsteti teise võrku, mille IP on teine ja võrgu administraator unustas teile seda öelda ja läks puhkusele (tehke nii, et töötaks)
*Praktikal olev tudeng rikkus ära faili, kus määratakse alglaadimisel ühendatavad kettajaod ja failisüsteemid
*Praktikal olev tudeng tegi katki puppet paigalduse (ja on endaga täitsa rahul) Tehke korda ja selgitage, mida ta valesti tegi.

4. Linux paigalduse parandamine (raske) 20min

*Praktikal olev tudeng rikkus ära kõvaketta kettajagude tabeli. Taastage süsteem.
*Praktikal olev tudeng kustustas ühelt kettalt palju pilte ja kettajagude tabeli. Taastage pildid.
*Praktikal olev tudeng "konfigureeris" ehk saboteeris teie labor 2 teenuse ära - Tehke korda ja selgitage, mida ta valesti tegi.

= 1. Puppet abil tuleb teha lihtsaid asju =
== Loo kasutaja kjk212 koos kodukasutaga ==

Loo serveris '''''/etc/puppet/manifests/classes/users.pp''''' fail, sisuga
<source lang="php">
class users {
user { 'kjk212':
ensure => present,
uid => '1500',
gid => 'root',
shell => '/bin/sh',
home => '/home/kjk212',
managehome => true,
}
}
</source>

Failis ''''/etc/puppet/manifests/site.pp'''' 
lisa ''''include users'''' kliendi node alla

<source lang="php">
import "classes/*"
node 'desktop.planet.zz' inherits basenode {
include users
}
</source>

== Paigalda pakk apache2 ja htop ning eemalda cowsay ==

Loo serveris '''''/etc/puppet/manifests/classes/users.pp''''' fail sisuga
<source lang="php">
class tarkvara {
package { ['htop', 'apache2']: ensure => latest, }
package { 'cowsay': ensure => absent,}
}
</source>

Failis ''''/etc/puppet/manifests/site.pp'''' 
lisa ''''include tarkvara'''' kliendi node alla

<source lang="php">
import "classes/*"
node 'desktop.planet.zz' inherits basenode {
include tarkvara
}
</source>

== Tekita fail, mille sisu on ==
Tekita fail, mille sisu on selle ülesande tekst asukohta /var/eksam/yl1.txt 
Sea loodud faili omanikuks eespool loodud kasutaja ja grupiks audio. Sea õigused selliselt, et kasutaja saab kõike teha ja grupp lugeda/kirjutada. Teised ei saa midagi teha

Loo serveris '''''/etc/puppet/manifests/classes/fail.pp''''' , sisuga
<source lang="php">
class lihtne {
file { "/var/eksam/yl1.txt":
ensure => present,
mode => 760,
owner => kjk212,
group => audio,
content => "Tekita fail, mille sisu on selle ülesande tekst asukohta /var/eksam/yl1.txt
Sea loodud faili omanikuks eespool loodud kasutaja ja grupiks audio. Sea õigused selliselt, et kasutaja saab kõike teha ja grupp lugeda/kirjutada. Teised ei saa midagi teha."
}
}
</source>
Kui kausta pole olemas, mille sisse fail tuleb luua lisa peale classi algust ''class lihtne {'' veel read
<source lang="php">
file { [ "/var/eksam/" ]:
ensure => directory,
}
</source>

Failis ''''/etc/puppet/manifests/site.pp'''' 
lisa ''''include lihtne'''' kliendi node alla

<source lang="php">
import "classes/*"
node 'desktop.planet.zz' inherits basenode {
include lihtne
}
</source>

= 2. Puppet abil teenuse seadistamine keerulisem =
== Paigalda www.planet.zz virtualhost ==
Esmalt lisa apache konfimise moodul
<source lang="php">
puppet module install puppetlabs/apache
</source>
ja host faili modimiseks
<source lang="php">
puppet module install puppetlabs/stdlib
</source>

Veendu, et mujal ei ole puppetis apache tarkvara pailgalduse käsku

Faili ''''/etc/puppet/manifests/classes/apache.pp'''' sisuks pane
<source lang="php">
class apachesrv {
class { 'apache': }

apache::vhost { 'www.planet.zz':
port => '80',
docroot => '/var/www/www.planet.zz',
}
file { "/var/www/www.planet.zz/index.html":
ensure => present,
content => "www.planet.zz\n<br\n>Server tootab\n",
}
}
</source>
Kui pole dns-i, siis saab lisada hosts faili vastava rea lisades puppetis apache konfi lõppu enne } read
<source lang="php">
file_line { 'host_planet':
ensure => present,
line => "127.0.0.1 www.planet.zz",
path => '/etc/hosts',
}
</source>

Failis ''''/etc/puppet/manifests/site.pp'''' 
lisa ''''include apachesrv'''' kliendi node alla

<source lang="php">
import "classes/*"
node 'desktop.planet.zz' inherits basenode {
include apachesrv
}
</source>

== Paigalda ntp teenus ==
Esmalt lisa ntp konfimise moodul
<source lang="php">
puppet module install puppetlabs/ntp
</source>

Faili ''''/etc/puppet/manifests/classes/ntpsrv.pp'''' sisuks pane
<source lang="php">
class ntpserver {
class { '::ntp':
servers => [ 'ntp.eenet.ee', 'ntp.ut.ee' ],
panic => false, #Hea kasutada virtuaalmasinate puhul.
}
}
</source>

Failis ''''/etc/puppet/manifests/site.pp'''' 
lisa ''''include ntpsrv'''' kliendi node alla

<source lang="php">
import "classes/*"
node 'desktop.planet.zz' inherits basenode {
include ntpserver
}
</source>

== Paigalda BIND teenus ==
Süsteemi seaded üle vaadata! 
.bashrc
export LC_ALL=C
Puppet DNS (BIND9) Module <ref name="bind">http://forge.puppetlabs.com/ajjahn/dns</ref>
puppet module install ajjahn/dns

Kui on varem paigaldatud apache moodul või mõni muu, mis sisaldab 'concat'-i tuleb kasutada
puppet module install ajjahn/dns --ignore-dependencies

Konfiguratsioon:
fail /etc/puppet/manifests/classes/dns.pp
<source lang="php">
class testdns {
include dns::server

# Forward Zone
dns::zone { 'planet.zz':
soa => "ns1.planet.zz",
soa_email => 'admin.planet.zz',
nameservers => ["ns1"]
}

# Reverse Zone
dns::zone { '56.168.192.IN-ADDR.ARPA':
soa => "ns1.planet.zz",
soa_email => 'admin.planet.zz',
nameservers => ["ns1"]
}

# A Records:
dns::record::a {
'client':
zone => 'planet.zz',
data => ["192.168.56.101"],
ptr => true;
}

# CNAME Record:
dns::record::cname {'www':
zone => 'planet.zz',
data => 'client.planet.zz',
}

}</source>

fail /etc/puppet/manifests/site.pp
<source lang="php">
node 'client.planet.zz' {
include testdns
}</source>

Testimine klientarvutis:
nslookup www.planet.zz 192.168.56.101
Vastus:
<source lang="bash">
Server: 192.168.56.101
Address: 192.168.56.101#53

www.planet.zz canonical name = client.planet.zz.
Name: client.planet.zz
Address: 192.168.56.101
</source>

= 3. Linux paigalduse parandamine (lihtne) =
==Teil ununes root parool ära ja student kasutaja pole administraatorite grupis. (vana admin läks töölt ära ja parooli keegi ei mäleta)==
Reset root password (Ubuntu Linux) without CD<ref name="faqforge">http://www.faqforge.com/linux/reset-root-password-ubuntu-linux-without-cd</ref>

Algkäivitamise ajal hoia all Shift või tee aktiivseks muudmoodi GRUB alglaadijas Ubuntu xxx (recovery mode) rida (nool alla). Ära vajuta [Enter]! 
Vajuta [e] selle rea muutmiseks 
Otsi rida, mis sisaldab ''linux /boot/vmlinuz-3.2.0-18-generic root=UUID=b8b64ed1-ae94-43c6-92\d2-a19dfd9a727e ro recovery nomodeset'' 
Asenda ''ro recovery nomodeset'' järgnevaga: ''rw init=/bin/bash'' 
Vihje: US klaviatuuril '=' on `´ nupp ning '/' on -_ 
Vajuta käivitamiseks [F10] 
Arvuti käivitub ning logitakse sisse juurkasutaja õigustes. 
Parooli vahetamiseks sisesta käsk
passwd
ning lähtesta root parool. Tee serverile reset (Restarti saab teha nii: Virtualboxi menüüst machine ja Insert Ctrl-Alt-Del).
Testimise jaoks kirjuta terminali käsk (mitte sudo -i, kuna see küsib kasutaja parooli juurkasutaja asemel):
su -

==Teie server tõsteti valesse VLANi (virtualboxis teise võrku)==
==Teie server tõsteti teise võrku, mille IP on teine ja võrgu administraator unustas teile seda öelda ja läks puhkusele (tehke nii, et töötaks)==
==Praktikal olev tudeng rikkus ära faili, kus määratakse alglaadimisel ühendatavad kettajaod ja failisüsteemid==
Katki tehti /etc/fstab

Kui on antud katki tehtud ketas, siis tuleb see eelnevalt külge ühendada: https://wiki.itcollege.ee/index.php/Linuxi_administreerimine_eksamiabi_2014#4._Linux_paigalduse_parandamine_.28raske.29

Kontrollida, mis nime all lisatud ketas süsteemis on
fdisk -l

Seejärel tuleb ketas mountida ajutisse kausta
mkdir /tmp/eksam
mount /dev/sdb1 /tmp/eksam
/dev/sdb1 on lisatud ketta esimene partitsioon

Katki tehtud töös oleva arvuti fstab parandamiseks ava see käsuga:
nano /etc/fstab
või kui tegu lisatud ja mountitud kettaga:
nano /tmp/eksam/etc/fstab

Töötav fstab võiks välja näha selline:
<source lang="bash">
# /etc/fstab: static file system information.
#
# Use 'blkid' to print the universally unique identifier for a
# device; this may be used with UUID= as a more robust way to name devices
# that works even if disks are added and removed. See fstab(5).
#
# <file system> <mount point> <type> <options> <dump> <pass>
# / was on /dev/sda1 during installation
UUID=9edff746-7198-40f6-bcf4-c0f6a1af8ab9 / ext4 errors=remount-ro 0 1
# swap was on /dev/sda5 during installation
UUID=afd69f4d-5c96-4d75-a298-68e54c4607bd none swap sw 0 0
</source>
UUID=... asemel võib kasutada ka seadme nime /dev/sda1, /dev/sdb2 jne
Seega võib töötav rida välja näha ka selline
<source lang="bash">/dev/sdb1 /var/lab ext4 defaults 0 0 </source>

*<file system>UUID viitab konkreetsele kettale, /dev/sdb1 viitab tegelikult füüsilisele ühenduspesale
*<mount point> - kuhu on seade külge ühendatud, juurkaust '/', saaleala 'none' jne
*<type> failisüsteemi tüüp, võib olla auto, üritatakse ära arvata, ext3/ext4/swap jne
*<options> noexec, readonly, acl, trim (ssd) jne
*<dump> legacy pärast
*<pass> kas teha kettakontrolli iga x käivituse tagant

==Praktikal olev tudeng tegi katki puppet paigalduse (ja on endaga täitsa rahul) Tehke korda ja selgitage, mida ta valesti tegi.==

= 4. Linux paigalduse parandamine (raske) =

Kui on antud vmdk või vdi failina ketas või katki tehtud teise virtuaalmasina ketas, siis VirtualBoxis külge ühendamiseks tee järgnev:

Virtuaalmasin lülita välja 

'''!! Kui on kasutusel snapshotid, siis tuleb teha katkisest masinast kas clone või kõik snapshotid kustutada, et alles jääks vaid üks vmdk fail. Vastasel korral ei ole võimalik õiget virtuaalmasina ketast järgmises punktis külge ühendada !!''' 
Machine->Settings Storage->Controller: Sata->Add a hard disk (parempoolne pluss nupuga ikoon) 
Choose existing disk 
Näita kätte õppejõult saadud fail või teise virtuaalmasina ketas (kloonitud masina või ilma snapshotita masina!) 
OK 
Käivita virtuaalmasin 
Kontrolli, et arvuti näitab lisatud ketast (juurkasutaja õigustes!)
fdisk -l
Uus ketas peaks tekkima /dev/sdb või sdc-na. 
Kui partitsioonitabel on katki peaks tulema ka teade "Disk /dev/sdb doesn't contain a valid partition table"

== dd abil kirjutati esimesed 512 baiti üle ==
*loe läbi eelnev peatükk
*testdisk abil taastada partitsioonitabel vt järgmine peatükk
*taastada GRUB alglaadur kas käsitsi töötava ketta pealt kopeerides või 'grub-install' käsu abil:

1) UNIX / Linux: Copy Master Boot Record (MBR) <ref name="mbr">http://www.cyberciti.biz/faq/howto-copy-mbr/</ref> - ei tööta?!
kopeerime bootstrapi töötavalt kettalt faili
dd if=/dev/sda of=/tmp/mbrsda.bak bs=512 count=1
kopeerime töötava ketta bootstrap osa katkisele kettale
dd if=/tmp/mbrsda.bak of=/dev/sdb bs=446 count=1

2) Ühenda ketas mnt kausta <ref name="grub2">http://www.howtogeek.com/114884/how-to-repair-grub2-when-ubuntu-wont-boot/</ref>
mount /dev/sdb1 /mnt
Installi grubi bootloader
grub-install --boot-directory=/mnt/boot /dev/sdb
ühenda ketas lahti tagasi
umount /dev/sdb1

==Praktikal olev tudeng rikkus ära kõvaketta kettajagude tabeli. Taastage süsteem==
How to recover partitions and data using Linux - Tutorial<ref name="dedo">http://www.dedoimedo.com/computers/linux-data-recovery.html</ref>

Tiri testdisk<ref name="testdisk">http://www.cgsecurity.org/wiki/TestDisk</ref>
apt-get install testdisk
Käivita testdisk
testdisk
Loo uus logifail [Create] 
Vali kettaseade, mida parandada (/dev/sdb) 
Vali partitsioonitabeli tüüp [Intel/PC] 
Vali [Analyse] 
[Quick Search] 
Arvatavasti pole tegu Vista või uuema all tehtud partitsiooniga, seega vasta 'N' 
[[image:testdisk1.png|none|631x562px]]
Viimases reas näitab leitud partitsiooni infot
Vajuta Enter ja siis Write
fdisk -l
peaks nüüd näitama taastatud partitsiooni. 
Et ilma taaskäivituseta parandatud kettale ligi pääseda, siis tuleb fdisk abil partitsiooniinfo kettale sünkroniseerida.
fdisk /dev/sdb
w

==Praktikal olev tudeng kustustas ühelt kettalt palju pilte ja kettajagude tabeli. Taastage pildid.==
Paigalda photorec <ref name="photorec">http://www.cgsecurity.org/wiki/PhotoRec</ref> (testdisk paketis)
apt-get install testdisk
Käivita photorec
photorec
Vali õige kettaseade (/dev/sdb) [Proceed] 
[Search] 
Vali 'unknown' partitsioon 
Vali failisüsteemi tüüp [ext2/ext3] 
Vali kaust kuhu salvestatakse taastatud failid ja vajuta [C] 
Taastatud failid asuvad valitud kaustas alamkaustas [recup_dir.1] vms.

==Praktikal olev tudeng "konfigureeris" ehk saboteeris teie labor 2 teenuse ära - Tehke korda ja selgitage, mida ta valesti tegi.==
Personaalne..

==Kasutatud materjal==
<references/>

Suricata

2014-01-16T11:36:36Z

Maleppik: /* Kokkuvõte */

Autorid: Martin Leppik ja Randel Raidmets

Rühm: A31

Kuupäev: 12.12.2013

= Eesmärk =

Linuxi administreerimise aine raames paigaldada vastavale Ubuntu serverile sissetungimise avastamise süsteem nimega Suricata. Pärast paigaldust konfigureerida peamised sätted ja reeglid ning viimasena testida süsteemi toimimist.

= Eeldused =

*Baasteadmised Linuxist.
*Oskus hakkama saada käsureaga.
*Algteadmised võrgundusest (Cisco CCNA1).

= Mis on Suricata? =

Suricata on suure jõudlusega võrgu sissetungimise, ennetamise ja turvalisuse monitoorimise mootor. See on avatud lähtekoodiga ja omanikuks on kommuun, mida juhib mittetulunduslik sihtasutus "the Open Information Security Foundation" ehk OISF. <ref>Suricata kirjeldus, http://suricata-ids.org/</ref> Suricata mootor pole ainult mõeldud selleks, et vahetada välja või emuleerida olemasolevaid tööriistu, vaid tuua uusi ideid ja tehnoloogiaid maastikule. Suricata mootor ja HTP teek on saadaval GPLv2 alusel. <ref>Suricata tutvustus OISF-i kodulehel, https://redmine.openinfosecfoundation.org/projects/suricata/wiki/What_is_Suricata</ref>

== Suricata eelised Snordi ees <ref> Miks kasutada Suricatat?,https://alienvault.bloomfire.com/posts/525383-when-should-i-use-suricata/public</ref> ==

Suricata on alternatiivne variant Snordile, mille reeglid ühilduvad ka Suricataga, mille tõttu võib väikse vaevaga Snordi Suricata vastu välja vahetada.

Mõned Suricata eelised:
*Suurem jõudlus (Suricata kasutab mitmelõimelist, kuid Snort ühelõimelilt töötlemist)
*Parem liikluse nähtavus (Suricatal on nähtavus rakenduskihis (OSI 7. kiht), mis suurendab pahatahtliku sisu avastamist)
*Kiirem normaliseerimine ja parsimine HTTP voogude jaoks.
*Automatiseeritud protokolli tuvastus (Vähendab valepositiivseid tulemusi ja avastamme protokolle, mis töötavad mittestandardsetel portidel)
*Suricatat paigaldatakse ka komertstoodete sisse.
*Ainus lahendus, mis töötab otse riistavara peal, mille tõttu on olemas ka spetsiaalseid riistavarilisi lahendusi Suricata jaoks.

= Süsteemi üldkirjeldus =
Suricatat on võimalik konfigureerida nii IDS-ks kui ka IPS-ks.

*'''IDS ehk "Intrusion Detection System"'''

IDS süsteemid jälgivad võrguliiklust ja käituvad vastavalt seadistatud reeglistikule. IDS jälgib paketi tasemel liiklust IDS süsteem on tavaliselt ühendatud "switchiga" ehk kommutaatoriga. Näiteks on võimalik defineerida, et ICMP pakketide liikumisest logitakse. Samuti on võimalik määrata, et logitakse näiteks SSH-ga valesti sisestatud kasutajanime ja parooli.

*'''IPS ehk "Intrusion Prevention System"'''

IPS süsteemid jälgivad võrku sissetulevat ja väljaminevat liiklust. Vastavalt konfigureeritud reeglistikule IPS süsteemid, kas lasevad paketid läbi või takistavad nende liikumist. IPS jälgib paketi tasemel liiklust. IPS süsteemid paigaldatakse tavaliselt, kas enne tulemüüri või peal tulemüüri sisevõrku.

Suricata IPS'is kasutatavad tegevused ja nende järjekord:<ref>Suricata Action-order, https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricatayaml#Action-order</ref>

*'''PASS(luba)''' kui Suricata leiab kirjeldatud lubatud reeglite hulgast signatuuri ja see vastab paketile, siis saadetakse antud pakett edasi.

*'''DROP(eemalda/lõpeta)''' kui Suricata leiab kirjeldatud reeglite hulgast keelava signatuuri ning see vastab paketile, siis antud pakett tühistatakse. Saatjale selle kohast infot ei saadeta, saatja saab TCP time-out teate. Samuti raporteeritakse paketi eemaldamisest.

*'''REJECT(lükka tagasi)''' kui Suricata leiab kirjeldatud reeglite hulgast keelava signatuuri ning see vastab paketile ja kasutusel on "reject" käsk, siis tühistatakse pakett. Nii saatja kui saaja saavad "reject" teate.

*'''Alert(lükka tagasi)''' kui Suricata leiab kirjeldatud reeglite hulgast signatuuri, mis vastab antud paketile, siis genereeritakse teade ja liiklus lubatakse.

== IDS/IPS esitus graafilisel kujul ==

IPS kasutamise võimalused võrgu ehituses (Joonis 1. ja Joonis2):

[[File:Diagram1.jpeg]]

Joonis 1.

[[File:Diagram2.jpeg]]

Joonis 2.

IDS kasutamise võimalused võrgu ehituses (Joonis3):

[[File:Diagram3.jpeg]]

Joonis 3.

= Nõuded =

Nii server kui ka klient töötavad meie lahenduse puhul Oracle'i [https://www.virtualbox.org/wiki/Downloads Virtualboxi] peal.

Kasutame näidetes Ubuntu serverit ja Ubuntu klienti (sobiv klient valida ise - Ubuntu, Lubuntu, Xubuntu, Kubuntu).

Toetatud on sellised Ubuntu 32bit ja 64bit versioonid <ref>Toetatud ubuntu versioonide nimekiri, https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Ubuntu_Installation_-_Personal_Package_Archives_%28PPA%29</ref>:

*10.04 Lucid
*12.04 Precise
*12.10 Quantal
*13.04 Raring
*13.10 Saucy

Lisaks on soovitav kasutada "Guest Additione"-it.

''' Ubuntu Server '''

*RAM 512MB
*HDD dynamicly allocated 8GB
*2 Võrgukaarti NIC1 - NAT (eth0 - Ubuntus) ja NIC2 - HostOnly (eth1 - Ubuntus)
*Liidese eth1 lisada staatiline ip aadress - 192.168.56.xxx
*OpenSSH serveri olemasolu

Kasutasime eelnevalt seadistatud [http://elab.itcollege.ee:8000/infra_server.ova serverit], mis on pärit IT infrastruktuuri teenuste ainest, mida muutsime (sellest lähemalt eelseadistuse osas).
Kasutajanimi ja parool on student.

''' Klient '''

*RAM vastavalt graafilise keskkonna nõuetele. Soovitav 512 - 1024MB
*HDD dynamicly allocated 8GB
*2 Võrgukaarti NIC1 - NAT (eth0 - Ubuntus) ja NIC2 - HostOnly (eth1 - Ubuntus)

Kasutasime eelnevalt seadistatud [http://elab.itcollege.ee:8000/infra_klient.ova klienti]. Kasutajanimi ja parool on student.

= Eelseadistus(kasutades eelpaigaldatud serverit) =

Kõik käsud käivitame serveris juurkasutaja õigustes.

Juurkasutajale üleminek:
<source lang="bash">
sudo -i
</source>

1.Muudame ära hostname'i nimeks "suricata".
<source lang="bash">
nano /etc/hostname
</source>

2.Muudame liidese eth1 IP aadressi selliseks 192.168.56.201.
<source lang="bash">
nano /etc/network/interfaces
</source>

Liidese eth1 näidis:
<source lang="bash">
auto eth1
iface eth1 inet static
address 192.168.56.201
netmask 255.255.255.0
</source>

3. Kirjeldame faili /etc/hosts sisu
<source lang="bash">
nano /etc/hosts
</source>

Faili /etc/hosts faili näidis:
<source lang="bash">
127.0.0.1 localhost
127.0.1.1 suricata.planet.zz suricata
192.168.56.201 suricata.planet.zz suricata
192.168.56.200 puppetmaster.planet.zz puppetmaster
192.168.56.101 klient.planet.zz klient
</source>

4. Uuendame ära tarkvara nimekirja info
<source lang="bash">
apt-get update
</source>

5. Uuendame ära tarkvara
<source lang="bash">
apt-get upgrade
</source>

= Paigaldus Ubuntu serveris (võimaldab kasutada nii IDS kui IPS funktsioone) <ref> Suricata paigaldus Ubuntus, https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Ubuntu_Installation_from_GIT</ref> =

Kõik käsud käivitame serveris juurkasutaja õigustes.

1. Kõigepealt paigaldame paki nimega "python-software-properties", kuna selle sees asub programm "add-apt-repository", mida kasutame järgmisena.
<source lang="bash">
apt-get install python-software-properties
</source>

2. Viimase stabiilse Suricata versiooni jaoks käivita vastavad käsud:
<source lang="bash">
add-apt-repository ppa:oisf/suricata-stable
apt-get update
</source>

3. Järgmisena paigalda Suricata
<source lang="bash">
apt-get install suricata
</source>

== Uuendamine ja eemaldamine ==

1. Suricata uuendamiseks käsud
<source lang="bash">
apt-get update
apt-get upgrade
</source>

2. Eemaldamiseks käsk
<source lang="bash">
apt-get remove suricata
</source>

= Esmane seadistamine =

Need käsud käivita serveris juurkasutajaõigustes.

1. Loome kausta Suricata logide jaoks.
<source lang="bash">
mkdir /var/log/suricata
</source>

2. Avame faili /etc/suricata/suricata.yaml
<source lang="bash">
nano /etc/suricata/suricata.yaml
</source>

3. Kirjeldame, millised operatsioonisüsteemid on meie võrgus seal, kus hakkab rida "host-os-policy" ja nimetame nende ip aadressid. <ref>Yamli Host-os-policy informatsioon, https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricatayaml#Host-os-policy</ref>
<source lang="bash">
host-os-policy:
# Make the default policy windows.
windows: []
bsd: []
bsd-right: []
old-linux: []
linux: [192.168.56.200, 192.168.56.201, 192.168.56.101, 127.0.0.1]
old-solaris: []
solaris: []
hpux10: []
hpux11: []
irix: []
macos: []
vista: []
</source>

4. Kirjeldame koduvõrgu ip aadressi vahemiku kohas, mis algab reaga "address-groups:" <ref>Yamli address-groups lahtiseletus, https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricatayaml#Rule-vars</ref>

<source lang="bash">
address-groups:

HOME_NET: "[192.168.56.0/24]"

EXTERNAL_NET: "!$HOME_NET"
</source>

== Kiire testimine <ref>Suricata testimine ühe reegli abil, http://www.linux.org/threads/suricata-the-snort-replacer-part-2-configure-test.4348/</ref> ==

Need käsud käivita serveris juurkasutaja õigustes.

1. Loome faili test.rules kausta /etc/suricata/rules/
<source lang="bash">
touch /etc/suricata/rules/test.rules
</source>

2. Kirjutama test.rules faili testimise jaoks ühe reegli.
<source lang="bash">
alert ip any any -> any any (msg:"ICMP detected"; sid:2; rev:1;)
</source>

3. Avame uuesti faili /etc/suricata/suricata.yaml, kus lähme asukohta, mis hakkab reaga "rule_files:" ja kommenteerime kõik reeglid välja ja kirjeldame seal oma reegli nimega "test.rules".
<source lang="bash">
rule-files:
- test.rules
# - botcc.rules
# - ciarmy.rules
# - compromised.rules
# - drop.rules
# - dshield.rules
# - emerging-activex.rules
# - emerging-attack_response.rules
# - emerging-chat.rules
# - emerging-current_events.rules
# - emerging-dns.rules
# - emerging-dos.rules
# - emerging-exploit.rules
# - emerging-ftp.rules
...
</source>

4. Paneme suricata monitoorima eth1 liidese peal.
<source lang="bash">
suricata -c /etc/suricata/suricata.yaml -i eth1
</source>

5. Teeme oma kliendi masina pealt pingi Suricata serveri pihta.
<source lang="bash">
ping 192.168.56.201
</source>

6. Laseme tunde järgi pingida ja seejärel paneme monitoorimise kinni ning vaatame logi.
<source lang="bash">
less /var/log/suricata/fast.log
</source>

7. Logi sisu peaks olema umbes selline:
<source lang="bash">
01/15/2014-00:08:59.409903 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.101:8 -> 192.168.56.201:0
01/15/2014-00:08:59.409937 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.201:0 -> 192.168.56.101:0
01/15/2014-00:09:00.410130 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.101:8 -> 192.168.56.201:0
01/15/2014-00:09:00.410171 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.201:0 -> 192.168.56.101:0
</source>

8. Edasi saab logi puhul kasutada mõnda sündmuste korreleerimise töörista nagu näiteks SEC, mille kohta saab lugeda siit: http://simple-evcorr.sourceforge.net/SEC-tutorial/article.html või uurida EIK enda wikist teemat [https://wiki.itcollege.ee/index.php/Keskne_logihaldus_Rsyslog_ja_SEC_n%C3%A4itel Keskne logihaldus Rsyslog ja SEC näitel].

=Kokkuvõte=

Kui aus olla, siis alguses päris täpselt ei teadnudki, mida Suricata endast kujutab, kuid pärast wiki artikli kirjutamist on juba mingi ettekujutas, mida antud süsteem teeb. Suricata paigaldamise ja konfigureerimise käigus avastasime, et on olemas mitu erinevat varianti, kuidas antud süteemi paigaldada. Meie õnneks saime teada, et kõige uuema versiooniga on meie eest pool tööd tehtud ning me ei pidanudki käsitsi kopeerima erinevaid konfiguratsiooni faile. Kokkuvõttes on Suricata väga võimas ja paljude võimalustega tööriist, mille täielikuks arusaamiseks peaks seda proovima testida reaalsetes olukordades.

= Kasulikud materjalid =

*http://www.linux.org/threads/suricata-the-snort-replacer-part-1-intro-install.4346/
*http://www.linux.org/threads/suricata-the-snort-replacer-part-2-configure-test.4348/
*http://www.linux.org/threads/suricata-the-snort-replacer-part-3-rules.4363/
*http://suricata-ids.org/
*https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricata_Installation
*https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Basic_Setup

[[Category: Linuxi administreerimine]]

= Viited =

<references />

Suricata

2014-01-16T11:34:42Z

Maleppik: /* Kokkuvõte */

Autorid: Martin Leppik ja Randel Raidmets

Rühm: A31

Kuupäev: 12.12.2013

= Eesmärk =

Linuxi administreerimise aine raames paigaldada vastavale Ubuntu serverile sissetungimise avastamise süsteem nimega Suricata. Pärast paigaldust konfigureerida peamised sätted ja reeglid ning viimasena testida süsteemi toimimist.

= Eeldused =

*Baasteadmised Linuxist.
*Oskus hakkama saada käsureaga.
*Algteadmised võrgundusest (Cisco CCNA1).

= Mis on Suricata? =

Suricata on suure jõudlusega võrgu sissetungimise, ennetamise ja turvalisuse monitoorimise mootor. See on avatud lähtekoodiga ja omanikuks on kommuun, mida juhib mittetulunduslik sihtasutus "the Open Information Security Foundation" ehk OISF. <ref>Suricata kirjeldus, http://suricata-ids.org/</ref> Suricata mootor pole ainult mõeldud selleks, et vahetada välja või emuleerida olemasolevaid tööriistu, vaid tuua uusi ideid ja tehnoloogiaid maastikule. Suricata mootor ja HTP teek on saadaval GPLv2 alusel. <ref>Suricata tutvustus OISF-i kodulehel, https://redmine.openinfosecfoundation.org/projects/suricata/wiki/What_is_Suricata</ref>

== Suricata eelised Snordi ees <ref> Miks kasutada Suricatat?,https://alienvault.bloomfire.com/posts/525383-when-should-i-use-suricata/public</ref> ==

Suricata on alternatiivne variant Snordile, mille reeglid ühilduvad ka Suricataga, mille tõttu võib väikse vaevaga Snordi Suricata vastu välja vahetada.

Mõned Suricata eelised:
*Suurem jõudlus (Suricata kasutab mitmelõimelist, kuid Snort ühelõimelilt töötlemist)
*Parem liikluse nähtavus (Suricatal on nähtavus rakenduskihis (OSI 7. kiht), mis suurendab pahatahtliku sisu avastamist)
*Kiirem normaliseerimine ja parsimine HTTP voogude jaoks.
*Automatiseeritud protokolli tuvastus (Vähendab valepositiivseid tulemusi ja avastamme protokolle, mis töötavad mittestandardsetel portidel)
*Suricatat paigaldatakse ka komertstoodete sisse.
*Ainus lahendus, mis töötab otse riistavara peal, mille tõttu on olemas ka spetsiaalseid riistavarilisi lahendusi Suricata jaoks.

= Süsteemi üldkirjeldus =
Suricatat on võimalik konfigureerida nii IDS-ks kui ka IPS-ks.

*'''IDS ehk "Intrusion Detection System"'''

IDS süsteemid jälgivad võrguliiklust ja käituvad vastavalt seadistatud reeglistikule. IDS jälgib paketi tasemel liiklust IDS süsteem on tavaliselt ühendatud "switchiga" ehk kommutaatoriga. Näiteks on võimalik defineerida, et ICMP pakketide liikumisest logitakse. Samuti on võimalik määrata, et logitakse näiteks SSH-ga valesti sisestatud kasutajanime ja parooli.

*'''IPS ehk "Intrusion Prevention System"'''

IPS süsteemid jälgivad võrku sissetulevat ja väljaminevat liiklust. Vastavalt konfigureeritud reeglistikule IPS süsteemid, kas lasevad paketid läbi või takistavad nende liikumist. IPS jälgib paketi tasemel liiklust. IPS süsteemid paigaldatakse tavaliselt, kas enne tulemüüri või peal tulemüüri sisevõrku.

Suricata IPS'is kasutatavad tegevused:

*'''PASS(luba)''' kui Suricata leiab kirjeldatud lubatud reeglite hulgast signatuuri ja see vastab paketile, siis saadetakse antud pakett edasi.

*'''DROP(eemalda/lõpeta)''' kui Suricata leiab kirjeldatud reeglite hulgast keelava signatuuri ning see vastab paketile, siis antud pakett tühistatakse. Saatjale selle kohast infot ei saadeta, saatja saab TCP time-out teate. Samuti raporteeritakse paketi eemaldamisest.

*'''REJECT(lükka tagasi)''' kui Suricata leiab kirjeldatud reeglite hulgast keelava signatuuri ning see vastab paketile ja kasutusel on "reject" käsk, siis tühistatakse pakett. Nii saatja kui saaja saavad "reject" teate.

*'''Alert(lükka tagasi)''' kui Suricata leiab kirjeldatud reeglite hulgast signatuuri, mis vastab antud paketile, siis genereeritakse teade ja liiklus lubatakse.

== IDS/IPS esitus graafilisel kujul ==

IPS kasutamise võimalused võrgu ehituses (Joonis 1. ja Joonis2):

[[File:Diagram1.jpeg]]

Joonis 1.

[[File:Diagram2.jpeg]]

Joonis 2.

IDS kasutamise võimalused võrgu ehituses (Joonis3):

[[File:Diagram3.jpeg]]

Joonis 3.

= Nõuded =

Nii server kui ka klient töötavad meie lahenduse puhul Oracle'i [https://www.virtualbox.org/wiki/Downloads Virtualboxi] peal.

Kasutame näidetes Ubuntu serverit ja Ubuntu klienti (sobiv klient valida ise - Ubuntu, Lubuntu, Xubuntu, Kubuntu).

Toetatud on sellised Ubuntu 32bit ja 64bit versioonid <ref>Toetatud ubuntu versioonide nimekiri, https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Ubuntu_Installation_-_Personal_Package_Archives_%28PPA%29</ref>:

*10.04 Lucid
*12.04 Precise
*12.10 Quantal
*13.04 Raring
*13.10 Saucy

Lisaks on soovitav kasutada "Guest Additione"-it.

''' Ubuntu Server '''

*RAM 512MB
*HDD dynamicly allocated 8GB
*2 Võrgukaarti NIC1 - NAT (eth0 - Ubuntus) ja NIC2 - HostOnly (eth1 - Ubuntus)
*Liidese eth1 lisada staatiline ip aadress - 192.168.56.xxx
*OpenSSH serveri olemasolu

Kasutasime eelnevalt seadistatud [http://elab.itcollege.ee:8000/infra_server.ova serverit], mis on pärit IT infrastruktuuri teenuste ainest, mida muutsime (sellest lähemalt eelseadistuse osas).
Kasutajanimi ja parool on student.

''' Klient '''

*RAM vastavalt graafilise keskkonna nõuetele. Soovitav 512 - 1024MB
*HDD dynamicly allocated 8GB
*2 Võrgukaarti NIC1 - NAT (eth0 - Ubuntus) ja NIC2 - HostOnly (eth1 - Ubuntus)

Kasutasime eelnevalt seadistatud [http://elab.itcollege.ee:8000/infra_klient.ova klienti]. Kasutajanimi ja parool on student.

= Eelseadistus(kasutades eelpaigaldatud serverit) =

Kõik käsud käivitame serveris juurkasutaja õigustes.

Juurkasutajale üleminek:
<source lang="bash">
sudo -i
</source>

1.Muudame ära hostname'i nimeks "suricata".
<source lang="bash">
nano /etc/hostname
</source>

2.Muudame liidese eth1 IP aadressi selliseks 192.168.56.201.
<source lang="bash">
nano /etc/network/interfaces
</source>

Liidese eth1 näidis:
<source lang="bash">
auto eth1
iface eth1 inet static
address 192.168.56.201
netmask 255.255.255.0
</source>

3. Kirjeldame faili /etc/hosts sisu
<source lang="bash">
nano /etc/hosts
</source>

Faili /etc/hosts faili näidis:
<source lang="bash">
127.0.0.1 localhost
127.0.1.1 suricata.planet.zz suricata
192.168.56.201 suricata.planet.zz suricata
192.168.56.200 puppetmaster.planet.zz puppetmaster
192.168.56.101 klient.planet.zz klient
</source>

4. Uuendame ära tarkvara nimekirja info
<source lang="bash">
apt-get update
</source>

5. Uuendame ära tarkvara
<source lang="bash">
apt-get upgrade
</source>

= Paigaldus Ubuntu serveris (võimaldab kasutada nii IDS kui IPS funktsioone) <ref> Suricata paigaldus Ubuntus, https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Ubuntu_Installation_from_GIT</ref> =

Kõik käsud käivitame serveris juurkasutaja õigustes.

1. Kõigepealt paigaldame paki nimega "python-software-properties", kuna selle sees asub programm "add-apt-repository", mida kasutame järgmisena.
<source lang="bash">
apt-get install python-software-properties
</source>

2. Viimase stabiilse Suricata versiooni jaoks käivita vastavad käsud:
<source lang="bash">
add-apt-repository ppa:oisf/suricata-stable
apt-get update
</source>

3. Järgmisena paigalda Suricata
<source lang="bash">
apt-get install suricata
</source>

== Uuendamine ja eemaldamine ==

1. Suricata uuendamiseks käsud
<source lang="bash">
apt-get update
apt-get upgrade
</source>

2. Eemaldamiseks käsk
<source lang="bash">
apt-get remove suricata
</source>

= Esmane seadistamine =

Need käsud käivita serveris juurkasutajaõigustes.

1. Loome kausta Suricata logide jaoks.
<source lang="bash">
mkdir /var/log/suricata
</source>

2. Avame faili /etc/suricata/suricata.yaml
<source lang="bash">
nano /etc/suricata/suricata.yaml
</source>

3. Kirjeldame, millised operatsioonisüsteemid on meie võrgus seal, kus hakkab rida "host-os-policy" ja nimetame nende ip aadressid. <ref>Yamli Host-os-policy informatsioon, https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricatayaml#Host-os-policy</ref>
<source lang="bash">
host-os-policy:
# Make the default policy windows.
windows: []
bsd: []
bsd-right: []
old-linux: []
linux: [192.168.56.200, 192.168.56.201, 192.168.56.101, 127.0.0.1]
old-solaris: []
solaris: []
hpux10: []
hpux11: []
irix: []
macos: []
vista: []
</source>

4. Kirjeldame koduvõrgu ip aadressi vahemiku kohas, mis algab reaga "address-groups:" <ref>Yamli address-groups lahtiseletus, https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricatayaml#Rule-vars</ref>

<source lang="bash">
address-groups:

HOME_NET: "[192.168.56.0/24]"

EXTERNAL_NET: "!$HOME_NET"
</source>

== Kiire testimine <ref>Suricata testimine ühe reegli abil, http://www.linux.org/threads/suricata-the-snort-replacer-part-2-configure-test.4348/</ref> ==

Need käsud käivita serveris juurkasutaja õigustes.

1. Loome faili test.rules kausta /etc/suricata/rules/
<source lang="bash">
touch /etc/suricata/rules/test.rules
</source>

2. Kirjutama test.rules faili testimise jaoks ühe reegli.
<source lang="bash">
alert ip any any -> any any (msg:"ICMP detected"; sid:2; rev:1;)
</source>

3. Avame uuesti faili /etc/suricata/suricata.yaml, kus lähme asukohta, mis hakkab reaga "rule_files:" ja kommenteerime kõik reeglid välja ja kirjeldame seal oma reegli nimega "test.rules".
<source lang="bash">
rule-files:
- test.rules
# - botcc.rules
# - ciarmy.rules
# - compromised.rules
# - drop.rules
# - dshield.rules
# - emerging-activex.rules
# - emerging-attack_response.rules
# - emerging-chat.rules
# - emerging-current_events.rules
# - emerging-dns.rules
# - emerging-dos.rules
# - emerging-exploit.rules
# - emerging-ftp.rules
...
</source>

4. Paneme suricata monitoorima eth1 liidese peal.
<source lang="bash">
suricata -c /etc/suricata/suricata.yaml -i eth1
</source>

5. Teeme oma kliendi masina pealt pingi Suricata serveri pihta.
<source lang="bash">
ping 192.168.56.201
</source>

6. Laseme tunde järgi pingida ja seejärel paneme monitoorimise kinni ning vaatame logi.
<source lang="bash">
less /var/log/suricata/fast.log
</source>

7. Logi sisu peaks olema umbes selline:
<source lang="bash">
01/15/2014-00:08:59.409903 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.101:8 -> 192.168.56.201:0
01/15/2014-00:08:59.409937 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.201:0 -> 192.168.56.101:0
01/15/2014-00:09:00.410130 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.101:8 -> 192.168.56.201:0
01/15/2014-00:09:00.410171 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.201:0 -> 192.168.56.101:0
</source>

8. Edasi saab logi puhul kasutada mõnda sündmuste korreleerimise töörista nagu näiteks SEC, mille kohta saab lugeda siit: http://simple-evcorr.sourceforge.net/SEC-tutorial/article.html või uurida EIK enda wikist teemat [https://wiki.itcollege.ee/index.php/Keskne_logihaldus_Rsyslog_ja_SEC_n%C3%A4itel Keskne logihaldus Rsyslog ja SEC näitel].

=Kokkuvõte=

Kui aus olla, siis alguses päris täpselt ei teadnudki, mis Suricata endast kujutab, kuid pärast wiki artikli kirjutamist on juba mingi ettekujutas, mida antud süsteem teeb. Suricata paigaldamise ja konfigureerimise käigus avastasime, et on olemas mitu erinevat varianti, kuidas antud süteemi paigaldada. Meie õnneks saime teada, et kõige uuema versiooniga on meie eest pool tööd tehtud ning me ei pidanudki käsitsi kopeerima erinevaid konfiguratsiooni faile. Kokkuvõttes on Suricata väga võimas ja paljude võimalustega tööriist, mille täielikuks arusaamiseks peaks seda proovima testida reaalsetes olukordades.

= Kasulikud materjalid =

*http://www.linux.org/threads/suricata-the-snort-replacer-part-1-intro-install.4346/
*http://www.linux.org/threads/suricata-the-snort-replacer-part-2-configure-test.4348/
*http://www.linux.org/threads/suricata-the-snort-replacer-part-3-rules.4363/
*http://suricata-ids.org/
*https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricata_Installation
*https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Basic_Setup

[[Category: Linuxi administreerimine]]

= Viited =

<references />

Suricata

2014-01-16T11:34:25Z

Maleppik: /* Kokkuvõte */

Autorid: Martin Leppik ja Randel Raidmets

Rühm: A31

Kuupäev: 12.12.2013

= Eesmärk =

Linuxi administreerimise aine raames paigaldada vastavale Ubuntu serverile sissetungimise avastamise süsteem nimega Suricata. Pärast paigaldust konfigureerida peamised sätted ja reeglid ning viimasena testida süsteemi toimimist.

= Eeldused =

*Baasteadmised Linuxist.
*Oskus hakkama saada käsureaga.
*Algteadmised võrgundusest (Cisco CCNA1).

= Mis on Suricata? =

Suricata on suure jõudlusega võrgu sissetungimise, ennetamise ja turvalisuse monitoorimise mootor. See on avatud lähtekoodiga ja omanikuks on kommuun, mida juhib mittetulunduslik sihtasutus "the Open Information Security Foundation" ehk OISF. <ref>Suricata kirjeldus, http://suricata-ids.org/</ref> Suricata mootor pole ainult mõeldud selleks, et vahetada välja või emuleerida olemasolevaid tööriistu, vaid tuua uusi ideid ja tehnoloogiaid maastikule. Suricata mootor ja HTP teek on saadaval GPLv2 alusel. <ref>Suricata tutvustus OISF-i kodulehel, https://redmine.openinfosecfoundation.org/projects/suricata/wiki/What_is_Suricata</ref>

== Suricata eelised Snordi ees <ref> Miks kasutada Suricatat?,https://alienvault.bloomfire.com/posts/525383-when-should-i-use-suricata/public</ref> ==

Suricata on alternatiivne variant Snordile, mille reeglid ühilduvad ka Suricataga, mille tõttu võib väikse vaevaga Snordi Suricata vastu välja vahetada.

Mõned Suricata eelised:
*Suurem jõudlus (Suricata kasutab mitmelõimelist, kuid Snort ühelõimelilt töötlemist)
*Parem liikluse nähtavus (Suricatal on nähtavus rakenduskihis (OSI 7. kiht), mis suurendab pahatahtliku sisu avastamist)
*Kiirem normaliseerimine ja parsimine HTTP voogude jaoks.
*Automatiseeritud protokolli tuvastus (Vähendab valepositiivseid tulemusi ja avastamme protokolle, mis töötavad mittestandardsetel portidel)
*Suricatat paigaldatakse ka komertstoodete sisse.
*Ainus lahendus, mis töötab otse riistavara peal, mille tõttu on olemas ka spetsiaalseid riistavarilisi lahendusi Suricata jaoks.

= Süsteemi üldkirjeldus =
Suricatat on võimalik konfigureerida nii IDS-ks kui ka IPS-ks.

*'''IDS ehk "Intrusion Detection System"'''

IDS süsteemid jälgivad võrguliiklust ja käituvad vastavalt seadistatud reeglistikule. IDS jälgib paketi tasemel liiklust IDS süsteem on tavaliselt ühendatud "switchiga" ehk kommutaatoriga. Näiteks on võimalik defineerida, et ICMP pakketide liikumisest logitakse. Samuti on võimalik määrata, et logitakse näiteks SSH-ga valesti sisestatud kasutajanime ja parooli.

*'''IPS ehk "Intrusion Prevention System"'''

IPS süsteemid jälgivad võrku sissetulevat ja väljaminevat liiklust. Vastavalt konfigureeritud reeglistikule IPS süsteemid, kas lasevad paketid läbi või takistavad nende liikumist. IPS jälgib paketi tasemel liiklust. IPS süsteemid paigaldatakse tavaliselt, kas enne tulemüüri või peal tulemüüri sisevõrku.

Suricata IPS'is kasutatavad tegevused:

*'''PASS(luba)''' kui Suricata leiab kirjeldatud lubatud reeglite hulgast signatuuri ja see vastab paketile, siis saadetakse antud pakett edasi.

*'''DROP(eemalda/lõpeta)''' kui Suricata leiab kirjeldatud reeglite hulgast keelava signatuuri ning see vastab paketile, siis antud pakett tühistatakse. Saatjale selle kohast infot ei saadeta, saatja saab TCP time-out teate. Samuti raporteeritakse paketi eemaldamisest.

*'''REJECT(lükka tagasi)''' kui Suricata leiab kirjeldatud reeglite hulgast keelava signatuuri ning see vastab paketile ja kasutusel on "reject" käsk, siis tühistatakse pakett. Nii saatja kui saaja saavad "reject" teate.

*'''Alert(lükka tagasi)''' kui Suricata leiab kirjeldatud reeglite hulgast signatuuri, mis vastab antud paketile, siis genereeritakse teade ja liiklus lubatakse.

== IDS/IPS esitus graafilisel kujul ==

IPS kasutamise võimalused võrgu ehituses (Joonis 1. ja Joonis2):

[[File:Diagram1.jpeg]]

Joonis 1.

[[File:Diagram2.jpeg]]

Joonis 2.

IDS kasutamise võimalused võrgu ehituses (Joonis3):

[[File:Diagram3.jpeg]]

Joonis 3.

= Nõuded =

Nii server kui ka klient töötavad meie lahenduse puhul Oracle'i [https://www.virtualbox.org/wiki/Downloads Virtualboxi] peal.

Kasutame näidetes Ubuntu serverit ja Ubuntu klienti (sobiv klient valida ise - Ubuntu, Lubuntu, Xubuntu, Kubuntu).

Toetatud on sellised Ubuntu 32bit ja 64bit versioonid <ref>Toetatud ubuntu versioonide nimekiri, https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Ubuntu_Installation_-_Personal_Package_Archives_%28PPA%29</ref>:

*10.04 Lucid
*12.04 Precise
*12.10 Quantal
*13.04 Raring
*13.10 Saucy

Lisaks on soovitav kasutada "Guest Additione"-it.

''' Ubuntu Server '''

*RAM 512MB
*HDD dynamicly allocated 8GB
*2 Võrgukaarti NIC1 - NAT (eth0 - Ubuntus) ja NIC2 - HostOnly (eth1 - Ubuntus)
*Liidese eth1 lisada staatiline ip aadress - 192.168.56.xxx
*OpenSSH serveri olemasolu

Kasutasime eelnevalt seadistatud [http://elab.itcollege.ee:8000/infra_server.ova serverit], mis on pärit IT infrastruktuuri teenuste ainest, mida muutsime (sellest lähemalt eelseadistuse osas).
Kasutajanimi ja parool on student.

''' Klient '''

*RAM vastavalt graafilise keskkonna nõuetele. Soovitav 512 - 1024MB
*HDD dynamicly allocated 8GB
*2 Võrgukaarti NIC1 - NAT (eth0 - Ubuntus) ja NIC2 - HostOnly (eth1 - Ubuntus)

Kasutasime eelnevalt seadistatud [http://elab.itcollege.ee:8000/infra_klient.ova klienti]. Kasutajanimi ja parool on student.

= Eelseadistus(kasutades eelpaigaldatud serverit) =

Kõik käsud käivitame serveris juurkasutaja õigustes.

Juurkasutajale üleminek:
<source lang="bash">
sudo -i
</source>

1.Muudame ära hostname'i nimeks "suricata".
<source lang="bash">
nano /etc/hostname
</source>

2.Muudame liidese eth1 IP aadressi selliseks 192.168.56.201.
<source lang="bash">
nano /etc/network/interfaces
</source>

Liidese eth1 näidis:
<source lang="bash">
auto eth1
iface eth1 inet static
address 192.168.56.201
netmask 255.255.255.0
</source>

3. Kirjeldame faili /etc/hosts sisu
<source lang="bash">
nano /etc/hosts
</source>

Faili /etc/hosts faili näidis:
<source lang="bash">
127.0.0.1 localhost
127.0.1.1 suricata.planet.zz suricata
192.168.56.201 suricata.planet.zz suricata
192.168.56.200 puppetmaster.planet.zz puppetmaster
192.168.56.101 klient.planet.zz klient
</source>

4. Uuendame ära tarkvara nimekirja info
<source lang="bash">
apt-get update
</source>

5. Uuendame ära tarkvara
<source lang="bash">
apt-get upgrade
</source>

= Paigaldus Ubuntu serveris (võimaldab kasutada nii IDS kui IPS funktsioone) <ref> Suricata paigaldus Ubuntus, https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Ubuntu_Installation_from_GIT</ref> =

Kõik käsud käivitame serveris juurkasutaja õigustes.

1. Kõigepealt paigaldame paki nimega "python-software-properties", kuna selle sees asub programm "add-apt-repository", mida kasutame järgmisena.
<source lang="bash">
apt-get install python-software-properties
</source>

2. Viimase stabiilse Suricata versiooni jaoks käivita vastavad käsud:
<source lang="bash">
add-apt-repository ppa:oisf/suricata-stable
apt-get update
</source>

3. Järgmisena paigalda Suricata
<source lang="bash">
apt-get install suricata
</source>

== Uuendamine ja eemaldamine ==

1. Suricata uuendamiseks käsud
<source lang="bash">
apt-get update
apt-get upgrade
</source>

2. Eemaldamiseks käsk
<source lang="bash">
apt-get remove suricata
</source>

= Esmane seadistamine =

Need käsud käivita serveris juurkasutajaõigustes.

1. Loome kausta Suricata logide jaoks.
<source lang="bash">
mkdir /var/log/suricata
</source>

2. Avame faili /etc/suricata/suricata.yaml
<source lang="bash">
nano /etc/suricata/suricata.yaml
</source>

3. Kirjeldame, millised operatsioonisüsteemid on meie võrgus seal, kus hakkab rida "host-os-policy" ja nimetame nende ip aadressid. <ref>Yamli Host-os-policy informatsioon, https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricatayaml#Host-os-policy</ref>
<source lang="bash">
host-os-policy:
# Make the default policy windows.
windows: []
bsd: []
bsd-right: []
old-linux: []
linux: [192.168.56.200, 192.168.56.201, 192.168.56.101, 127.0.0.1]
old-solaris: []
solaris: []
hpux10: []
hpux11: []
irix: []
macos: []
vista: []
</source>

4. Kirjeldame koduvõrgu ip aadressi vahemiku kohas, mis algab reaga "address-groups:" <ref>Yamli address-groups lahtiseletus, https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricatayaml#Rule-vars</ref>

<source lang="bash">
address-groups:

HOME_NET: "[192.168.56.0/24]"

EXTERNAL_NET: "!$HOME_NET"
</source>

== Kiire testimine <ref>Suricata testimine ühe reegli abil, http://www.linux.org/threads/suricata-the-snort-replacer-part-2-configure-test.4348/</ref> ==

Need käsud käivita serveris juurkasutaja õigustes.

1. Loome faili test.rules kausta /etc/suricata/rules/
<source lang="bash">
touch /etc/suricata/rules/test.rules
</source>

2. Kirjutama test.rules faili testimise jaoks ühe reegli.
<source lang="bash">
alert ip any any -> any any (msg:"ICMP detected"; sid:2; rev:1;)
</source>

3. Avame uuesti faili /etc/suricata/suricata.yaml, kus lähme asukohta, mis hakkab reaga "rule_files:" ja kommenteerime kõik reeglid välja ja kirjeldame seal oma reegli nimega "test.rules".
<source lang="bash">
rule-files:
- test.rules
# - botcc.rules
# - ciarmy.rules
# - compromised.rules
# - drop.rules
# - dshield.rules
# - emerging-activex.rules
# - emerging-attack_response.rules
# - emerging-chat.rules
# - emerging-current_events.rules
# - emerging-dns.rules
# - emerging-dos.rules
# - emerging-exploit.rules
# - emerging-ftp.rules
...
</source>

4. Paneme suricata monitoorima eth1 liidese peal.
<source lang="bash">
suricata -c /etc/suricata/suricata.yaml -i eth1
</source>

5. Teeme oma kliendi masina pealt pingi Suricata serveri pihta.
<source lang="bash">
ping 192.168.56.201
</source>

6. Laseme tunde järgi pingida ja seejärel paneme monitoorimise kinni ning vaatame logi.
<source lang="bash">
less /var/log/suricata/fast.log
</source>

7. Logi sisu peaks olema umbes selline:
<source lang="bash">
01/15/2014-00:08:59.409903 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.101:8 -> 192.168.56.201:0
01/15/2014-00:08:59.409937 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.201:0 -> 192.168.56.101:0
01/15/2014-00:09:00.410130 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.101:8 -> 192.168.56.201:0
01/15/2014-00:09:00.410171 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.201:0 -> 192.168.56.101:0
</source>

8. Edasi saab logi puhul kasutada mõnda sündmuste korreleerimise töörista nagu näiteks SEC, mille kohta saab lugeda siit: http://simple-evcorr.sourceforge.net/SEC-tutorial/article.html või uurida EIK enda wikist teemat [https://wiki.itcollege.ee/index.php/Keskne_logihaldus_Rsyslog_ja_SEC_n%C3%A4itel Keskne logihaldus Rsyslog ja SEC näitel].

=Kokkuvõte=

Kui aus olla, siis alguses päris täpselt ei teadnudki, mis Suricata endast kujutab, kuid pärast wiki artikli kirjutamist on juba mingi ettekujutas, mida antud süsteem teeb. Suricata paigaldamise ja konfigureerimise käigus avastasime, et on olemas mitu erinevat varianti, kuidas antud süteemi paigaldada. Meie õnneks saime teada, et kõige uuema versiooniga on meie eest pool tööd tehtud ning me ei pidanudki käsitsi kopeerima erinevaid konfiguratsiooni faile. Kokkuvõttes on Suricata väga võimas ja paljude võimalustega tööriist, mille täielikuks arusaamiseks peaks seda proovima testida reaalsetes olukordades

= Kasulikud materjalid =

*http://www.linux.org/threads/suricata-the-snort-replacer-part-1-intro-install.4346/
*http://www.linux.org/threads/suricata-the-snort-replacer-part-2-configure-test.4348/
*http://www.linux.org/threads/suricata-the-snort-replacer-part-3-rules.4363/
*http://suricata-ids.org/
*https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricata_Installation
*https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Basic_Setup

[[Category: Linuxi administreerimine]]

= Viited =

<references />

Suricata

2014-01-16T11:22:34Z

Maleppik: /* Süsteemi üldkirjeldus */

Autorid: Martin Leppik ja Randel Raidmets

Rühm: A31

Kuupäev: 12.12.2013

= Eesmärk =

Linuxi administreerimise aine raames paigaldada vastavale Ubuntu serverile sissetungimise avastamise süsteem nimega Suricata. Pärast paigaldust konfigureerida peamised sätted ja reeglid ning viimasena testida süsteemi toimimist.

= Eeldused =

*Baasteadmised Linuxist.
*Oskus hakkama saada käsureaga.
*Algteadmised võrgundusest (Cisco CCNA1).

= Mis on Suricata? =

Suricata on suure jõudlusega võrgu sissetungimise, ennetamise ja turvalisuse monitoorimise mootor. See on avatud lähtekoodiga ja omanikuks on kommuun, mida juhib mittetulunduslik sihtasutus "the Open Information Security Foundation" ehk OISF. <ref>Suricata kirjeldus, http://suricata-ids.org/</ref> Suricata mootor pole ainult mõeldud selleks, et vahetada välja või emuleerida olemasolevaid tööriistu, vaid tuua uusi ideid ja tehnoloogiaid maastikule. Suricata mootor ja HTP teek on saadaval GPLv2 alusel. <ref>Suricata tutvustus OISF-i kodulehel, https://redmine.openinfosecfoundation.org/projects/suricata/wiki/What_is_Suricata</ref>

== Suricata eelised Snordi ees <ref> Miks kasutada Suricatat?,https://alienvault.bloomfire.com/posts/525383-when-should-i-use-suricata/public</ref> ==

Suricata on alternatiivne variant Snordile, mille reeglid ühilduvad ka Suricataga, mille tõttu võib väikse vaevaga Snordi Suricata vastu välja vahetada.

Mõned Suricata eelised:
*Suurem jõudlus (Suricata kasutab mitmelõimelist, kuid Snort ühelõimelilt töötlemist)
*Parem liikluse nähtavus (Suricatal on nähtavus rakenduskihis (OSI 7. kiht), mis suurendab pahatahtliku sisu avastamist)
*Kiirem normaliseerimine ja parsimine HTTP voogude jaoks.
*Automatiseeritud protokolli tuvastus (Vähendab valepositiivseid tulemusi ja avastamme protokolle, mis töötavad mittestandardsetel portidel)
*Suricatat paigaldatakse ka komertstoodete sisse.
*Ainus lahendus, mis töötab otse riistavara peal, mille tõttu on olemas ka spetsiaalseid riistavarilisi lahendusi Suricata jaoks.

= Süsteemi üldkirjeldus =
Suricatat on võimalik konfigureerida nii IDS-ks kui ka IPS-ks.

*'''IDS ehk "Intrusion Detection System"'''

IDS süsteemid jälgivad võrguliiklust ja käituvad vastavalt seadistatud reeglistikule. IDS süsteem on tavaliselt ühendatud "switchiga" ehk kommutaatoriga. Näiteks on võimalik defineerida, et ICMP pakketide liikumisest logitakse. Samuti on võimalik määrata, et logitakse näiteks SSH-ga valesti sisestatud kasutajanime ja parooli.

*'''IPS ehk "Intrusion Prevention System"'''

IPS süsteemid jälgivad võrku sissetulevat ja väljaminevat liiklust. Vastavalt konfigureeritud reeglistikule IPS süsteemid, kas lasevad paketid läbi või takistavad nende liikumist. IPS süsteemid paigaldatakse tavaliselt, kas enne tulemüüri või peal tulemüüri sisevõrku.

== IDS/IPS esitus graafilisel kujul ==

IPS kasutamise võimalused võrgu ehituses (Joonis 1. ja Joonis2):

[[File:Diagram1.jpeg]]

Joonis 1.

[[File:Diagram2.jpeg]]

Joonis 2.

IDS kasutamise võimalused võrgu ehituses (Joonis3):

[[File:Diagram3.jpeg]]

Joonis 3.

= Nõuded =

Nii server kui ka klient töötavad meie lahenduse puhul Oracle'i [https://www.virtualbox.org/wiki/Downloads Virtualboxi] peal.

Kasutame näidetes Ubuntu serverit ja Ubuntu klienti (sobiv klient valida ise - Ubuntu, Lubuntu, Xubuntu, Kubuntu).

Toetatud on sellised Ubuntu 32bit ja 64bit versioonid <ref>Toetatud ubuntu versioonide nimekiri, https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Ubuntu_Installation_-_Personal_Package_Archives_%28PPA%29</ref>:

*10.04 Lucid
*12.04 Precise
*12.10 Quantal
*13.04 Raring
*13.10 Saucy

Lisaks on soovitav kasutada "Guest Additione"-it.

''' Ubuntu Server '''

*RAM 512MB
*HDD dynamicly allocated 8GB
*2 Võrgukaarti NIC1 - NAT (eth0 - Ubuntus) ja NIC2 - HostOnly (eth1 - Ubuntus)
*Liidese eth1 lisada staatiline ip aadress - 192.168.56.xxx
*OpenSSH serveri olemasolu

Kasutasime eelnevalt seadistatud [http://elab.itcollege.ee:8000/infra_server.ova serverit], mis on pärit IT infrastruktuuri teenuste ainest, mida muutsime (sellest lähemalt eelseadistuse osas).
Kasutajanimi ja parool on student.

''' Klient '''

*RAM vastavalt graafilise keskkonna nõuetele. Soovitav 512 - 1024MB
*HDD dynamicly allocated 8GB
*2 Võrgukaarti NIC1 - NAT (eth0 - Ubuntus) ja NIC2 - HostOnly (eth1 - Ubuntus)

Kasutasime eelnevalt seadistatud [http://elab.itcollege.ee:8000/infra_klient.ova klienti]. Kasutajanimi ja parool on student.

= Eelseadistus(kasutades eelpaigaldatud serverit) =

Kõik käsud käivitame serveris juurkasutaja õigustes.

Juurkasutajale üleminek:
<source lang="bash">
sudo -i
</source>

1.Muudame ära hostname'i nimeks "suricata".
<source lang="bash">
nano /etc/hostname
</source>

2.Muudame liidese eth1 IP aadressi selliseks 192.168.56.201.
<source lang="bash">
nano /etc/network/interfaces
</source>

Liidese eth1 näidis:
<source lang="bash">
auto eth1
iface eth1 inet static
address 192.168.56.201
netmask 255.255.255.0
</source>

3. Kirjeldame faili /etc/hosts sisu
<source lang="bash">
nano /etc/hosts
</source>

Faili /etc/hosts faili näidis:
<source lang="bash">
127.0.0.1 localhost
127.0.1.1 suricata.planet.zz suricata
192.168.56.201 suricata.planet.zz suricata
192.168.56.200 puppetmaster.planet.zz puppetmaster
192.168.56.101 klient.planet.zz klient
</source>

4. Uuendame ära tarkvara nimekirja info
<source lang="bash">
apt-get update
</source>

5. Uuendame ära tarkvara
<source lang="bash">
apt-get upgrade
</source>

= Paigaldus Ubuntu serveris (võimaldab kasutada nii IDS kui IPS funktsioone) <ref> Suricata paigaldus Ubuntus, https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Ubuntu_Installation_from_GIT</ref> =

Kõik käsud käivitame serveris juurkasutaja õigustes.

1. Kõigepealt paigaldame paki nimega "python-software-properties", kuna selle sees asub programm "add-apt-repository", mida kasutame järgmisena.
<source lang="bash">
apt-get install python-software-properties
</source>

2. Viimase stabiilse Suricata versiooni jaoks käivita vastavad käsud:
<source lang="bash">
add-apt-repository ppa:oisf/suricata-stable
apt-get update
</source>

3. Järgmisena paigalda Suricata
<source lang="bash">
apt-get install suricata
</source>

== Uuendamine ja eemaldamine ==

1. Suricata uuendamiseks käsud
<source lang="bash">
apt-get update
apt-get upgrade
</source>

2. Eemaldamiseks käsk
<source lang="bash">
apt-get remove suricata
</source>

= Esmane seadistamine =

Need käsud käivita serveris juurkasutajaõigustes.

1. Loome kausta Suricata logide jaoks.
<source lang="bash">
mkdir /var/log/suricata
</source>

2. Avame faili /etc/suricata/suricata.yaml
<source lang="bash">
nano /etc/suricata/suricata.yaml
</source>

3. Kirjeldame, millised operatsioonisüsteemid on meie võrgus seal, kus hakkab rida "host-os-policy" ja nimetame nende ip aadressid. <ref>Yamli Host-os-policy informatsioon, https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricatayaml#Host-os-policy</ref>
<source lang="bash">
host-os-policy:
# Make the default policy windows.
windows: []
bsd: []
bsd-right: []
old-linux: []
linux: [192.168.56.200, 192.168.56.201, 192.168.56.101, 127.0.0.1]
old-solaris: []
solaris: []
hpux10: []
hpux11: []
irix: []
macos: []
vista: []
</source>

4. Kirjeldame koduvõrgu ip aadressi vahemiku kohas, mis algab reaga "address-groups:" <ref>Yamli address-groups lahtiseletus, https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricatayaml#Rule-vars</ref>

<source lang="bash">
address-groups:

HOME_NET: "[192.168.56.0/24]"

EXTERNAL_NET: "!$HOME_NET"
</source>

== Kiire testimine <ref>Suricata testimine ühe reegli abil, http://www.linux.org/threads/suricata-the-snort-replacer-part-2-configure-test.4348/</ref> ==

Need käsud käivita serveris juurkasutaja õigustes.

1. Loome faili test.rules kausta /etc/suricata/rules/
<source lang="bash">
touch /etc/suricata/rules/test.rules
</source>

2. Kirjutama test.rules faili testimise jaoks ühe reegli.
<source lang="bash">
alert ip any any -> any any (msg:"ICMP detected"; sid:2; rev:1;)
</source>

3. Avame uuesti faili /etc/suricata/suricata.yaml, kus lähme asukohta, mis hakkab reaga "rule_files:" ja kommenteerime kõik reeglid välja ja kirjeldame seal oma reegli nimega "test.rules".
<source lang="bash">
rule-files:
- test.rules
# - botcc.rules
# - ciarmy.rules
# - compromised.rules
# - drop.rules
# - dshield.rules
# - emerging-activex.rules
# - emerging-attack_response.rules
# - emerging-chat.rules
# - emerging-current_events.rules
# - emerging-dns.rules
# - emerging-dos.rules
# - emerging-exploit.rules
# - emerging-ftp.rules
...
</source>

4. Paneme suricata monitoorima eth1 liidese peal.
<source lang="bash">
suricata -c /etc/suricata/suricata.yaml -i eth1
</source>

5. Teeme oma kliendi masina pealt pingi Suricata serveri pihta.
<source lang="bash">
ping 192.168.56.201
</source>

6. Laseme tunde järgi pingida ja seejärel paneme monitoorimise kinni ning vaatame logi.
<source lang="bash">
less /var/log/suricata/fast.log
</source>

7. Logi sisu peaks olema umbes selline:
<source lang="bash">
01/15/2014-00:08:59.409903 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.101:8 -> 192.168.56.201:0
01/15/2014-00:08:59.409937 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.201:0 -> 192.168.56.101:0
01/15/2014-00:09:00.410130 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.101:8 -> 192.168.56.201:0
01/15/2014-00:09:00.410171 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.201:0 -> 192.168.56.101:0
</source>

8. Edasi saab logi puhul kasutada mõnda sündmuste korreleerimise töörista nagu näiteks SEC, mille kohta saab lugeda siit: http://simple-evcorr.sourceforge.net/SEC-tutorial/article.html või uurida EIK enda wikist teemat [https://wiki.itcollege.ee/index.php/Keskne_logihaldus_Rsyslog_ja_SEC_n%C3%A4itel Keskne logihaldus Rsyslog ja SEC näitel].

=Kokkuvõte=

= Kasulikud materjalid =

*http://www.linux.org/threads/suricata-the-snort-replacer-part-1-intro-install.4346/
*http://www.linux.org/threads/suricata-the-snort-replacer-part-2-configure-test.4348/
*http://www.linux.org/threads/suricata-the-snort-replacer-part-3-rules.4363/
*http://suricata-ids.org/
*https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricata_Installation
*https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Basic_Setup

[[Category: Linuxi administreerimine]]

= Viited =

<references />

Suricata

2014-01-16T11:20:16Z

Maleppik: /* Kasulikud materjalid */

Autorid: Martin Leppik ja Randel Raidmets

Rühm: A31

Kuupäev: 12.12.2013

= Eesmärk =

Linuxi administreerimise aine raames paigaldada vastavale Ubuntu serverile sissetungimise avastamise süsteem nimega Suricata. Pärast paigaldust konfigureerida peamised sätted ja reeglid ning viimasena testida süsteemi toimimist.

= Eeldused =

*Baasteadmised Linuxist.
*Oskus hakkama saada käsureaga.
*Algteadmised võrgundusest (Cisco CCNA1).

= Mis on Suricata? =

Suricata on suure jõudlusega võrgu sissetungimise, ennetamise ja turvalisuse monitoorimise mootor. See on avatud lähtekoodiga ja omanikuks on kommuun, mida juhib mittetulunduslik sihtasutus "the Open Information Security Foundation" ehk OISF. <ref>Suricata kirjeldus, http://suricata-ids.org/</ref> Suricata mootor pole ainult mõeldud selleks, et vahetada välja või emuleerida olemasolevaid tööriistu, vaid tuua uusi ideid ja tehnoloogiaid maastikule. Suricata mootor ja HTP teek on saadaval GPLv2 alusel. <ref>Suricata tutvustus OISF-i kodulehel, https://redmine.openinfosecfoundation.org/projects/suricata/wiki/What_is_Suricata</ref>

== Suricata eelised Snordi ees <ref> Miks kasutada Suricatat?,https://alienvault.bloomfire.com/posts/525383-when-should-i-use-suricata/public</ref> ==

Suricata on alternatiivne variant Snordile, mille reeglid ühilduvad ka Suricataga, mille tõttu võib väikse vaevaga Snordi Suricata vastu välja vahetada.

Mõned Suricata eelised:
*Suurem jõudlus (Suricata kasutab mitmelõimelist, kuid Snort ühelõimelilt töötlemist)
*Parem liikluse nähtavus (Suricatal on nähtavus rakenduskihis (OSI 7. kiht), mis suurendab pahatahtliku sisu avastamist)
*Kiirem normaliseerimine ja parsimine HTTP voogude jaoks.
*Automatiseeritud protokolli tuvastus (Vähendab valepositiivseid tulemusi ja avastamme protokolle, mis töötavad mittestandardsetel portidel)
*Suricatat paigaldatakse ka komertstoodete sisse.
*Ainus lahendus, mis töötab otse riistavara peal, mille tõttu on olemas ka spetsiaalseid riistavarilisi lahendusi Suricata jaoks.

= Süsteemi üldkirjeldus =
Suricatat on võimalik konfigureerida nii IDS-ks kui ka IPS-ks.

*'''IDS ehk Intrusion Detection System'''

IDS süsteemid jälgivad võrguliiklust ja käituvad vastavalt seadistatud reeglistikule. IDS süsteem on tavaliselt ühendatud "switchiga" ehk kommutaatoriga. Näiteks on võimalik defineerida, et ICMP pakketide liikumisest logitakse. Samuti on võimalik määrata, et logitakse näiteks SSH-ga valesti sisestatud kasutajanime ja parooli.

*'''IPS ehk Intrusion Prevention System'''

IPS süsteemid jälgivad võrku sissetulevat ja väljaminevat liiklust. Vastavalt konfigureeritud reeglistikule IPS süsteemid, kas lasevad paketid läbi või takistavad nende liikumist. IPS süsteemid paigaldatakse tavaliselt, kas enne tulemüüri või peal tulemüüri sisevõrku.

== IDS/IPS esitus graafilisel kujul ==

IPS kasutamise võimalused võrgu ehituses (Joonis 1. ja Joonis2):

[[File:Diagram1.jpeg]]

Joonis 1.

[[File:Diagram2.jpeg]]

Joonis 2.

IDS kasutamise võimalused võrgu ehituses (Joonis3):

[[File:Diagram3.jpeg]]

Joonis 3.

= Nõuded =

Nii server kui ka klient töötavad meie lahenduse puhul Oracle'i [https://www.virtualbox.org/wiki/Downloads Virtualboxi] peal.

Kasutame näidetes Ubuntu serverit ja Ubuntu klienti (sobiv klient valida ise - Ubuntu, Lubuntu, Xubuntu, Kubuntu).

Toetatud on sellised Ubuntu 32bit ja 64bit versioonid <ref>Toetatud ubuntu versioonide nimekiri, https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Ubuntu_Installation_-_Personal_Package_Archives_%28PPA%29</ref>:

*10.04 Lucid
*12.04 Precise
*12.10 Quantal
*13.04 Raring
*13.10 Saucy

Lisaks on soovitav kasutada "Guest Additione"-it.

''' Ubuntu Server '''

*RAM 512MB
*HDD dynamicly allocated 8GB
*2 Võrgukaarti NIC1 - NAT (eth0 - Ubuntus) ja NIC2 - HostOnly (eth1 - Ubuntus)
*Liidese eth1 lisada staatiline ip aadress - 192.168.56.xxx
*OpenSSH serveri olemasolu

Kasutasime eelnevalt seadistatud [http://elab.itcollege.ee:8000/infra_server.ova serverit], mis on pärit IT infrastruktuuri teenuste ainest, mida muutsime (sellest lähemalt eelseadistuse osas).
Kasutajanimi ja parool on student.

''' Klient '''

*RAM vastavalt graafilise keskkonna nõuetele. Soovitav 512 - 1024MB
*HDD dynamicly allocated 8GB
*2 Võrgukaarti NIC1 - NAT (eth0 - Ubuntus) ja NIC2 - HostOnly (eth1 - Ubuntus)

Kasutasime eelnevalt seadistatud [http://elab.itcollege.ee:8000/infra_klient.ova klienti]. Kasutajanimi ja parool on student.

= Eelseadistus(kasutades eelpaigaldatud serverit) =

Kõik käsud käivitame serveris juurkasutaja õigustes.

Juurkasutajale üleminek:
<source lang="bash">
sudo -i
</source>

1.Muudame ära hostname'i nimeks "suricata".
<source lang="bash">
nano /etc/hostname
</source>

2.Muudame liidese eth1 IP aadressi selliseks 192.168.56.201.
<source lang="bash">
nano /etc/network/interfaces
</source>

Liidese eth1 näidis:
<source lang="bash">
auto eth1
iface eth1 inet static
address 192.168.56.201
netmask 255.255.255.0
</source>

3. Kirjeldame faili /etc/hosts sisu
<source lang="bash">
nano /etc/hosts
</source>

Faili /etc/hosts faili näidis:
<source lang="bash">
127.0.0.1 localhost
127.0.1.1 suricata.planet.zz suricata
192.168.56.201 suricata.planet.zz suricata
192.168.56.200 puppetmaster.planet.zz puppetmaster
192.168.56.101 klient.planet.zz klient
</source>

4. Uuendame ära tarkvara nimekirja info
<source lang="bash">
apt-get update
</source>

5. Uuendame ära tarkvara
<source lang="bash">
apt-get upgrade
</source>

= Paigaldus Ubuntu serveris (võimaldab kasutada nii IDS kui IPS funktsioone) <ref> Suricata paigaldus Ubuntus, https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Ubuntu_Installation_from_GIT</ref> =

Kõik käsud käivitame serveris juurkasutaja õigustes.

1. Kõigepealt paigaldame paki nimega "python-software-properties", kuna selle sees asub programm "add-apt-repository", mida kasutame järgmisena.
<source lang="bash">
apt-get install python-software-properties
</source>

2. Viimase stabiilse Suricata versiooni jaoks käivita vastavad käsud:
<source lang="bash">
add-apt-repository ppa:oisf/suricata-stable
apt-get update
</source>

3. Järgmisena paigalda Suricata
<source lang="bash">
apt-get install suricata
</source>

== Uuendamine ja eemaldamine ==

1. Suricata uuendamiseks käsud
<source lang="bash">
apt-get update
apt-get upgrade
</source>

2. Eemaldamiseks käsk
<source lang="bash">
apt-get remove suricata
</source>

= Esmane seadistamine =

Need käsud käivita serveris juurkasutajaõigustes.

1. Loome kausta Suricata logide jaoks.
<source lang="bash">
mkdir /var/log/suricata
</source>

2. Avame faili /etc/suricata/suricata.yaml
<source lang="bash">
nano /etc/suricata/suricata.yaml
</source>

3. Kirjeldame, millised operatsioonisüsteemid on meie võrgus seal, kus hakkab rida "host-os-policy" ja nimetame nende ip aadressid. <ref>Yamli Host-os-policy informatsioon, https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricatayaml#Host-os-policy</ref>
<source lang="bash">
host-os-policy:
# Make the default policy windows.
windows: []
bsd: []
bsd-right: []
old-linux: []
linux: [192.168.56.200, 192.168.56.201, 192.168.56.101, 127.0.0.1]
old-solaris: []
solaris: []
hpux10: []
hpux11: []
irix: []
macos: []
vista: []
</source>

4. Kirjeldame koduvõrgu ip aadressi vahemiku kohas, mis algab reaga "address-groups:" <ref>Yamli address-groups lahtiseletus, https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricatayaml#Rule-vars</ref>

<source lang="bash">
address-groups:

HOME_NET: "[192.168.56.0/24]"

EXTERNAL_NET: "!$HOME_NET"
</source>

== Kiire testimine <ref>Suricata testimine ühe reegli abil, http://www.linux.org/threads/suricata-the-snort-replacer-part-2-configure-test.4348/</ref> ==

Need käsud käivita serveris juurkasutaja õigustes.

1. Loome faili test.rules kausta /etc/suricata/rules/
<source lang="bash">
touch /etc/suricata/rules/test.rules
</source>

2. Kirjutama test.rules faili testimise jaoks ühe reegli.
<source lang="bash">
alert ip any any -> any any (msg:"ICMP detected"; sid:2; rev:1;)
</source>

3. Avame uuesti faili /etc/suricata/suricata.yaml, kus lähme asukohta, mis hakkab reaga "rule_files:" ja kommenteerime kõik reeglid välja ja kirjeldame seal oma reegli nimega "test.rules".
<source lang="bash">
rule-files:
- test.rules
# - botcc.rules
# - ciarmy.rules
# - compromised.rules
# - drop.rules
# - dshield.rules
# - emerging-activex.rules
# - emerging-attack_response.rules
# - emerging-chat.rules
# - emerging-current_events.rules
# - emerging-dns.rules
# - emerging-dos.rules
# - emerging-exploit.rules
# - emerging-ftp.rules
...
</source>

4. Paneme suricata monitoorima eth1 liidese peal.
<source lang="bash">
suricata -c /etc/suricata/suricata.yaml -i eth1
</source>

5. Teeme oma kliendi masina pealt pingi Suricata serveri pihta.
<source lang="bash">
ping 192.168.56.201
</source>

6. Laseme tunde järgi pingida ja seejärel paneme monitoorimise kinni ning vaatame logi.
<source lang="bash">
less /var/log/suricata/fast.log
</source>

7. Logi sisu peaks olema umbes selline:
<source lang="bash">
01/15/2014-00:08:59.409903 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.101:8 -> 192.168.56.201:0
01/15/2014-00:08:59.409937 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.201:0 -> 192.168.56.101:0
01/15/2014-00:09:00.410130 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.101:8 -> 192.168.56.201:0
01/15/2014-00:09:00.410171 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.201:0 -> 192.168.56.101:0
</source>

8. Edasi saab logi puhul kasutada mõnda sündmuste korreleerimise töörista nagu näiteks SEC, mille kohta saab lugeda siit: http://simple-evcorr.sourceforge.net/SEC-tutorial/article.html või uurida EIK enda wikist teemat [https://wiki.itcollege.ee/index.php/Keskne_logihaldus_Rsyslog_ja_SEC_n%C3%A4itel Keskne logihaldus Rsyslog ja SEC näitel].

=Kokkuvõte=

= Kasulikud materjalid =

*http://www.linux.org/threads/suricata-the-snort-replacer-part-1-intro-install.4346/
*http://www.linux.org/threads/suricata-the-snort-replacer-part-2-configure-test.4348/
*http://www.linux.org/threads/suricata-the-snort-replacer-part-3-rules.4363/
*http://suricata-ids.org/
*https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricata_Installation
*https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Basic_Setup

[[Category: Linuxi administreerimine]]

= Viited =

<references />

Suricata

2014-01-16T11:17:39Z

Maleppik: /* Süsteemi üldkirjeldus */

Autorid: Martin Leppik ja Randel Raidmets

Rühm: A31

Kuupäev: 12.12.2013

= Eesmärk =

Linuxi administreerimise aine raames paigaldada vastavale Ubuntu serverile sissetungimise avastamise süsteem nimega Suricata. Pärast paigaldust konfigureerida peamised sätted ja reeglid ning viimasena testida süsteemi toimimist.

= Eeldused =

*Baasteadmised Linuxist.
*Oskus hakkama saada käsureaga.
*Algteadmised võrgundusest (Cisco CCNA1).

= Mis on Suricata? =

Suricata on suure jõudlusega võrgu sissetungimise, ennetamise ja turvalisuse monitoorimise mootor. See on avatud lähtekoodiga ja omanikuks on kommuun, mida juhib mittetulunduslik sihtasutus "the Open Information Security Foundation" ehk OISF. <ref>Suricata kirjeldus, http://suricata-ids.org/</ref> Suricata mootor pole ainult mõeldud selleks, et vahetada välja või emuleerida olemasolevaid tööriistu, vaid tuua uusi ideid ja tehnoloogiaid maastikule. Suricata mootor ja HTP teek on saadaval GPLv2 alusel. <ref>Suricata tutvustus OISF-i kodulehel, https://redmine.openinfosecfoundation.org/projects/suricata/wiki/What_is_Suricata</ref>

== Suricata eelised Snordi ees <ref> Miks kasutada Suricatat?,https://alienvault.bloomfire.com/posts/525383-when-should-i-use-suricata/public</ref> ==

Suricata on alternatiivne variant Snordile, mille reeglid ühilduvad ka Suricataga, mille tõttu võib väikse vaevaga Snordi Suricata vastu välja vahetada.

Mõned Suricata eelised:
*Suurem jõudlus (Suricata kasutab mitmelõimelist, kuid Snort ühelõimelilt töötlemist)
*Parem liikluse nähtavus (Suricatal on nähtavus rakenduskihis (OSI 7. kiht), mis suurendab pahatahtliku sisu avastamist)
*Kiirem normaliseerimine ja parsimine HTTP voogude jaoks.
*Automatiseeritud protokolli tuvastus (Vähendab valepositiivseid tulemusi ja avastamme protokolle, mis töötavad mittestandardsetel portidel)
*Suricatat paigaldatakse ka komertstoodete sisse.
*Ainus lahendus, mis töötab otse riistavara peal, mille tõttu on olemas ka spetsiaalseid riistavarilisi lahendusi Suricata jaoks.

= Süsteemi üldkirjeldus =
Suricatat on võimalik konfigureerida nii IDS-ks kui ka IPS-ks.

*'''IDS ehk Intrusion Detection System'''

IDS süsteemid jälgivad võrguliiklust ja käituvad vastavalt seadistatud reeglistikule. IDS süsteem on tavaliselt ühendatud "switchiga" ehk kommutaatoriga. Näiteks on võimalik defineerida, et ICMP pakketide liikumisest logitakse. Samuti on võimalik määrata, et logitakse näiteks SSH-ga valesti sisestatud kasutajanime ja parooli.

*'''IPS ehk Intrusion Prevention System'''

IPS süsteemid jälgivad võrku sissetulevat ja väljaminevat liiklust. Vastavalt konfigureeritud reeglistikule IPS süsteemid, kas lasevad paketid läbi või takistavad nende liikumist. IPS süsteemid paigaldatakse tavaliselt, kas enne tulemüüri või peal tulemüüri sisevõrku.

== IDS/IPS esitus graafilisel kujul ==

IPS kasutamise võimalused võrgu ehituses (Joonis 1. ja Joonis2):

[[File:Diagram1.jpeg]]

Joonis 1.

[[File:Diagram2.jpeg]]

Joonis 2.

IDS kasutamise võimalused võrgu ehituses (Joonis3):

[[File:Diagram3.jpeg]]

Joonis 3.

= Nõuded =

Nii server kui ka klient töötavad meie lahenduse puhul Oracle'i [https://www.virtualbox.org/wiki/Downloads Virtualboxi] peal.

Kasutame näidetes Ubuntu serverit ja Ubuntu klienti (sobiv klient valida ise - Ubuntu, Lubuntu, Xubuntu, Kubuntu).

Toetatud on sellised Ubuntu 32bit ja 64bit versioonid <ref>Toetatud ubuntu versioonide nimekiri, https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Ubuntu_Installation_-_Personal_Package_Archives_%28PPA%29</ref>:

*10.04 Lucid
*12.04 Precise
*12.10 Quantal
*13.04 Raring
*13.10 Saucy

Lisaks on soovitav kasutada "Guest Additione"-it.

''' Ubuntu Server '''

*RAM 512MB
*HDD dynamicly allocated 8GB
*2 Võrgukaarti NIC1 - NAT (eth0 - Ubuntus) ja NIC2 - HostOnly (eth1 - Ubuntus)
*Liidese eth1 lisada staatiline ip aadress - 192.168.56.xxx
*OpenSSH serveri olemasolu

Kasutasime eelnevalt seadistatud [http://elab.itcollege.ee:8000/infra_server.ova serverit], mis on pärit IT infrastruktuuri teenuste ainest, mida muutsime (sellest lähemalt eelseadistuse osas).
Kasutajanimi ja parool on student.

''' Klient '''

*RAM vastavalt graafilise keskkonna nõuetele. Soovitav 512 - 1024MB
*HDD dynamicly allocated 8GB
*2 Võrgukaarti NIC1 - NAT (eth0 - Ubuntus) ja NIC2 - HostOnly (eth1 - Ubuntus)

Kasutasime eelnevalt seadistatud [http://elab.itcollege.ee:8000/infra_klient.ova klienti]. Kasutajanimi ja parool on student.

= Eelseadistus(kasutades eelpaigaldatud serverit) =

Kõik käsud käivitame serveris juurkasutaja õigustes.

Juurkasutajale üleminek:
<source lang="bash">
sudo -i
</source>

1.Muudame ära hostname'i nimeks "suricata".
<source lang="bash">
nano /etc/hostname
</source>

2.Muudame liidese eth1 IP aadressi selliseks 192.168.56.201.
<source lang="bash">
nano /etc/network/interfaces
</source>

Liidese eth1 näidis:
<source lang="bash">
auto eth1
iface eth1 inet static
address 192.168.56.201
netmask 255.255.255.0
</source>

3. Kirjeldame faili /etc/hosts sisu
<source lang="bash">
nano /etc/hosts
</source>

Faili /etc/hosts faili näidis:
<source lang="bash">
127.0.0.1 localhost
127.0.1.1 suricata.planet.zz suricata
192.168.56.201 suricata.planet.zz suricata
192.168.56.200 puppetmaster.planet.zz puppetmaster
192.168.56.101 klient.planet.zz klient
</source>

4. Uuendame ära tarkvara nimekirja info
<source lang="bash">
apt-get update
</source>

5. Uuendame ära tarkvara
<source lang="bash">
apt-get upgrade
</source>

= Paigaldus Ubuntu serveris (võimaldab kasutada nii IDS kui IPS funktsioone) <ref> Suricata paigaldus Ubuntus, https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Ubuntu_Installation_from_GIT</ref> =

Kõik käsud käivitame serveris juurkasutaja õigustes.

1. Kõigepealt paigaldame paki nimega "python-software-properties", kuna selle sees asub programm "add-apt-repository", mida kasutame järgmisena.
<source lang="bash">
apt-get install python-software-properties
</source>

2. Viimase stabiilse Suricata versiooni jaoks käivita vastavad käsud:
<source lang="bash">
add-apt-repository ppa:oisf/suricata-stable
apt-get update
</source>

3. Järgmisena paigalda Suricata
<source lang="bash">
apt-get install suricata
</source>

== Uuendamine ja eemaldamine ==

1. Suricata uuendamiseks käsud
<source lang="bash">
apt-get update
apt-get upgrade
</source>

2. Eemaldamiseks käsk
<source lang="bash">
apt-get remove suricata
</source>

= Esmane seadistamine =

Need käsud käivita serveris juurkasutajaõigustes.

1. Loome kausta Suricata logide jaoks.
<source lang="bash">
mkdir /var/log/suricata
</source>

2. Avame faili /etc/suricata/suricata.yaml
<source lang="bash">
nano /etc/suricata/suricata.yaml
</source>

3. Kirjeldame, millised operatsioonisüsteemid on meie võrgus seal, kus hakkab rida "host-os-policy" ja nimetame nende ip aadressid. <ref>Yamli Host-os-policy informatsioon, https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricatayaml#Host-os-policy</ref>
<source lang="bash">
host-os-policy:
# Make the default policy windows.
windows: []
bsd: []
bsd-right: []
old-linux: []
linux: [192.168.56.200, 192.168.56.201, 192.168.56.101, 127.0.0.1]
old-solaris: []
solaris: []
hpux10: []
hpux11: []
irix: []
macos: []
vista: []
</source>

4. Kirjeldame koduvõrgu ip aadressi vahemiku kohas, mis algab reaga "address-groups:" <ref>Yamli address-groups lahtiseletus, https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricatayaml#Rule-vars</ref>

<source lang="bash">
address-groups:

HOME_NET: "[192.168.56.0/24]"

EXTERNAL_NET: "!$HOME_NET"
</source>

== Kiire testimine <ref>Suricata testimine ühe reegli abil, http://www.linux.org/threads/suricata-the-snort-replacer-part-2-configure-test.4348/</ref> ==

Need käsud käivita serveris juurkasutaja õigustes.

1. Loome faili test.rules kausta /etc/suricata/rules/
<source lang="bash">
touch /etc/suricata/rules/test.rules
</source>

2. Kirjutama test.rules faili testimise jaoks ühe reegli.
<source lang="bash">
alert ip any any -> any any (msg:"ICMP detected"; sid:2; rev:1;)
</source>

3. Avame uuesti faili /etc/suricata/suricata.yaml, kus lähme asukohta, mis hakkab reaga "rule_files:" ja kommenteerime kõik reeglid välja ja kirjeldame seal oma reegli nimega "test.rules".
<source lang="bash">
rule-files:
- test.rules
# - botcc.rules
# - ciarmy.rules
# - compromised.rules
# - drop.rules
# - dshield.rules
# - emerging-activex.rules
# - emerging-attack_response.rules
# - emerging-chat.rules
# - emerging-current_events.rules
# - emerging-dns.rules
# - emerging-dos.rules
# - emerging-exploit.rules
# - emerging-ftp.rules
...
</source>

4. Paneme suricata monitoorima eth1 liidese peal.
<source lang="bash">
suricata -c /etc/suricata/suricata.yaml -i eth1
</source>

5. Teeme oma kliendi masina pealt pingi Suricata serveri pihta.
<source lang="bash">
ping 192.168.56.201
</source>

6. Laseme tunde järgi pingida ja seejärel paneme monitoorimise kinni ning vaatame logi.
<source lang="bash">
less /var/log/suricata/fast.log
</source>

7. Logi sisu peaks olema umbes selline:
<source lang="bash">
01/15/2014-00:08:59.409903 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.101:8 -> 192.168.56.201:0
01/15/2014-00:08:59.409937 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.201:0 -> 192.168.56.101:0
01/15/2014-00:09:00.410130 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.101:8 -> 192.168.56.201:0
01/15/2014-00:09:00.410171 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.201:0 -> 192.168.56.101:0
</source>

8. Edasi saab logi puhul kasutada mõnda sündmuste korreleerimise töörista nagu näiteks SEC, mille kohta saab lugeda siit: http://simple-evcorr.sourceforge.net/SEC-tutorial/article.html või uurida EIK enda wikist teemat [https://wiki.itcollege.ee/index.php/Keskne_logihaldus_Rsyslog_ja_SEC_n%C3%A4itel Keskne logihaldus Rsyslog ja SEC näitel].

=Kokkuvõte=

= Kasulikud materjalid =

*http://www.linux.org/threads/suricata-the-snort-replacer-part-1-intro-install.4346/
*http://www.linux.org/threads/suricata-the-snort-replacer-part-2-configure-test.4348/
*http://www.linux.org/threads/suricata-the-snort-replacer-part-3-rules.4363/
*http://suricata-ids.org/
*https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricata_Installation
*https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Basic_Setup
*

[[Category: Linuxi administreerimine]]

= Viited =

<references />

Suricata

2014-01-16T11:15:46Z

Maleppik: /* Süsteemi üldkirjeldus */

Autorid: Martin Leppik ja Randel Raidmets

Rühm: A31

Kuupäev: 12.12.2013

= Eesmärk =

Linuxi administreerimise aine raames paigaldada vastavale Ubuntu serverile sissetungimise avastamise süsteem nimega Suricata. Pärast paigaldust konfigureerida peamised sätted ja reeglid ning viimasena testida süsteemi toimimist.

= Eeldused =

*Baasteadmised Linuxist.
*Oskus hakkama saada käsureaga.
*Algteadmised võrgundusest (Cisco CCNA1).

= Mis on Suricata? =

Suricata on suure jõudlusega võrgu sissetungimise, ennetamise ja turvalisuse monitoorimise mootor. See on avatud lähtekoodiga ja omanikuks on kommuun, mida juhib mittetulunduslik sihtasutus "the Open Information Security Foundation" ehk OISF. <ref>Suricata kirjeldus, http://suricata-ids.org/</ref> Suricata mootor pole ainult mõeldud selleks, et vahetada välja või emuleerida olemasolevaid tööriistu, vaid tuua uusi ideid ja tehnoloogiaid maastikule. Suricata mootor ja HTP teek on saadaval GPLv2 alusel. <ref>Suricata tutvustus OISF-i kodulehel, https://redmine.openinfosecfoundation.org/projects/suricata/wiki/What_is_Suricata</ref>

== Suricata eelised Snordi ees <ref> Miks kasutada Suricatat?,https://alienvault.bloomfire.com/posts/525383-when-should-i-use-suricata/public</ref> ==

Suricata on alternatiivne variant Snordile, mille reeglid ühilduvad ka Suricataga, mille tõttu võib väikse vaevaga Snordi Suricata vastu välja vahetada.

Mõned Suricata eelised:
*Suurem jõudlus (Suricata kasutab mitmelõimelist, kuid Snort ühelõimelilt töötlemist)
*Parem liikluse nähtavus (Suricatal on nähtavus rakenduskihis (OSI 7. kiht), mis suurendab pahatahtliku sisu avastamist)
*Kiirem normaliseerimine ja parsimine HTTP voogude jaoks.
*Automatiseeritud protokolli tuvastus (Vähendab valepositiivseid tulemusi ja avastamme protokolle, mis töötavad mittestandardsetel portidel)
*Suricatat paigaldatakse ka komertstoodete sisse.
*Ainus lahendus, mis töötab otse riistavara peal, mille tõttu on olemas ka spetsiaalseid riistavarilisi lahendusi Suricata jaoks.

= Süsteemi üldkirjeldus =
Suricatat on võimalik konfigureerida nii IDS-ks kui ka IPS-ks.

*'''IDS ehk Intrusion detection system'''

IDS süsteemid jälgivad võrguliiklust ja käituvad vastavalt seadistatud reeglistikule. IDS süsteem on tavaliselt ühendatud switch-iga. Näiteks on võimalik defineerida, et ICMP pakketide liikumisest logitakse. Samuti on võimalik määrata, et logitaks näiteks SSH valesti sisestatud kasutajanime ja parooli.

*'''IPS ehk Intrusion prevention system'''

IPS süsteemid jälgivad võrku sissetulevat ja väljaminevat liiklust. Vastavalt konfigureeritud reeglistikule IPS süsteemid kas lasevad paketid läbi või takistavad nende liikumist. IPS süsteemid paigaldatakse tavaliselt kas enne tulemüüri või peal tulemüüri sisevõrku.

== IDS/IPS esitus graafilisel kujul ==

IPS kasutamise võimalused võrgu ehituses (Joonis 1. ja Joonis2):

[[File:Diagram1.jpeg]]

Joonis 1.

[[File:Diagram2.jpeg]]

Joonis 2.

IDS kasutamise võimalused võrgu ehituses (Joonis3):

[[File:Diagram3.jpeg]]

Joonis 3.

= Nõuded =

Nii server kui ka klient töötavad meie lahenduse puhul Oracle'i [https://www.virtualbox.org/wiki/Downloads Virtualboxi] peal.

Kasutame näidetes Ubuntu serverit ja Ubuntu klienti (sobiv klient valida ise - Ubuntu, Lubuntu, Xubuntu, Kubuntu).

Toetatud on sellised Ubuntu 32bit ja 64bit versioonid <ref>Toetatud ubuntu versioonide nimekiri, https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Ubuntu_Installation_-_Personal_Package_Archives_%28PPA%29</ref>:

*10.04 Lucid
*12.04 Precise
*12.10 Quantal
*13.04 Raring
*13.10 Saucy

Lisaks on soovitav kasutada "Guest Additione"-it.

''' Ubuntu Server '''

*RAM 512MB
*HDD dynamicly allocated 8GB
*2 Võrgukaarti NIC1 - NAT (eth0 - Ubuntus) ja NIC2 - HostOnly (eth1 - Ubuntus)
*Liidese eth1 lisada staatiline ip aadress - 192.168.56.xxx
*OpenSSH serveri olemasolu

Kasutasime eelnevalt seadistatud [http://elab.itcollege.ee:8000/infra_server.ova serverit], mis on pärit IT infrastruktuuri teenuste ainest, mida muutsime (sellest lähemalt eelseadistuse osas).
Kasutajanimi ja parool on student.

''' Klient '''

*RAM vastavalt graafilise keskkonna nõuetele. Soovitav 512 - 1024MB
*HDD dynamicly allocated 8GB
*2 Võrgukaarti NIC1 - NAT (eth0 - Ubuntus) ja NIC2 - HostOnly (eth1 - Ubuntus)

Kasutasime eelnevalt seadistatud [http://elab.itcollege.ee:8000/infra_klient.ova klienti]. Kasutajanimi ja parool on student.

= Eelseadistus(kasutades eelpaigaldatud serverit) =

Kõik käsud käivitame serveris juurkasutaja õigustes.

Juurkasutajale üleminek:
<source lang="bash">
sudo -i
</source>

1.Muudame ära hostname'i nimeks "suricata".
<source lang="bash">
nano /etc/hostname
</source>

2.Muudame liidese eth1 IP aadressi selliseks 192.168.56.201.
<source lang="bash">
nano /etc/network/interfaces
</source>

Liidese eth1 näidis:
<source lang="bash">
auto eth1
iface eth1 inet static
address 192.168.56.201
netmask 255.255.255.0
</source>

3. Kirjeldame faili /etc/hosts sisu
<source lang="bash">
nano /etc/hosts
</source>

Faili /etc/hosts faili näidis:
<source lang="bash">
127.0.0.1 localhost
127.0.1.1 suricata.planet.zz suricata
192.168.56.201 suricata.planet.zz suricata
192.168.56.200 puppetmaster.planet.zz puppetmaster
192.168.56.101 klient.planet.zz klient
</source>

4. Uuendame ära tarkvara nimekirja info
<source lang="bash">
apt-get update
</source>

5. Uuendame ära tarkvara
<source lang="bash">
apt-get upgrade
</source>

= Paigaldus Ubuntu serveris (võimaldab kasutada nii IDS kui IPS funktsioone) <ref> Suricata paigaldus Ubuntus, https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Ubuntu_Installation_from_GIT</ref> =

Kõik käsud käivitame serveris juurkasutaja õigustes.

1. Kõigepealt paigaldame paki nimega "python-software-properties", kuna selle sees asub programm "add-apt-repository", mida kasutame järgmisena.
<source lang="bash">
apt-get install python-software-properties
</source>

2. Viimase stabiilse Suricata versiooni jaoks käivita vastavad käsud:
<source lang="bash">
add-apt-repository ppa:oisf/suricata-stable
apt-get update
</source>

3. Järgmisena paigalda Suricata
<source lang="bash">
apt-get install suricata
</source>

== Uuendamine ja eemaldamine ==

1. Suricata uuendamiseks käsud
<source lang="bash">
apt-get update
apt-get upgrade
</source>

2. Eemaldamiseks käsk
<source lang="bash">
apt-get remove suricata
</source>

= Esmane seadistamine =

Need käsud käivita serveris juurkasutajaõigustes.

1. Loome kausta Suricata logide jaoks.
<source lang="bash">
mkdir /var/log/suricata
</source>

2. Avame faili /etc/suricata/suricata.yaml
<source lang="bash">
nano /etc/suricata/suricata.yaml
</source>

3. Kirjeldame, millised operatsioonisüsteemid on meie võrgus seal, kus hakkab rida "host-os-policy" ja nimetame nende ip aadressid. <ref>Yamli Host-os-policy informatsioon, https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricatayaml#Host-os-policy</ref>
<source lang="bash">
host-os-policy:
# Make the default policy windows.
windows: []
bsd: []
bsd-right: []
old-linux: []
linux: [192.168.56.200, 192.168.56.201, 192.168.56.101, 127.0.0.1]
old-solaris: []
solaris: []
hpux10: []
hpux11: []
irix: []
macos: []
vista: []
</source>

4. Kirjeldame koduvõrgu ip aadressi vahemiku kohas, mis algab reaga "address-groups:" <ref>Yamli address-groups lahtiseletus, https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricatayaml#Rule-vars</ref>

<source lang="bash">
address-groups:

HOME_NET: "[192.168.56.0/24]"

EXTERNAL_NET: "!$HOME_NET"
</source>

== Kiire testimine <ref>Suricata testimine ühe reegli abil, http://www.linux.org/threads/suricata-the-snort-replacer-part-2-configure-test.4348/</ref> ==

Need käsud käivita serveris juurkasutaja õigustes.

1. Loome faili test.rules kausta /etc/suricata/rules/
<source lang="bash">
touch /etc/suricata/rules/test.rules
</source>

2. Kirjutama test.rules faili testimise jaoks ühe reegli.
<source lang="bash">
alert ip any any -> any any (msg:"ICMP detected"; sid:2; rev:1;)
</source>

3. Avame uuesti faili /etc/suricata/suricata.yaml, kus lähme asukohta, mis hakkab reaga "rule_files:" ja kommenteerime kõik reeglid välja ja kirjeldame seal oma reegli nimega "test.rules".
<source lang="bash">
rule-files:
- test.rules
# - botcc.rules
# - ciarmy.rules
# - compromised.rules
# - drop.rules
# - dshield.rules
# - emerging-activex.rules
# - emerging-attack_response.rules
# - emerging-chat.rules
# - emerging-current_events.rules
# - emerging-dns.rules
# - emerging-dos.rules
# - emerging-exploit.rules
# - emerging-ftp.rules
...
</source>

4. Paneme suricata monitoorima eth1 liidese peal.
<source lang="bash">
suricata -c /etc/suricata/suricata.yaml -i eth1
</source>

5. Teeme oma kliendi masina pealt pingi Suricata serveri pihta.
<source lang="bash">
ping 192.168.56.201
</source>

6. Laseme tunde järgi pingida ja seejärel paneme monitoorimise kinni ning vaatame logi.
<source lang="bash">
less /var/log/suricata/fast.log
</source>

7. Logi sisu peaks olema umbes selline:
<source lang="bash">
01/15/2014-00:08:59.409903 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.101:8 -> 192.168.56.201:0
01/15/2014-00:08:59.409937 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.201:0 -> 192.168.56.101:0
01/15/2014-00:09:00.410130 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.101:8 -> 192.168.56.201:0
01/15/2014-00:09:00.410171 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.201:0 -> 192.168.56.101:0
</source>

8. Edasi saab logi puhul kasutada mõnda sündmuste korreleerimise töörista nagu näiteks SEC, mille kohta saab lugeda siit: http://simple-evcorr.sourceforge.net/SEC-tutorial/article.html või uurida EIK enda wikist teemat [https://wiki.itcollege.ee/index.php/Keskne_logihaldus_Rsyslog_ja_SEC_n%C3%A4itel Keskne logihaldus Rsyslog ja SEC näitel].

=Kokkuvõte=

= Kasulikud materjalid =

*http://www.linux.org/threads/suricata-the-snort-replacer-part-1-intro-install.4346/
*http://www.linux.org/threads/suricata-the-snort-replacer-part-2-configure-test.4348/
*http://www.linux.org/threads/suricata-the-snort-replacer-part-3-rules.4363/
*http://suricata-ids.org/
*https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricata_Installation
*https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Basic_Setup
*

[[Category: Linuxi administreerimine]]

= Viited =

<references />

Suricata

2014-01-16T11:11:11Z

Maleppik: /* IDS/IPS esitus graafilisel kujul */

Autorid: Martin Leppik ja Randel Raidmets

Rühm: A31

Kuupäev: 12.12.2013

= Eesmärk =

Linuxi administreerimise aine raames paigaldada vastavale Ubuntu serverile sissetungimise avastamise süsteem nimega Suricata. Pärast paigaldust konfigureerida peamised sätted ja reeglid ning viimasena testida süsteemi toimimist.

= Eeldused =

*Baasteadmised Linuxist.
*Oskus hakkama saada käsureaga.
*Algteadmised võrgundusest (Cisco CCNA1).

= Mis on Suricata? =

Suricata on suure jõudlusega võrgu sissetungimise, ennetamise ja turvalisuse monitoorimise mootor. See on avatud lähtekoodiga ja omanikuks on kommuun, mida juhib mittetulunduslik sihtasutus "the Open Information Security Foundation" ehk OISF. <ref>Suricata kirjeldus, http://suricata-ids.org/</ref> Suricata mootor pole ainult mõeldud selleks, et vahetada välja või emuleerida olemasolevaid tööriistu, vaid tuua uusi ideid ja tehnoloogiaid maastikule. Suricata mootor ja HTP teek on saadaval GPLv2 alusel. <ref>Suricata tutvustus OISF-i kodulehel, https://redmine.openinfosecfoundation.org/projects/suricata/wiki/What_is_Suricata</ref>

== Suricata eelised Snordi ees <ref> Miks kasutada Suricatat?,https://alienvault.bloomfire.com/posts/525383-when-should-i-use-suricata/public</ref> ==

Suricata on alternatiivne variant Snordile, mille reeglid ühilduvad ka Suricataga, mille tõttu võib väikse vaevaga Snordi Suricata vastu välja vahetada.

Mõned Suricata eelised:
*Suurem jõudlus (Suricata kasutab mitmelõimelist, kuid Snort ühelõimelilt töötlemist)
*Parem liikluse nähtavus (Suricatal on nähtavus rakenduskihis (OSI 7. kiht), mis suurendab pahatahtliku sisu avastamist)
*Kiirem normaliseerimine ja parsimine HTTP voogude jaoks.
*Automatiseeritud protokolli tuvastus (Vähendab valepositiivseid tulemusi ja avastamme protokolle, mis töötavad mittestandardsetel portidel)
*Suricatat paigaldatakse ka komertstoodete sisse.
*Ainus lahendus, mis töötab otse riistavara peal, mille tõttu on olemas ka spetsiaalseid riistavarilisi lahendusi Suricata jaoks.

= Süsteemi üldkirjeldus =
Suricatat on võimalik konfigureerida nii IDS'ks kui ka IPS'ks.

*'''IDS'''

IDS süsteemid jälgivad võrguliiklust ja käituvad vastavalt seadistatud reeglistikule. IDS süsteem on tavaliselt ühendatud switch-iga. Näiteks on võimalik defineerida, et ICMP pakketide liikumisest logitakse. Samuti on võimalik määrata, et logitaks näiteks SSH valesti sisestatud kasutajanime ja parooli.

== IDS/IPS esitus graafilisel kujul ==

IPS kasutamise võimalused võrgu ehituses (Joonis 1. ja Joonis2):

[[File:Diagram1.jpeg]]

Joonis 1.

[[File:Diagram2.jpeg]]

Joonis 2.

IDS kasutamise võimalused võrgu ehituses (Joonis3):

[[File:Diagram3.jpeg]]

Joonis 3.

= Nõuded =

Nii server kui ka klient töötavad meie lahenduse puhul Oracle'i [https://www.virtualbox.org/wiki/Downloads Virtualboxi] peal.

Kasutame näidetes Ubuntu serverit ja Ubuntu klienti (sobiv klient valida ise - Ubuntu, Lubuntu, Xubuntu, Kubuntu).

Toetatud on sellised Ubuntu 32bit ja 64bit versioonid <ref>Toetatud ubuntu versioonide nimekiri, https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Ubuntu_Installation_-_Personal_Package_Archives_%28PPA%29</ref>:

*10.04 Lucid
*12.04 Precise
*12.10 Quantal
*13.04 Raring
*13.10 Saucy

Lisaks on soovitav kasutada "Guest Additione"-it.

''' Ubuntu Server '''

*RAM 512MB
*HDD dynamicly allocated 8GB
*2 Võrgukaarti NIC1 - NAT (eth0 - Ubuntus) ja NIC2 - HostOnly (eth1 - Ubuntus)
*Liidese eth1 lisada staatiline ip aadress - 192.168.56.xxx
*OpenSSH serveri olemasolu

Kasutasime eelnevalt seadistatud [http://elab.itcollege.ee:8000/infra_server.ova serverit], mis on pärit IT infrastruktuuri teenuste ainest, mida muutsime (sellest lähemalt eelseadistuse osas).
Kasutajanimi ja parool on student.

''' Klient '''

*RAM vastavalt graafilise keskkonna nõuetele. Soovitav 512 - 1024MB
*HDD dynamicly allocated 8GB
*2 Võrgukaarti NIC1 - NAT (eth0 - Ubuntus) ja NIC2 - HostOnly (eth1 - Ubuntus)

Kasutasime eelnevalt seadistatud [http://elab.itcollege.ee:8000/infra_klient.ova klienti]. Kasutajanimi ja parool on student.

= Eelseadistus(kasutades eelpaigaldatud serverit) =

Kõik käsud käivitame serveris juurkasutaja õigustes.

Juurkasutajale üleminek:
<source lang="bash">
sudo -i
</source>

1.Muudame ära hostname'i nimeks "suricata".
<source lang="bash">
nano /etc/hostname
</source>

2.Muudame liidese eth1 IP aadressi selliseks 192.168.56.201.
<source lang="bash">
nano /etc/network/interfaces
</source>

Liidese eth1 näidis:
<source lang="bash">
auto eth1
iface eth1 inet static
address 192.168.56.201
netmask 255.255.255.0
</source>

3. Kirjeldame faili /etc/hosts sisu
<source lang="bash">
nano /etc/hosts
</source>

Faili /etc/hosts faili näidis:
<source lang="bash">
127.0.0.1 localhost
127.0.1.1 suricata.planet.zz suricata
192.168.56.201 suricata.planet.zz suricata
192.168.56.200 puppetmaster.planet.zz puppetmaster
192.168.56.101 klient.planet.zz klient
</source>

4. Uuendame ära tarkvara nimekirja info
<source lang="bash">
apt-get update
</source>

5. Uuendame ära tarkvara
<source lang="bash">
apt-get upgrade
</source>

= Paigaldus Ubuntu serveris (võimaldab kasutada nii IDS kui IPS funktsioone) <ref> Suricata paigaldus Ubuntus, https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Ubuntu_Installation_from_GIT</ref> =

Kõik käsud käivitame serveris juurkasutaja õigustes.

1. Kõigepealt paigaldame paki nimega "python-software-properties", kuna selle sees asub programm "add-apt-repository", mida kasutame järgmisena.
<source lang="bash">
apt-get install python-software-properties
</source>

2. Viimase stabiilse Suricata versiooni jaoks käivita vastavad käsud:
<source lang="bash">
add-apt-repository ppa:oisf/suricata-stable
apt-get update
</source>

3. Järgmisena paigalda Suricata
<source lang="bash">
apt-get install suricata
</source>

== Uuendamine ja eemaldamine ==

1. Suricata uuendamiseks käsud
<source lang="bash">
apt-get update
apt-get upgrade
</source>

2. Eemaldamiseks käsk
<source lang="bash">
apt-get remove suricata
</source>

= Esmane seadistamine =

Need käsud käivita serveris juurkasutajaõigustes.

1. Loome kausta Suricata logide jaoks.
<source lang="bash">
mkdir /var/log/suricata
</source>

2. Avame faili /etc/suricata/suricata.yaml
<source lang="bash">
nano /etc/suricata/suricata.yaml
</source>

3. Kirjeldame, millised operatsioonisüsteemid on meie võrgus seal, kus hakkab rida "host-os-policy" ja nimetame nende ip aadressid. <ref>Yamli Host-os-policy informatsioon, https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricatayaml#Host-os-policy</ref>
<source lang="bash">
host-os-policy:
# Make the default policy windows.
windows: []
bsd: []
bsd-right: []
old-linux: []
linux: [192.168.56.200, 192.168.56.201, 192.168.56.101, 127.0.0.1]
old-solaris: []
solaris: []
hpux10: []
hpux11: []
irix: []
macos: []
vista: []
</source>

4. Kirjeldame koduvõrgu ip aadressi vahemiku kohas, mis algab reaga "address-groups:" <ref>Yamli address-groups lahtiseletus, https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricatayaml#Rule-vars</ref>

<source lang="bash">
address-groups:

HOME_NET: "[192.168.56.0/24]"

EXTERNAL_NET: "!$HOME_NET"
</source>

== Kiire testimine <ref>Suricata testimine ühe reegli abil, http://www.linux.org/threads/suricata-the-snort-replacer-part-2-configure-test.4348/</ref> ==

Need käsud käivita serveris juurkasutaja õigustes.

1. Loome faili test.rules kausta /etc/suricata/rules/
<source lang="bash">
touch /etc/suricata/rules/test.rules
</source>

2. Kirjutama test.rules faili testimise jaoks ühe reegli.
<source lang="bash">
alert ip any any -> any any (msg:"ICMP detected"; sid:2; rev:1;)
</source>

3. Avame uuesti faili /etc/suricata/suricata.yaml, kus lähme asukohta, mis hakkab reaga "rule_files:" ja kommenteerime kõik reeglid välja ja kirjeldame seal oma reegli nimega "test.rules".
<source lang="bash">
rule-files:
- test.rules
# - botcc.rules
# - ciarmy.rules
# - compromised.rules
# - drop.rules
# - dshield.rules
# - emerging-activex.rules
# - emerging-attack_response.rules
# - emerging-chat.rules
# - emerging-current_events.rules
# - emerging-dns.rules
# - emerging-dos.rules
# - emerging-exploit.rules
# - emerging-ftp.rules
...
</source>

4. Paneme suricata monitoorima eth1 liidese peal.
<source lang="bash">
suricata -c /etc/suricata/suricata.yaml -i eth1
</source>

5. Teeme oma kliendi masina pealt pingi Suricata serveri pihta.
<source lang="bash">
ping 192.168.56.201
</source>

6. Laseme tunde järgi pingida ja seejärel paneme monitoorimise kinni ning vaatame logi.
<source lang="bash">
less /var/log/suricata/fast.log
</source>

7. Logi sisu peaks olema umbes selline:
<source lang="bash">
01/15/2014-00:08:59.409903 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.101:8 -> 192.168.56.201:0
01/15/2014-00:08:59.409937 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.201:0 -> 192.168.56.101:0
01/15/2014-00:09:00.410130 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.101:8 -> 192.168.56.201:0
01/15/2014-00:09:00.410171 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.201:0 -> 192.168.56.101:0
</source>

8. Edasi saab logi puhul kasutada mõnda sündmuste korreleerimise töörista nagu näiteks SEC, mille kohta saab lugeda siit: http://simple-evcorr.sourceforge.net/SEC-tutorial/article.html või uurida EIK enda wikist teemat [https://wiki.itcollege.ee/index.php/Keskne_logihaldus_Rsyslog_ja_SEC_n%C3%A4itel Keskne logihaldus Rsyslog ja SEC näitel].

=Kokkuvõte=

= Kasulikud materjalid =

*http://www.linux.org/threads/suricata-the-snort-replacer-part-1-intro-install.4346/
*http://www.linux.org/threads/suricata-the-snort-replacer-part-2-configure-test.4348/
*http://www.linux.org/threads/suricata-the-snort-replacer-part-3-rules.4363/
*http://suricata-ids.org/
*https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricata_Installation
*https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Basic_Setup
*

[[Category: Linuxi administreerimine]]

= Viited =

<references />

Suricata

2014-01-16T11:07:05Z

Maleppik: /* Nõuded */

Autorid: Martin Leppik ja Randel Raidmets

Rühm: A31

Kuupäev: 12.12.2013

= Eesmärk =

Linuxi administreerimise aine raames paigaldada vastavale Ubuntu serverile sissetungimise avastamise süsteem nimega Suricata. Pärast paigaldust konfigureerida peamised sätted ja reeglid ning viimasena testida süsteemi toimimist.

= Eeldused =

*Baasteadmised Linuxist.
*Oskus hakkama saada käsureaga.
*Algteadmised võrgundusest (Cisco CCNA1).

= Mis on Suricata? =

Suricata on suure jõudlusega võrgu sissetungimise, ennetamise ja turvalisuse monitoorimise mootor. See on avatud lähtekoodiga ja omanikuks on kommuun, mida juhib mittetulunduslik sihtasutus "the Open Information Security Foundation" ehk OISF. <ref>Suricata kirjeldus, http://suricata-ids.org/</ref> Suricata mootor pole ainult mõeldud selleks, et vahetada välja või emuleerida olemasolevaid tööriistu, vaid tuua uusi ideid ja tehnoloogiaid maastikule. Suricata mootor ja HTP teek on saadaval GPLv2 alusel. <ref>Suricata tutvustus OISF-i kodulehel, https://redmine.openinfosecfoundation.org/projects/suricata/wiki/What_is_Suricata</ref>

== Suricata eelised Snordi ees <ref> Miks kasutada Suricatat?,https://alienvault.bloomfire.com/posts/525383-when-should-i-use-suricata/public</ref> ==

Suricata on alternatiivne variant Snordile, mille reeglid ühilduvad ka Suricataga, mille tõttu võib väikse vaevaga Snordi Suricata vastu välja vahetada.

Mõned Suricata eelised:
*Suurem jõudlus (Suricata kasutab mitmelõimelist, kuid Snort ühelõimelilt töötlemist)
*Parem liikluse nähtavus (Suricatal on nähtavus rakenduskihis (OSI 7. kiht), mis suurendab pahatahtliku sisu avastamist)
*Kiirem normaliseerimine ja parsimine HTTP voogude jaoks.
*Automatiseeritud protokolli tuvastus (Vähendab valepositiivseid tulemusi ja avastamme protokolle, mis töötavad mittestandardsetel portidel)
*Suricatat paigaldatakse ka komertstoodete sisse.
*Ainus lahendus, mis töötab otse riistavara peal, mille tõttu on olemas ka spetsiaalseid riistavarilisi lahendusi Suricata jaoks.

= Süsteemi üldkirjeldus =
Suricatat on võimalik konfigureerida nii IDS'ks kui ka IPS'ks.

== IDS/IPS esitus graafilisel kujul ==

IPS kasutamis võimalused võrgu ehituses:

[[File:Diagram1.jpeg]]
[[File:Diagram2.jpeg]]

IDS kasutamis võimalused võrgu ehituses:

[[File:Diagram3.jpeg]]

= Nõuded =

Nii server kui ka klient töötavad meie lahenduse puhul Oracle'i [https://www.virtualbox.org/wiki/Downloads Virtualboxi] peal.

Kasutame näidetes Ubuntu serverit ja Ubuntu klienti (sobiv klient valida ise - Ubuntu, Lubuntu, Xubuntu, Kubuntu).

Toetatud on sellised Ubuntu 32bit ja 64bit versioonid <ref>Toetatud ubuntu versioonide nimekiri, https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Ubuntu_Installation_-_Personal_Package_Archives_%28PPA%29</ref>:

*10.04 Lucid
*12.04 Precise
*12.10 Quantal
*13.04 Raring
*13.10 Saucy

Lisaks on soovitav kasutada "Guest Additione"-it.

''' Ubuntu Server '''

*RAM 512MB
*HDD dynamicly allocated 8GB
*2 Võrgukaarti NIC1 - NAT (eth0 - Ubuntus) ja NIC2 - HostOnly (eth1 - Ubuntus)
*Liidese eth1 lisada staatiline ip aadress - 192.168.56.xxx
*OpenSSH serveri olemasolu

Kasutasime eelnevalt seadistatud [http://elab.itcollege.ee:8000/infra_server.ova serverit], mis on pärit IT infrastruktuuri teenuste ainest, mida muutsime (sellest lähemalt eelseadistuse osas).
Kasutajanimi ja parool on student.

''' Klient '''

*RAM vastavalt graafilise keskkonna nõuetele. Soovitav 512 - 1024MB
*HDD dynamicly allocated 8GB
*2 Võrgukaarti NIC1 - NAT (eth0 - Ubuntus) ja NIC2 - HostOnly (eth1 - Ubuntus)

Kasutasime eelnevalt seadistatud [http://elab.itcollege.ee:8000/infra_klient.ova klienti]. Kasutajanimi ja parool on student.

= Eelseadistus(kasutades eelpaigaldatud serverit) =

Kõik käsud käivitame serveris juurkasutaja õigustes.

Juurkasutajale üleminek:
<source lang="bash">
sudo -i
</source>

1.Muudame ära hostname'i nimeks "suricata".
<source lang="bash">
nano /etc/hostname
</source>

2.Muudame liidese eth1 IP aadressi selliseks 192.168.56.201.
<source lang="bash">
nano /etc/network/interfaces
</source>

Liidese eth1 näidis:
<source lang="bash">
auto eth1
iface eth1 inet static
address 192.168.56.201
netmask 255.255.255.0
</source>

3. Kirjeldame faili /etc/hosts sisu
<source lang="bash">
nano /etc/hosts
</source>

Faili /etc/hosts faili näidis:
<source lang="bash">
127.0.0.1 localhost
127.0.1.1 suricata.planet.zz suricata
192.168.56.201 suricata.planet.zz suricata
192.168.56.200 puppetmaster.planet.zz puppetmaster
192.168.56.101 klient.planet.zz klient
</source>

4. Uuendame ära tarkvara nimekirja info
<source lang="bash">
apt-get update
</source>

5. Uuendame ära tarkvara
<source lang="bash">
apt-get upgrade
</source>

= Paigaldus Ubuntu serveris (võimaldab kasutada nii IDS kui IPS funktsioone) <ref> Suricata paigaldus Ubuntus, https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Ubuntu_Installation_from_GIT</ref> =

Kõik käsud käivitame serveris juurkasutaja õigustes.

1. Kõigepealt paigaldame paki nimega "python-software-properties", kuna selle sees asub programm "add-apt-repository", mida kasutame järgmisena.
<source lang="bash">
apt-get install python-software-properties
</source>

2. Viimase stabiilse Suricata versiooni jaoks käivita vastavad käsud:
<source lang="bash">
add-apt-repository ppa:oisf/suricata-stable
apt-get update
</source>

3. Järgmisena paigalda Suricata
<source lang="bash">
apt-get install suricata
</source>

== Uuendamine ja eemaldamine ==

1. Suricata uuendamiseks käsud
<source lang="bash">
apt-get update
apt-get upgrade
</source>

2. Eemaldamiseks käsk
<source lang="bash">
apt-get remove suricata
</source>

= Esmane seadistamine =

Need käsud käivita serveris juurkasutajaõigustes.

1. Loome kausta Suricata logide jaoks.
<source lang="bash">
mkdir /var/log/suricata
</source>

2. Avame faili /etc/suricata/suricata.yaml
<source lang="bash">
nano /etc/suricata/suricata.yaml
</source>

3. Kirjeldame, millised operatsioonisüsteemid on meie võrgus seal, kus hakkab rida "host-os-policy" ja nimetame nende ip aadressid. <ref>Yamli Host-os-policy informatsioon, https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricatayaml#Host-os-policy</ref>
<source lang="bash">
host-os-policy:
# Make the default policy windows.
windows: []
bsd: []
bsd-right: []
old-linux: []
linux: [192.168.56.200, 192.168.56.201, 192.168.56.101, 127.0.0.1]
old-solaris: []
solaris: []
hpux10: []
hpux11: []
irix: []
macos: []
vista: []
</source>

4. Kirjeldame koduvõrgu ip aadressi vahemiku kohas, mis algab reaga "address-groups:" <ref>Yamli address-groups lahtiseletus, https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricatayaml#Rule-vars</ref>

<source lang="bash">
address-groups:

HOME_NET: "[192.168.56.0/24]"

EXTERNAL_NET: "!$HOME_NET"
</source>

== Kiire testimine <ref>Suricata testimine ühe reegli abil, http://www.linux.org/threads/suricata-the-snort-replacer-part-2-configure-test.4348/</ref> ==

Need käsud käivita serveris juurkasutaja õigustes.

1. Loome faili test.rules kausta /etc/suricata/rules/
<source lang="bash">
touch /etc/suricata/rules/test.rules
</source>

2. Kirjutama test.rules faili testimise jaoks ühe reegli.
<source lang="bash">
alert ip any any -> any any (msg:"ICMP detected"; sid:2; rev:1;)
</source>

3. Avame uuesti faili /etc/suricata/suricata.yaml, kus lähme asukohta, mis hakkab reaga "rule_files:" ja kommenteerime kõik reeglid välja ja kirjeldame seal oma reegli nimega "test.rules".
<source lang="bash">
rule-files:
- test.rules
# - botcc.rules
# - ciarmy.rules
# - compromised.rules
# - drop.rules
# - dshield.rules
# - emerging-activex.rules
# - emerging-attack_response.rules
# - emerging-chat.rules
# - emerging-current_events.rules
# - emerging-dns.rules
# - emerging-dos.rules
# - emerging-exploit.rules
# - emerging-ftp.rules
...
</source>

4. Paneme suricata monitoorima eth1 liidese peal.
<source lang="bash">
suricata -c /etc/suricata/suricata.yaml -i eth1
</source>

5. Teeme oma kliendi masina pealt pingi Suricata serveri pihta.
<source lang="bash">
ping 192.168.56.201
</source>

6. Laseme tunde järgi pingida ja seejärel paneme monitoorimise kinni ning vaatame logi.
<source lang="bash">
less /var/log/suricata/fast.log
</source>

7. Logi sisu peaks olema umbes selline:
<source lang="bash">
01/15/2014-00:08:59.409903 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.101:8 -> 192.168.56.201:0
01/15/2014-00:08:59.409937 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.201:0 -> 192.168.56.101:0
01/15/2014-00:09:00.410130 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.101:8 -> 192.168.56.201:0
01/15/2014-00:09:00.410171 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.201:0 -> 192.168.56.101:0
</source>

8. Edasi saab logi puhul kasutada mõnda sündmuste korreleerimise töörista nagu näiteks SEC, mille kohta saab lugeda siit: http://simple-evcorr.sourceforge.net/SEC-tutorial/article.html või uurida EIK enda wikist teemat [https://wiki.itcollege.ee/index.php/Keskne_logihaldus_Rsyslog_ja_SEC_n%C3%A4itel Keskne logihaldus Rsyslog ja SEC näitel].

=Kokkuvõte=

= Kasulikud materjalid =

*http://www.linux.org/threads/suricata-the-snort-replacer-part-1-intro-install.4346/
*http://www.linux.org/threads/suricata-the-snort-replacer-part-2-configure-test.4348/
*http://www.linux.org/threads/suricata-the-snort-replacer-part-3-rules.4363/
*http://suricata-ids.org/
*https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricata_Installation
*https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Basic_Setup
*

[[Category: Linuxi administreerimine]]

= Viited =

<references />

Suricata

2014-01-16T11:06:44Z

Maleppik: /* Nõuded */

Autorid: Martin Leppik ja Randel Raidmets

Rühm: A31

Kuupäev: 12.12.2013

= Eesmärk =

Linuxi administreerimise aine raames paigaldada vastavale Ubuntu serverile sissetungimise avastamise süsteem nimega Suricata. Pärast paigaldust konfigureerida peamised sätted ja reeglid ning viimasena testida süsteemi toimimist.

= Eeldused =

*Baasteadmised Linuxist.
*Oskus hakkama saada käsureaga.
*Algteadmised võrgundusest (Cisco CCNA1).

= Mis on Suricata? =

Suricata on suure jõudlusega võrgu sissetungimise, ennetamise ja turvalisuse monitoorimise mootor. See on avatud lähtekoodiga ja omanikuks on kommuun, mida juhib mittetulunduslik sihtasutus "the Open Information Security Foundation" ehk OISF. <ref>Suricata kirjeldus, http://suricata-ids.org/</ref> Suricata mootor pole ainult mõeldud selleks, et vahetada välja või emuleerida olemasolevaid tööriistu, vaid tuua uusi ideid ja tehnoloogiaid maastikule. Suricata mootor ja HTP teek on saadaval GPLv2 alusel. <ref>Suricata tutvustus OISF-i kodulehel, https://redmine.openinfosecfoundation.org/projects/suricata/wiki/What_is_Suricata</ref>

== Suricata eelised Snordi ees <ref> Miks kasutada Suricatat?,https://alienvault.bloomfire.com/posts/525383-when-should-i-use-suricata/public</ref> ==

Suricata on alternatiivne variant Snordile, mille reeglid ühilduvad ka Suricataga, mille tõttu võib väikse vaevaga Snordi Suricata vastu välja vahetada.

Mõned Suricata eelised:
*Suurem jõudlus (Suricata kasutab mitmelõimelist, kuid Snort ühelõimelilt töötlemist)
*Parem liikluse nähtavus (Suricatal on nähtavus rakenduskihis (OSI 7. kiht), mis suurendab pahatahtliku sisu avastamist)
*Kiirem normaliseerimine ja parsimine HTTP voogude jaoks.
*Automatiseeritud protokolli tuvastus (Vähendab valepositiivseid tulemusi ja avastamme protokolle, mis töötavad mittestandardsetel portidel)
*Suricatat paigaldatakse ka komertstoodete sisse.
*Ainus lahendus, mis töötab otse riistavara peal, mille tõttu on olemas ka spetsiaalseid riistavarilisi lahendusi Suricata jaoks.

= Süsteemi üldkirjeldus =
Suricatat on võimalik konfigureerida nii IDS'ks kui ka IPS'ks.

== IDS/IPS esitus graafilisel kujul ==

IPS kasutamis võimalused võrgu ehituses:

[[File:Diagram1.jpeg]]
[[File:Diagram2.jpeg]]

IDS kasutamis võimalused võrgu ehituses:

[[File:Diagram3.jpeg]]

= Nõuded =

Nii server kui ka klient töötavad meie lahenduse puhul Oracle'i [https://www.virtualbox.org/wiki/Downloads Virtualboxi] peal.

Kasutame näidetes Ubuntu serverit ja Ubuntu klienti (sobiv klient valida ise - Ubuntu, Lubuntu, Xubuntu, Kubuntu).

Toetatud on sellised ubuntu 32bit ja 64bit versioonid <ref>Toetatud ubuntu versioonide nimekiri, https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Ubuntu_Installation_-_Personal_Package_Archives_%28PPA%29</ref>:

*10.04 Lucid
*12.04 Precise
*12.10 Quantal
*13.04 Raring
*13.10 Saucy

Lisaks on soovitav kasutada "Guest Additione"-it.

''' Ubuntu Server '''

*RAM 512MB
*HDD dynamicly allocated 8GB
*2 Võrgukaarti NIC1 - NAT (eth0 - Ubuntus) ja NIC2 - HostOnly (eth1 - Ubuntus)
*Liidese eth1 lisada staatiline ip aadress - 192.168.56.xxx
*OpenSSH serveri olemasolu

Kasutasime eelnevalt seadistatud [http://elab.itcollege.ee:8000/infra_server.ova serverit], mis on pärit IT infrastruktuuri teenuste ainest, mida muutsime (sellest lähemalt eelseadistuse osas).
Kasutajanimi ja parool on student.

''' Klient '''

*RAM vastavalt graafilise keskkonna nõuetele. Soovitav 512 - 1024MB
*HDD dynamicly allocated 8GB
*2 Võrgukaarti NIC1 - NAT (eth0 - Ubuntus) ja NIC2 - HostOnly (eth1 - Ubuntus)

Kasutasime eelnevalt seadistatud [http://elab.itcollege.ee:8000/infra_klient.ova klienti]. Kasutajanimi ja parool on student.

= Eelseadistus(kasutades eelpaigaldatud serverit) =

Kõik käsud käivitame serveris juurkasutaja õigustes.

Juurkasutajale üleminek:
<source lang="bash">
sudo -i
</source>

1.Muudame ära hostname'i nimeks "suricata".
<source lang="bash">
nano /etc/hostname
</source>

2.Muudame liidese eth1 IP aadressi selliseks 192.168.56.201.
<source lang="bash">
nano /etc/network/interfaces
</source>

Liidese eth1 näidis:
<source lang="bash">
auto eth1
iface eth1 inet static
address 192.168.56.201
netmask 255.255.255.0
</source>

3. Kirjeldame faili /etc/hosts sisu
<source lang="bash">
nano /etc/hosts
</source>

Faili /etc/hosts faili näidis:
<source lang="bash">
127.0.0.1 localhost
127.0.1.1 suricata.planet.zz suricata
192.168.56.201 suricata.planet.zz suricata
192.168.56.200 puppetmaster.planet.zz puppetmaster
192.168.56.101 klient.planet.zz klient
</source>

4. Uuendame ära tarkvara nimekirja info
<source lang="bash">
apt-get update
</source>

5. Uuendame ära tarkvara
<source lang="bash">
apt-get upgrade
</source>

= Paigaldus Ubuntu serveris (võimaldab kasutada nii IDS kui IPS funktsioone) <ref> Suricata paigaldus Ubuntus, https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Ubuntu_Installation_from_GIT</ref> =

Kõik käsud käivitame serveris juurkasutaja õigustes.

1. Kõigepealt paigaldame paki nimega "python-software-properties", kuna selle sees asub programm "add-apt-repository", mida kasutame järgmisena.
<source lang="bash">
apt-get install python-software-properties
</source>

2. Viimase stabiilse Suricata versiooni jaoks käivita vastavad käsud:
<source lang="bash">
add-apt-repository ppa:oisf/suricata-stable
apt-get update
</source>

3. Järgmisena paigalda Suricata
<source lang="bash">
apt-get install suricata
</source>

== Uuendamine ja eemaldamine ==

1. Suricata uuendamiseks käsud
<source lang="bash">
apt-get update
apt-get upgrade
</source>

2. Eemaldamiseks käsk
<source lang="bash">
apt-get remove suricata
</source>

= Esmane seadistamine =

Need käsud käivita serveris juurkasutajaõigustes.

1. Loome kausta Suricata logide jaoks.
<source lang="bash">
mkdir /var/log/suricata
</source>

2. Avame faili /etc/suricata/suricata.yaml
<source lang="bash">
nano /etc/suricata/suricata.yaml
</source>

3. Kirjeldame, millised operatsioonisüsteemid on meie võrgus seal, kus hakkab rida "host-os-policy" ja nimetame nende ip aadressid. <ref>Yamli Host-os-policy informatsioon, https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricatayaml#Host-os-policy</ref>
<source lang="bash">
host-os-policy:
# Make the default policy windows.
windows: []
bsd: []
bsd-right: []
old-linux: []
linux: [192.168.56.200, 192.168.56.201, 192.168.56.101, 127.0.0.1]
old-solaris: []
solaris: []
hpux10: []
hpux11: []
irix: []
macos: []
vista: []
</source>

4. Kirjeldame koduvõrgu ip aadressi vahemiku kohas, mis algab reaga "address-groups:" <ref>Yamli address-groups lahtiseletus, https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricatayaml#Rule-vars</ref>

<source lang="bash">
address-groups:

HOME_NET: "[192.168.56.0/24]"

EXTERNAL_NET: "!$HOME_NET"
</source>

== Kiire testimine <ref>Suricata testimine ühe reegli abil, http://www.linux.org/threads/suricata-the-snort-replacer-part-2-configure-test.4348/</ref> ==

Need käsud käivita serveris juurkasutaja õigustes.

1. Loome faili test.rules kausta /etc/suricata/rules/
<source lang="bash">
touch /etc/suricata/rules/test.rules
</source>

2. Kirjutama test.rules faili testimise jaoks ühe reegli.
<source lang="bash">
alert ip any any -> any any (msg:"ICMP detected"; sid:2; rev:1;)
</source>

3. Avame uuesti faili /etc/suricata/suricata.yaml, kus lähme asukohta, mis hakkab reaga "rule_files:" ja kommenteerime kõik reeglid välja ja kirjeldame seal oma reegli nimega "test.rules".
<source lang="bash">
rule-files:
- test.rules
# - botcc.rules
# - ciarmy.rules
# - compromised.rules
# - drop.rules
# - dshield.rules
# - emerging-activex.rules
# - emerging-attack_response.rules
# - emerging-chat.rules
# - emerging-current_events.rules
# - emerging-dns.rules
# - emerging-dos.rules
# - emerging-exploit.rules
# - emerging-ftp.rules
...
</source>

4. Paneme suricata monitoorima eth1 liidese peal.
<source lang="bash">
suricata -c /etc/suricata/suricata.yaml -i eth1
</source>

5. Teeme oma kliendi masina pealt pingi Suricata serveri pihta.
<source lang="bash">
ping 192.168.56.201
</source>

6. Laseme tunde järgi pingida ja seejärel paneme monitoorimise kinni ning vaatame logi.
<source lang="bash">
less /var/log/suricata/fast.log
</source>

7. Logi sisu peaks olema umbes selline:
<source lang="bash">
01/15/2014-00:08:59.409903 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.101:8 -> 192.168.56.201:0
01/15/2014-00:08:59.409937 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.201:0 -> 192.168.56.101:0
01/15/2014-00:09:00.410130 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.101:8 -> 192.168.56.201:0
01/15/2014-00:09:00.410171 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.201:0 -> 192.168.56.101:0
</source>

8. Edasi saab logi puhul kasutada mõnda sündmuste korreleerimise töörista nagu näiteks SEC, mille kohta saab lugeda siit: http://simple-evcorr.sourceforge.net/SEC-tutorial/article.html või uurida EIK enda wikist teemat [https://wiki.itcollege.ee/index.php/Keskne_logihaldus_Rsyslog_ja_SEC_n%C3%A4itel Keskne logihaldus Rsyslog ja SEC näitel].

=Kokkuvõte=

= Kasulikud materjalid =

*http://www.linux.org/threads/suricata-the-snort-replacer-part-1-intro-install.4346/
*http://www.linux.org/threads/suricata-the-snort-replacer-part-2-configure-test.4348/
*http://www.linux.org/threads/suricata-the-snort-replacer-part-3-rules.4363/
*http://suricata-ids.org/
*https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricata_Installation
*https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Basic_Setup
*

[[Category: Linuxi administreerimine]]

= Viited =

<references />

Suricata

2014-01-16T11:06:19Z

Maleppik: /* Nõuded */

Autorid: Martin Leppik ja Randel Raidmets

Rühm: A31

Kuupäev: 12.12.2013

= Eesmärk =

Linuxi administreerimise aine raames paigaldada vastavale Ubuntu serverile sissetungimise avastamise süsteem nimega Suricata. Pärast paigaldust konfigureerida peamised sätted ja reeglid ning viimasena testida süsteemi toimimist.

= Eeldused =

*Baasteadmised Linuxist.
*Oskus hakkama saada käsureaga.
*Algteadmised võrgundusest (Cisco CCNA1).

= Mis on Suricata? =

Suricata on suure jõudlusega võrgu sissetungimise, ennetamise ja turvalisuse monitoorimise mootor. See on avatud lähtekoodiga ja omanikuks on kommuun, mida juhib mittetulunduslik sihtasutus "the Open Information Security Foundation" ehk OISF. <ref>Suricata kirjeldus, http://suricata-ids.org/</ref> Suricata mootor pole ainult mõeldud selleks, et vahetada välja või emuleerida olemasolevaid tööriistu, vaid tuua uusi ideid ja tehnoloogiaid maastikule. Suricata mootor ja HTP teek on saadaval GPLv2 alusel. <ref>Suricata tutvustus OISF-i kodulehel, https://redmine.openinfosecfoundation.org/projects/suricata/wiki/What_is_Suricata</ref>

== Suricata eelised Snordi ees <ref> Miks kasutada Suricatat?,https://alienvault.bloomfire.com/posts/525383-when-should-i-use-suricata/public</ref> ==

Suricata on alternatiivne variant Snordile, mille reeglid ühilduvad ka Suricataga, mille tõttu võib väikse vaevaga Snordi Suricata vastu välja vahetada.

Mõned Suricata eelised:
*Suurem jõudlus (Suricata kasutab mitmelõimelist, kuid Snort ühelõimelilt töötlemist)
*Parem liikluse nähtavus (Suricatal on nähtavus rakenduskihis (OSI 7. kiht), mis suurendab pahatahtliku sisu avastamist)
*Kiirem normaliseerimine ja parsimine HTTP voogude jaoks.
*Automatiseeritud protokolli tuvastus (Vähendab valepositiivseid tulemusi ja avastamme protokolle, mis töötavad mittestandardsetel portidel)
*Suricatat paigaldatakse ka komertstoodete sisse.
*Ainus lahendus, mis töötab otse riistavara peal, mille tõttu on olemas ka spetsiaalseid riistavarilisi lahendusi Suricata jaoks.

= Süsteemi üldkirjeldus =
Suricatat on võimalik konfigureerida nii IDS'ks kui ka IPS'ks.

== IDS/IPS esitus graafilisel kujul ==

IPS kasutamis võimalused võrgu ehituses:

[[File:Diagram1.jpeg]]
[[File:Diagram2.jpeg]]

IDS kasutamis võimalused võrgu ehituses:

[[File:Diagram3.jpeg]]

= Nõuded =

Nii server kui ka klient töötavad meie lahenduse puhul Oracle'i [https://www.virtualbox.org/wiki/Downloads Virtualboxi] peal.

Kasutame näidetes Ubuntu serverit ja Ubuntu klienti (sobiv klient valida ise - Ubuntu, Lubuntu, Xubuntu, Kubuntu).

Toetatud on sellised ubuntu 32bit ja 64bit versioonid <ref>Toetatud ubuntu versioonide nimekiri, https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Ubuntu_Installation_-_Personal_Package_Archives_%28PPA%29</ref>:

*10.04 Lucid
*12.04 Precise
*12.10 Quantal
*13.04 Raring
*13.10 Saucy

Lisaks on soovitav on kasutada "Guest Additione"-it.

''' Ubuntu Server '''

*RAM 512MB
*HDD dynamicly allocated 8GB
*2 Võrgukaarti NIC1 - NAT (eth0 - Ubuntus) ja NIC2 - HostOnly (eth1 - Ubuntus)
*Liidese eth1 lisada staatiline ip aadress - 192.168.56.xxx
*OpenSSH serveri olemasolu

Kasutasime eelnevalt seadistatud [http://elab.itcollege.ee:8000/infra_server.ova serverit], mis on pärit IT infrastruktuuri teenuste ainest, mida muutsime (sellest lähemalt eelseadistuse osas).
Kasutajanimi ja parool on student.

''' Klient '''

*RAM vastavalt graafilise keskkonna nõuetele. Soovitav 512 - 1024MB
*HDD dynamicly allocated 8GB
*2 Võrgukaarti NIC1 - NAT (eth0 - Ubuntus) ja NIC2 - HostOnly (eth1 - Ubuntus)

Kasutasime eelnevalt seadistatud [http://elab.itcollege.ee:8000/infra_klient.ova klienti]. Kasutajanimi ja parool on student.

= Eelseadistus(kasutades eelpaigaldatud serverit) =

Kõik käsud käivitame serveris juurkasutaja õigustes.

Juurkasutajale üleminek:
<source lang="bash">
sudo -i
</source>

1.Muudame ära hostname'i nimeks "suricata".
<source lang="bash">
nano /etc/hostname
</source>

2.Muudame liidese eth1 IP aadressi selliseks 192.168.56.201.
<source lang="bash">
nano /etc/network/interfaces
</source>

Liidese eth1 näidis:
<source lang="bash">
auto eth1
iface eth1 inet static
address 192.168.56.201
netmask 255.255.255.0
</source>

3. Kirjeldame faili /etc/hosts sisu
<source lang="bash">
nano /etc/hosts
</source>

Faili /etc/hosts faili näidis:
<source lang="bash">
127.0.0.1 localhost
127.0.1.1 suricata.planet.zz suricata
192.168.56.201 suricata.planet.zz suricata
192.168.56.200 puppetmaster.planet.zz puppetmaster
192.168.56.101 klient.planet.zz klient
</source>

4. Uuendame ära tarkvara nimekirja info
<source lang="bash">
apt-get update
</source>

5. Uuendame ära tarkvara
<source lang="bash">
apt-get upgrade
</source>

= Paigaldus Ubuntu serveris (võimaldab kasutada nii IDS kui IPS funktsioone) <ref> Suricata paigaldus Ubuntus, https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Ubuntu_Installation_from_GIT</ref> =

Kõik käsud käivitame serveris juurkasutaja õigustes.

1. Kõigepealt paigaldame paki nimega "python-software-properties", kuna selle sees asub programm "add-apt-repository", mida kasutame järgmisena.
<source lang="bash">
apt-get install python-software-properties
</source>

2. Viimase stabiilse Suricata versiooni jaoks käivita vastavad käsud:
<source lang="bash">
add-apt-repository ppa:oisf/suricata-stable
apt-get update
</source>

3. Järgmisena paigalda Suricata
<source lang="bash">
apt-get install suricata
</source>

== Uuendamine ja eemaldamine ==

1. Suricata uuendamiseks käsud
<source lang="bash">
apt-get update
apt-get upgrade
</source>

2. Eemaldamiseks käsk
<source lang="bash">
apt-get remove suricata
</source>

= Esmane seadistamine =

Need käsud käivita serveris juurkasutajaõigustes.

1. Loome kausta Suricata logide jaoks.
<source lang="bash">
mkdir /var/log/suricata
</source>

2. Avame faili /etc/suricata/suricata.yaml
<source lang="bash">
nano /etc/suricata/suricata.yaml
</source>

3. Kirjeldame, millised operatsioonisüsteemid on meie võrgus seal, kus hakkab rida "host-os-policy" ja nimetame nende ip aadressid. <ref>Yamli Host-os-policy informatsioon, https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricatayaml#Host-os-policy</ref>
<source lang="bash">
host-os-policy:
# Make the default policy windows.
windows: []
bsd: []
bsd-right: []
old-linux: []
linux: [192.168.56.200, 192.168.56.201, 192.168.56.101, 127.0.0.1]
old-solaris: []
solaris: []
hpux10: []
hpux11: []
irix: []
macos: []
vista: []
</source>

4. Kirjeldame koduvõrgu ip aadressi vahemiku kohas, mis algab reaga "address-groups:" <ref>Yamli address-groups lahtiseletus, https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricatayaml#Rule-vars</ref>

<source lang="bash">
address-groups:

HOME_NET: "[192.168.56.0/24]"

EXTERNAL_NET: "!$HOME_NET"
</source>

== Kiire testimine <ref>Suricata testimine ühe reegli abil, http://www.linux.org/threads/suricata-the-snort-replacer-part-2-configure-test.4348/</ref> ==

Need käsud käivita serveris juurkasutaja õigustes.

1. Loome faili test.rules kausta /etc/suricata/rules/
<source lang="bash">
touch /etc/suricata/rules/test.rules
</source>

2. Kirjutama test.rules faili testimise jaoks ühe reegli.
<source lang="bash">
alert ip any any -> any any (msg:"ICMP detected"; sid:2; rev:1;)
</source>

3. Avame uuesti faili /etc/suricata/suricata.yaml, kus lähme asukohta, mis hakkab reaga "rule_files:" ja kommenteerime kõik reeglid välja ja kirjeldame seal oma reegli nimega "test.rules".
<source lang="bash">
rule-files:
- test.rules
# - botcc.rules
# - ciarmy.rules
# - compromised.rules
# - drop.rules
# - dshield.rules
# - emerging-activex.rules
# - emerging-attack_response.rules
# - emerging-chat.rules
# - emerging-current_events.rules
# - emerging-dns.rules
# - emerging-dos.rules
# - emerging-exploit.rules
# - emerging-ftp.rules
...
</source>

4. Paneme suricata monitoorima eth1 liidese peal.
<source lang="bash">
suricata -c /etc/suricata/suricata.yaml -i eth1
</source>

5. Teeme oma kliendi masina pealt pingi Suricata serveri pihta.
<source lang="bash">
ping 192.168.56.201
</source>

6. Laseme tunde järgi pingida ja seejärel paneme monitoorimise kinni ning vaatame logi.
<source lang="bash">
less /var/log/suricata/fast.log
</source>

7. Logi sisu peaks olema umbes selline:
<source lang="bash">
01/15/2014-00:08:59.409903 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.101:8 -> 192.168.56.201:0
01/15/2014-00:08:59.409937 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.201:0 -> 192.168.56.101:0
01/15/2014-00:09:00.410130 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.101:8 -> 192.168.56.201:0
01/15/2014-00:09:00.410171 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.201:0 -> 192.168.56.101:0
</source>

8. Edasi saab logi puhul kasutada mõnda sündmuste korreleerimise töörista nagu näiteks SEC, mille kohta saab lugeda siit: http://simple-evcorr.sourceforge.net/SEC-tutorial/article.html või uurida EIK enda wikist teemat [https://wiki.itcollege.ee/index.php/Keskne_logihaldus_Rsyslog_ja_SEC_n%C3%A4itel Keskne logihaldus Rsyslog ja SEC näitel].

=Kokkuvõte=

= Kasulikud materjalid =

*http://www.linux.org/threads/suricata-the-snort-replacer-part-1-intro-install.4346/
*http://www.linux.org/threads/suricata-the-snort-replacer-part-2-configure-test.4348/
*http://www.linux.org/threads/suricata-the-snort-replacer-part-3-rules.4363/
*http://suricata-ids.org/
*https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricata_Installation
*https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Basic_Setup
*

[[Category: Linuxi administreerimine]]

= Viited =

<references />

Suricata

2014-01-16T11:04:55Z

Maleppik: /* Nõuded */

Autorid: Martin Leppik ja Randel Raidmets

Rühm: A31

Kuupäev: 12.12.2013

= Eesmärk =

Linuxi administreerimise aine raames paigaldada vastavale Ubuntu serverile sissetungimise avastamise süsteem nimega Suricata. Pärast paigaldust konfigureerida peamised sätted ja reeglid ning viimasena testida süsteemi toimimist.

= Eeldused =

*Baasteadmised Linuxist.
*Oskus hakkama saada käsureaga.
*Algteadmised võrgundusest (Cisco CCNA1).

= Mis on Suricata? =

Suricata on suure jõudlusega võrgu sissetungimise, ennetamise ja turvalisuse monitoorimise mootor. See on avatud lähtekoodiga ja omanikuks on kommuun, mida juhib mittetulunduslik sihtasutus "the Open Information Security Foundation" ehk OISF. <ref>Suricata kirjeldus, http://suricata-ids.org/</ref> Suricata mootor pole ainult mõeldud selleks, et vahetada välja või emuleerida olemasolevaid tööriistu, vaid tuua uusi ideid ja tehnoloogiaid maastikule. Suricata mootor ja HTP teek on saadaval GPLv2 alusel. <ref>Suricata tutvustus OISF-i kodulehel, https://redmine.openinfosecfoundation.org/projects/suricata/wiki/What_is_Suricata</ref>

== Suricata eelised Snordi ees <ref> Miks kasutada Suricatat?,https://alienvault.bloomfire.com/posts/525383-when-should-i-use-suricata/public</ref> ==

Suricata on alternatiivne variant Snordile, mille reeglid ühilduvad ka Suricataga, mille tõttu võib väikse vaevaga Snordi Suricata vastu välja vahetada.

Mõned Suricata eelised:
*Suurem jõudlus (Suricata kasutab mitmelõimelist, kuid Snort ühelõimelilt töötlemist)
*Parem liikluse nähtavus (Suricatal on nähtavus rakenduskihis (OSI 7. kiht), mis suurendab pahatahtliku sisu avastamist)
*Kiirem normaliseerimine ja parsimine HTTP voogude jaoks.
*Automatiseeritud protokolli tuvastus (Vähendab valepositiivseid tulemusi ja avastamme protokolle, mis töötavad mittestandardsetel portidel)
*Suricatat paigaldatakse ka komertstoodete sisse.
*Ainus lahendus, mis töötab otse riistavara peal, mille tõttu on olemas ka spetsiaalseid riistavarilisi lahendusi Suricata jaoks.

= Süsteemi üldkirjeldus =
Suricatat on võimalik konfigureerida nii IDS'ks kui ka IPS'ks.

== IDS/IPS esitus graafilisel kujul ==

IPS kasutamis võimalused võrgu ehituses:

[[File:Diagram1.jpeg]]
[[File:Diagram2.jpeg]]

IDS kasutamis võimalused võrgu ehituses:

[[File:Diagram3.jpeg]]

= Nõuded =

Nii server kui ka klient töötavad meie lahenduse puhul Oracle'i [https://www.virtualbox.org/wiki/Downloads Virtualboxi] peal.

Kasutame näidetes Ubuntu serverit ja Ubuntu klienti (sobiv klient valida ise - Ubuntu, Lubuntu, Xubuntu, Kubuntu).
Toetatud on sellised ubuntu 32bit ja 64bit versioonid:

*10.04 Lucid
*12.04 Precise
*12.10 Quantal
*13.04 Raring
*13.10 Saucy

Lisaks on soovitav on kasutada "Guest Additione"-it.

''' Ubuntu Server '''

*RAM 512MB
*HDD dynamicly allocated 8GB
*2 Võrgukaarti NIC1 - NAT (eth0 - Ubuntus) ja NIC2 - HostOnly (eth1 - Ubuntus)
*Liidese eth1 lisada staatiline ip aadress - 192.168.56.xxx
*OpenSSH serveri olemasolu

Kasutasime eelnevalt seadistatud [http://elab.itcollege.ee:8000/infra_server.ova serverit], mis on pärit IT infrastruktuuri teenuste ainest, mida muutsime (sellest lähemalt eelseadistuse osas).
Kasutajanimi ja parool on student.

''' Klient '''

*RAM vastavalt graafilise keskkonna nõuetele. Soovitav 512 - 1024MB
*HDD dynamicly allocated 8GB
*2 Võrgukaarti NIC1 - NAT (eth0 - Ubuntus) ja NIC2 - HostOnly (eth1 - Ubuntus)

Kasutasime eelnevalt seadistatud [http://elab.itcollege.ee:8000/infra_klient.ova klienti]. Kasutajanimi ja parool on student.

= Eelseadistus(kasutades eelpaigaldatud serverit) =

Kõik käsud käivitame serveris juurkasutaja õigustes.

Juurkasutajale üleminek:
<source lang="bash">
sudo -i
</source>

1.Muudame ära hostname'i nimeks "suricata".
<source lang="bash">
nano /etc/hostname
</source>

2.Muudame liidese eth1 IP aadressi selliseks 192.168.56.201.
<source lang="bash">
nano /etc/network/interfaces
</source>

Liidese eth1 näidis:
<source lang="bash">
auto eth1
iface eth1 inet static
address 192.168.56.201
netmask 255.255.255.0
</source>

3. Kirjeldame faili /etc/hosts sisu
<source lang="bash">
nano /etc/hosts
</source>

Faili /etc/hosts faili näidis:
<source lang="bash">
127.0.0.1 localhost
127.0.1.1 suricata.planet.zz suricata
192.168.56.201 suricata.planet.zz suricata
192.168.56.200 puppetmaster.planet.zz puppetmaster
192.168.56.101 klient.planet.zz klient
</source>

4. Uuendame ära tarkvara nimekirja info
<source lang="bash">
apt-get update
</source>

5. Uuendame ära tarkvara
<source lang="bash">
apt-get upgrade
</source>

= Paigaldus Ubuntu serveris (võimaldab kasutada nii IDS kui IPS funktsioone) <ref> Suricata paigaldus Ubuntus, https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Ubuntu_Installation_from_GIT</ref> =

Kõik käsud käivitame serveris juurkasutaja õigustes.

1. Kõigepealt paigaldame paki nimega "python-software-properties", kuna selle sees asub programm "add-apt-repository", mida kasutame järgmisena.
<source lang="bash">
apt-get install python-software-properties
</source>

2. Viimase stabiilse Suricata versiooni jaoks käivita vastavad käsud:
<source lang="bash">
add-apt-repository ppa:oisf/suricata-stable
apt-get update
</source>

3. Järgmisena paigalda Suricata
<source lang="bash">
apt-get install suricata
</source>

== Uuendamine ja eemaldamine ==

1. Suricata uuendamiseks käsud
<source lang="bash">
apt-get update
apt-get upgrade
</source>

2. Eemaldamiseks käsk
<source lang="bash">
apt-get remove suricata
</source>

= Esmane seadistamine =

Need käsud käivita serveris juurkasutajaõigustes.

1. Loome kausta Suricata logide jaoks.
<source lang="bash">
mkdir /var/log/suricata
</source>

2. Avame faili /etc/suricata/suricata.yaml
<source lang="bash">
nano /etc/suricata/suricata.yaml
</source>

3. Kirjeldame, millised operatsioonisüsteemid on meie võrgus seal, kus hakkab rida "host-os-policy" ja nimetame nende ip aadressid. <ref>Yamli Host-os-policy informatsioon, https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricatayaml#Host-os-policy</ref>
<source lang="bash">
host-os-policy:
# Make the default policy windows.
windows: []
bsd: []
bsd-right: []
old-linux: []
linux: [192.168.56.200, 192.168.56.201, 192.168.56.101, 127.0.0.1]
old-solaris: []
solaris: []
hpux10: []
hpux11: []
irix: []
macos: []
vista: []
</source>

4. Kirjeldame koduvõrgu ip aadressi vahemiku kohas, mis algab reaga "address-groups:" <ref>Yamli address-groups lahtiseletus, https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricatayaml#Rule-vars</ref>

<source lang="bash">
address-groups:

HOME_NET: "[192.168.56.0/24]"

EXTERNAL_NET: "!$HOME_NET"
</source>

== Kiire testimine <ref>Suricata testimine ühe reegli abil, http://www.linux.org/threads/suricata-the-snort-replacer-part-2-configure-test.4348/</ref> ==

Need käsud käivita serveris juurkasutaja õigustes.

1. Loome faili test.rules kausta /etc/suricata/rules/
<source lang="bash">
touch /etc/suricata/rules/test.rules
</source>

2. Kirjutama test.rules faili testimise jaoks ühe reegli.
<source lang="bash">
alert ip any any -> any any (msg:"ICMP detected"; sid:2; rev:1;)
</source>

3. Avame uuesti faili /etc/suricata/suricata.yaml, kus lähme asukohta, mis hakkab reaga "rule_files:" ja kommenteerime kõik reeglid välja ja kirjeldame seal oma reegli nimega "test.rules".
<source lang="bash">
rule-files:
- test.rules
# - botcc.rules
# - ciarmy.rules
# - compromised.rules
# - drop.rules
# - dshield.rules
# - emerging-activex.rules
# - emerging-attack_response.rules
# - emerging-chat.rules
# - emerging-current_events.rules
# - emerging-dns.rules
# - emerging-dos.rules
# - emerging-exploit.rules
# - emerging-ftp.rules
...
</source>

4. Paneme suricata monitoorima eth1 liidese peal.
<source lang="bash">
suricata -c /etc/suricata/suricata.yaml -i eth1
</source>

5. Teeme oma kliendi masina pealt pingi Suricata serveri pihta.
<source lang="bash">
ping 192.168.56.201
</source>

6. Laseme tunde järgi pingida ja seejärel paneme monitoorimise kinni ning vaatame logi.
<source lang="bash">
less /var/log/suricata/fast.log
</source>

7. Logi sisu peaks olema umbes selline:
<source lang="bash">
01/15/2014-00:08:59.409903 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.101:8 -> 192.168.56.201:0
01/15/2014-00:08:59.409937 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.201:0 -> 192.168.56.101:0
01/15/2014-00:09:00.410130 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.101:8 -> 192.168.56.201:0
01/15/2014-00:09:00.410171 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.201:0 -> 192.168.56.101:0
</source>

8. Edasi saab logi puhul kasutada mõnda sündmuste korreleerimise töörista nagu näiteks SEC, mille kohta saab lugeda siit: http://simple-evcorr.sourceforge.net/SEC-tutorial/article.html või uurida EIK enda wikist teemat [https://wiki.itcollege.ee/index.php/Keskne_logihaldus_Rsyslog_ja_SEC_n%C3%A4itel Keskne logihaldus Rsyslog ja SEC näitel].

=Kokkuvõte=

= Kasulikud materjalid =

*http://www.linux.org/threads/suricata-the-snort-replacer-part-1-intro-install.4346/
*http://www.linux.org/threads/suricata-the-snort-replacer-part-2-configure-test.4348/
*http://www.linux.org/threads/suricata-the-snort-replacer-part-3-rules.4363/
*http://suricata-ids.org/
*https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricata_Installation
*https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Basic_Setup
*

[[Category: Linuxi administreerimine]]

= Viited =

<references />

Suricata

2014-01-16T11:00:12Z

Maleppik: /* Nõuded */

Autorid: Martin Leppik ja Randel Raidmets

Rühm: A31

Kuupäev: 12.12.2013

= Eesmärk =

Linuxi administreerimise aine raames paigaldada vastavale Ubuntu serverile sissetungimise avastamise süsteem nimega Suricata. Pärast paigaldust konfigureerida peamised sätted ja reeglid ning viimasena testida süsteemi toimimist.

= Eeldused =

*Baasteadmised Linuxist.
*Oskus hakkama saada käsureaga.
*Algteadmised võrgundusest (Cisco CCNA1).

= Mis on Suricata? =

Suricata on suure jõudlusega võrgu sissetungimise, ennetamise ja turvalisuse monitoorimise mootor. See on avatud lähtekoodiga ja omanikuks on kommuun, mida juhib mittetulunduslik sihtasutus "the Open Information Security Foundation" ehk OISF. <ref>Suricata kirjeldus, http://suricata-ids.org/</ref> Suricata mootor pole ainult mõeldud selleks, et vahetada välja või emuleerida olemasolevaid tööriistu, vaid tuua uusi ideid ja tehnoloogiaid maastikule. Suricata mootor ja HTP teek on saadaval GPLv2 alusel. <ref>Suricata tutvustus OISF-i kodulehel, https://redmine.openinfosecfoundation.org/projects/suricata/wiki/What_is_Suricata</ref>

== Suricata eelised Snordi ees <ref> Miks kasutada Suricatat?,https://alienvault.bloomfire.com/posts/525383-when-should-i-use-suricata/public</ref> ==

Suricata on alternatiivne variant Snordile, mille reeglid ühilduvad ka Suricataga, mille tõttu võib väikse vaevaga Snordi Suricata vastu välja vahetada.

Mõned Suricata eelised:
*Suurem jõudlus (Suricata kasutab mitmelõimelist, kuid Snort ühelõimelilt töötlemist)
*Parem liikluse nähtavus (Suricatal on nähtavus rakenduskihis (OSI 7. kiht), mis suurendab pahatahtliku sisu avastamist)
*Kiirem normaliseerimine ja parsimine HTTP voogude jaoks.
*Automatiseeritud protokolli tuvastus (Vähendab valepositiivseid tulemusi ja avastamme protokolle, mis töötavad mittestandardsetel portidel)
*Suricatat paigaldatakse ka komertstoodete sisse.
*Ainus lahendus, mis töötab otse riistavara peal, mille tõttu on olemas ka spetsiaalseid riistavarilisi lahendusi Suricata jaoks.

= Süsteemi üldkirjeldus =

== IDS/IPS esitus graafilisel kujul ==

IPS kasutamis võimalused võrgu ehituses:

[[File:Diagram1.jpeg]]
[[File:Diagram2.jpeg]]

IDS kasutamis võimalused võrgu ehituses:

[[File:Diagram3.jpeg]]

= Nõuded =

Nii server kui ka klient töötavad meie lahenduse puhul Oracle'i [https://www.virtualbox.org/wiki/Downloads Virtualboxi] peal.

Kasutame näidetes Ubuntu serverit ja Ubuntu klienti (sobiv klient valida ise - Ubuntu, Lubuntu, Xubuntu, Kubuntu).

Lisaks on soovitav on kasutada "Guest Additione"-it.

''' Ubuntu Server '''

*RAM 512MB
*HDD dynamicly allocated 8GB
*2 Võrgukaarti NIC1 - NAT (eth0 - Ubuntus) ja NIC2 - HostOnly (eth1 - Ubuntus)
*Liidese eth1 lisada staatiline ip aadress - 192.168.56.xxx
*OpenSSH serveri olemasolu

Kasutasime eelnevalt seadistatud [http://elab.itcollege.ee:8000/infra_server.ova serverit], mis on pärit IT infrastruktuuri teenuste ainest, mida muutsime (sellest lähemalt eelseadistuse osas).
Kasutajanimi ja parool on student.

''' Klient '''

*RAM vastavalt graafilise keskkonna nõuetele. Soovitav 512 - 1024MB
*HDD dynamicly allocated 8GB
*2 Võrgukaarti NIC1 - NAT (eth0 - Ubuntus) ja NIC2 - HostOnly (eth1 - Ubuntus)

Kasutasime eelnevalt seadistatud [http://elab.itcollege.ee:8000/infra_klient.ova klienti]. Kasutajanimi ja parool on student.

= Eelseadistus(kasutades eelpaigaldatud serverit) =

Kõik käsud käivitame serveris juurkasutaja õigustes.

Juurkasutajale üleminek:
<source lang="bash">
sudo -i
</source>

1.Muudame ära hostname'i nimeks "suricata".
<source lang="bash">
nano /etc/hostname
</source>

2.Muudame liidese eth1 IP aadressi selliseks 192.168.56.201.
<source lang="bash">
nano /etc/network/interfaces
</source>

Liidese eth1 näidis:
<source lang="bash">
auto eth1
iface eth1 inet static
address 192.168.56.201
netmask 255.255.255.0
</source>

3. Kirjeldame faili /etc/hosts sisu
<source lang="bash">
nano /etc/hosts
</source>

Faili /etc/hosts faili näidis:
<source lang="bash">
127.0.0.1 localhost
127.0.1.1 suricata.planet.zz suricata
192.168.56.201 suricata.planet.zz suricata
192.168.56.200 puppetmaster.planet.zz puppetmaster
192.168.56.101 klient.planet.zz klient
</source>

4. Uuendame ära tarkvara nimekirja info
<source lang="bash">
apt-get update
</source>

5. Uuendame ära tarkvara
<source lang="bash">
apt-get upgrade
</source>

= Paigaldus Ubuntu serveris (võimaldab kasutada nii IDS kui IPS funktsioone) <ref> Suricata paigaldus Ubuntus, https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Ubuntu_Installation_from_GIT</ref> =

Kõik käsud käivitame serveris juurkasutaja õigustes.

1. Kõigepealt paigaldame paki nimega "python-software-properties", kuna selle sees asub programm "add-apt-repository", mida kasutame järgmisena.
<source lang="bash">
apt-get install python-software-properties
</source>

2. Viimase stabiilse Suricata versiooni jaoks käivita vastavad käsud:
<source lang="bash">
add-apt-repository ppa:oisf/suricata-stable
apt-get update
</source>

3. Järgmisena paigalda Suricata
<source lang="bash">
apt-get install suricata
</source>

== Uuendamine ja eemaldamine ==

1. Suricata uuendamiseks käsud
<source lang="bash">
apt-get update
apt-get upgrade
</source>

2. Eemaldamiseks käsk
<source lang="bash">
apt-get remove suricata
</source>

= Esmane seadistamine =

Need käsud käivita serveris juurkasutajaõigustes.

1. Loome kausta Suricata logide jaoks.
<source lang="bash">
mkdir /var/log/suricata
</source>

2. Avame faili /etc/suricata/suricata.yaml
<source lang="bash">
nano /etc/suricata/suricata.yaml
</source>

3. Kirjeldame, millised operatsioonisüsteemid on meie võrgus seal, kus hakkab rida "host-os-policy" ja nimetame nende ip aadressid. <ref>Yamli Host-os-policy informatsioon, https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricatayaml#Host-os-policy</ref>
<source lang="bash">
host-os-policy:
# Make the default policy windows.
windows: []
bsd: []
bsd-right: []
old-linux: []
linux: [192.168.56.200, 192.168.56.201, 192.168.56.101, 127.0.0.1]
old-solaris: []
solaris: []
hpux10: []
hpux11: []
irix: []
macos: []
vista: []
</source>

4. Kirjeldame koduvõrgu ip aadressi vahemiku kohas, mis algab reaga "address-groups:" <ref>Yamli address-groups lahtiseletus, https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricatayaml#Rule-vars</ref>

<source lang="bash">
address-groups:

HOME_NET: "[192.168.56.0/24]"

EXTERNAL_NET: "!$HOME_NET"
</source>

== Kiire testimine <ref>Suricata testimine ühe reegli abil, http://www.linux.org/threads/suricata-the-snort-replacer-part-2-configure-test.4348/</ref> ==

Need käsud käivita serveris juurkasutaja õigustes.

1. Loome faili test.rules kausta /etc/suricata/rules/
<source lang="bash">
touch /etc/suricata/rules/test.rules
</source>

2. Kirjutama test.rules faili testimise jaoks ühe reegli.
<source lang="bash">
alert ip any any -> any any (msg:"ICMP detected"; sid:2; rev:1;)
</source>

3. Avame uuesti faili /etc/suricata/suricata.yaml, kus lähme asukohta, mis hakkab reaga "rule_files:" ja kommenteerime kõik reeglid välja ja kirjeldame seal oma reegli nimega "test.rules".
<source lang="bash">
rule-files:
- test.rules
# - botcc.rules
# - ciarmy.rules
# - compromised.rules
# - drop.rules
# - dshield.rules
# - emerging-activex.rules
# - emerging-attack_response.rules
# - emerging-chat.rules
# - emerging-current_events.rules
# - emerging-dns.rules
# - emerging-dos.rules
# - emerging-exploit.rules
# - emerging-ftp.rules
...
</source>

4. Paneme suricata monitoorima eth1 liidese peal.
<source lang="bash">
suricata -c /etc/suricata/suricata.yaml -i eth1
</source>

5. Teeme oma kliendi masina pealt pingi Suricata serveri pihta.
<source lang="bash">
ping 192.168.56.201
</source>

6. Laseme tunde järgi pingida ja seejärel paneme monitoorimise kinni ning vaatame logi.
<source lang="bash">
less /var/log/suricata/fast.log
</source>

7. Logi sisu peaks olema umbes selline:
<source lang="bash">
01/15/2014-00:08:59.409903 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.101:8 -> 192.168.56.201:0
01/15/2014-00:08:59.409937 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.201:0 -> 192.168.56.101:0
01/15/2014-00:09:00.410130 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.101:8 -> 192.168.56.201:0
01/15/2014-00:09:00.410171 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.201:0 -> 192.168.56.101:0
</source>

8. Edasi saab logi puhul kasutada mõnda sündmuste korreleerimise töörista nagu näiteks SEC, mille kohta saab lugeda siit: http://simple-evcorr.sourceforge.net/SEC-tutorial/article.html või uurida EIK enda wikist teemat [https://wiki.itcollege.ee/index.php/Keskne_logihaldus_Rsyslog_ja_SEC_n%C3%A4itel Keskne logihaldus Rsyslog ja SEC näitel].

=Kokkuvõte=

= Kasulikud materjalid =

*http://www.linux.org/threads/suricata-the-snort-replacer-part-1-intro-install.4346/
*http://www.linux.org/threads/suricata-the-snort-replacer-part-2-configure-test.4348/
*http://www.linux.org/threads/suricata-the-snort-replacer-part-3-rules.4363/
*http://suricata-ids.org/
*https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricata_Installation
*https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Basic_Setup
*

[[Category: Linuxi administreerimine]]

= Viited =

<references />

Suricata

2014-01-16T10:59:24Z

Maleppik: /* Nõuded */

Autorid: Martin Leppik ja Randel Raidmets

Rühm: A31

Kuupäev: 12.12.2013

= Eesmärk =

Linuxi administreerimise aine raames paigaldada vastavale Ubuntu serverile sissetungimise avastamise süsteem nimega Suricata. Pärast paigaldust konfigureerida peamised sätted ja reeglid ning viimasena testida süsteemi toimimist.

= Eeldused =

*Baasteadmised Linuxist.
*Oskus hakkama saada käsureaga.
*Algteadmised võrgundusest (Cisco CCNA1).

= Mis on Suricata? =

Suricata on suure jõudlusega võrgu sissetungimise, ennetamise ja turvalisuse monitoorimise mootor. See on avatud lähtekoodiga ja omanikuks on kommuun, mida juhib mittetulunduslik sihtasutus "the Open Information Security Foundation" ehk OISF. <ref>Suricata kirjeldus, http://suricata-ids.org/</ref> Suricata mootor pole ainult mõeldud selleks, et vahetada välja või emuleerida olemasolevaid tööriistu, vaid tuua uusi ideid ja tehnoloogiaid maastikule. Suricata mootor ja HTP teek on saadaval GPLv2 alusel. <ref>Suricata tutvustus OISF-i kodulehel, https://redmine.openinfosecfoundation.org/projects/suricata/wiki/What_is_Suricata</ref>

== Suricata eelised Snordi ees <ref> Miks kasutada Suricatat?,https://alienvault.bloomfire.com/posts/525383-when-should-i-use-suricata/public</ref> ==

Suricata on alternatiivne variant Snordile, mille reeglid ühilduvad ka Suricataga, mille tõttu võib väikse vaevaga Snordi Suricata vastu välja vahetada.

Mõned Suricata eelised:
*Suurem jõudlus (Suricata kasutab mitmelõimelist, kuid Snort ühelõimelilt töötlemist)
*Parem liikluse nähtavus (Suricatal on nähtavus rakenduskihis (OSI 7. kiht), mis suurendab pahatahtliku sisu avastamist)
*Kiirem normaliseerimine ja parsimine HTTP voogude jaoks.
*Automatiseeritud protokolli tuvastus (Vähendab valepositiivseid tulemusi ja avastamme protokolle, mis töötavad mittestandardsetel portidel)
*Suricatat paigaldatakse ka komertstoodete sisse.
*Ainus lahendus, mis töötab otse riistavara peal, mille tõttu on olemas ka spetsiaalseid riistavarilisi lahendusi Suricata jaoks.

= Süsteemi üldkirjeldus =

IPS kasutamis võimalused võrgu ehituses:

[[File:Diagram1.jpeg]]
[[File:Diagram2.jpeg]]

IDS kasutamis võimalused võrgu ehituses:

[[File:Diagram3.jpeg]]

= Nõuded =

Nii server kui ka klient töötavad meie lahenduse puhul Oracle'i [https://www.virtualbox.org/wiki/Downloads Virtualboxi] peal.

Kasutame näidetes Ubuntu serverit ja Ubuntu klienti (sobiv klient valida ise - Ubuntu, Lubuntu, Xubuntu, Kubuntu).

Lisaks on soovitav on kasutada "Guest Additione"-it.

''' Ubuntu Server '''

*RAM 512MB
*HDD dynamicly allocated 8GB
*2 Võrgukaarti NIC1 - NAT (eth0 - Ubuntus) ja NIC2 - HostOnly (eth1 - Ubuntus)
*Liidese eth1 lisada staatiline ip aadress - 192.168.56.xxx
*OpenSSH serveri olemasolu

Kasutasime eelnevalt seadistatud [http://elab.itcollege.ee:8000/infra_server.ova serverit], mis on pärit IT infrastruktuuri teenuste ainest, mida muutsime (sellest lähemalt eelseadistuse osas).
Kasutajanimi ja parool on student.

''' Klient '''

*RAM vastavalt graafilise keskkonna nõuetele. Soovitav 512 - 1024MB
*HDD dynamicly allocated 8GB
*2 Võrgukaarti NIC1 - NAT (eth0 - Ubuntus) ja NIC2 - HostOnly (eth1 - Ubuntus)

Kasutasime eelnevalt seadistatud [http://elab.itcollege.ee:8000/infra_klient.ova klienti]. Kasutajanimi ja parool on student.

= Eelseadistus(kasutades eelpaigaldatud serverit) =

Kõik käsud käivitame serveris juurkasutaja õigustes.

Juurkasutajale üleminek:
<source lang="bash">
sudo -i
</source>

1.Muudame ära hostname'i nimeks "suricata".
<source lang="bash">
nano /etc/hostname
</source>

2.Muudame liidese eth1 IP aadressi selliseks 192.168.56.201.
<source lang="bash">
nano /etc/network/interfaces
</source>

Liidese eth1 näidis:
<source lang="bash">
auto eth1
iface eth1 inet static
address 192.168.56.201
netmask 255.255.255.0
</source>

3. Kirjeldame faili /etc/hosts sisu
<source lang="bash">
nano /etc/hosts
</source>

Faili /etc/hosts faili näidis:
<source lang="bash">
127.0.0.1 localhost
127.0.1.1 suricata.planet.zz suricata
192.168.56.201 suricata.planet.zz suricata
192.168.56.200 puppetmaster.planet.zz puppetmaster
192.168.56.101 klient.planet.zz klient
</source>

4. Uuendame ära tarkvara nimekirja info
<source lang="bash">
apt-get update
</source>

5. Uuendame ära tarkvara
<source lang="bash">
apt-get upgrade
</source>

= Paigaldus Ubuntu serveris (võimaldab kasutada nii IDS kui IPS funktsioone) <ref> Suricata paigaldus Ubuntus, https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Ubuntu_Installation_from_GIT</ref> =

Kõik käsud käivitame serveris juurkasutaja õigustes.

1. Kõigepealt paigaldame paki nimega "python-software-properties", kuna selle sees asub programm "add-apt-repository", mida kasutame järgmisena.
<source lang="bash">
apt-get install python-software-properties
</source>

2. Viimase stabiilse Suricata versiooni jaoks käivita vastavad käsud:
<source lang="bash">
add-apt-repository ppa:oisf/suricata-stable
apt-get update
</source>

3. Järgmisena paigalda Suricata
<source lang="bash">
apt-get install suricata
</source>

== Uuendamine ja eemaldamine ==

1. Suricata uuendamiseks käsud
<source lang="bash">
apt-get update
apt-get upgrade
</source>

2. Eemaldamiseks käsk
<source lang="bash">
apt-get remove suricata
</source>

= Esmane seadistamine =

Need käsud käivita serveris juurkasutajaõigustes.

1. Loome kausta Suricata logide jaoks.
<source lang="bash">
mkdir /var/log/suricata
</source>

2. Avame faili /etc/suricata/suricata.yaml
<source lang="bash">
nano /etc/suricata/suricata.yaml
</source>

3. Kirjeldame, millised operatsioonisüsteemid on meie võrgus seal, kus hakkab rida "host-os-policy" ja nimetame nende ip aadressid. <ref>Yamli Host-os-policy informatsioon, https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricatayaml#Host-os-policy</ref>
<source lang="bash">
host-os-policy:
# Make the default policy windows.
windows: []
bsd: []
bsd-right: []
old-linux: []
linux: [192.168.56.200, 192.168.56.201, 192.168.56.101, 127.0.0.1]
old-solaris: []
solaris: []
hpux10: []
hpux11: []
irix: []
macos: []
vista: []
</source>

4. Kirjeldame koduvõrgu ip aadressi vahemiku kohas, mis algab reaga "address-groups:" <ref>Yamli address-groups lahtiseletus, https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricatayaml#Rule-vars</ref>

<source lang="bash">
address-groups:

HOME_NET: "[192.168.56.0/24]"

EXTERNAL_NET: "!$HOME_NET"
</source>

== Kiire testimine <ref>Suricata testimine ühe reegli abil, http://www.linux.org/threads/suricata-the-snort-replacer-part-2-configure-test.4348/</ref> ==

Need käsud käivita serveris juurkasutaja õigustes.

1. Loome faili test.rules kausta /etc/suricata/rules/
<source lang="bash">
touch /etc/suricata/rules/test.rules
</source>

2. Kirjutama test.rules faili testimise jaoks ühe reegli.
<source lang="bash">
alert ip any any -> any any (msg:"ICMP detected"; sid:2; rev:1;)
</source>

3. Avame uuesti faili /etc/suricata/suricata.yaml, kus lähme asukohta, mis hakkab reaga "rule_files:" ja kommenteerime kõik reeglid välja ja kirjeldame seal oma reegli nimega "test.rules".
<source lang="bash">
rule-files:
- test.rules
# - botcc.rules
# - ciarmy.rules
# - compromised.rules
# - drop.rules
# - dshield.rules
# - emerging-activex.rules
# - emerging-attack_response.rules
# - emerging-chat.rules
# - emerging-current_events.rules
# - emerging-dns.rules
# - emerging-dos.rules
# - emerging-exploit.rules
# - emerging-ftp.rules
...
</source>

4. Paneme suricata monitoorima eth1 liidese peal.
<source lang="bash">
suricata -c /etc/suricata/suricata.yaml -i eth1
</source>

5. Teeme oma kliendi masina pealt pingi Suricata serveri pihta.
<source lang="bash">
ping 192.168.56.201
</source>

6. Laseme tunde järgi pingida ja seejärel paneme monitoorimise kinni ning vaatame logi.
<source lang="bash">
less /var/log/suricata/fast.log
</source>

7. Logi sisu peaks olema umbes selline:
<source lang="bash">
01/15/2014-00:08:59.409903 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.101:8 -> 192.168.56.201:0
01/15/2014-00:08:59.409937 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.201:0 -> 192.168.56.101:0
01/15/2014-00:09:00.410130 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.101:8 -> 192.168.56.201:0
01/15/2014-00:09:00.410171 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.201:0 -> 192.168.56.101:0
</source>

8. Edasi saab logi puhul kasutada mõnda sündmuste korreleerimise töörista nagu näiteks SEC, mille kohta saab lugeda siit: http://simple-evcorr.sourceforge.net/SEC-tutorial/article.html või uurida EIK enda wikist teemat [https://wiki.itcollege.ee/index.php/Keskne_logihaldus_Rsyslog_ja_SEC_n%C3%A4itel Keskne logihaldus Rsyslog ja SEC näitel].

=Kokkuvõte=

= Kasulikud materjalid =

*http://www.linux.org/threads/suricata-the-snort-replacer-part-1-intro-install.4346/
*http://www.linux.org/threads/suricata-the-snort-replacer-part-2-configure-test.4348/
*http://www.linux.org/threads/suricata-the-snort-replacer-part-3-rules.4363/
*http://suricata-ids.org/
*https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricata_Installation
*https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Basic_Setup
*

[[Category: Linuxi administreerimine]]

= Viited =

<references />

Suricata

2014-01-16T10:55:04Z

Maleppik: /* Kiire testimine Suricata testimine ühe reegli abil, http://www.linux.org/threads/suricata-the-snort-replacer-part-2-configure-test.4348/ */

Autorid: Martin Leppik ja Randel Raidmets

Rühm: A31

Kuupäev: 12.12.2013

= Eesmärk =

Linuxi administreerimise aine raames paigaldada vastavale Ubuntu serverile sissetungimise avastamise süsteem nimega Suricata. Pärast paigaldust konfigureerida peamised sätted ja reeglid ning viimasena testida süsteemi toimimist.

= Eeldused =

*Baasteadmised Linuxist.
*Oskus hakkama saada käsureaga.
*Algteadmised võrgundusest (Cisco CCNA1).

= Mis on Suricata? =

Suricata on suure jõudlusega võrgu sissetungimise, ennetamise ja turvalisuse monitoorimise mootor. See on avatud lähtekoodiga ja omanikuks on kommuun, mida juhib mittetulunduslik sihtasutus "the Open Information Security Foundation" ehk OISF. <ref>Suricata kirjeldus, http://suricata-ids.org/</ref> Suricata mootor pole ainult mõeldud selleks, et vahetada välja või emuleerida olemasolevaid tööriistu, vaid tuua uusi ideid ja tehnoloogiaid maastikule. Suricata mootor ja HTP teek on saadaval GPLv2 alusel. <ref>Suricata tutvustus OISF-i kodulehel, https://redmine.openinfosecfoundation.org/projects/suricata/wiki/What_is_Suricata</ref>

== Suricata eelised Snordi ees <ref> Miks kasutada Suricatat?,https://alienvault.bloomfire.com/posts/525383-when-should-i-use-suricata/public</ref> ==

Suricata on alternatiivne variant Snordile, mille reeglid ühilduvad ka Suricataga, mille tõttu võib väikse vaevaga Snordi Suricata vastu välja vahetada.

Mõned Suricata eelised:
*Suurem jõudlus (Suricata kasutab mitmelõimelist, kuid Snort ühelõimelilt töötlemist)
*Parem liikluse nähtavus (Suricatal on nähtavus rakenduskihis (OSI 7. kiht), mis suurendab pahatahtliku sisu avastamist)
*Kiirem normaliseerimine ja parsimine HTTP voogude jaoks.
*Automatiseeritud protokolli tuvastus (Vähendab valepositiivseid tulemusi ja avastamme protokolle, mis töötavad mittestandardsetel portidel)
*Suricatat paigaldatakse ka komertstoodete sisse.
*Ainus lahendus, mis töötab otse riistavara peal, mille tõttu on olemas ka spetsiaalseid riistavarilisi lahendusi Suricata jaoks.

= Süsteemi üldkirjeldus =

Siia tuleb panna skeem ja juurde kirjutada.
[[File:Diagram1.jpeg]]

= Nõuded =

Nii server kui ka klient töötavad meie lahenduse puhul Oracle'i [https://www.virtualbox.org/wiki/Downloads Virtualboxi] peal.

Kasutame näidetes Ubuntu serverit ja Ubuntu klienti(sobiv klient valida ise - Ubuntu, Lubuntu, Xubuntu, Kubuntu)

Lisaks on soovitav on kasutada "Guest Additione"-it.

''' Ubuntu Server '''

*RAM 512MB
*HDD dynamicly allocated 8GB
*2 Võrgukaarti NIC1 - NAT (eth0 - Ubuntus) ja NIC2 - HostOnly (eth1 - Ubuntus)
*Liidese eth1 lisada staatiline ip aadress - 192.168.56.xxx
*OpenSSH serveri olemasolu

Kasutasime eelnevalt seadistatud [http://elab.itcollege.ee:8000/infra_server.ova serverit], mis on pärit IT infrastruktuuri teenuste ainest, mida muutsime (sellest lähemalt eelseadistuse osas).
Kasutajanimi ja parool on student.

''' Klient '''

*RAM vastavalt graafilise keskkonna nõuetele. Soovitav 512 - 1024MB
*HDD dynamicly allocated 8GB
*2 Võrgukaarti NIC1 - NAT (eth0 - Ubuntus) ja NIC2 - HostOnly (eth1 - Ubuntus)

Kasutasime eelnevalt seadistatud [http://elab.itcollege.ee:8000/infra_klient.ova klienti]. Kasutajanimi ja parool on student.

= Eelseadistus(kasutades eelpaigaldatud serverit) =

Kõik käsud käivitame serveris juurkasutaja õigustes.

Juurkasutajale üleminek:
<source lang="bash">
sudo -i
</source>

1.Muudame ära hostname'i nimeks "suricata".
<source lang="bash">
nano /etc/hostname
</source>

2.Muudame liidese eth1 IP aadressi selliseks 192.168.56.201.
<source lang="bash">
nano /etc/network/interfaces
</source>

Liidese eth1 näidis:
<source lang="bash">
auto eth1
iface eth1 inet static
address 192.168.56.201
netmask 255.255.255.0
</source>

3. Kirjeldame faili /etc/hosts sisu
<source lang="bash">
nano /etc/hosts
</source>

Faili /etc/hosts faili näidis:
<source lang="bash">
127.0.0.1 localhost
127.0.1.1 suricata.planet.zz suricata
192.168.56.201 suricata.planet.zz suricata
192.168.56.200 puppetmaster.planet.zz puppetmaster
192.168.56.101 klient.planet.zz klient
</source>

4. Uuendame ära tarkvara nimekirja info
<source lang="bash">
apt-get update
</source>

5. Uuendame ära tarkvara
<source lang="bash">
apt-get upgrade
</source>

= Paigaldus Ubuntu serveris (võimaldab kasutada nii IDS kui IPS funktsioone) <ref> Suricata paigaldus Ubuntus, https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Ubuntu_Installation_from_GIT</ref> =

Kõik käsud käivitame serveris juurkasutaja õigustes.

1. Kõigepealt paigaldame paki nimega "python-software-properties", kuna selle sees asub programm "add-apt-repository", mida kasutame järgmisena.
<source lang="bash">
apt-get install python-software-properties
</source>

2. Viimase stabiilse Suricata versiooni jaoks käivita vastavad käsud:
<source lang="bash">
add-apt-repository ppa:oisf/suricata-stable
apt-get update
</source>

3. Järgmisena paigalda Suricata
<source lang="bash">
apt-get install suricata
</source>

== Uuendamine ja eemaldamine ==

1. Suricata uuendamiseks käsud
<source lang="bash">
apt-get update
apt-get upgrade
</source>

2. Eemaldamiseks käsk
<source lang="bash">
apt-get remove suricata
</source>

= Esmane seadistamine =

Need käsud käivita serveris juurkasutajaõigustes.

1. Loome kausta Suricata logide jaoks.
<source lang="bash">
mkdir /var/log/suricata
</source>

2. Avame faili /etc/suricata/suricata.yaml
<source lang="bash">
nano /etc/suricata/suricata.yaml
</source>

3. Kirjeldame, millised operatsioonisüsteemid on meie võrgus seal, kus hakkab rida "host-os-policy" ja nimetame nende ip aadressid. <ref>Yamli Host-os-policy informatsioon, https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricatayaml#Host-os-policy</ref>
<source lang="bash">
host-os-policy:
# Make the default policy windows.
windows: []
bsd: []
bsd-right: []
old-linux: []
linux: [192.168.56.200, 192.168.56.201, 192.168.56.101, 127.0.0.1]
old-solaris: []
solaris: []
hpux10: []
hpux11: []
irix: []
macos: []
vista: []
</source>

4. Kirjeldame koduvõrgu ip aadressi vahemiku kohas, mis algab reaga "address-groups:" <ref>Yamli address-groups lahtiseletus, https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricatayaml#Rule-vars</ref>

<source lang="bash">
address-groups:

HOME_NET: "[192.168.56.0/24]"

EXTERNAL_NET: "!$HOME_NET"
</source>

== Kiire testimine <ref>Suricata testimine ühe reegli abil, http://www.linux.org/threads/suricata-the-snort-replacer-part-2-configure-test.4348/</ref> ==

Need käsud käivita serveris juurkasutaja õigustes.

1. Loome faili test.rules kausta /etc/suricata/rules/
<source lang="bash">
touch /etc/suricata/rules/test.rules
</source>

2. Kirjutama test.rules faili testimise jaoks ühe reegli.
<source lang="bash">
alert ip any any -> any any (msg:"ICMP detected"; sid:2; rev:1;)
</source>

3. Avame uuesti faili /etc/suricata/suricata.yaml, kus lähme asukohta, mis hakkab reaga "rule_files:" ja kommenteerime kõik reeglid välja ja kirjeldame seal oma reegli nimega "test.rules".
<source lang="bash">
rule-files:
- test.rules
# - botcc.rules
# - ciarmy.rules
# - compromised.rules
# - drop.rules
# - dshield.rules
# - emerging-activex.rules
# - emerging-attack_response.rules
# - emerging-chat.rules
# - emerging-current_events.rules
# - emerging-dns.rules
# - emerging-dos.rules
# - emerging-exploit.rules
# - emerging-ftp.rules
...
</source>

4. Paneme suricata monitoorima eth1 liidese peal.
<source lang="bash">
suricata -c /etc/suricata/suricata.yaml -i eth1
</source>

5. Teeme oma kliendi masina pealt pingi Suricata serveri pihta.
<source lang="bash">
ping 192.168.56.201
</source>

6. Laseme tunde järgi pingida ja seejärel paneme monitoorimise kinni ning vaatame logi.
<source lang="bash">
less /var/log/suricata/fast.log
</source>

7. Logi sisu peaks olema umbes selline:
<source lang="bash">
01/15/2014-00:08:59.409903 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.101:8 -> 192.168.56.201:0
01/15/2014-00:08:59.409937 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.201:0 -> 192.168.56.101:0
01/15/2014-00:09:00.410130 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.101:8 -> 192.168.56.201:0
01/15/2014-00:09:00.410171 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.201:0 -> 192.168.56.101:0
</source>

8. Edasi saab logi puhul kasutada mõnda sündmuste korreleerimise töörista nagu näiteks SEC, mille kohta saab lugeda siit: http://simple-evcorr.sourceforge.net/SEC-tutorial/article.html või uurida EIK enda wikist teemat [https://wiki.itcollege.ee/index.php/Keskne_logihaldus_Rsyslog_ja_SEC_n%C3%A4itel Keskne logihaldus Rsyslog ja SEC näitel].

=Kokkuvõte=

= Kasulikud materjalid =

*http://www.linux.org/threads/suricata-the-snort-replacer-part-1-intro-install.4346/
*http://www.linux.org/threads/suricata-the-snort-replacer-part-2-configure-test.4348/
*http://www.linux.org/threads/suricata-the-snort-replacer-part-3-rules.4363/
*http://suricata-ids.org/
*https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricata_Installation
*https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Basic_Setup
*

[[Category: Linuxi administreerimine]]

= Viited =

<references />

Suricata

2014-01-16T10:53:29Z

Maleppik: /* Kiire testimine Suricata testimine ühe reegli abil, http://www.linux.org/threads/suricata-the-snort-replacer-part-2-configure-test.4348/ */

Autorid: Martin Leppik ja Randel Raidmets

Rühm: A31

Kuupäev: 12.12.2013

= Eesmärk =

Linuxi administreerimise aine raames paigaldada vastavale Ubuntu serverile sissetungimise avastamise süsteem nimega Suricata. Pärast paigaldust konfigureerida peamised sätted ja reeglid ning viimasena testida süsteemi toimimist.

= Eeldused =

*Baasteadmised Linuxist.
*Oskus hakkama saada käsureaga.
*Algteadmised võrgundusest (Cisco CCNA1).

= Mis on Suricata? =

Suricata on suure jõudlusega võrgu sissetungimise, ennetamise ja turvalisuse monitoorimise mootor. See on avatud lähtekoodiga ja omanikuks on kommuun, mida juhib mittetulunduslik sihtasutus "the Open Information Security Foundation" ehk OISF. <ref>Suricata kirjeldus, http://suricata-ids.org/</ref> Suricata mootor pole ainult mõeldud selleks, et vahetada välja või emuleerida olemasolevaid tööriistu, vaid tuua uusi ideid ja tehnoloogiaid maastikule. Suricata mootor ja HTP teek on saadaval GPLv2 alusel. <ref>Suricata tutvustus OISF-i kodulehel, https://redmine.openinfosecfoundation.org/projects/suricata/wiki/What_is_Suricata</ref>

== Suricata eelised Snordi ees <ref> Miks kasutada Suricatat?,https://alienvault.bloomfire.com/posts/525383-when-should-i-use-suricata/public</ref> ==

Suricata on alternatiivne variant Snordile, mille reeglid ühilduvad ka Suricataga, mille tõttu võib väikse vaevaga Snordi Suricata vastu välja vahetada.

Mõned Suricata eelised:
*Suurem jõudlus (Suricata kasutab mitmelõimelist, kuid Snort ühelõimelilt töötlemist)
*Parem liikluse nähtavus (Suricatal on nähtavus rakenduskihis (OSI 7. kiht), mis suurendab pahatahtliku sisu avastamist)
*Kiirem normaliseerimine ja parsimine HTTP voogude jaoks.
*Automatiseeritud protokolli tuvastus (Vähendab valepositiivseid tulemusi ja avastamme protokolle, mis töötavad mittestandardsetel portidel)
*Suricatat paigaldatakse ka komertstoodete sisse.
*Ainus lahendus, mis töötab otse riistavara peal, mille tõttu on olemas ka spetsiaalseid riistavarilisi lahendusi Suricata jaoks.

= Süsteemi üldkirjeldus =

Siia tuleb panna skeem ja juurde kirjutada.

= Nõuded =

Nii server kui ka klient töötavad meie lahenduse puhul Oracle'i [https://www.virtualbox.org/wiki/Downloads Virtualboxi] peal.

Kasutame näidetes Ubuntu serverit ja Ubuntu klienti(sobiv klient valida ise - Ubuntu, Lubuntu, Xubuntu, Kubuntu)

Lisaks on soovitav on kasutada "Guest Additione"-it.

''' Ubuntu Server '''

*RAM 512MB
*HDD dynamicly allocated 8GB
*2 Võrgukaarti NIC1 - NAT (eth0 - Ubuntus) ja NIC2 - HostOnly (eth1 - Ubuntus)
*Liidese eth1 lisada staatiline ip aadress - 192.168.56.xxx
*OpenSSH serveri olemasolu

Kasutasime eelnevalt seadistatud [http://elab.itcollege.ee:8000/infra_server.ova serverit], mis on pärit IT infrastruktuuri teenuste ainest, mida muutsime (sellest lähemalt eelseadistuse osas).
Kasutajanimi ja parool on student.

''' Klient '''

*RAM vastavalt graafilise keskkonna nõuetele. Soovitav 512 - 1024MB
*HDD dynamicly allocated 8GB
*2 Võrgukaarti NIC1 - NAT (eth0 - Ubuntus) ja NIC2 - HostOnly (eth1 - Ubuntus)

Kasutasime eelnevalt seadistatud [http://elab.itcollege.ee:8000/infra_klient.ova klienti]. Kasutajanimi ja parool on student.

= Eelseadistus(kasutades eelpaigaldatud serverit) =

Kõik käsud käivitame serveris juurkasutaja õigustes.

Juurkasutajale üleminek:
<source lang="bash">
sudo -i
</source>

1.Muudame ära hostname'i nimeks "suricata".
<source lang="bash">
nano /etc/hostname
</source>

2.Muudame liidese eth1 IP aadressi selliseks 192.168.56.201.
<source lang="bash">
nano /etc/network/interfaces
</source>

Liidese eth1 näidis:
<source lang="bash">
auto eth1
iface eth1 inet static
address 192.168.56.201
netmask 255.255.255.0
</source>

3. Kirjeldame faili /etc/hosts sisu
<source lang="bash">
nano /etc/hosts
</source>

Faili /etc/hosts faili näidis:
<source lang="bash">
127.0.0.1 localhost
127.0.1.1 suricata.planet.zz suricata
192.168.56.201 suricata.planet.zz suricata
192.168.56.200 puppetmaster.planet.zz puppetmaster
192.168.56.101 klient.planet.zz klient
</source>

4. Uuendame ära tarkvara nimekirja info
<source lang="bash">
apt-get update
</source>

5. Uuendame ära tarkvara
<source lang="bash">
apt-get upgrade
</source>

= Paigaldus Ubuntu serveris (võimaldab kasutada nii IDS kui IPS funktsioone) <ref> Suricata paigaldus Ubuntus, https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Ubuntu_Installation_from_GIT</ref> =

Kõik käsud käivitame serveris juurkasutaja õigustes.

1. Kõigepealt paigaldame paki nimega "python-software-properties", kuna selle sees asub programm "add-apt-repository", mida kasutame järgmisena.
<source lang="bash">
apt-get install python-software-properties
</source>

2. Viimase stabiilse Suricata versiooni jaoks käivita vastavad käsud:
<source lang="bash">
add-apt-repository ppa:oisf/suricata-stable
apt-get update
</source>

3. Järgmisena paigalda Suricata
<source lang="bash">
apt-get install suricata
</source>

== Uuendamine ja eemaldamine ==

1. Suricata uuendamiseks käsud
<source lang="bash">
apt-get update
apt-get upgrade
</source>

2. Eemaldamiseks käsk
<source lang="bash">
apt-get remove suricata
</source>

= Esmane seadistamine =

Need käsud käivita serveris juurkasutajaõigustes.

1. Loome kausta Suricata logide jaoks.
<source lang="bash">
mkdir /var/log/suricata
</source>

2. Avame faili /etc/suricata/suricata.yaml
<source lang="bash">
nano /etc/suricata/suricata.yaml
</source>

3. Kirjeldame, millised operatsioonisüsteemid on meie võrgus seal, kus hakkab rida "host-os-policy" ja nimetame nende ip aadressid. <ref>Yamli Host-os-policy informatsioon, https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricatayaml#Host-os-policy</ref>
<source lang="bash">
host-os-policy:
# Make the default policy windows.
windows: []
bsd: []
bsd-right: []
old-linux: []
linux: [192.168.56.200, 192.168.56.201, 192.168.56.101, 127.0.0.1]
old-solaris: []
solaris: []
hpux10: []
hpux11: []
irix: []
macos: []
vista: []
</source>

4. Kirjeldame koduvõrgu ip aadressi vahemiku kohas, mis algab reaga "address-groups:" <ref>Yamli address-groups lahtiseletus, https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricatayaml#Rule-vars</ref>

<source lang="bash">
address-groups:

HOME_NET: "[192.168.56.0/24]"

EXTERNAL_NET: "!$HOME_NET"
</source>

== Kiire testimine <ref>Suricata testimine ühe reegli abil, http://www.linux.org/threads/suricata-the-snort-replacer-part-2-configure-test.4348/</ref> ==

Need käsud käivita serveris juurkasutaja õigustes.

1. Loome faili test.rules kausta /etc/suricata/rules/
<source lang="bash">
touch /etc/suricata/rules/test.rules
</source>

2. Kirjutama test.rules faili testimise jaoks ühe reegli.
<source lang="bash">
alert ip any any -> any any (msg:"ICMP detected"; sid:2; rev:1;)
</source>

3. Avame uuesti faili /etc/suricata/suricata.yaml, kus lähme asukohta, mis hakkab reaga "rule_files:" ja kommenteerime kõik reeglid välja ja kirjeldame seal oma reegli nimega "test.rules".
<source lang="bash">
rule-files:
- test.rules
# - botcc.rules
# - ciarmy.rules
# - compromised.rules
# - drop.rules
# - dshield.rules
# - emerging-activex.rules
# - emerging-attack_response.rules
# - emerging-chat.rules
# - emerging-current_events.rules
# - emerging-dns.rules
# - emerging-dos.rules
# - emerging-exploit.rules
# - emerging-ftp.rules
...
</source>

4. Paneme suricata monitoorima eth1 liidese peal.
<source lang="bash">
suricata -c /etc/suricata/suricata.yaml -i eth1
</source>

5. Teeme oma kliendi masina pealt pingi Suricata serveri pihta.
<source lang="bash">
ping 192.168.56.201
</source>

6. Laseme tunde järgi pingida ja seejärel paneme monitoorimise kinni ning vaatame logi.
<source lang="bash">
less /var/log/suricata/fast.log
</source>

7. Logi sisu peaks olema umbes selline:
<source lang="bash">
01/15/2014-00:08:59.409903 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.101:8 -> 192.168.56.201:0
01/15/2014-00:08:59.409937 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.201:0 -> 192.168.56.101:0
01/15/2014-00:09:00.410130 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.101:8 -> 192.168.56.201:0
01/15/2014-00:09:00.410171 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.201:0 -> 192.168.56.101:0
</source>

8. Edasi saab logi puhul kasutada mõnda sündmuste korreleerimise töörista nagu näiteks SEC, mille kohta saab lugeda siit: http://simple-evcorr.sourceforge.net/SEC-tutorial/article.html või uurida EIK enda wikist teemat [https://wiki.itcollege.ee/index.php/Keskne_logihaldus_Rsyslog_ja_SEC_n%C3%A4itel Keskne logihaldus Rsyslog ja SEC näitel]

=Kokkuvõte=

= Kasulikud materjalid =

*http://www.linux.org/threads/suricata-the-snort-replacer-part-1-intro-install.4346/
*http://www.linux.org/threads/suricata-the-snort-replacer-part-2-configure-test.4348/
*http://www.linux.org/threads/suricata-the-snort-replacer-part-3-rules.4363/
*http://suricata-ids.org/
*https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricata_Installation
*https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Basic_Setup
*

[[Category: Linuxi administreerimine]]

= Viited =

<references />

Suricata

2014-01-16T10:52:13Z

Maleppik:

Autorid: Martin Leppik ja Randel Raidmets

Rühm: A31

Kuupäev: 12.12.2013

= Eesmärk =

Linuxi administreerimise aine raames paigaldada vastavale Ubuntu serverile sissetungimise avastamise süsteem nimega Suricata. Pärast paigaldust konfigureerida peamised sätted ja reeglid ning viimasena testida süsteemi toimimist.

= Eeldused =

*Baasteadmised Linuxist.
*Oskus hakkama saada käsureaga.
*Algteadmised võrgundusest (Cisco CCNA1).

= Mis on Suricata? =

Suricata on suure jõudlusega võrgu sissetungimise, ennetamise ja turvalisuse monitoorimise mootor. See on avatud lähtekoodiga ja omanikuks on kommuun, mida juhib mittetulunduslik sihtasutus "the Open Information Security Foundation" ehk OISF. <ref>Suricata kirjeldus, http://suricata-ids.org/</ref> Suricata mootor pole ainult mõeldud selleks, et vahetada välja või emuleerida olemasolevaid tööriistu, vaid tuua uusi ideid ja tehnoloogiaid maastikule. Suricata mootor ja HTP teek on saadaval GPLv2 alusel. <ref>Suricata tutvustus OISF-i kodulehel, https://redmine.openinfosecfoundation.org/projects/suricata/wiki/What_is_Suricata</ref>

== Suricata eelised Snordi ees <ref> Miks kasutada Suricatat?,https://alienvault.bloomfire.com/posts/525383-when-should-i-use-suricata/public</ref> ==

Suricata on alternatiivne variant Snordile, mille reeglid ühilduvad ka Suricataga, mille tõttu võib väikse vaevaga Snordi Suricata vastu välja vahetada.

Mõned Suricata eelised:
*Suurem jõudlus (Suricata kasutab mitmelõimelist, kuid Snort ühelõimelilt töötlemist)
*Parem liikluse nähtavus (Suricatal on nähtavus rakenduskihis (OSI 7. kiht), mis suurendab pahatahtliku sisu avastamist)
*Kiirem normaliseerimine ja parsimine HTTP voogude jaoks.
*Automatiseeritud protokolli tuvastus (Vähendab valepositiivseid tulemusi ja avastamme protokolle, mis töötavad mittestandardsetel portidel)
*Suricatat paigaldatakse ka komertstoodete sisse.
*Ainus lahendus, mis töötab otse riistavara peal, mille tõttu on olemas ka spetsiaalseid riistavarilisi lahendusi Suricata jaoks.

= Süsteemi üldkirjeldus =

Siia tuleb panna skeem ja juurde kirjutada.

= Nõuded =

Nii server kui ka klient töötavad meie lahenduse puhul Oracle'i [https://www.virtualbox.org/wiki/Downloads Virtualboxi] peal.

Kasutame näidetes Ubuntu serverit ja Ubuntu klienti(sobiv klient valida ise - Ubuntu, Lubuntu, Xubuntu, Kubuntu)

Lisaks on soovitav on kasutada "Guest Additione"-it.

''' Ubuntu Server '''

*RAM 512MB
*HDD dynamicly allocated 8GB
*2 Võrgukaarti NIC1 - NAT (eth0 - Ubuntus) ja NIC2 - HostOnly (eth1 - Ubuntus)
*Liidese eth1 lisada staatiline ip aadress - 192.168.56.xxx
*OpenSSH serveri olemasolu

Kasutasime eelnevalt seadistatud [http://elab.itcollege.ee:8000/infra_server.ova serverit], mis on pärit IT infrastruktuuri teenuste ainest, mida muutsime (sellest lähemalt eelseadistuse osas).
Kasutajanimi ja parool on student.

''' Klient '''

*RAM vastavalt graafilise keskkonna nõuetele. Soovitav 512 - 1024MB
*HDD dynamicly allocated 8GB
*2 Võrgukaarti NIC1 - NAT (eth0 - Ubuntus) ja NIC2 - HostOnly (eth1 - Ubuntus)

Kasutasime eelnevalt seadistatud [http://elab.itcollege.ee:8000/infra_klient.ova klienti]. Kasutajanimi ja parool on student.

= Eelseadistus(kasutades eelpaigaldatud serverit) =

Kõik käsud käivitame serveris juurkasutaja õigustes.

Juurkasutajale üleminek:
<source lang="bash">
sudo -i
</source>

1.Muudame ära hostname'i nimeks "suricata".
<source lang="bash">
nano /etc/hostname
</source>

2.Muudame liidese eth1 IP aadressi selliseks 192.168.56.201.
<source lang="bash">
nano /etc/network/interfaces
</source>

Liidese eth1 näidis:
<source lang="bash">
auto eth1
iface eth1 inet static
address 192.168.56.201
netmask 255.255.255.0
</source>

3. Kirjeldame faili /etc/hosts sisu
<source lang="bash">
nano /etc/hosts
</source>

Faili /etc/hosts faili näidis:
<source lang="bash">
127.0.0.1 localhost
127.0.1.1 suricata.planet.zz suricata
192.168.56.201 suricata.planet.zz suricata
192.168.56.200 puppetmaster.planet.zz puppetmaster
192.168.56.101 klient.planet.zz klient
</source>

4. Uuendame ära tarkvara nimekirja info
<source lang="bash">
apt-get update
</source>

5. Uuendame ära tarkvara
<source lang="bash">
apt-get upgrade
</source>

= Paigaldus Ubuntu serveris (võimaldab kasutada nii IDS kui IPS funktsioone) <ref> Suricata paigaldus Ubuntus, https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Ubuntu_Installation_from_GIT</ref> =

Kõik käsud käivitame serveris juurkasutaja õigustes.

1. Kõigepealt paigaldame paki nimega "python-software-properties", kuna selle sees asub programm "add-apt-repository", mida kasutame järgmisena.
<source lang="bash">
apt-get install python-software-properties
</source>

2. Viimase stabiilse Suricata versiooni jaoks käivita vastavad käsud:
<source lang="bash">
add-apt-repository ppa:oisf/suricata-stable
apt-get update
</source>

3. Järgmisena paigalda Suricata
<source lang="bash">
apt-get install suricata
</source>

== Uuendamine ja eemaldamine ==

1. Suricata uuendamiseks käsud
<source lang="bash">
apt-get update
apt-get upgrade
</source>

2. Eemaldamiseks käsk
<source lang="bash">
apt-get remove suricata
</source>

= Esmane seadistamine =

Need käsud käivita serveris juurkasutajaõigustes.

1. Loome kausta Suricata logide jaoks.
<source lang="bash">
mkdir /var/log/suricata
</source>

2. Avame faili /etc/suricata/suricata.yaml
<source lang="bash">
nano /etc/suricata/suricata.yaml
</source>

3. Kirjeldame, millised operatsioonisüsteemid on meie võrgus seal, kus hakkab rida "host-os-policy" ja nimetame nende ip aadressid. <ref>Yamli Host-os-policy informatsioon, https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricatayaml#Host-os-policy</ref>
<source lang="bash">
host-os-policy:
# Make the default policy windows.
windows: []
bsd: []
bsd-right: []
old-linux: []
linux: [192.168.56.200, 192.168.56.201, 192.168.56.101, 127.0.0.1]
old-solaris: []
solaris: []
hpux10: []
hpux11: []
irix: []
macos: []
vista: []
</source>

4. Kirjeldame koduvõrgu ip aadressi vahemiku kohas, mis algab reaga "address-groups:" <ref>Yamli address-groups lahtiseletus, https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricatayaml#Rule-vars</ref>

<source lang="bash">
address-groups:

HOME_NET: "[192.168.56.0/24]"

EXTERNAL_NET: "!$HOME_NET"
</source>

== Kiire testimine <ref>Suricata testimine ühe reegli abil, http://www.linux.org/threads/suricata-the-snort-replacer-part-2-configure-test.4348/</ref> ==

Need käsud käivita serveris juurkasutaja õigustes.

1. Loome faili test.rules kausta /etc/suricata/rules/
<source lang="bash">
touch /etc/suricata/rules/test.rules
</source>

2. Kirjutama test.rules faili testimise jaoks ühe reegli.
<source lang="bash">
alert ip any any -> any any (msg:"ICMP detected"; sid:2; rev:1;)
</source>

3. Avame uuesti faili /etc/suricata/suricata.yaml, kus lähme asukohta, mis hakkab reaga "rule_files:" ja kommenteerime kõik reeglid välja ja kirjeldame seal oma reegli nimega "test.rules".
<source lang="bash">
rule-files:
- test.rules
# - botcc.rules
# - ciarmy.rules
# - compromised.rules
# - drop.rules
# - dshield.rules
# - emerging-activex.rules
# - emerging-attack_response.rules
# - emerging-chat.rules
# - emerging-current_events.rules
# - emerging-dns.rules
# - emerging-dos.rules
# - emerging-exploit.rules
# - emerging-ftp.rules
...
</source>

4. Paneme suricata monitoorima eth1 liidese peal.
<source lang="bash">
suricata -c /etc/suricata/suricata.yaml -i eth1
</source>

5. Teeme oma kliendi masina pealt pingi Suricata serveri pihta.
<source lang="bash">
ping 192.168.56.201
</source>

6. Laseme tunde järgi pingida ja seejärel paneme monitoorimise kinni ning vaatame logi.
<source lang="bash">
less /var/log/suricata/fast.log
</source>

7. Logi sisu peaks olema umbes selline:
<source lang="bash">
01/15/2014-00:08:59.409903 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.101:8 -> 192.168.56.201:0
01/15/2014-00:08:59.409937 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.201:0 -> 192.168.56.101:0
01/15/2014-00:09:00.410130 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.101:8 -> 192.168.56.201:0
01/15/2014-00:09:00.410171 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.201:0 -> 192.168.56.101:0
</source>

8. Edasi saab logi puhul kasutada mõnda sündmuste korreleerimise töörista nagu näiteks SEC, mille kohta saab lugeda siit: http://simple-evcorr.sourceforge.net/SEC-tutorial/article.html või uurida EIK enda wiki teemat [https://wiki.itcollege.ee/index.php/Keskne_logihaldus_Rsyslog_ja_SEC_n%C3%A4itel Keskne logihaldus Rsyslog ja SEC näitel]

=Kokkuvõte=

= Kasulikud materjalid =

*http://www.linux.org/threads/suricata-the-snort-replacer-part-1-intro-install.4346/
*http://www.linux.org/threads/suricata-the-snort-replacer-part-2-configure-test.4348/
*http://www.linux.org/threads/suricata-the-snort-replacer-part-3-rules.4363/
*http://suricata-ids.org/
*https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricata_Installation
*https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Basic_Setup
*

[[Category: Linuxi administreerimine]]

= Viited =

<references />

Suricata

2014-01-16T10:41:20Z

Maleppik: /* Suricata eelised Snordi ees Miks kasutada Suricatat?,https://alienvault.bloomfire.com/posts/525383-when-should-i-use-suricata/public */

Autorid: Martin Leppik ja Randel Raidmets

Rühm: A31

Kuupäev: 12.12.2013

= Eesmärk =

Linuxi administreerimise aine raames paigaldada vastavale Ubuntu serverile sissetungimise avastamise süsteem nimega Suricata. Pärast paigaldust konfigureerida peamised sätted ja reeglid ning viimasena testida süsteemi toimimist.

= Eeldused =

*Baasteadmised Linuxist.
*Oskus hakkama saada käsureaga.
*Algteadmised võrgundusest (Cisco CCNA1).

= Mis on Suricata? =

Suricata on suure jõudlusega võrgu sissetungimise, ennetamise ja turvalisuse monitoorimise mootor. See on avatud lähtekoodiga ja omanikuks on kommuun, mida juhib mittetulunduslik sihtasutus "the Open Information Security Foundation" ehk OISF. <ref>Suricata kirjeldus, http://suricata-ids.org/</ref> Suricata mootor pole ainult mõeldud selleks, et vahetada välja või emuleerida olemasolevaid tööriistu, vaid tuua uusi ideid ja tehnoloogiaid maastikule. Suricata mootor ja HTP teek on saadaval GPLv2 alusel. <ref>Suricata tutvustus OISF-i kodulehel, https://redmine.openinfosecfoundation.org/projects/suricata/wiki/What_is_Suricata</ref>

== Suricata eelised Snordi ees <ref> Miks kasutada Suricatat?,https://alienvault.bloomfire.com/posts/525383-when-should-i-use-suricata/public</ref> ==

Suricata on alternatiivne variant Snordile, mille reeglid ühilduvad ka Suricataga, mille tõttu võib väikse vaevaga Snordi Suricata vastu välja vahetada.

Mõned Suricata eelised:
*Suurem jõudlus (Suricata kasutab mitmelõimelist, kuid Snort ühelõimelilt töötlemist)
*Parem liikluse nähtavus (Suricatal on nähtavus rakenduskihis (OSI 7. kiht), mis suurendab pahatahtliku sisu avastamist)
*Kiirem normaliseerimine ja parsimine HTTP voogude jaoks.
*Automatiseeritud protokolli tuvastus (Vähendab valepositiivseid tulemusi ja avastamme protokolle, mis töötavad mittestandardsetel portidel)
*Suricatat paigaldatakse ka komertstoodete sisse.
*Ainus lahendus, mis töötab otse riistavara peal, mille tõttu on olemas ka spetsiaalseid riistavarilisi lahendusi Suricata jaoks.

= Süsteemi üldkirjeldus =

Siia tuleb panna skeem ja juurde kirjutada.

= Nõuded =

Nii server kui ka klient töötavad meie lahenduse puhul Oracle'i [https://www.virtualbox.org/wiki/Downloads Virtualboxi] peal.

Kasutame näidetes Ubuntu serverit ja Ubuntu klienti(sobiv klient valida ise - Ubuntu, Lubuntu, Xubuntu, Kubuntu)

Lisaks on soovitav on kasutada "Guest Additione"-it.

''' Ubuntu Server '''

*RAM 512MB
*HDD dynamicly allocated 8GB
*2 Võrgukaarti NIC1 - NAT (eth0 - Ubuntus) ja NIC2 - HostOnly (eth1 - Ubuntus)
*Liidese eth1 lisada staatiline ip aadress - 192.168.56.xxx
*OpenSSH serveri olemasolu

Kasutasime eelnevalt seadistatud [http://elab.itcollege.ee:8000/infra_server.ova serverit], mis on pärit IT infrastruktuuri teenuste ainest, mida muutsime (sellest lähemalt eelseadistuse osas).
Kasutajanimi ja parool on student.

''' Klient '''

*RAM vastavalt graafilise keskkonna nõuetele. Soovitav 512 - 1024MB
*HDD dynamicly allocated 8GB
*2 Võrgukaarti NIC1 - NAT (eth0 - Ubuntus) ja NIC2 - HostOnly (eth1 - Ubuntus)

Kasutasime eelnevalt seadistatud [http://elab.itcollege.ee:8000/infra_klient.ova klienti]. Kasutajanimi ja parool on student.

= Eelseadistus(kasutades eelpaigaldatud serverit) =

Kõik käsud käivitame serveris juurkasutaja õigustes.

Juurkasutajale üleminek:
<source lang="bash">
sudo -i
</source>

1.Muudame ära hostname'i nimeks "suricata".
<source lang="bash">
nano /etc/hostname
</source>

2.Muudame liidese eth1 IP aadressi selliseks 192.168.56.201.
<source lang="bash">
nano /etc/network/interfaces
</source>

Liidese eth1 näidis:
<source lang="bash">
auto eth1
iface eth1 inet static
address 192.168.56.201
netmask 255.255.255.0
</source>

3. Kirjeldame faili /etc/hosts sisu
<source lang="bash">
nano /etc/hosts
</source>

Faili /etc/hosts faili näidis:
<source lang="bash">
127.0.0.1 localhost
127.0.1.1 suricata.planet.zz suricata
192.168.56.201 suricata.planet.zz suricata
192.168.56.200 puppetmaster.planet.zz puppetmaster
192.168.56.101 klient.planet.zz klient
</source>

4. Uuendame ära tarkvara nimekirja info
<source lang="bash">
apt-get update
</source>

5. Uuendame ära tarkvara
<source lang="bash">
apt-get upgrade
</source>

= Paigaldus Ubuntu serveris (võimaldab kasutada nii IDS kui IPS funktsioone) <ref> Suricata paigaldus Ubuntus, https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Ubuntu_Installation_from_GIT</ref> =

Kõik käsud käivitame serveris juurkasutaja õigustes.

1. Kõigepealt paigaldame paki nimega "python-software-properties", kuna selle sees asub programm "add-apt-repository", mida kasutame järgmisena.
<source lang="bash">
apt-get install python-software-properties
</source>

2. Viimase stabiilse Suricata versiooni jaoks käivita vastavad käsud:
<source lang="bash">
add-apt-repository ppa:oisf/suricata-stable
apt-get update
</source>

3. Järgmisena paigalda Suricata
<source lang="bash">
apt-get install suricata
</source>

== Uuendamine ja eemaldamine ==

1. Suricata uuendamiseks käsud
<source lang="bash">
apt-get update
apt-get upgrade
</source>

2. Eemaldamiseks käsk
<source lang="bash">
apt-get remove suricata
</source>

= Esmane seadistamine =

Need käsud käivita serveris juurkasutajaõigustes.

1. Loome kausta Suricata logide jaoks.
<source lang="bash">
mkdir /var/log/suricata
</source>

2. Avame faili /etc/suricata/suricata.yaml
<source lang="bash">
nano /etc/suricata/suricata.yaml
</source>

3. Kirjeldame, millised operatsioonisüsteemid on meie võrgus seal, kus hakkab rida "host-os-policy" ja nimetame nende ip aadressid. <ref>Yamli Host-os-policy informatsioon, https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricatayaml#Host-os-policy</ref>
<source lang="bash">
host-os-policy:
# Make the default policy windows.
windows: []
bsd: []
bsd-right: []
old-linux: []
linux: [192.168.56.200, 192.168.56.201, 192.168.56.101, 127.0.0.1]
old-solaris: []
solaris: []
hpux10: []
hpux11: []
irix: []
macos: []
vista: []
</source>

4. Kirjeldame koduvõrgu ip aadressi vahemiku kohas, mis algab reaga "address-groups:" <ref>Yamli address-groups lahtiseletus, https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricatayaml#Rule-vars</ref>

<source lang="bash">
address-groups:

HOME_NET: "[192.168.56.0/24]"

EXTERNAL_NET: "!$HOME_NET"
</source>

== Kiire testimine <ref>Suricata testimine ühe reegli abil, http://www.linux.org/threads/suricata-the-snort-replacer-part-2-configure-test.4348/</ref> ==

Need käsud käivita serveris juurkasutaja õigustes.

1. Loome faili test.rules kausta /etc/suricata/rules/
<source lang="bash">
touch /etc/suricata/rules/test.rules
</source>

2. Kirjutama test.rules faili testimise jaoks ühe reegli.
<source lang="bash">
alert ip any any -> any any (msg:"ICMP detected"; sid:2; rev:1;)
</source>

3. Avame uuesti faili /etc/suricata/suricata.yaml, kus lähme asukohta, mis hakkab reaga "rule_files:" ja kommenteerime kõik reeglid välja ja kirjeldame seal oma reegli nimega "test.rules".
<source lang="bash">
rule-files:
- test.rules
# - botcc.rules
# - ciarmy.rules
# - compromised.rules
# - drop.rules
# - dshield.rules
# - emerging-activex.rules
# - emerging-attack_response.rules
# - emerging-chat.rules
# - emerging-current_events.rules
# - emerging-dns.rules
# - emerging-dos.rules
# - emerging-exploit.rules
# - emerging-ftp.rules
...
</source>

4. Paneme suricata monitoorima eth1 liidese peal.
<source lang="bash">
suricata -c /etc/suricata/suricata.yaml -i eth1
</source>

5. Teeme oma kliendi masina pealt pingi Suricata serveri pihta.
<source lang="bash">
ping 192.168.56.201
</source>

6. Laseme tunde järgi pingida ja seejärel paneme monitoorimise kinni ning vaatame logi.
<source lang="bash">
less /var/log/suricata/fast.log
</source>

7. Logi sisu peaks olema umbes selline:
<source lang="bash">
01/15/2014-00:08:59.409903 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.101:8 -> 192.168.56.201:0
01/15/2014-00:08:59.409937 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.201:0 -> 192.168.56.101:0
01/15/2014-00:09:00.410130 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.101:8 -> 192.168.56.201:0
01/15/2014-00:09:00.410171 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.201:0 -> 192.168.56.101:0
</source>

=Kokkuvõte=

= Kasulikud materjalid =

*http://www.linux.org/threads/suricata-the-snort-replacer-part-1-intro-install.4346/
*http://www.linux.org/threads/suricata-the-snort-replacer-part-2-configure-test.4348/
*http://www.linux.org/threads/suricata-the-snort-replacer-part-3-rules.4363/
*http://suricata-ids.org/
*https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricata_Installation
*https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Basic_Setup
*

[[Category: Linuxi administreerimine]]

= Viited =

<references />

Suricata

2014-01-16T10:33:39Z

Maleppik: /* Suricata eelised Snordi ees Miks kasutada Suricatat?,https://alienvault.bloomfire.com/posts/525383-when-should-i-use-suricata/public */

Autorid: Martin Leppik ja Randel Raidmets

Rühm: A31

Kuupäev: 12.12.2013

= Eesmärk =

Linuxi administreerimise aine raames paigaldada vastavale Ubuntu serverile sissetungimise avastamise süsteem nimega Suricata. Pärast paigaldust konfigureerida peamised sätted ja reeglid ning viimasena testida süsteemi toimimist.

= Eeldused =

*Baasteadmised Linuxist.
*Oskus hakkama saada käsureaga.
*Algteadmised võrgundusest (Cisco CCNA1).

= Mis on Suricata? =

Suricata on suure jõudlusega võrgu sissetungimise, ennetamise ja turvalisuse monitoorimise mootor. See on avatud lähtekoodiga ja omanikuks on kommuun, mida juhib mittetulunduslik sihtasutus "the Open Information Security Foundation" ehk OISF. <ref>Suricata kirjeldus, http://suricata-ids.org/</ref> Suricata mootor pole ainult mõeldud selleks, et vahetada välja või emuleerida olemasolevaid tööriistu, vaid tuua uusi ideid ja tehnoloogiaid maastikule. Suricata mootor ja HTP teek on saadaval GPLv2 alusel. <ref>Suricata tutvustus OISF-i kodulehel, https://redmine.openinfosecfoundation.org/projects/suricata/wiki/What_is_Suricata</ref>

== Suricata eelised Snordi ees <ref> Miks kasutada Suricatat?,https://alienvault.bloomfire.com/posts/525383-when-should-i-use-suricata/public</ref> ==

Suricata on alternatiivne variant Snordile, mille reeglid ühilduvad ka Suricataga, mille tõttu võib väikse vaevaga Snordi Suricata vastu välja vahetada.

Mõned Suricata eelised:
*Suurem jõudlus (Suricata kasutab mitmelõimelist, kuid Snort ühelõimelilt töötlemist)
*Parem liikluse nähtavus (Suricatal on nähtavus rakenduskihis (OSI 7. kiht), mis suurendab pahatahtliku sisu avastamist)
*Kiirem normaliseerimine ja parsimine HTTP voogude jaoks.
*Automatiseeritud protokolli tuvastus (Vähendab valepositiivseid tulemusi ja avastamme protokolle, mis töötavad mittestandardsetel portidel)

= Süsteemi üldkirjeldus =

Siia tuleb panna skeem ja juurde kirjutada.

= Nõuded =

Nii server kui ka klient töötavad meie lahenduse puhul Oracle'i [https://www.virtualbox.org/wiki/Downloads Virtualboxi] peal.

Kasutame näidetes Ubuntu serverit ja Ubuntu klienti(sobiv klient valida ise - Ubuntu, Lubuntu, Xubuntu, Kubuntu)

Lisaks on soovitav on kasutada "Guest Additione"-it.

''' Ubuntu Server '''

*RAM 512MB
*HDD dynamicly allocated 8GB
*2 Võrgukaarti NIC1 - NAT (eth0 - Ubuntus) ja NIC2 - HostOnly (eth1 - Ubuntus)
*Liidese eth1 lisada staatiline ip aadress - 192.168.56.xxx
*OpenSSH serveri olemasolu

Kasutasime eelnevalt seadistatud [http://elab.itcollege.ee:8000/infra_server.ova serverit], mis on pärit IT infrastruktuuri teenuste ainest, mida muutsime (sellest lähemalt eelseadistuse osas).
Kasutajanimi ja parool on student.

''' Klient '''

*RAM vastavalt graafilise keskkonna nõuetele. Soovitav 512 - 1024MB
*HDD dynamicly allocated 8GB
*2 Võrgukaarti NIC1 - NAT (eth0 - Ubuntus) ja NIC2 - HostOnly (eth1 - Ubuntus)

Kasutasime eelnevalt seadistatud [http://elab.itcollege.ee:8000/infra_klient.ova klienti]. Kasutajanimi ja parool on student.

= Eelseadistus(kasutades eelpaigaldatud serverit) =

Kõik käsud käivitame serveris juurkasutaja õigustes.

Juurkasutajale üleminek:
<source lang="bash">
sudo -i
</source>

1.Muudame ära hostname'i nimeks "suricata".
<source lang="bash">
nano /etc/hostname
</source>

2.Muudame liidese eth1 IP aadressi selliseks 192.168.56.201.
<source lang="bash">
nano /etc/network/interfaces
</source>

Liidese eth1 näidis:
<source lang="bash">
auto eth1
iface eth1 inet static
address 192.168.56.201
netmask 255.255.255.0
</source>

3. Kirjeldame faili /etc/hosts sisu
<source lang="bash">
nano /etc/hosts
</source>

Faili /etc/hosts faili näidis:
<source lang="bash">
127.0.0.1 localhost
127.0.1.1 suricata.planet.zz suricata
192.168.56.201 suricata.planet.zz suricata
192.168.56.200 puppetmaster.planet.zz puppetmaster
192.168.56.101 klient.planet.zz klient
</source>

4. Uuendame ära tarkvara nimekirja info
<source lang="bash">
apt-get update
</source>

5. Uuendame ära tarkvara
<source lang="bash">
apt-get upgrade
</source>

= Paigaldus Ubuntu serveris (võimaldab kasutada nii IDS kui IPS funktsioone) <ref> Suricata paigaldus Ubuntus, https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Ubuntu_Installation_from_GIT</ref> =

Kõik käsud käivitame serveris juurkasutaja õigustes.

1. Kõigepealt paigaldame paki nimega "python-software-properties", kuna selle sees asub programm "add-apt-repository", mida kasutame järgmisena.
<source lang="bash">
apt-get install python-software-properties
</source>

2. Viimase stabiilse Suricata versiooni jaoks käivita vastavad käsud:
<source lang="bash">
add-apt-repository ppa:oisf/suricata-stable
apt-get update
</source>

3. Järgmisena paigalda Suricata
<source lang="bash">
apt-get install suricata
</source>

== Uuendamine ja eemaldamine ==

1. Suricata uuendamiseks käsud
<source lang="bash">
apt-get update
apt-get upgrade
</source>

2. Eemaldamiseks käsk
<source lang="bash">
apt-get remove suricata
</source>

= Esmane seadistamine =

Need käsud käivita serveris juurkasutajaõigustes.

1. Loome kausta Suricata logide jaoks.
<source lang="bash">
mkdir /var/log/suricata
</source>

2. Avame faili /etc/suricata/suricata.yaml
<source lang="bash">
nano /etc/suricata/suricata.yaml
</source>

3. Kirjeldame, millised operatsioonisüsteemid on meie võrgus seal, kus hakkab rida "host-os-policy" ja nimetame nende ip aadressid. <ref>Yamli Host-os-policy informatsioon, https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricatayaml#Host-os-policy</ref>
<source lang="bash">
host-os-policy:
# Make the default policy windows.
windows: []
bsd: []
bsd-right: []
old-linux: []
linux: [192.168.56.200, 192.168.56.201, 192.168.56.101, 127.0.0.1]
old-solaris: []
solaris: []
hpux10: []
hpux11: []
irix: []
macos: []
vista: []
</source>

4. Kirjeldame koduvõrgu ip aadressi vahemiku kohas, mis algab reaga "address-groups:" <ref>Yamli address-groups lahtiseletus, https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricatayaml#Rule-vars</ref>

<source lang="bash">
address-groups:

HOME_NET: "[192.168.56.0/24]"

EXTERNAL_NET: "!$HOME_NET"
</source>

== Kiire testimine <ref>Suricata testimine ühe reegli abil, http://www.linux.org/threads/suricata-the-snort-replacer-part-2-configure-test.4348/</ref> ==

Need käsud käivita serveris juurkasutaja õigustes.

1. Loome faili test.rules kausta /etc/suricata/rules/
<source lang="bash">
touch /etc/suricata/rules/test.rules
</source>

2. Kirjutama test.rules faili testimise jaoks ühe reegli.
<source lang="bash">
alert ip any any -> any any (msg:"ICMP detected"; sid:2; rev:1;)
</source>

3. Avame uuesti faili /etc/suricata/suricata.yaml, kus lähme asukohta, mis hakkab reaga "rule_files:" ja kommenteerime kõik reeglid välja ja kirjeldame seal oma reegli nimega "test.rules".
<source lang="bash">
rule-files:
- test.rules
# - botcc.rules
# - ciarmy.rules
# - compromised.rules
# - drop.rules
# - dshield.rules
# - emerging-activex.rules
# - emerging-attack_response.rules
# - emerging-chat.rules
# - emerging-current_events.rules
# - emerging-dns.rules
# - emerging-dos.rules
# - emerging-exploit.rules
# - emerging-ftp.rules
...
</source>

4. Paneme suricata monitoorima eth1 liidese peal.
<source lang="bash">
suricata -c /etc/suricata/suricata.yaml -i eth1
</source>

5. Teeme oma kliendi masina pealt pingi Suricata serveri pihta.
<source lang="bash">
ping 192.168.56.201
</source>

6. Laseme tunde järgi pingida ja seejärel paneme monitoorimise kinni ning vaatame logi.
<source lang="bash">
less /var/log/suricata/fast.log
</source>

7. Logi sisu peaks olema umbes selline:
<source lang="bash">
01/15/2014-00:08:59.409903 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.101:8 -> 192.168.56.201:0
01/15/2014-00:08:59.409937 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.201:0 -> 192.168.56.101:0
01/15/2014-00:09:00.410130 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.101:8 -> 192.168.56.201:0
01/15/2014-00:09:00.410171 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.201:0 -> 192.168.56.101:0
</source>

=Kokkuvõte=

= Kasulikud materjalid =

*http://www.linux.org/threads/suricata-the-snort-replacer-part-1-intro-install.4346/
*http://www.linux.org/threads/suricata-the-snort-replacer-part-2-configure-test.4348/
*http://www.linux.org/threads/suricata-the-snort-replacer-part-3-rules.4363/
*http://suricata-ids.org/
*https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricata_Installation
*https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Basic_Setup
*

[[Category: Linuxi administreerimine]]

= Viited =

<references />

Suricata

2014-01-16T10:31:25Z

Maleppik: /* Suricata eelised Snordi ees Miks kasutada Suricatat?,https://alienvault.bloomfire.com/posts/525383-when-should-i-use-suricata/public */

Autorid: Martin Leppik ja Randel Raidmets

Rühm: A31

Kuupäev: 12.12.2013

= Eesmärk =

Linuxi administreerimise aine raames paigaldada vastavale Ubuntu serverile sissetungimise avastamise süsteem nimega Suricata. Pärast paigaldust konfigureerida peamised sätted ja reeglid ning viimasena testida süsteemi toimimist.

= Eeldused =

*Baasteadmised Linuxist.
*Oskus hakkama saada käsureaga.
*Algteadmised võrgundusest (Cisco CCNA1).

= Mis on Suricata? =

Suricata on suure jõudlusega võrgu sissetungimise, ennetamise ja turvalisuse monitoorimise mootor. See on avatud lähtekoodiga ja omanikuks on kommuun, mida juhib mittetulunduslik sihtasutus "the Open Information Security Foundation" ehk OISF. <ref>Suricata kirjeldus, http://suricata-ids.org/</ref> Suricata mootor pole ainult mõeldud selleks, et vahetada välja või emuleerida olemasolevaid tööriistu, vaid tuua uusi ideid ja tehnoloogiaid maastikule. Suricata mootor ja HTP teek on saadaval GPLv2 alusel. <ref>Suricata tutvustus OISF-i kodulehel, https://redmine.openinfosecfoundation.org/projects/suricata/wiki/What_is_Suricata</ref>

== Suricata eelised Snordi ees <ref> Miks kasutada Suricatat?,https://alienvault.bloomfire.com/posts/525383-when-should-i-use-suricata/public</ref> ==

Suricata on alternatiivne variant Snordile, mille reeglid ühilduvad ka Suricataga, mille tõttu võib väikse vaevaga Snordi Suricata vastu välja vahetada.

Mõned Suricata eelised:
*Suurem jõudlus (Suricata kasutab mitmelõimelist, kuid Snort ühelõimelilt tõõtlemist)
*Parem liikluse nähtavus (Suricatal on nähtavus rakenduskihis (OSI 7. kiht), mis suurendab pahatahtliku sisu avastamist)
*Kiirem normaliseerimine ja parsimine HTTP voogude jaoks.
*Automatiseeritud protokolli tuvastus (Vähendab valepositiivseid tulemusi ja avastamme protokolle, mis töötavad mittestandardsetel portidel)

= Süsteemi üldkirjeldus =

Siia tuleb panna skeem ja juurde kirjutada.

= Nõuded =

Nii server kui ka klient töötavad meie lahenduse puhul Oracle'i [https://www.virtualbox.org/wiki/Downloads Virtualboxi] peal.

Kasutame näidetes Ubuntu serverit ja Ubuntu klienti(sobiv klient valida ise - Ubuntu, Lubuntu, Xubuntu, Kubuntu)

Lisaks on soovitav on kasutada "Guest Additione"-it.

''' Ubuntu Server '''

*RAM 512MB
*HDD dynamicly allocated 8GB
*2 Võrgukaarti NIC1 - NAT (eth0 - Ubuntus) ja NIC2 - HostOnly (eth1 - Ubuntus)
*Liidese eth1 lisada staatiline ip aadress - 192.168.56.xxx
*OpenSSH serveri olemasolu

Kasutasime eelnevalt seadistatud [http://elab.itcollege.ee:8000/infra_server.ova serverit], mis on pärit IT infrastruktuuri teenuste ainest, mida muutsime (sellest lähemalt eelseadistuse osas).
Kasutajanimi ja parool on student.

''' Klient '''

*RAM vastavalt graafilise keskkonna nõuetele. Soovitav 512 - 1024MB
*HDD dynamicly allocated 8GB
*2 Võrgukaarti NIC1 - NAT (eth0 - Ubuntus) ja NIC2 - HostOnly (eth1 - Ubuntus)

Kasutasime eelnevalt seadistatud [http://elab.itcollege.ee:8000/infra_klient.ova klienti]. Kasutajanimi ja parool on student.

= Eelseadistus(kasutades eelpaigaldatud serverit) =

Kõik käsud käivitame serveris juurkasutaja õigustes.

Juurkasutajale üleminek:
<source lang="bash">
sudo -i
</source>

1.Muudame ära hostname'i nimeks "suricata".
<source lang="bash">
nano /etc/hostname
</source>

2.Muudame liidese eth1 IP aadressi selliseks 192.168.56.201.
<source lang="bash">
nano /etc/network/interfaces
</source>

Liidese eth1 näidis:
<source lang="bash">
auto eth1
iface eth1 inet static
address 192.168.56.201
netmask 255.255.255.0
</source>

3. Kirjeldame faili /etc/hosts sisu
<source lang="bash">
nano /etc/hosts
</source>

Faili /etc/hosts faili näidis:
<source lang="bash">
127.0.0.1 localhost
127.0.1.1 suricata.planet.zz suricata
192.168.56.201 suricata.planet.zz suricata
192.168.56.200 puppetmaster.planet.zz puppetmaster
192.168.56.101 klient.planet.zz klient
</source>

4. Uuendame ära tarkvara nimekirja info
<source lang="bash">
apt-get update
</source>

5. Uuendame ära tarkvara
<source lang="bash">
apt-get upgrade
</source>

= Paigaldus Ubuntu serveris (võimaldab kasutada nii IDS kui IPS funktsioone) <ref> Suricata paigaldus Ubuntus, https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Ubuntu_Installation_from_GIT</ref> =

Kõik käsud käivitame serveris juurkasutaja õigustes.

1. Kõigepealt paigaldame paki nimega "python-software-properties", kuna selle sees asub programm "add-apt-repository", mida kasutame järgmisena.
<source lang="bash">
apt-get install python-software-properties
</source>

2. Viimase stabiilse Suricata versiooni jaoks käivita vastavad käsud:
<source lang="bash">
add-apt-repository ppa:oisf/suricata-stable
apt-get update
</source>

3. Järgmisena paigalda Suricata
<source lang="bash">
apt-get install suricata
</source>

== Uuendamine ja eemaldamine ==

1. Suricata uuendamiseks käsud
<source lang="bash">
apt-get update
apt-get upgrade
</source>

2. Eemaldamiseks käsk
<source lang="bash">
apt-get remove suricata
</source>

= Esmane seadistamine =

Need käsud käivita serveris juurkasutajaõigustes.

1. Loome kausta Suricata logide jaoks.
<source lang="bash">
mkdir /var/log/suricata
</source>

2. Avame faili /etc/suricata/suricata.yaml
<source lang="bash">
nano /etc/suricata/suricata.yaml
</source>

3. Kirjeldame, millised operatsioonisüsteemid on meie võrgus seal, kus hakkab rida "host-os-policy" ja nimetame nende ip aadressid. <ref>Yamli Host-os-policy informatsioon, https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricatayaml#Host-os-policy</ref>
<source lang="bash">
host-os-policy:
# Make the default policy windows.
windows: []
bsd: []
bsd-right: []
old-linux: []
linux: [192.168.56.200, 192.168.56.201, 192.168.56.101, 127.0.0.1]
old-solaris: []
solaris: []
hpux10: []
hpux11: []
irix: []
macos: []
vista: []
</source>

4. Kirjeldame koduvõrgu ip aadressi vahemiku kohas, mis algab reaga "address-groups:" <ref>Yamli address-groups lahtiseletus, https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricatayaml#Rule-vars</ref>

<source lang="bash">
address-groups:

HOME_NET: "[192.168.56.0/24]"

EXTERNAL_NET: "!$HOME_NET"
</source>

== Kiire testimine <ref>Suricata testimine ühe reegli abil, http://www.linux.org/threads/suricata-the-snort-replacer-part-2-configure-test.4348/</ref> ==

Need käsud käivita serveris juurkasutaja õigustes.

1. Loome faili test.rules kausta /etc/suricata/rules/
<source lang="bash">
touch /etc/suricata/rules/test.rules
</source>

2. Kirjutama test.rules faili testimise jaoks ühe reegli.
<source lang="bash">
alert ip any any -> any any (msg:"ICMP detected"; sid:2; rev:1;)
</source>

3. Avame uuesti faili /etc/suricata/suricata.yaml, kus lähme asukohta, mis hakkab reaga "rule_files:" ja kommenteerime kõik reeglid välja ja kirjeldame seal oma reegli nimega "test.rules".
<source lang="bash">
rule-files:
- test.rules
# - botcc.rules
# - ciarmy.rules
# - compromised.rules
# - drop.rules
# - dshield.rules
# - emerging-activex.rules
# - emerging-attack_response.rules
# - emerging-chat.rules
# - emerging-current_events.rules
# - emerging-dns.rules
# - emerging-dos.rules
# - emerging-exploit.rules
# - emerging-ftp.rules
...
</source>

4. Paneme suricata monitoorima eth1 liidese peal.
<source lang="bash">
suricata -c /etc/suricata/suricata.yaml -i eth1
</source>

5. Teeme oma kliendi masina pealt pingi Suricata serveri pihta.
<source lang="bash">
ping 192.168.56.201
</source>

6. Laseme tunde järgi pingida ja seejärel paneme monitoorimise kinni ning vaatame logi.
<source lang="bash">
less /var/log/suricata/fast.log
</source>

7. Logi sisu peaks olema umbes selline:
<source lang="bash">
01/15/2014-00:08:59.409903 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.101:8 -> 192.168.56.201:0
01/15/2014-00:08:59.409937 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.201:0 -> 192.168.56.101:0
01/15/2014-00:09:00.410130 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.101:8 -> 192.168.56.201:0
01/15/2014-00:09:00.410171 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.201:0 -> 192.168.56.101:0
</source>

=Kokkuvõte=

= Kasulikud materjalid =

*http://www.linux.org/threads/suricata-the-snort-replacer-part-1-intro-install.4346/
*http://www.linux.org/threads/suricata-the-snort-replacer-part-2-configure-test.4348/
*http://www.linux.org/threads/suricata-the-snort-replacer-part-3-rules.4363/
*http://suricata-ids.org/
*https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricata_Installation
*https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Basic_Setup
*

[[Category: Linuxi administreerimine]]

= Viited =

<references />

Suricata

2014-01-16T10:29:07Z

Maleppik: /* Randeli reeglite teema */

Autorid: Martin Leppik ja Randel Raidmets

Rühm: A31

Kuupäev: 12.12.2013

= Eesmärk =

Linuxi administreerimise aine raames paigaldada vastavale Ubuntu serverile sissetungimise avastamise süsteem nimega Suricata. Pärast paigaldust konfigureerida peamised sätted ja reeglid ning viimasena testida süsteemi toimimist.

= Eeldused =

*Baasteadmised Linuxist.
*Oskus hakkama saada käsureaga.
*Algteadmised võrgundusest (Cisco CCNA1).

= Mis on Suricata? =

Suricata on suure jõudlusega võrgu sissetungimise, ennetamise ja turvalisuse monitoorimise mootor. See on avatud lähtekoodiga ja omanikuks on kommuun, mida juhib mittetulunduslik sihtasutus "the Open Information Security Foundation" ehk OISF. <ref>Suricata kirjeldus, http://suricata-ids.org/</ref> Suricata mootor pole ainult mõeldud selleks, et vahetada välja või emuleerida olemasolevaid tööriistu, vaid tuua uusi ideid ja tehnoloogiaid maastikule. Suricata mootor ja HTP teek on saadaval GPLv2 alusel. <ref>Suricata tutvustus OISF-i kodulehel, https://redmine.openinfosecfoundation.org/projects/suricata/wiki/What_is_Suricata</ref>

== Suricata eelised Snordi ees <ref> Miks kasutada Suricatat?,https://alienvault.bloomfire.com/posts/525383-when-should-i-use-suricata/public</ref> ==

Suricata on alternatiivne variant Snordile, mille reeglid ühilduvad ka Suricataga, mille tõttu võib väikse vaevaga Snordi Suricata vastu välja vahetada.

Mõned Suricata eelised:
*Parem jõudlus (Suricata kasutab mitmelõimelist, kuid Snort ühelõimelilt tõõtlemist)
*Parem liikluse nähtavus (Suricatal on nähtavus rakenduskihis (OSI 7. kiht), mis suurendab pahatahtliku sisu avastamist)
*Kiirem normaliseerimine ja parsimine HTTP voogude jaoks.
*Automatiseeritud protokolli tuvastus (Vähendab valepositiivseid tulemusi ja avastamme protokolle, mis töötavad mittestandardsetel portidel)

= Süsteemi üldkirjeldus =

Siia tuleb panna skeem ja juurde kirjutada.

= Nõuded =

Nii server kui ka klient töötavad meie lahenduse puhul Oracle'i [https://www.virtualbox.org/wiki/Downloads Virtualboxi] peal.

Kasutame näidetes Ubuntu serverit ja Ubuntu klienti(sobiv klient valida ise - Ubuntu, Lubuntu, Xubuntu, Kubuntu)

Lisaks on soovitav on kasutada "Guest Additione"-it.

''' Ubuntu Server '''

*RAM 512MB
*HDD dynamicly allocated 8GB
*2 Võrgukaarti NIC1 - NAT (eth0 - Ubuntus) ja NIC2 - HostOnly (eth1 - Ubuntus)
*Liidese eth1 lisada staatiline ip aadress - 192.168.56.xxx
*OpenSSH serveri olemasolu

Kasutasime eelnevalt seadistatud [http://elab.itcollege.ee:8000/infra_server.ova serverit], mis on pärit IT infrastruktuuri teenuste ainest, mida muutsime (sellest lähemalt eelseadistuse osas).
Kasutajanimi ja parool on student.

''' Klient '''

*RAM vastavalt graafilise keskkonna nõuetele. Soovitav 512 - 1024MB
*HDD dynamicly allocated 8GB
*2 Võrgukaarti NIC1 - NAT (eth0 - Ubuntus) ja NIC2 - HostOnly (eth1 - Ubuntus)

Kasutasime eelnevalt seadistatud [http://elab.itcollege.ee:8000/infra_klient.ova klienti]. Kasutajanimi ja parool on student.

= Eelseadistus(kasutades eelpaigaldatud serverit) =

Kõik käsud käivitame serveris juurkasutaja õigustes.

Juurkasutajale üleminek:
<source lang="bash">
sudo -i
</source>

1.Muudame ära hostname'i nimeks "suricata".
<source lang="bash">
nano /etc/hostname
</source>

2.Muudame liidese eth1 IP aadressi selliseks 192.168.56.201.
<source lang="bash">
nano /etc/network/interfaces
</source>

Liidese eth1 näidis:
<source lang="bash">
auto eth1
iface eth1 inet static
address 192.168.56.201
netmask 255.255.255.0
</source>

3. Kirjeldame faili /etc/hosts sisu
<source lang="bash">
nano /etc/hosts
</source>

Faili /etc/hosts faili näidis:
<source lang="bash">
127.0.0.1 localhost
127.0.1.1 suricata.planet.zz suricata
192.168.56.201 suricata.planet.zz suricata
192.168.56.200 puppetmaster.planet.zz puppetmaster
192.168.56.101 klient.planet.zz klient
</source>

4. Uuendame ära tarkvara nimekirja info
<source lang="bash">
apt-get update
</source>

5. Uuendame ära tarkvara
<source lang="bash">
apt-get upgrade
</source>

= Paigaldus Ubuntu serveris (võimaldab kasutada nii IDS kui IPS funktsioone) <ref> Suricata paigaldus Ubuntus, https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Ubuntu_Installation_from_GIT</ref> =

Kõik käsud käivitame serveris juurkasutaja õigustes.

1. Kõigepealt paigaldame paki nimega "python-software-properties", kuna selle sees asub programm "add-apt-repository", mida kasutame järgmisena.
<source lang="bash">
apt-get install python-software-properties
</source>

2. Viimase stabiilse Suricata versiooni jaoks käivita vastavad käsud:
<source lang="bash">
add-apt-repository ppa:oisf/suricata-stable
apt-get update
</source>

3. Järgmisena paigalda Suricata
<source lang="bash">
apt-get install suricata
</source>

== Uuendamine ja eemaldamine ==

1. Suricata uuendamiseks käsud
<source lang="bash">
apt-get update
apt-get upgrade
</source>

2. Eemaldamiseks käsk
<source lang="bash">
apt-get remove suricata
</source>

= Esmane seadistamine =

Need käsud käivita serveris juurkasutajaõigustes.

1. Loome kausta Suricata logide jaoks.
<source lang="bash">
mkdir /var/log/suricata
</source>

2. Avame faili /etc/suricata/suricata.yaml
<source lang="bash">
nano /etc/suricata/suricata.yaml
</source>

3. Kirjeldame, millised operatsioonisüsteemid on meie võrgus seal, kus hakkab rida "host-os-policy" ja nimetame nende ip aadressid. <ref>Yamli Host-os-policy informatsioon, https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricatayaml#Host-os-policy</ref>
<source lang="bash">
host-os-policy:
# Make the default policy windows.
windows: []
bsd: []
bsd-right: []
old-linux: []
linux: [192.168.56.200, 192.168.56.201, 192.168.56.101, 127.0.0.1]
old-solaris: []
solaris: []
hpux10: []
hpux11: []
irix: []
macos: []
vista: []
</source>

4. Kirjeldame koduvõrgu ip aadressi vahemiku kohas, mis algab reaga "address-groups:" <ref>Yamli address-groups lahtiseletus, https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricatayaml#Rule-vars</ref>

<source lang="bash">
address-groups:

HOME_NET: "[192.168.56.0/24]"

EXTERNAL_NET: "!$HOME_NET"
</source>

== Kiire testimine <ref>Suricata testimine ühe reegli abil, http://www.linux.org/threads/suricata-the-snort-replacer-part-2-configure-test.4348/</ref> ==

Need käsud käivita serveris juurkasutaja õigustes.

1. Loome faili test.rules kausta /etc/suricata/rules/
<source lang="bash">
touch /etc/suricata/rules/test.rules
</source>

2. Kirjutama test.rules faili testimise jaoks ühe reegli.
<source lang="bash">
alert ip any any -> any any (msg:"ICMP detected"; sid:2; rev:1;)
</source>

3. Avame uuesti faili /etc/suricata/suricata.yaml, kus lähme asukohta, mis hakkab reaga "rule_files:" ja kommenteerime kõik reeglid välja ja kirjeldame seal oma reegli nimega "test.rules".
<source lang="bash">
rule-files:
- test.rules
# - botcc.rules
# - ciarmy.rules
# - compromised.rules
# - drop.rules
# - dshield.rules
# - emerging-activex.rules
# - emerging-attack_response.rules
# - emerging-chat.rules
# - emerging-current_events.rules
# - emerging-dns.rules
# - emerging-dos.rules
# - emerging-exploit.rules
# - emerging-ftp.rules
...
</source>

4. Paneme suricata monitoorima eth1 liidese peal.
<source lang="bash">
suricata -c /etc/suricata/suricata.yaml -i eth1
</source>

5. Teeme oma kliendi masina pealt pingi Suricata serveri pihta.
<source lang="bash">
ping 192.168.56.201
</source>

6. Laseme tunde järgi pingida ja seejärel paneme monitoorimise kinni ning vaatame logi.
<source lang="bash">
less /var/log/suricata/fast.log
</source>

7. Logi sisu peaks olema umbes selline:
<source lang="bash">
01/15/2014-00:08:59.409903 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.101:8 -> 192.168.56.201:0
01/15/2014-00:08:59.409937 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.201:0 -> 192.168.56.101:0
01/15/2014-00:09:00.410130 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.101:8 -> 192.168.56.201:0
01/15/2014-00:09:00.410171 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.201:0 -> 192.168.56.101:0
</source>

=Kokkuvõte=

= Kasulikud materjalid =

*http://www.linux.org/threads/suricata-the-snort-replacer-part-1-intro-install.4346/
*http://www.linux.org/threads/suricata-the-snort-replacer-part-2-configure-test.4348/
*http://www.linux.org/threads/suricata-the-snort-replacer-part-3-rules.4363/
*http://suricata-ids.org/
*https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricata_Installation
*https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Basic_Setup
*

[[Category: Linuxi administreerimine]]

= Viited =

<references />

Suricata

2014-01-16T10:23:50Z

Maleppik: /* Paigaldus Ubuntu serveris (võimaldab kasutada nii IDS kui IPS funktsioone) Suricata paigaldus Ubuntus, https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Ubuntu_Installation_from_GIT */

Autorid: Martin Leppik ja Randel Raidmets

Rühm: A31

Kuupäev: 12.12.2013

= Eesmärk =

Linuxi administreerimise aine raames paigaldada vastavale Ubuntu serverile sissetungimise avastamise süsteem nimega Suricata. Pärast paigaldust konfigureerida peamised sätted ja reeglid ning viimasena testida süsteemi toimimist.

= Eeldused =

*Baasteadmised Linuxist.
*Oskus hakkama saada käsureaga.
*Algteadmised võrgundusest (Cisco CCNA1).

= Mis on Suricata? =

Suricata on suure jõudlusega võrgu sissetungimise, ennetamise ja turvalisuse monitoorimise mootor. See on avatud lähtekoodiga ja omanikuks on kommuun, mida juhib mittetulunduslik sihtasutus "the Open Information Security Foundation" ehk OISF. <ref>Suricata kirjeldus, http://suricata-ids.org/</ref> Suricata mootor pole ainult mõeldud selleks, et vahetada välja või emuleerida olemasolevaid tööriistu, vaid tuua uusi ideid ja tehnoloogiaid maastikule. Suricata mootor ja HTP teek on saadaval GPLv2 alusel. <ref>Suricata tutvustus OISF-i kodulehel, https://redmine.openinfosecfoundation.org/projects/suricata/wiki/What_is_Suricata</ref>

== Suricata eelised Snordi ees <ref> Miks kasutada Suricatat?,https://alienvault.bloomfire.com/posts/525383-when-should-i-use-suricata/public</ref> ==

Suricata on alternatiivne variant Snordile, mille reeglid ühilduvad ka Suricataga, mille tõttu võib väikse vaevaga Snordi Suricata vastu välja vahetada.

Mõned Suricata eelised:
*Parem jõudlus (Suricata kasutab mitmelõimelist, kuid Snort ühelõimelilt tõõtlemist)
*Parem liikluse nähtavus (Suricatal on nähtavus rakenduskihis (OSI 7. kiht), mis suurendab pahatahtliku sisu avastamist)
*Kiirem normaliseerimine ja parsimine HTTP voogude jaoks.
*Automatiseeritud protokolli tuvastus (Vähendab valepositiivseid tulemusi ja avastamme protokolle, mis töötavad mittestandardsetel portidel)

= Süsteemi üldkirjeldus =

Siia tuleb panna skeem ja juurde kirjutada.

= Nõuded =

Nii server kui ka klient töötavad meie lahenduse puhul Oracle'i [https://www.virtualbox.org/wiki/Downloads Virtualboxi] peal.

Kasutame näidetes Ubuntu serverit ja Ubuntu klienti(sobiv klient valida ise - Ubuntu, Lubuntu, Xubuntu, Kubuntu)

Lisaks on soovitav on kasutada "Guest Additione"-it.

''' Ubuntu Server '''

*RAM 512MB
*HDD dynamicly allocated 8GB
*2 Võrgukaarti NIC1 - NAT (eth0 - Ubuntus) ja NIC2 - HostOnly (eth1 - Ubuntus)
*Liidese eth1 lisada staatiline ip aadress - 192.168.56.xxx
*OpenSSH serveri olemasolu

Kasutasime eelnevalt seadistatud [http://elab.itcollege.ee:8000/infra_server.ova serverit], mis on pärit IT infrastruktuuri teenuste ainest, mida muutsime (sellest lähemalt eelseadistuse osas).
Kasutajanimi ja parool on student.

''' Klient '''

*RAM vastavalt graafilise keskkonna nõuetele. Soovitav 512 - 1024MB
*HDD dynamicly allocated 8GB
*2 Võrgukaarti NIC1 - NAT (eth0 - Ubuntus) ja NIC2 - HostOnly (eth1 - Ubuntus)

Kasutasime eelnevalt seadistatud [http://elab.itcollege.ee:8000/infra_klient.ova klienti]. Kasutajanimi ja parool on student.

= Eelseadistus(kasutades eelpaigaldatud serverit) =

Kõik käsud käivitame serveris juurkasutaja õigustes.

Juurkasutajale üleminek:
<source lang="bash">
sudo -i
</source>

1.Muudame ära hostname'i nimeks "suricata".
<source lang="bash">
nano /etc/hostname
</source>

2.Muudame liidese eth1 IP aadressi selliseks 192.168.56.201.
<source lang="bash">
nano /etc/network/interfaces
</source>

Liidese eth1 näidis:
<source lang="bash">
auto eth1
iface eth1 inet static
address 192.168.56.201
netmask 255.255.255.0
</source>

3. Kirjeldame faili /etc/hosts sisu
<source lang="bash">
nano /etc/hosts
</source>

Faili /etc/hosts faili näidis:
<source lang="bash">
127.0.0.1 localhost
127.0.1.1 suricata.planet.zz suricata
192.168.56.201 suricata.planet.zz suricata
192.168.56.200 puppetmaster.planet.zz puppetmaster
192.168.56.101 klient.planet.zz klient
</source>

4. Uuendame ära tarkvara nimekirja info
<source lang="bash">
apt-get update
</source>

5. Uuendame ära tarkvara
<source lang="bash">
apt-get upgrade
</source>

= Paigaldus Ubuntu serveris (võimaldab kasutada nii IDS kui IPS funktsioone) <ref> Suricata paigaldus Ubuntus, https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Ubuntu_Installation_from_GIT</ref> =

Kõik käsud käivitame serveris juurkasutaja õigustes.

1. Kõigepealt paigaldame paki nimega "python-software-properties", kuna selle sees asub programm "add-apt-repository", mida kasutame järgmisena.
<source lang="bash">
apt-get install python-software-properties
</source>

2. Viimase stabiilse Suricata versiooni jaoks käivita vastavad käsud:
<source lang="bash">
add-apt-repository ppa:oisf/suricata-stable
apt-get update
</source>

3. Järgmisena paigalda Suricata
<source lang="bash">
apt-get install suricata
</source>

== Uuendamine ja eemaldamine ==

1. Suricata uuendamiseks käsud
<source lang="bash">
apt-get update
apt-get upgrade
</source>

2. Eemaldamiseks käsk
<source lang="bash">
apt-get remove suricata
</source>

= Esmane seadistamine =

Need käsud käivita serveris juurkasutajaõigustes.

1. Loome kausta Suricata logide jaoks.
<source lang="bash">
mkdir /var/log/suricata
</source>

2. Avame faili /etc/suricata/suricata.yaml
<source lang="bash">
nano /etc/suricata/suricata.yaml
</source>

3. Kirjeldame, millised operatsioonisüsteemid on meie võrgus seal, kus hakkab rida "host-os-policy" ja nimetame nende ip aadressid. <ref>Yamli Host-os-policy informatsioon, https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricatayaml#Host-os-policy</ref>
<source lang="bash">
host-os-policy:
# Make the default policy windows.
windows: []
bsd: []
bsd-right: []
old-linux: []
linux: [192.168.56.200, 192.168.56.201, 192.168.56.101, 127.0.0.1]
old-solaris: []
solaris: []
hpux10: []
hpux11: []
irix: []
macos: []
vista: []
</source>

4. Kirjeldame koduvõrgu ip aadressi vahemiku kohas, mis algab reaga "address-groups:" <ref>Yamli address-groups lahtiseletus, https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricatayaml#Rule-vars</ref>

<source lang="bash">
address-groups:

HOME_NET: "[192.168.56.0/24]"

EXTERNAL_NET: "!$HOME_NET"
</source>

== Kiire testimine <ref>Suricata testimine ühe reegli abil, http://www.linux.org/threads/suricata-the-snort-replacer-part-2-configure-test.4348/</ref> ==

Need käsud käivita serveris juurkasutaja õigustes.

1. Loome faili test.rules kausta /etc/suricata/rules/
<source lang="bash">
touch /etc/suricata/rules/test.rules
</source>

2. Kirjutama test.rules faili testimise jaoks ühe reegli.
<source lang="bash">
alert ip any any -> any any (msg:"ICMP detected"; sid:2; rev:1;)
</source>

3. Avame uuesti faili /etc/suricata/suricata.yaml, kus lähme asukohta, mis hakkab reaga "rule_files:" ja kommenteerime kõik reeglid välja ja kirjeldame seal oma reegli nimega "test.rules".
<source lang="bash">
rule-files:
- test.rules
# - botcc.rules
# - ciarmy.rules
# - compromised.rules
# - drop.rules
# - dshield.rules
# - emerging-activex.rules
# - emerging-attack_response.rules
# - emerging-chat.rules
# - emerging-current_events.rules
# - emerging-dns.rules
# - emerging-dos.rules
# - emerging-exploit.rules
# - emerging-ftp.rules
...
</source>

4. Paneme suricata monitoorima eth1 liidese peal.
<source lang="bash">
suricata -c /etc/suricata/suricata.yaml -i eth1
</source>

5. Teeme oma kliendi masina pealt pingi Suricata serveri pihta.
<source lang="bash">
ping 192.168.56.201
</source>

6. Laseme tunde järgi pingida ja seejärel paneme monitoorimise kinni ning vaatame logi.
<source lang="bash">
less /var/log/suricata/fast.log
</source>

7. Logi sisu peaks olema umbes selline:
<source lang="bash">
01/15/2014-00:08:59.409903 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.101:8 -> 192.168.56.201:0
01/15/2014-00:08:59.409937 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.201:0 -> 192.168.56.101:0
01/15/2014-00:09:00.410130 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.101:8 -> 192.168.56.201:0
01/15/2014-00:09:00.410171 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.201:0 -> 192.168.56.101:0
</source>

=Randeli reeglite teema=

=Kokkuvõte=

= Kasulikud materjalid =

*http://www.linux.org/threads/suricata-the-snort-replacer-part-1-intro-install.4346/
*http://www.linux.org/threads/suricata-the-snort-replacer-part-2-configure-test.4348/
*http://www.linux.org/threads/suricata-the-snort-replacer-part-3-rules.4363/
*http://suricata-ids.org/
*https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricata_Installation
*https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Basic_Setup
*

[[Category: Linuxi administreerimine]]

= Viited =

<references />

Suricata

2014-01-16T10:16:47Z

Maleppik: /* Mis on Suricata? */

Autorid: Martin Leppik ja Randel Raidmets

Rühm: A31

Kuupäev: 12.12.2013

= Eesmärk =

Linuxi administreerimise aine raames paigaldada vastavale Ubuntu serverile sissetungimise avastamise süsteem nimega Suricata. Pärast paigaldust konfigureerida peamised sätted ja reeglid ning viimasena testida süsteemi toimimist.

= Eeldused =

*Baasteadmised Linuxist.
*Oskus hakkama saada käsureaga.
*Algteadmised võrgundusest (Cisco CCNA1).

= Mis on Suricata? =

Suricata on suure jõudlusega võrgu sissetungimise, ennetamise ja turvalisuse monitoorimise mootor. See on avatud lähtekoodiga ja omanikuks on kommuun, mida juhib mittetulunduslik sihtasutus "the Open Information Security Foundation" ehk OISF. <ref>Suricata kirjeldus, http://suricata-ids.org/</ref> Suricata mootor pole ainult mõeldud selleks, et vahetada välja või emuleerida olemasolevaid tööriistu, vaid tuua uusi ideid ja tehnoloogiaid maastikule. Suricata mootor ja HTP teek on saadaval GPLv2 alusel. <ref>Suricata tutvustus OISF-i kodulehel, https://redmine.openinfosecfoundation.org/projects/suricata/wiki/What_is_Suricata</ref>

== Suricata eelised Snordi ees <ref> Miks kasutada Suricatat?,https://alienvault.bloomfire.com/posts/525383-when-should-i-use-suricata/public</ref> ==

Suricata on alternatiivne variant Snordile, mille reeglid ühilduvad ka Suricataga, mille tõttu võib väikse vaevaga Snordi Suricata vastu välja vahetada.

Mõned Suricata eelised:
*Parem jõudlus (Suricata kasutab mitmelõimelist, kuid Snort ühelõimelilt tõõtlemist)
*Parem liikluse nähtavus (Suricatal on nähtavus rakenduskihis (OSI 7. kiht), mis suurendab pahatahtliku sisu avastamist)
*Kiirem normaliseerimine ja parsimine HTTP voogude jaoks.
*Automatiseeritud protokolli tuvastus (Vähendab valepositiivseid tulemusi ja avastamme protokolle, mis töötavad mittestandardsetel portidel)

= Süsteemi üldkirjeldus =

Siia tuleb panna skeem ja juurde kirjutada.

= Nõuded =

Nii server kui ka klient töötavad meie lahenduse puhul Oracle'i [https://www.virtualbox.org/wiki/Downloads Virtualboxi] peal.

Kasutame näidetes Ubuntu serverit ja Ubuntu klienti(sobiv klient valida ise - Ubuntu, Lubuntu, Xubuntu, Kubuntu)

Lisaks on soovitav on kasutada "Guest Additione"-it.

''' Ubuntu Server '''

*RAM 512MB
*HDD dynamicly allocated 8GB
*2 Võrgukaarti NIC1 - NAT (eth0 - Ubuntus) ja NIC2 - HostOnly (eth1 - Ubuntus)
*Liidese eth1 lisada staatiline ip aadress - 192.168.56.xxx
*OpenSSH serveri olemasolu

Kasutasime eelnevalt seadistatud [http://elab.itcollege.ee:8000/infra_server.ova serverit], mis on pärit IT infrastruktuuri teenuste ainest, mida muutsime (sellest lähemalt eelseadistuse osas).
Kasutajanimi ja parool on student.

''' Klient '''

*RAM vastavalt graafilise keskkonna nõuetele. Soovitav 512 - 1024MB
*HDD dynamicly allocated 8GB
*2 Võrgukaarti NIC1 - NAT (eth0 - Ubuntus) ja NIC2 - HostOnly (eth1 - Ubuntus)

Kasutasime eelnevalt seadistatud [http://elab.itcollege.ee:8000/infra_klient.ova klienti]. Kasutajanimi ja parool on student.

= Eelseadistus(kasutades eelpaigaldatud serverit) =

Kõik käsud käivitame serveris juurkasutaja õigustes.

Juurkasutajale üleminek:
<source lang="bash">
sudo -i
</source>

1.Muudame ära hostname'i nimeks "suricata".
<source lang="bash">
nano /etc/hostname
</source>

2.Muudame liidese eth1 IP aadressi selliseks 192.168.56.201.
<source lang="bash">
nano /etc/network/interfaces
</source>

Liidese eth1 näidis:
<source lang="bash">
auto eth1
iface eth1 inet static
address 192.168.56.201
netmask 255.255.255.0
</source>

3. Kirjeldame faili /etc/hosts sisu
<source lang="bash">
nano /etc/hosts
</source>

Faili /etc/hosts faili näidis:
<source lang="bash">
127.0.0.1 localhost
127.0.1.1 suricata.planet.zz suricata
192.168.56.201 suricata.planet.zz suricata
192.168.56.200 puppetmaster.planet.zz puppetmaster
192.168.56.101 klient.planet.zz klient
</source>

4. Uuendame ära tarkvara nimekirja info
<source lang="bash">
apt-get update
</source>

5. Uuendame ära tarkvara
<source lang="bash">
apt-get upgrade
</source>

= Paigaldus Ubuntu serveris (võimaldab kasutada nii IDS kui IPS funktsioone) <ref> Suricata paigaldus Ubuntus, https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Ubuntu_Installation_from_GIT</ref> =

1. Kõigepealt paigaldame paki nimega "python-software-properties", kuna selle sees asub programm "add-apt-repository", mida kasutame järgmisena.
<source lang="bash">
apt-get install python-software-properties
</source>

2. Viimase stabiilse Suricata versiooni jaoks käivita vastavad käsud:
<source lang="bash">
add-apt-repository ppa:oisf/suricata-stable
apt-get update
</source>

3. Järgmisena paigalda Suricata
<source lang="bash">
apt-get install suricata
</source>

== Uuendamine ja eemaldamine ==

1. Suricata uuendamiseks käsud
<source lang="bash">
apt-get update
apt-get upgrade
</source>

2. Eemaldamiseks käsk
<source lang="bash">
apt-get remove suricata
</source>

= Esmane seadistamine =

Need käsud käivita serveris juurkasutajaõigustes.

1. Loome kausta Suricata logide jaoks.
<source lang="bash">
mkdir /var/log/suricata
</source>

2. Avame faili /etc/suricata/suricata.yaml
<source lang="bash">
nano /etc/suricata/suricata.yaml
</source>

3. Kirjeldame, millised operatsioonisüsteemid on meie võrgus seal, kus hakkab rida "host-os-policy" ja nimetame nende ip aadressid. <ref>Yamli Host-os-policy informatsioon, https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricatayaml#Host-os-policy</ref>
<source lang="bash">
host-os-policy:
# Make the default policy windows.
windows: []
bsd: []
bsd-right: []
old-linux: []
linux: [192.168.56.200, 192.168.56.201, 192.168.56.101, 127.0.0.1]
old-solaris: []
solaris: []
hpux10: []
hpux11: []
irix: []
macos: []
vista: []
</source>

4. Kirjeldame koduvõrgu ip aadressi vahemiku kohas, mis algab reaga "address-groups:" <ref>Yamli address-groups lahtiseletus, https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricatayaml#Rule-vars</ref>

<source lang="bash">
address-groups:

HOME_NET: "[192.168.56.0/24]"

EXTERNAL_NET: "!$HOME_NET"
</source>

== Kiire testimine <ref>Suricata testimine ühe reegli abil, http://www.linux.org/threads/suricata-the-snort-replacer-part-2-configure-test.4348/</ref> ==

Need käsud käivita serveris juurkasutaja õigustes.

1. Loome faili test.rules kausta /etc/suricata/rules/
<source lang="bash">
touch /etc/suricata/rules/test.rules
</source>

2. Kirjutama test.rules faili testimise jaoks ühe reegli.
<source lang="bash">
alert ip any any -> any any (msg:"ICMP detected"; sid:2; rev:1;)
</source>

3. Avame uuesti faili /etc/suricata/suricata.yaml, kus lähme asukohta, mis hakkab reaga "rule_files:" ja kommenteerime kõik reeglid välja ja kirjeldame seal oma reegli nimega "test.rules".
<source lang="bash">
rule-files:
- test.rules
# - botcc.rules
# - ciarmy.rules
# - compromised.rules
# - drop.rules
# - dshield.rules
# - emerging-activex.rules
# - emerging-attack_response.rules
# - emerging-chat.rules
# - emerging-current_events.rules
# - emerging-dns.rules
# - emerging-dos.rules
# - emerging-exploit.rules
# - emerging-ftp.rules
...
</source>

4. Paneme suricata monitoorima eth1 liidese peal.
<source lang="bash">
suricata -c /etc/suricata/suricata.yaml -i eth1
</source>

5. Teeme oma kliendi masina pealt pingi Suricata serveri pihta.
<source lang="bash">
ping 192.168.56.201
</source>

6. Laseme tunde järgi pingida ja seejärel paneme monitoorimise kinni ning vaatame logi.
<source lang="bash">
less /var/log/suricata/fast.log
</source>

7. Logi sisu peaks olema umbes selline:
<source lang="bash">
01/15/2014-00:08:59.409903 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.101:8 -> 192.168.56.201:0
01/15/2014-00:08:59.409937 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.201:0 -> 192.168.56.101:0
01/15/2014-00:09:00.410130 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.101:8 -> 192.168.56.201:0
01/15/2014-00:09:00.410171 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.201:0 -> 192.168.56.101:0
</source>

=Randeli reeglite teema=

=Kokkuvõte=

= Kasulikud materjalid =

*http://www.linux.org/threads/suricata-the-snort-replacer-part-1-intro-install.4346/
*http://www.linux.org/threads/suricata-the-snort-replacer-part-2-configure-test.4348/
*http://www.linux.org/threads/suricata-the-snort-replacer-part-3-rules.4363/
*http://suricata-ids.org/
*https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricata_Installation
*https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Basic_Setup
*

[[Category: Linuxi administreerimine]]

= Viited =

<references />

Suricata

2014-01-16T09:56:52Z

Maleppik: /* Kasutatud materjalid */

Suricata

2014-01-16T09:56:05Z

Maleppik:

Suricata

2014-01-16T09:55:52Z

Maleppik:

Suricata

2014-01-16T09:43:02Z

Maleppik: /* Kasutatud materjalid */

Suricata

2014-01-16T09:36:06Z

Maleppik: /* Esmasne seadistamine */

Suricata

2014-01-15T20:34:45Z

Maleppik: /* Baaskonfiguratsioon */

Suricata

2014-01-15T20:29:42Z

Maleppik: /* Uuendamine ja eemaldamine */

Suricata

2014-01-15T20:26:22Z

Maleppik: /* Nõuded */

Suricata

2014-01-15T20:11:03Z

Maleppik:

Suricata

2014-01-15T20:06:26Z

Maleppik: /* Kiire testimine [http://www.linux.org/threads/suricata-the-snort-replacer-part-2-configure-test.4348/] */

Suricata

2014-01-15T20:01:16Z

Maleppik:

Suricata

2014-01-15T13:13:55Z

Maleppik:

Suricata

2014-01-15T13:09:49Z

Maleppik: /* Kiire testimine */

Suricata

2014-01-15T13:07:22Z

Maleppik: /* Baaskonfiguratsioon */

Suricata

2014-01-15T13:06:42Z

Maleppik: /* Baaskonfiguratsioon */

Suricata

2014-01-15T13:05:53Z

Maleppik: /* Paigaldus Ubuntu serveris */

Suricata

2014-01-15T12:57:22Z

Maleppik:

Suricata

2014-01-14T22:21:58Z

Maleppik:

Suricata

2014-01-14T22:19:20Z

Maleppik:

Suricata

2014-01-14T22:17:27Z

Maleppik:

Suricata

2014-01-14T21:51:03Z

Maleppik:

Suricata

2014-01-14T21:08:51Z

Maleppik:

Suricata

2014-01-14T20:49:12Z

Maleppik:

Suricata

2014-01-14T20:38:55Z

Maleppik:

Suricata

2014-01-14T19:54:55Z

Maleppik: