ICO wiki - User contributions [en]

Visualiseerimine - Labor 1

2015-06-26T13:56:29Z

Rjuhanni: /* Labor 1 */

== Labor 1 ==

Esimeses laboris paigaldatakse IDS serverile ründetuvastussüsteem Suricata, kasutades juhendit [[IDS_Systeemid_-_Labor_1]].

NB! Antud laboris tuleb liides eth2 seadistada valimatusse režiimi.

=== Veebiserveri ettevalmistus* ===
Veebiserverile tuleb paigaldada DVWA, kuhu tehakse ründeid. DVWA paigaldusjuhendi leiab [[DVWA]].

"*" - Ei ole veel otsustatud, kas jääb siia või paigaldatakse eelnevalt. Selgub piloteerimisel.

=== Ettevalmistused antud laborite jaoks ===
Kuna Elasticsearch ning Logstalgia nõuavad Java 7 olemasolu, siis tuleb tuleb see paigaldada.

NB! Kõik käsud tehakse root õigustes. Selleks, et root õigustesse minna saab kasutada käsku:
sudo -i
ning sisestage parool.

Esiteks lisame ppa apt-i repositooriumi:
add-apt-repository -y ppa:webupd8team/java

Nüüd uuendame repositooriumi:
apt-get update

Paigaldame stabiilse java versiooni. Kui küsitakse litsentsi nõusolekut, siis tuleb nõustuda.
apt-get install oracle-java7-installer

=== Elasticsearchi paigaldamine ===
Alguses läheme rootkausta, kui seda pole varem teinud.
cd

Laadime alla Elasticsearchi uusima versiooni (hetkel on selleks 1.6.0):
wget https://download.elastic.co/elasticsearch/elasticsearch/elasticsearch-1.6.0.deb

Paigaldame Elasticsearchi:
dpkg -i elasticsearch-1.6.0.deb

Konfigureerime Elasicsearchi. Selleks avame elacticsearchi konfiguratsioonifaili meelepärase tekstiredaktoriga:
nano /etc/elasticsearch/elasticsearch.yml

Otsime üles koha, kus on network.host ning kommenteerime sisse ning muudame IP:
network.host: 192.168.56.201

Läheme faili lõppu ning lisame järgneva rea:
http.cors.enabled: true

Salvestame ning väljune redaktorist.

=== Logstashi paigaldamine ===
Laadime alla Logstashi uusima versiooni:
wget http://download.elastic.co/logstash/logstash/packages/debian/logstash_1.5.0-1_all.deb

Paigaldame Logstashi:
dpkg -i logstash_1.5.0-1_all.deb

Logstashi konfigureerimiseks loome uue faili logstash.conf
touch /etc/logstash/conf.d/logstash.conf

Avame uue loodud faili sobiva tekstiredaktoriga. Näiteks on kasutatud nano
nano /etc/logstash/conf.d/logstash.conf

Lisame järgneva konfiguratsiooni:
input {
file {
path => ["/var/log/suricata/eve.json"]
sincedb_path => ["/var/lib/logstash/"]
codec => json
type => "SuricataIDPS"
}

}

filter {
if [type] == "SuricataIDPS" {
date {
match => [ "timestamp", "ISO8601" ]
}
ruby {
code => "if event['event_type'] == 'fileinfo'; event['fileinfo']['type']=event['fileinfo']['magic'].to_s.split(',')[0]; end;"
}
}

if [src_ip] {
geoip {
source => "src_ip"
target => "geoip"
#database => "/opt/logstash/vendor/geoip/GeoLiteCity.dat"
add_field => [ "[geoip][coordinates]", "%{[geoip][longitude]}" ]
add_field => [ "[geoip][coordinates]", "%{[geoip][latitude]}" ]
}
mutate {
convert => [ "[geoip][coordinates]", "float" ]
}
if ![geoip.ip] {
if [dest_ip] {
geoip {
source => "dest_ip"
target => "geoip"
#database => "/opt/logstash/vendor/geoip/GeoLiteCity.dat"
add_field => [ "[geoip][coordinates]", "%{[geoip][longitude]}" ]
add_field => [ "[geoip][coordinates]", "%{[geoip][latitude]}" ]
}
mutate {
convert => [ "[geoip][coordinates]", "float" ]
}
}
}
}
}

output {
elasticsearch {
host => localhost
#protocol => http
}
}

Konfigureerime automaatselt käivituma:
update-rc.d elasticsearch defaults 95 10
update-rc.d logstash defaults

Taaskäivitame teenused:
service apache2 restart
service elasticsearch start
service logstash start

=== Logide kogumine ===
Käivitage suricata ning koguge 5-10 minutit logisid.

Kui logid on olemas, siis saab edasi minna labor 2-ga.

== Tagasi avalehele ==
[[Visualiseerimise_materjalid]]

Visualiseerimine - Labor 2

2015-06-18T20:51:08Z

Rjuhanni: /* Graafiline visualiseerimine */

== Labor 2 ==
Labor 2 tuleb paigaldada Kibana ning koostada visualiseerimisi. Lõpptulemuseks on koondpaneel, mis sisaldab vähemalt kolme visualiseeringut. Enne labor 2 tegemist peab labor 1 tehtud olema, sest muidu ei ole midagi visualiseerida.

=== Kibana paigaldamine ===
Laeme alla Kibana:
wget https://download.elastic.co/kibana/kibana/kibana-3.1.2.tar.gz

Pakime saadud faili lahti /var/www kausta:
tar xzf kibana-3.1.2.tar.gz -C /var/www/html/ --strip 1

Kui kõik tarkvarad töötavad, siis tuleb minna järgnevale lehele, et näha Kibana veebiliidest:
http://192.168.56.201

=== Graafiline visualiseerimine ===

Graafiliste visualiseeringute tegemiseks tuleb avada Kibana veebiliides. (vaata eelmise lõigu viimast punkti)

Esmakordsel avamisel valida "Sample dashboard". Avanenud vaatest saab aimu, milline näeb Kibana välja.

Järgnevalt saab luua ise uusi visualiseeringuid ning koondpaneele vastavalt oma soovidele.

Jälgida tuleb juhiseid veebiliidesest.

Selleks, et saada punkti visualiseerimise eest, peavad õppurid looma koondpaneeli, mis sisaldaks vähemalt kolme visualiseeringut.

Kui kõik on valmis, siis õppurid saavad näidata õppejõule ette oma töö, et õppejõud saaks hinnata.

== Tagasi avalehele ==
[[Visualiseerimise_materjalid]]

2015-06-10T20:42:58Z

Rjuhanni:

Visualiseerimine - Labor 2

2015-06-10T20:33:32Z

Rjuhanni:

2015-06-10T10:56:01Z

Rjuhanni:

Visualiseerimise materjalid

2015-06-09T16:57:28Z

Rjuhanni: /* Loeng */

== Üldinfo ==
'''Antud kursus on valmimise staadiumis, seega info muutub pidevalt.
''' 
Hindamisviis: Arvestus

== Eeldused ==
Antud materjalide läbijal peaksid olema teadmised järgmistest valdkondadest: Linux, arvutivõrgud ning ründed. 

Eelteadmiste omamiseks peaksid Eesti Infotehnoloogia Kolledži tudengid eelnevalt läbima järgevaid ained: 
'''IT süsteemide administreerimise erialal:''' 
I233 "Operatsioonisüsteemide administreerimine ja sidumine" 
I249 "Side alused" 
ning võtma ainet I385 "IT infrastruktuuri teenused" 

'''Küberturbe tehnoloogiate erialal:''' 
"Operatsioonisüsteemid" 
"Võrgu põhitõed" 
"IT infrastruktuuri teenused"

== Juhendid ==
Õpijuhis: [[Visualiseerimine - opijuhis]] 
Paigaldusjuhend: [[Visualiseerimine - paigaldusjuhend]] 
Hindamisjuhend: [[Visualiseerimine - hindamisjuhend]]

== Õppejõud ==
-

== Eesmärk ja sisu ==
Õpetada ründetuvastuse logisid visualiseerima. Anda oskused visualiseerimislahenduste paigaldamiseks ning haldamiseks. Küberturbe tehnoloogiate eriala tudengitel aitab konkreetne materjal luua seoseid "Võrgu sissetungi avastamise/kaitsmise süsteemide" ning "Logimine ja seire" vahel. Kursuses on nii teoreerilst materjali kui ka praktilisi laboreid. Praktilistes laborites õppurid paigaldavad visualiseerimislahenduse ning teostavad logide kogumist ning visualiseerimist.

== Loeng ==
Loeng: [[visualiseerimine loeng]] 

== Praktilised ülesanded ==
[[Visualiseerimine - Labor 1]] 
[[Visualiseerimine - Labor 2]]

Visualiseerimise materjalid

2015-06-09T16:57:10Z

Rjuhanni:

== Üldinfo ==
'''Antud kursus on valmimise staadiumis, seega info muutub pidevalt.
''' 
Hindamisviis: Arvestus

== Eeldused ==
Antud materjalide läbijal peaksid olema teadmised järgmistest valdkondadest: Linux, arvutivõrgud ning ründed. 

Eelteadmiste omamiseks peaksid Eesti Infotehnoloogia Kolledži tudengid eelnevalt läbima järgevaid ained: 
'''IT süsteemide administreerimise erialal:''' 
I233 "Operatsioonisüsteemide administreerimine ja sidumine" 
I249 "Side alused" 
ning võtma ainet I385 "IT infrastruktuuri teenused" 

'''Küberturbe tehnoloogiate erialal:''' 
"Operatsioonisüsteemid" 
"Võrgu põhitõed" 
"IT infrastruktuuri teenused"

== Juhendid ==
Õpijuhis: [[Visualiseerimine - opijuhis]] 
Paigaldusjuhend: [[Visualiseerimine - paigaldusjuhend]] 
Hindamisjuhend: [[Visualiseerimine - hindamisjuhend]]

== Õppejõud ==
-

== Eesmärk ja sisu ==
Õpetada ründetuvastuse logisid visualiseerima. Anda oskused visualiseerimislahenduste paigaldamiseks ning haldamiseks. Küberturbe tehnoloogiate eriala tudengitel aitab konkreetne materjal luua seoseid "Võrgu sissetungi avastamise/kaitsmise süsteemide" ning "Logimine ja seire" vahel. Kursuses on nii teoreerilst materjali kui ka praktilisi laboreid. Praktilistes laborites õppurid paigaldavad visualiseerimislahenduse ning teostavad logide kogumist ning visualiseerimist.

== Loeng ==
Loeng: [[visualiseerimine - loeng]] 

== Praktilised ülesanded ==
[[Visualiseerimine - Labor 1]] 
[[Visualiseerimine - Labor 2]]

Visualiseerimise materjalid

2015-06-09T16:55:52Z

Rjuhanni:

== Üldinfo ==
'''Antud kursus on valmimise staadiumis, seega info muutub pidevalt.
''' 
Hindamisviis: Arvestus

== Eeldused ==
Antud materjalide läbijal peaksid olema teadmised järgmistest valdkondadest: Linux, arvutivõrgud ning ründed. 

Eelteadmiste omamiseks peaksid Eesti Infotehnoloogia Kolledži tudengid eelnevalt läbima järgevaid ained: 
'''IT süsteemide administreerimise erialal:''' 
I233 "Operatsioonisüsteemide administreerimine ja sidumine" 
I249 "Side alused" 
ning võtma ainet I385 "IT infrastruktuuri teenused" 

'''Küberturbe tehnoloogiate erialal:''' 
"Operatsioonisüsteemid" 
"Võrgu põhitõed" 
"IT infrastruktuuri teenused"

== Juhendid ==
Õpijuhis: [[Visualiseerimine - opijuhis]] 
Paigaldusjuhend: [[Visualiseerimine - paigaldusjuhend]] 
Hindamisjuhend: [[Visualiseerimine - hindamisjuhend]]

== Õppejõud ==
-

== Eesmärk ja sisu ==
Õpetada ründetuvastuse logisid visualiseerima. Anda oskused visualiseerimislahenduste paigaldamiseks ning haldamiseks. Küberturbe tehnoloogiate eriala tudengitel aitab konkreetne materjal luua seoseid "Võrgu sissetungi avastamise/kaitsmise süsteemide" ning "Logimine ja seire" vahel. Kursuses on nii teoreerilst materjali kui ka praktilisi laboreid. Praktilistes laborites õppurid paigaldavad visualiseerimislahenduse ning teostavad logide kogumist ning visualiseerimist.

== Loeng ==
Loeng: [[Visualiseerimine - loeng]] 

== Praktilised ülesanded ==
[[Visualiseerimine - Labor 1]] 
[[Visualiseerimine - Labor 2]]

2015-06-02T06:59:25Z

Rjuhanni:

Visualiseerimine - hindamisjuhend

2015-06-01T11:44:15Z

Rjuhanni:

Visualiseerimine - paigaldusjuhend

2015-05-28T14:14:24Z

Rjuhanni:

== Labori keskkonna paigaldusjuhend ==
Labori keskkonnas on kasutusel viis virtuaalmasinat, millest kolmele saab õppur ligi.
*Klient - Masin, mida kasutatakse graafilise liidese, veebibrauseri ja SSH ühenduste jaoks. Selles masinas saab vaadata juhendeid, graafikuid ning üle SSH kontrollida teisi masinaid. 
*Veebiserver - Masin, kus on teenused. Sinna masinasse tuleb liiklust. 
*IDS - Masin, kuhu kogutakse veebiserveri logid ning paigaldatakse visualiseerimiseks vajalikud tarkvarad. 
*Liiklust genereeriv server - Genereerib tavapärast liiklust veebiserverisse. Õppur ligi ei saa. 
*Liiklust genereeriv server - Genereerib "halba liiklust" ehk küberründeid. Õppur ligi ei saa 

== Klient ==
Virtualboxi konfiguratsioon: 
Min 1 protsessor 
Min 512 MB operatiivmälu 
Võrguliides 1: NAT tüüpi liides internetiühenduse jaoks. 
Võrguliides 2: "Internal network" tüüpi liides teistesse masinatesse SSH-ga ühendamiseks. 
'''Operatsioonisüsteem:''' 
Labori juhendites on kasutusel Ubuntu Linux 14.04.2 LTS 64 bit Desktop. 
Kui kasutada Virtualbox-i võrguliideseid samas järjekorras, siis liideste nimed peaksid olema: 
eth0: Virtualboxi poolt konfigureeritud dünaamiline võrguaadress. 
eth1: Staatiline sisevõrgu IP. Antud labori juhendi järgi 192.168.56.100 
'''Tarkvara:''' 
Tarkvara, mida ei paigaldata laborite käigus, kuid võiks eelnevalt olemas olla: 
vim 
OpenSSH 

== Veebiserver ==
Virtualboxi konfiguratsioon: 
Min 1 protsessor 
Min 512 MB operatiivmälu 
Võrguliides 1: NAT tüüpi liides internetiühenduse jaoks. 
Võrguliides 2: "Internal network" tüüpi liides sisevõrgu ühenduste jaoks. 
Võrguliides 3: "Internal network" tüüpi liides. Võtab vastu liiklust, mida tekitavad kaks serverit. 
'''Operatsioonisüsteem:''' 
Labori juhendites on kasutusel Ubuntu Linux 14.04.2 LTS 64 bit. 
Kui kasutada Virtualbox-i võrguliideseid samas järjekorras, siis liideste nimed peaksid olema: 
eth0: Virtualboxi poolt konfigureeritud dünaamiline võrguaadress. 
eth1: Staatiline sisevõrgu IP. Antud labori juhendi järgi 192.168.56.200 
eth2: Staatiline sisevõrgu IP. Antud labori juhendi järgi 10.10.10.10 
'''Tarkvara:''' 
Tarkvara, mida ei paigaldata laborite käigus, kuid võiks eelnevalt olemas olla: 
Apache veebiserver 
vim 
OpenSSH 

== IDS ==
Virtualboxi konfiguratsioon: 
Min 1 protsessor 
Min 1024 MB operatiivmälu 
Võrguliides 1: NAT tüüpi liides internetiühenduse jaoks. 
Võrguliides 2: "Internal network" tüüpi liides sisevõrgu ühenduste jaoks. 
Võrguliides 3: "Internal network" tüüpi liides. Võtab vastu liiklust, mida tekitavad kaks serverit. 
'''Operatsioonisüsteem:''' 
Labori juhendites on kasutusel Ubuntu Linux 14.04.2 LTS 64 bit. 
Kui kasutada Virtualbox-i võrguliideseid samas järjekorras, siis liideste nimed peaksid olema: 
eth0: Virtualboxi poolt konfigureeritud dünaamiline võrguaadress. 
eth1: Staatiline sisevõrgu IP. Antud labori juhendi järgi 192.168.56.201 
eth2: Staatiline sisevõrgu IP. Antud labori juhendi järgi 10.10.10.1 
'''Tarkvara:''' 
Tarkvara, mida ei paigaldata laborite käigus, kuid võiks eelnevalt olemas olla: 
vim 
OpenSSH 

== Liiklust genereerivad serverid ==
Liikluse genereerimiseks kasutavad botte.
Serverite IP koostatakse tudengite kasutajanimedest Hash-to-IP abil.

2014-12-11T09:43:16Z

Rjuhanni:

Autorid: Martin Leppik ja Randel Raidmets

Reeglite sisselükkamise osa, uue reegli tegemine: Rene Juhanni

Rühm: A31

Kuupäev: 12.12.2013

= Eesmärk =

Linuxi administreerimise aine raames paigaldada vastavale Ubuntu serverile sissetungimise avastamise süsteem nimega Suricata. Pärast paigaldust konfigureerida peamised sätted ja reeglid ning viimasena testida süsteemi toimimist.

= Eeldused =

*Baasteadmised Linuxist.
*Oskus hakkama saada käsureaga.
*Algteadmised võrgundusest (Cisco CCNA1).

= Mis on Suricata? =

Suricata on suure jõudlusega võrgu sissetungimise, ennetamise ja turvalisuse monitoorimise mootor. See on avatud lähtekoodiga ja omanikuks on kommuun, mida juhib mittetulunduslik sihtasutus "the Open Information Security Foundation" ehk OISF. <ref>Suricata kirjeldus, http://suricata-ids.org/</ref> Suricata mootor pole ainult mõeldud selleks, et vahetada välja või emuleerida olemasolevaid tööriistu, vaid tuua uusi ideid ja tehnoloogiaid maastikule. Suricata mootor ja HTP teek on saadaval GPLv2 alusel. <ref>Suricata tutvustus OISF-i kodulehel, https://redmine.openinfosecfoundation.org/projects/suricata/wiki/What_is_Suricata</ref>

== Suricata eelised Snordi ees <ref> Miks kasutada Suricatat?,https://alienvault.bloomfire.com/posts/525383-when-should-i-use-suricata/public</ref> ==

Suricata on alternatiivne variant Snordile, mille reeglid ühilduvad ka Suricataga, mille tõttu võib väikse vaevaga Snordi Suricata vastu välja vahetada.

Mõned Suricata eelised:
*Suurem jõudlus (Suricata kasutab mitmelõimelist, kuid Snort ühelõimelilt töötlemist)
*Parem liikluse nähtavus (Suricatal on nähtavus rakenduskihis (OSI 7. kiht), mis suurendab pahatahtliku sisu avastamist)
*Kiirem normaliseerimine ja parsimine HTTP voogude jaoks.
*Automatiseeritud protokolli tuvastus (Vähendab valepositiivseid tulemusi ja avastamme protokolle, mis töötavad mittestandardsetel portidel)
*Suricatat paigaldatakse ka komertstoodete sisse.
*Ainus lahendus, mis töötab otse riistavara peal, mille tõttu on olemas ka spetsiaalseid riistavarilisi lahendusi Suricata jaoks.

= Süsteemi üldkirjeldus =
Suricatat on võimalik konfigureerida nii IDS-ks kui ka IPS-ks.

*'''IDS ehk "Intrusion Detection System"'''

IDS süsteemid jälgivad võrguliiklust ja käituvad vastavalt seadistatud reeglistikule. IDS jälgib paketi tasemel liiklust IDS süsteem on tavaliselt ühendatud "switchiga" ehk kommutaatoriga. Näiteks on võimalik defineerida, et ICMP pakketide liikumisest logitakse. Samuti on võimalik määrata, et logitakse näiteks SSH-ga valesti sisestatud kasutajanime ja parooli.

*'''IPS ehk "Intrusion Prevention System"'''

IPS süsteemid jälgivad võrku sissetulevat ja väljaminevat liiklust. Vastavalt konfigureeritud reeglistikule IPS süsteemid, kas lasevad paketid läbi või takistavad nende liikumist. IPS jälgib paketi tasemel liiklust. IPS süsteemid paigaldatakse tavaliselt, kas enne tulemüüri või peal tulemüüri sisevõrku.

Suricata IPS'is kasutatavad tegevused ja nende järjekord:<ref>Suricata Action-order, https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricatayaml#Action-order</ref>

*'''PASS(luba)''' kui Suricata leiab kirjeldatud lubatud reeglite hulgast signatuuri ja see vastab paketile, siis saadetakse antud pakett edasi.

*'''DROP(eemalda/lõpeta)''' kui Suricata leiab kirjeldatud reeglite hulgast keelava signatuuri ning see vastab paketile, siis antud pakett tühistatakse. Saatjale selle kohast infot ei saadeta, saatja saab TCP time-out teate. Samuti raporteeritakse paketi eemaldamisest.

*'''REJECT(lükka tagasi)''' kui Suricata leiab kirjeldatud reeglite hulgast keelava signatuuri ning see vastab paketile ja kasutusel on "reject" käsk, siis tühistatakse pakett. Nii saatja kui saaja saavad "reject" teate.

*'''Alert(teavita)''' kui Suricata leiab kirjeldatud reeglite hulgast signatuuri, mis vastab antud paketile, siis genereeritakse teade ja liiklus lubatakse.

== IDS/IPS esitus graafilisel kujul ==

IPS kasutamise võimalused võrgu ehituses (Joonis 1. ja Joonis2):

[[File:Diagram1.jpeg]]

Joonis 1.

[[File:Diagram2.jpeg]]

Joonis 2.

IDS kasutamise võimalused võrgu ehituses (Joonis3):

[[File:Diagram3.jpeg]]

Joonis 3.

= Nõuded =

Nii server kui ka klient töötavad meie lahenduse puhul Oracle'i [https://www.virtualbox.org/wiki/Downloads Virtualboxi] peal.

Kasutame näidetes Ubuntu serverit ja Ubuntu klienti (sobiv klient valida ise - Ubuntu, Lubuntu, Xubuntu, Kubuntu).

Toetatud on sellised Ubuntu 32bit ja 64bit versioonid <ref>Toetatud ubuntu versioonide nimekiri, https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Ubuntu_Installation_-_Personal_Package_Archives_%28PPA%29</ref>:

*10.04 Lucid
*12.04 Precise
*12.10 Quantal
*13.04 Raring
*13.10 Saucy

Lisaks on soovitav kasutada "Guest Additione"-it.

''' Ubuntu Server '''

*RAM 512MB
*HDD dynamicly allocated 8GB
*2 Võrgukaarti NIC1 - NAT (eth0 - Ubuntus) ja NIC2 - HostOnly (eth1 - Ubuntus)
*Liidese eth1 lisada staatiline ip aadress - 192.168.56.xxx
*OpenSSH serveri olemasolu

Kasutasime eelnevalt seadistatud [http://elab.itcollege.ee:8000/infra_server.ova serverit], mis on pärit IT infrastruktuuri teenuste ainest, mida muutsime (sellest lähemalt eelseadistuse osas).
Kasutajanimi ja parool on student.

''' Klient '''

*RAM vastavalt graafilise keskkonna nõuetele. Soovitav 512 - 1024MB
*HDD dynamicly allocated 8GB
*2 Võrgukaarti NIC1 - NAT (eth0 - Ubuntus) ja NIC2 - HostOnly (eth1 - Ubuntus)

Kasutasime eelnevalt seadistatud [http://elab.itcollege.ee:8000/infra_klient.ova klienti]. Kasutajanimi ja parool on student.

= Eelseadistus(kasutades eelpaigaldatud serverit) =

Kõik käsud käivitame serveris juurkasutaja õigustes.

Juurkasutajale üleminek:
<source lang="bash">
sudo -i
</source>

1.Muudame ära hostname'i nimeks "suricata".
<source lang="bash">
nano /etc/hostname
</source>

2.Muudame liidese eth1 IP aadressi selliseks 192.168.56.201.
<source lang="bash">
nano /etc/network/interfaces
</source>

Liidese eth1 näidis:
<source lang="bash">
auto eth1
iface eth1 inet static
address 192.168.56.201
netmask 255.255.255.0
</source>

3. Kirjeldame faili /etc/hosts sisu
<source lang="bash">
nano /etc/hosts
</source>

Faili /etc/hosts faili näidis:
<source lang="bash">
127.0.0.1 localhost
127.0.1.1 suricata.planet.zz suricata
192.168.56.201 suricata.planet.zz suricata
192.168.56.200 puppetmaster.planet.zz puppetmaster
192.168.56.101 klient.planet.zz klient
</source>

4. Uuendame ära tarkvara nimekirja info
<source lang="bash">
apt-get update
</source>

5. Uuendame ära tarkvara
<source lang="bash">
apt-get upgrade
</source>

= Paigaldus Ubuntu serveris (võimaldab kasutada nii IDS kui IPS funktsioone) <ref> Suricata paigaldus Ubuntus, https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Ubuntu_Installation_from_GIT</ref> =

Kõik käsud käivitame serveris juurkasutaja õigustes.

1. Kõigepealt paigaldame paki nimega "python-software-properties", kuna selle sees asub programm "add-apt-repository", mida kasutame järgmisena.
<source lang="bash">
apt-get install python-software-properties
</source>

2. Viimase stabiilse Suricata versiooni jaoks käivita vastavad käsud:
<source lang="bash">
add-apt-repository ppa:oisf/suricata-stable
apt-get update
</source>

3. Järgmisena paigalda Suricata
<source lang="bash">
apt-get install suricata
</source>

== Uuendamine ja eemaldamine ==

1. Suricata uuendamiseks käsud
<source lang="bash">
apt-get update
apt-get upgrade
</source>

2. Eemaldamiseks käsk
<source lang="bash">
apt-get remove suricata
</source>

= Esmane seadistamine =

Need käsud käivita serveris juurkasutajaõigustes.

1. Loome kausta Suricata logide jaoks.
<source lang="bash">
mkdir /var/log/suricata
</source>

2. Avame Suricata konfiguratsiooni faili /etc/suricata/suricata.yaml
<source lang="bash">
nano /etc/suricata/suricata.yaml
</source>

3. Kirjeldame, millised operatsioonisüsteemid on meie võrgus seal, kus hakkab rida "host-os-policy" ja nimetame nende ip aadressid. <ref>Yamli Host-os-policy informatsioon, https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricatayaml#Host-os-policy</ref>
<source lang="bash">
host-os-policy:
# Make the default policy windows.
windows: []
bsd: []
bsd-right: []
old-linux: []
linux: [192.168.56.200, 192.168.56.201, 192.168.56.101, 127.0.0.1]
old-solaris: []
solaris: []
hpux10: []
hpux11: []
irix: []
macos: []
vista: []
</source>

4. Kirjeldame võrgu ip aadressi ja maski kohas, mis algab reaga "address-groups:" <ref>Yamli address-groups lahtiseletus, https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricatayaml#Rule-vars</ref>

<source lang="bash">
address-groups:

HOME_NET: "[192.168.56.0/24]"

EXTERNAL_NET: "!$HOME_NET"
</source>

5. Võimalik on lisada konfiguratsiooni faili pordid kus meil teenused töötavad. Selleks leiame konfiguratsioonist rea, mis algab fraasiga "HTTP_PORTS: "80""
<ref>Teenuste portide lisamine, http://www.linux.org/threads/suricata-the-snort-replacer-part-2-configure-test.4348/</ref>

<source lang="bash">
HTTP_PORTS: "80"

SHELLCODE_PORTS: "!80"

ORACLE_PORTS: 1521

SSH_PORTS: 22

DNP3_PORTS: 20000

</source>

Lisame HTTP_PORTS sektsiooni juurde näiteks pordi 8080:
<source lang="bash">
HTTP_PORTS: "80,8080"

SHELLCODE_PORTS: "!80"

ORACLE_PORTS: 1521

SSH_PORTS: 22

DNP3_PORTS: 20000

</source>

== Kiire testimine <ref>Suricata testimine ühe reegli abil, http://www.linux.org/threads/suricata-the-snort-replacer-part-2-configure-test.4348/</ref> ==

Need käsud käivita serveris juurkasutaja õigustes.

1. Loome faili test.rules kausta /etc/suricata/rules/
<source lang="bash">
touch /etc/suricata/rules/test.rules
</source>

2. Kirjutama test.rules faili testimise jaoks ühe reegli.
<source lang="bash">
alert ip any any -> any any (msg:"ICMP detected"; sid:2; rev:1;)
</source>

3. Avame uuesti faili /etc/suricata/suricata.yaml, kus lähme asukohta, mis hakkab reaga "rule_files:" ja kommenteerime kõik reeglid välja ja kirjeldame seal oma reegli nimega "test.rules".
<source lang="bash">
rule-files:
- test.rules
# - botcc.rules
# - ciarmy.rules
# - compromised.rules
# - drop.rules
# - dshield.rules
# - emerging-activex.rules
# - emerging-attack_response.rules
# - emerging-chat.rules
# - emerging-current_events.rules
# - emerging-dns.rules
# - emerging-dos.rules
# - emerging-exploit.rules
# - emerging-ftp.rules
...
</source>

4. Paneme suricata monitoorima eth1 liidese peal.
<source lang="bash">
suricata -c /etc/suricata/suricata.yaml -i eth1
</source>

5. Teeme oma kliendi masina pealt pingi Suricata serveri pihta.
<source lang="bash">
ping 192.168.56.201
</source>

6. Laseme tunde järgi pingida ja seejärel paneme monitoorimise kinni ning vaatame logi.
<source lang="bash">
less /var/log/suricata/fast.log
</source>

7. Logi sisu peaks olema umbes selline:
<source lang="bash">
01/15/2014-00:08:59.409903 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.101:8 -> 192.168.56.201:0
01/15/2014-00:08:59.409937 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.201:0 -> 192.168.56.101:0
01/15/2014-00:09:00.410130 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.101:8 -> 192.168.56.201:0
01/15/2014-00:09:00.410171 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.201:0 -> 192.168.56.101:0
</source>

8. Edasi saab logi puhul kasutada mõnda sündmuste korreleerimise töörista nagu näiteks SEC, mille kohta saab lugeda siit: http://simple-evcorr.sourceforge.net/SEC-tutorial/article.html või uurida EIK enda wikist teemat [https://wiki.itcollege.ee/index.php/Keskne_logihaldus_Rsyslog_ja_SEC_n%C3%A4itel Keskne logihaldus Rsyslog ja SEC näitel].

== Reeglite sisselükkamine: ==

Suricata uuemates versioonides tulevad baasreeglid kaasa. Need asuvad kaustas /etc/suricata/rules
<source lang="bash">
cd /etc/suricata/rules
ll
</source>

Olemasolevaid reegleid saab lähemalt uurida käsuga less. Näites uurime malware reeglit.
<source lang="bash">
less emerging-malware.rules
</source>

Kui vajalikud reeglid on valitud, siis tuleb need suricata konfiguratsioonifaili lisada. Selleks tuleb reeglid uuesti sisse kommenteerida.
<source lang="bash">
nano /etc/suricata/suricata.yaml
- emerging-malware.rules
</source>

Seejärel tuleb teha suricatale restart. Selleks katkestage monitooring eth1 vajutades klahvikombinatsiooni "ctrl c" ning käivitame uuesti.
<source lang="bash">
suricata -c /etc/suricata/suricata.yaml -i eth1
</source>

== Uue reegli tegemine: ==
Suricatas saab ise reegleid teha vastavalt vajadustele. Näites teeme XSSi keelava reegli.

1. Teeme /etc/suricata/rules kausta uue faili nimega xss.rules
<source lang="bash">
nano /etc/suricata/rules/xss.rules
</source>

2. Seejärel kirjutame reegli:
<source lang="bash">
drop http $EXTERNAL_NET any -> $HTTP_SERVERS $HTTP_PORTS (msg:"skripti tag avastatud URIs, voimalik xss runne"; flow:to_server,established; uricontent:"</script>"; nocase; reference:url,ha.ckers.org/xss.html;
reference:url,doc.emergingthreats.net/2009714; classtype:web-application-attack; sid:2009714; rev:5;)
</source>

3. Kui reegel on tehtud, tuleb see lisada ka suricata konfiguratsiooni:
<source lang="bash">
nano /etc/suricata/suricata.yaml
</source>
Otsime üles koha, kus on reeglid ning lisame enda tehtud xss reegli.
<source lang="bash">
rule-files:
- test.rules
- xss.rules
- emerging-malware.rules
</source>

4. Viimase sammuna tuleb suricata uuesti käivitada:
<source lang="bash">
suricata -c /etc/suricata/suricata.yaml -i eth1
</source>

=Kokkuvõte=

Kui aus olla, siis alguses päris täpselt ei teadnudki, mida Suricata endast kujutab, kuid pärast wiki artikli kirjutamist on juba mingi ettekujutas, mida antud süsteem teeb. Suricata paigaldamise ja konfigureerimise käigus avastasime, et on olemas mitu erinevat varianti, kuidas antud süteemi paigaldada. Meie õnneks saime teada, et kõige uuema versiooniga on meie eest pool tööd tehtud ning me ei pidanudki käsitsi kopeerima erinevaid konfiguratsiooni faile. Kokkuvõttes on Suricata väga võimas ja paljude võimalustega tööriist, mille täielikuks arusaamiseks peaks seda proovima testida reaalsetes olukordades.

= Kasulikud materjalid =

*http://www.linux.org/threads/suricata-the-snort-replacer-part-1-intro-install.4346/
*http://www.linux.org/threads/suricata-the-snort-replacer-part-2-configure-test.4348/
*http://www.linux.org/threads/suricata-the-snort-replacer-part-3-rules.4363/
*http://suricata-ids.org/
*https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricata_Installation
*https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Basic_Setup

[[Category: Linuxi administreerimine]]

= Viited =

<references />

Suricata

2014-12-10T15:13:22Z

Rjuhanni:

Autorid: Martin Leppik ja Randel Raidmets

Reeglite sisselükkamise osa, uue reegli tegemine: Rene Juhanni

Rühm: A31

Kuupäev: 12.12.2013

= Eesmärk =

Linuxi administreerimise aine raames paigaldada vastavale Ubuntu serverile sissetungimise avastamise süsteem nimega Suricata. Pärast paigaldust konfigureerida peamised sätted ja reeglid ning viimasena testida süsteemi toimimist.

= Eeldused =

*Baasteadmised Linuxist.
*Oskus hakkama saada käsureaga.
*Algteadmised võrgundusest (Cisco CCNA1).

= Mis on Suricata? =

Suricata on suure jõudlusega võrgu sissetungimise, ennetamise ja turvalisuse monitoorimise mootor. See on avatud lähtekoodiga ja omanikuks on kommuun, mida juhib mittetulunduslik sihtasutus "the Open Information Security Foundation" ehk OISF. <ref>Suricata kirjeldus, http://suricata-ids.org/</ref> Suricata mootor pole ainult mõeldud selleks, et vahetada välja või emuleerida olemasolevaid tööriistu, vaid tuua uusi ideid ja tehnoloogiaid maastikule. Suricata mootor ja HTP teek on saadaval GPLv2 alusel. <ref>Suricata tutvustus OISF-i kodulehel, https://redmine.openinfosecfoundation.org/projects/suricata/wiki/What_is_Suricata</ref>

== Suricata eelised Snordi ees <ref> Miks kasutada Suricatat?,https://alienvault.bloomfire.com/posts/525383-when-should-i-use-suricata/public</ref> ==

Suricata on alternatiivne variant Snordile, mille reeglid ühilduvad ka Suricataga, mille tõttu võib väikse vaevaga Snordi Suricata vastu välja vahetada.

Mõned Suricata eelised:
*Suurem jõudlus (Suricata kasutab mitmelõimelist, kuid Snort ühelõimelilt töötlemist)
*Parem liikluse nähtavus (Suricatal on nähtavus rakenduskihis (OSI 7. kiht), mis suurendab pahatahtliku sisu avastamist)
*Kiirem normaliseerimine ja parsimine HTTP voogude jaoks.
*Automatiseeritud protokolli tuvastus (Vähendab valepositiivseid tulemusi ja avastamme protokolle, mis töötavad mittestandardsetel portidel)
*Suricatat paigaldatakse ka komertstoodete sisse.
*Ainus lahendus, mis töötab otse riistavara peal, mille tõttu on olemas ka spetsiaalseid riistavarilisi lahendusi Suricata jaoks.

= Süsteemi üldkirjeldus =
Suricatat on võimalik konfigureerida nii IDS-ks kui ka IPS-ks.

*'''IDS ehk "Intrusion Detection System"'''

IDS süsteemid jälgivad võrguliiklust ja käituvad vastavalt seadistatud reeglistikule. IDS jälgib paketi tasemel liiklust IDS süsteem on tavaliselt ühendatud "switchiga" ehk kommutaatoriga. Näiteks on võimalik defineerida, et ICMP pakketide liikumisest logitakse. Samuti on võimalik määrata, et logitakse näiteks SSH-ga valesti sisestatud kasutajanime ja parooli.

*'''IPS ehk "Intrusion Prevention System"'''

IPS süsteemid jälgivad võrku sissetulevat ja väljaminevat liiklust. Vastavalt konfigureeritud reeglistikule IPS süsteemid, kas lasevad paketid läbi või takistavad nende liikumist. IPS jälgib paketi tasemel liiklust. IPS süsteemid paigaldatakse tavaliselt, kas enne tulemüüri või peal tulemüüri sisevõrku.

Suricata IPS'is kasutatavad tegevused ja nende järjekord:<ref>Suricata Action-order, https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricatayaml#Action-order</ref>

*'''PASS(luba)''' kui Suricata leiab kirjeldatud lubatud reeglite hulgast signatuuri ja see vastab paketile, siis saadetakse antud pakett edasi.

*'''DROP(eemalda/lõpeta)''' kui Suricata leiab kirjeldatud reeglite hulgast keelava signatuuri ning see vastab paketile, siis antud pakett tühistatakse. Saatjale selle kohast infot ei saadeta, saatja saab TCP time-out teate. Samuti raporteeritakse paketi eemaldamisest.

*'''REJECT(lükka tagasi)''' kui Suricata leiab kirjeldatud reeglite hulgast keelava signatuuri ning see vastab paketile ja kasutusel on "reject" käsk, siis tühistatakse pakett. Nii saatja kui saaja saavad "reject" teate.

*'''Alert(teavita)''' kui Suricata leiab kirjeldatud reeglite hulgast signatuuri, mis vastab antud paketile, siis genereeritakse teade ja liiklus lubatakse.

== IDS/IPS esitus graafilisel kujul ==

IPS kasutamise võimalused võrgu ehituses (Joonis 1. ja Joonis2):

[[File:Diagram1.jpeg]]

Joonis 1.

[[File:Diagram2.jpeg]]

Joonis 2.

IDS kasutamise võimalused võrgu ehituses (Joonis3):

[[File:Diagram3.jpeg]]

Joonis 3.

= Nõuded =

Nii server kui ka klient töötavad meie lahenduse puhul Oracle'i [https://www.virtualbox.org/wiki/Downloads Virtualboxi] peal.

Kasutame näidetes Ubuntu serverit ja Ubuntu klienti (sobiv klient valida ise - Ubuntu, Lubuntu, Xubuntu, Kubuntu).

Toetatud on sellised Ubuntu 32bit ja 64bit versioonid <ref>Toetatud ubuntu versioonide nimekiri, https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Ubuntu_Installation_-_Personal_Package_Archives_%28PPA%29</ref>:

*10.04 Lucid
*12.04 Precise
*12.10 Quantal
*13.04 Raring
*13.10 Saucy

Lisaks on soovitav kasutada "Guest Additione"-it.

''' Ubuntu Server '''

*RAM 512MB
*HDD dynamicly allocated 8GB
*2 Võrgukaarti NIC1 - NAT (eth0 - Ubuntus) ja NIC2 - HostOnly (eth1 - Ubuntus)
*Liidese eth1 lisada staatiline ip aadress - 192.168.56.xxx
*OpenSSH serveri olemasolu

Kasutasime eelnevalt seadistatud [http://elab.itcollege.ee:8000/infra_server.ova serverit], mis on pärit IT infrastruktuuri teenuste ainest, mida muutsime (sellest lähemalt eelseadistuse osas).
Kasutajanimi ja parool on student.

''' Klient '''

*RAM vastavalt graafilise keskkonna nõuetele. Soovitav 512 - 1024MB
*HDD dynamicly allocated 8GB
*2 Võrgukaarti NIC1 - NAT (eth0 - Ubuntus) ja NIC2 - HostOnly (eth1 - Ubuntus)

Kasutasime eelnevalt seadistatud [http://elab.itcollege.ee:8000/infra_klient.ova klienti]. Kasutajanimi ja parool on student.

= Eelseadistus(kasutades eelpaigaldatud serverit) =

Kõik käsud käivitame serveris juurkasutaja õigustes.

Juurkasutajale üleminek:
<source lang="bash">
sudo -i
</source>

1.Muudame ära hostname'i nimeks "suricata".
<source lang="bash">
nano /etc/hostname
</source>

2.Muudame liidese eth1 IP aadressi selliseks 192.168.56.201.
<source lang="bash">
nano /etc/network/interfaces
</source>

Liidese eth1 näidis:
<source lang="bash">
auto eth1
iface eth1 inet static
address 192.168.56.201
netmask 255.255.255.0
</source>

3. Kirjeldame faili /etc/hosts sisu
<source lang="bash">
nano /etc/hosts
</source>

Faili /etc/hosts faili näidis:
<source lang="bash">
127.0.0.1 localhost
127.0.1.1 suricata.planet.zz suricata
192.168.56.201 suricata.planet.zz suricata
192.168.56.200 puppetmaster.planet.zz puppetmaster
192.168.56.101 klient.planet.zz klient
</source>

4. Uuendame ära tarkvara nimekirja info
<source lang="bash">
apt-get update
</source>

5. Uuendame ära tarkvara
<source lang="bash">
apt-get upgrade
</source>

= Paigaldus Ubuntu serveris (võimaldab kasutada nii IDS kui IPS funktsioone) <ref> Suricata paigaldus Ubuntus, https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Ubuntu_Installation_from_GIT</ref> =

Kõik käsud käivitame serveris juurkasutaja õigustes.

1. Kõigepealt paigaldame paki nimega "python-software-properties", kuna selle sees asub programm "add-apt-repository", mida kasutame järgmisena.
<source lang="bash">
apt-get install python-software-properties
</source>

2. Viimase stabiilse Suricata versiooni jaoks käivita vastavad käsud:
<source lang="bash">
add-apt-repository ppa:oisf/suricata-stable
apt-get update
</source>

3. Järgmisena paigalda Suricata
<source lang="bash">
apt-get install suricata
</source>

== Uuendamine ja eemaldamine ==

1. Suricata uuendamiseks käsud
<source lang="bash">
apt-get update
apt-get upgrade
</source>

2. Eemaldamiseks käsk
<source lang="bash">
apt-get remove suricata
</source>

= Esmane seadistamine =

Need käsud käivita serveris juurkasutajaõigustes.

1. Loome kausta Suricata logide jaoks.
<source lang="bash">
mkdir /var/log/suricata
</source>

2. Avame Suricata konfiguratsiooni faili /etc/suricata/suricata.yaml
<source lang="bash">
nano /etc/suricata/suricata.yaml
</source>

3. Kirjeldame, millised operatsioonisüsteemid on meie võrgus seal, kus hakkab rida "host-os-policy" ja nimetame nende ip aadressid. <ref>Yamli Host-os-policy informatsioon, https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricatayaml#Host-os-policy</ref>
<source lang="bash">
host-os-policy:
# Make the default policy windows.
windows: []
bsd: []
bsd-right: []
old-linux: []
linux: [192.168.56.200, 192.168.56.201, 192.168.56.101, 127.0.0.1]
old-solaris: []
solaris: []
hpux10: []
hpux11: []
irix: []
macos: []
vista: []
</source>

4. Kirjeldame võrgu ip aadressi ja maski kohas, mis algab reaga "address-groups:" <ref>Yamli address-groups lahtiseletus, https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricatayaml#Rule-vars</ref>

<source lang="bash">
address-groups:

HOME_NET: "[192.168.56.0/24]"

EXTERNAL_NET: "!$HOME_NET"
</source>

5. Võimalik on lisada konfiguratsiooni faili pordid kus meil teenused töötavad. Selleks leiame konfiguratsioonist rea, mis algab fraasiga "HTTP_PORTS: "80""
<ref>Teenuste portide lisamine, http://www.linux.org/threads/suricata-the-snort-replacer-part-2-configure-test.4348/</ref>

<source lang="bash">
HTTP_PORTS: "80"

SHELLCODE_PORTS: "!80"

ORACLE_PORTS: 1521

SSH_PORTS: 22

DNP3_PORTS: 20000

</source>

Lisame HTTP_PORTS sektsiooni juurde näiteks pordi 8080:
<source lang="bash">
HTTP_PORTS: "80,8080"

SHELLCODE_PORTS: "!80"

ORACLE_PORTS: 1521

SSH_PORTS: 22

DNP3_PORTS: 20000

</source>

== Kiire testimine <ref>Suricata testimine ühe reegli abil, http://www.linux.org/threads/suricata-the-snort-replacer-part-2-configure-test.4348/</ref> ==

Need käsud käivita serveris juurkasutaja õigustes.

1. Loome faili test.rules kausta /etc/suricata/rules/
<source lang="bash">
touch /etc/suricata/rules/test.rules
</source>

2. Kirjutama test.rules faili testimise jaoks ühe reegli.
<source lang="bash">
alert ip any any -> any any (msg:"ICMP detected"; sid:2; rev:1;)
</source>

3. Avame uuesti faili /etc/suricata/suricata.yaml, kus lähme asukohta, mis hakkab reaga "rule_files:" ja kommenteerime kõik reeglid välja ja kirjeldame seal oma reegli nimega "test.rules".
<source lang="bash">
rule-files:
- test.rules
# - botcc.rules
# - ciarmy.rules
# - compromised.rules
# - drop.rules
# - dshield.rules
# - emerging-activex.rules
# - emerging-attack_response.rules
# - emerging-chat.rules
# - emerging-current_events.rules
# - emerging-dns.rules
# - emerging-dos.rules
# - emerging-exploit.rules
# - emerging-ftp.rules
...
</source>

4. Paneme suricata monitoorima eth1 liidese peal.
<source lang="bash">
suricata -c /etc/suricata/suricata.yaml -i eth1
</source>

5. Teeme oma kliendi masina pealt pingi Suricata serveri pihta.
<source lang="bash">
ping 192.168.56.201
</source>

6. Laseme tunde järgi pingida ja seejärel paneme monitoorimise kinni ning vaatame logi.
<source lang="bash">
less /var/log/suricata/fast.log
</source>

7. Logi sisu peaks olema umbes selline:
<source lang="bash">
01/15/2014-00:08:59.409903 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.101:8 -> 192.168.56.201:0
01/15/2014-00:08:59.409937 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.201:0 -> 192.168.56.101:0
01/15/2014-00:09:00.410130 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.101:8 -> 192.168.56.201:0
01/15/2014-00:09:00.410171 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.201:0 -> 192.168.56.101:0
</source>

8. Edasi saab logi puhul kasutada mõnda sündmuste korreleerimise töörista nagu näiteks SEC, mille kohta saab lugeda siit: http://simple-evcorr.sourceforge.net/SEC-tutorial/article.html või uurida EIK enda wikist teemat [https://wiki.itcollege.ee/index.php/Keskne_logihaldus_Rsyslog_ja_SEC_n%C3%A4itel Keskne logihaldus Rsyslog ja SEC näitel].

== Reeglite sisselükkamine: ==

Suricata uuemates versioonides tulevad baasreeglid kaasa. Need asuvad kaustas /etc/suricata/rules
<source lang="bash">
cd /etc/suricata/rules
ll
</source>

Olemasolevaid reegleid saab lähemalt uurida käsuga less. Näites uurime malware reeglit.
<source lang="bash">
less emerging-malware.rules
</source>

Kui vajalikud reeglid on valitud, siis tuleb need suricata konfiguratsioonifaili lisada. Selleks tuleb reeglid uuesti sisse kommenteerida.
<source lang="bash">
nano /etc/suricata/suricata.yaml
- emerging-malware.rules
</source>

Seejärel tuleb teha suricatale restart. Selleks katkestage monitooring eth1 vajutades klahvikombinatsiooni "ctrl c" ning käivitame uuesti.
<source lang="bash">
suricata -c /etc/suricata/suricata.yaml -i eth1
</source>

== Uue reegli tegemine: ==
Suricatas saab ise reegleid teha vastavalt vajadustele. Näites teeme XSSi keelava reegli.

1. Teeme /etc/suricata/rules kausta uue faili nimega xss.rules
<source lang="bash">
nano /etc/suricata/rules/xss.rules
</source>

2. Seejärel kirjutame reegli:
<source lang="bash">
drop http $EXTERNAL_NET any -> $HTTP_SERVERS $HTTP_PORTS (msg:"skripti tag avastatud URIs, voimalik xss runne"; flow:to_server,established;
uricontent:"</script>"; nocase; reference:url,ha.ckers.org/xss.html; reference:url,doc.emergingthreats.net/2009714;
classtype:web-application-attack; sid:2009714; rev:5;)
</source>

3. Kui reegel on tehtud, tuleb see lisada ka suricata konfiguratsiooni:
<source lang="bash">
nano /etc/suricata/suricata.yaml
</source>
Otsime üles koha, kus on reeglid ning lisame enda tehtud xss reegli.
<source lang="bash">
rule-files:
- test.rules
- xss.rules
- emerging-malware.rules
</source>

4. Viimase sammuna tuleb suricata uuesti käivitada:
<source lang="bash">
suricata -c /etc/suricata/suricata.yaml -i eth1
</source>

=Kokkuvõte=

Kui aus olla, siis alguses päris täpselt ei teadnudki, mida Suricata endast kujutab, kuid pärast wiki artikli kirjutamist on juba mingi ettekujutas, mida antud süsteem teeb. Suricata paigaldamise ja konfigureerimise käigus avastasime, et on olemas mitu erinevat varianti, kuidas antud süteemi paigaldada. Meie õnneks saime teada, et kõige uuema versiooniga on meie eest pool tööd tehtud ning me ei pidanudki käsitsi kopeerima erinevaid konfiguratsiooni faile. Kokkuvõttes on Suricata väga võimas ja paljude võimalustega tööriist, mille täielikuks arusaamiseks peaks seda proovima testida reaalsetes olukordades.

= Kasulikud materjalid =

*http://www.linux.org/threads/suricata-the-snort-replacer-part-1-intro-install.4346/
*http://www.linux.org/threads/suricata-the-snort-replacer-part-2-configure-test.4348/
*http://www.linux.org/threads/suricata-the-snort-replacer-part-3-rules.4363/
*http://suricata-ids.org/
*https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricata_Installation
*https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Basic_Setup

[[Category: Linuxi administreerimine]]

= Viited =

<references />

Suricata

2014-12-10T15:03:10Z

Rjuhanni:

Autorid: Martin Leppik ja Randel Raidmets

Reeglite sisselükkamise osa, uue reegli tegemine: Rene Juhanni

Rühm: A31

Kuupäev: 12.12.2013

= Eesmärk =

Linuxi administreerimise aine raames paigaldada vastavale Ubuntu serverile sissetungimise avastamise süsteem nimega Suricata. Pärast paigaldust konfigureerida peamised sätted ja reeglid ning viimasena testida süsteemi toimimist.

= Eeldused =

*Baasteadmised Linuxist.
*Oskus hakkama saada käsureaga.
*Algteadmised võrgundusest (Cisco CCNA1).

= Mis on Suricata? =

Suricata on suure jõudlusega võrgu sissetungimise, ennetamise ja turvalisuse monitoorimise mootor. See on avatud lähtekoodiga ja omanikuks on kommuun, mida juhib mittetulunduslik sihtasutus "the Open Information Security Foundation" ehk OISF. <ref>Suricata kirjeldus, http://suricata-ids.org/</ref> Suricata mootor pole ainult mõeldud selleks, et vahetada välja või emuleerida olemasolevaid tööriistu, vaid tuua uusi ideid ja tehnoloogiaid maastikule. Suricata mootor ja HTP teek on saadaval GPLv2 alusel. <ref>Suricata tutvustus OISF-i kodulehel, https://redmine.openinfosecfoundation.org/projects/suricata/wiki/What_is_Suricata</ref>

== Suricata eelised Snordi ees <ref> Miks kasutada Suricatat?,https://alienvault.bloomfire.com/posts/525383-when-should-i-use-suricata/public</ref> ==

Suricata on alternatiivne variant Snordile, mille reeglid ühilduvad ka Suricataga, mille tõttu võib väikse vaevaga Snordi Suricata vastu välja vahetada.

Mõned Suricata eelised:
*Suurem jõudlus (Suricata kasutab mitmelõimelist, kuid Snort ühelõimelilt töötlemist)
*Parem liikluse nähtavus (Suricatal on nähtavus rakenduskihis (OSI 7. kiht), mis suurendab pahatahtliku sisu avastamist)
*Kiirem normaliseerimine ja parsimine HTTP voogude jaoks.
*Automatiseeritud protokolli tuvastus (Vähendab valepositiivseid tulemusi ja avastamme protokolle, mis töötavad mittestandardsetel portidel)
*Suricatat paigaldatakse ka komertstoodete sisse.
*Ainus lahendus, mis töötab otse riistavara peal, mille tõttu on olemas ka spetsiaalseid riistavarilisi lahendusi Suricata jaoks.

= Süsteemi üldkirjeldus =
Suricatat on võimalik konfigureerida nii IDS-ks kui ka IPS-ks.

*'''IDS ehk "Intrusion Detection System"'''

IDS süsteemid jälgivad võrguliiklust ja käituvad vastavalt seadistatud reeglistikule. IDS jälgib paketi tasemel liiklust IDS süsteem on tavaliselt ühendatud "switchiga" ehk kommutaatoriga. Näiteks on võimalik defineerida, et ICMP pakketide liikumisest logitakse. Samuti on võimalik määrata, et logitakse näiteks SSH-ga valesti sisestatud kasutajanime ja parooli.

*'''IPS ehk "Intrusion Prevention System"'''

IPS süsteemid jälgivad võrku sissetulevat ja väljaminevat liiklust. Vastavalt konfigureeritud reeglistikule IPS süsteemid, kas lasevad paketid läbi või takistavad nende liikumist. IPS jälgib paketi tasemel liiklust. IPS süsteemid paigaldatakse tavaliselt, kas enne tulemüüri või peal tulemüüri sisevõrku.

Suricata IPS'is kasutatavad tegevused ja nende järjekord:<ref>Suricata Action-order, https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricatayaml#Action-order</ref>

*'''PASS(luba)''' kui Suricata leiab kirjeldatud lubatud reeglite hulgast signatuuri ja see vastab paketile, siis saadetakse antud pakett edasi.

*'''DROP(eemalda/lõpeta)''' kui Suricata leiab kirjeldatud reeglite hulgast keelava signatuuri ning see vastab paketile, siis antud pakett tühistatakse. Saatjale selle kohast infot ei saadeta, saatja saab TCP time-out teate. Samuti raporteeritakse paketi eemaldamisest.

*'''REJECT(lükka tagasi)''' kui Suricata leiab kirjeldatud reeglite hulgast keelava signatuuri ning see vastab paketile ja kasutusel on "reject" käsk, siis tühistatakse pakett. Nii saatja kui saaja saavad "reject" teate.

*'''Alert(teavita)''' kui Suricata leiab kirjeldatud reeglite hulgast signatuuri, mis vastab antud paketile, siis genereeritakse teade ja liiklus lubatakse.

== IDS/IPS esitus graafilisel kujul ==

IPS kasutamise võimalused võrgu ehituses (Joonis 1. ja Joonis2):

[[File:Diagram1.jpeg]]

Joonis 1.

[[File:Diagram2.jpeg]]

Joonis 2.

IDS kasutamise võimalused võrgu ehituses (Joonis3):

[[File:Diagram3.jpeg]]

Joonis 3.

= Nõuded =

Nii server kui ka klient töötavad meie lahenduse puhul Oracle'i [https://www.virtualbox.org/wiki/Downloads Virtualboxi] peal.

Kasutame näidetes Ubuntu serverit ja Ubuntu klienti (sobiv klient valida ise - Ubuntu, Lubuntu, Xubuntu, Kubuntu).

Toetatud on sellised Ubuntu 32bit ja 64bit versioonid <ref>Toetatud ubuntu versioonide nimekiri, https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Ubuntu_Installation_-_Personal_Package_Archives_%28PPA%29</ref>:

*10.04 Lucid
*12.04 Precise
*12.10 Quantal
*13.04 Raring
*13.10 Saucy

Lisaks on soovitav kasutada "Guest Additione"-it.

''' Ubuntu Server '''

*RAM 512MB
*HDD dynamicly allocated 8GB
*2 Võrgukaarti NIC1 - NAT (eth0 - Ubuntus) ja NIC2 - HostOnly (eth1 - Ubuntus)
*Liidese eth1 lisada staatiline ip aadress - 192.168.56.xxx
*OpenSSH serveri olemasolu

Kasutasime eelnevalt seadistatud [http://elab.itcollege.ee:8000/infra_server.ova serverit], mis on pärit IT infrastruktuuri teenuste ainest, mida muutsime (sellest lähemalt eelseadistuse osas).
Kasutajanimi ja parool on student.

''' Klient '''

*RAM vastavalt graafilise keskkonna nõuetele. Soovitav 512 - 1024MB
*HDD dynamicly allocated 8GB
*2 Võrgukaarti NIC1 - NAT (eth0 - Ubuntus) ja NIC2 - HostOnly (eth1 - Ubuntus)

Kasutasime eelnevalt seadistatud [http://elab.itcollege.ee:8000/infra_klient.ova klienti]. Kasutajanimi ja parool on student.

= Eelseadistus(kasutades eelpaigaldatud serverit) =

Kõik käsud käivitame serveris juurkasutaja õigustes.

Juurkasutajale üleminek:
<source lang="bash">
sudo -i
</source>

1.Muudame ära hostname'i nimeks "suricata".
<source lang="bash">
nano /etc/hostname
</source>

2.Muudame liidese eth1 IP aadressi selliseks 192.168.56.201.
<source lang="bash">
nano /etc/network/interfaces
</source>

Liidese eth1 näidis:
<source lang="bash">
auto eth1
iface eth1 inet static
address 192.168.56.201
netmask 255.255.255.0
</source>

3. Kirjeldame faili /etc/hosts sisu
<source lang="bash">
nano /etc/hosts
</source>

Faili /etc/hosts faili näidis:
<source lang="bash">
127.0.0.1 localhost
127.0.1.1 suricata.planet.zz suricata
192.168.56.201 suricata.planet.zz suricata
192.168.56.200 puppetmaster.planet.zz puppetmaster
192.168.56.101 klient.planet.zz klient
</source>

4. Uuendame ära tarkvara nimekirja info
<source lang="bash">
apt-get update
</source>

5. Uuendame ära tarkvara
<source lang="bash">
apt-get upgrade
</source>

= Paigaldus Ubuntu serveris (võimaldab kasutada nii IDS kui IPS funktsioone) <ref> Suricata paigaldus Ubuntus, https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Ubuntu_Installation_from_GIT</ref> =

Kõik käsud käivitame serveris juurkasutaja õigustes.

1. Kõigepealt paigaldame paki nimega "python-software-properties", kuna selle sees asub programm "add-apt-repository", mida kasutame järgmisena.
<source lang="bash">
apt-get install python-software-properties
</source>

2. Viimase stabiilse Suricata versiooni jaoks käivita vastavad käsud:
<source lang="bash">
add-apt-repository ppa:oisf/suricata-stable
apt-get update
</source>

3. Järgmisena paigalda Suricata
<source lang="bash">
apt-get install suricata
</source>

== Uuendamine ja eemaldamine ==

1. Suricata uuendamiseks käsud
<source lang="bash">
apt-get update
apt-get upgrade
</source>

2. Eemaldamiseks käsk
<source lang="bash">
apt-get remove suricata
</source>

= Esmane seadistamine =

Need käsud käivita serveris juurkasutajaõigustes.

1. Loome kausta Suricata logide jaoks.
<source lang="bash">
mkdir /var/log/suricata
</source>

2. Avame Suricata konfiguratsiooni faili /etc/suricata/suricata.yaml
<source lang="bash">
nano /etc/suricata/suricata.yaml
</source>

3. Kirjeldame, millised operatsioonisüsteemid on meie võrgus seal, kus hakkab rida "host-os-policy" ja nimetame nende ip aadressid. <ref>Yamli Host-os-policy informatsioon, https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricatayaml#Host-os-policy</ref>
<source lang="bash">
host-os-policy:
# Make the default policy windows.
windows: []
bsd: []
bsd-right: []
old-linux: []
linux: [192.168.56.200, 192.168.56.201, 192.168.56.101, 127.0.0.1]
old-solaris: []
solaris: []
hpux10: []
hpux11: []
irix: []
macos: []
vista: []
</source>

4. Kirjeldame võrgu ip aadressi ja maski kohas, mis algab reaga "address-groups:" <ref>Yamli address-groups lahtiseletus, https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricatayaml#Rule-vars</ref>

<source lang="bash">
address-groups:

HOME_NET: "[192.168.56.0/24]"

EXTERNAL_NET: "!$HOME_NET"
</source>

5. Võimalik on lisada konfiguratsiooni faili pordid kus meil teenused töötavad. Selleks leiame konfiguratsioonist rea, mis algab fraasiga "HTTP_PORTS: "80""
<ref>Teenuste portide lisamine, http://www.linux.org/threads/suricata-the-snort-replacer-part-2-configure-test.4348/</ref>

<source lang="bash">
HTTP_PORTS: "80"

SHELLCODE_PORTS: "!80"

ORACLE_PORTS: 1521

SSH_PORTS: 22

DNP3_PORTS: 20000

</source>

Lisame HTTP_PORTS sektsiooni juurde näiteks pordi 8080:
<source lang="bash">
HTTP_PORTS: "80,8080"

SHELLCODE_PORTS: "!80"

ORACLE_PORTS: 1521

SSH_PORTS: 22

DNP3_PORTS: 20000

</source>

== Kiire testimine <ref>Suricata testimine ühe reegli abil, http://www.linux.org/threads/suricata-the-snort-replacer-part-2-configure-test.4348/</ref> ==

Need käsud käivita serveris juurkasutaja õigustes.

1. Loome faili test.rules kausta /etc/suricata/rules/
<source lang="bash">
touch /etc/suricata/rules/test.rules
</source>

2. Kirjutama test.rules faili testimise jaoks ühe reegli.
<source lang="bash">
alert ip any any -> any any (msg:"ICMP detected"; sid:2; rev:1;)
</source>

3. Avame uuesti faili /etc/suricata/suricata.yaml, kus lähme asukohta, mis hakkab reaga "rule_files:" ja kommenteerime kõik reeglid välja ja kirjeldame seal oma reegli nimega "test.rules".
<source lang="bash">
rule-files:
- test.rules
# - botcc.rules
# - ciarmy.rules
# - compromised.rules
# - drop.rules
# - dshield.rules
# - emerging-activex.rules
# - emerging-attack_response.rules
# - emerging-chat.rules
# - emerging-current_events.rules
# - emerging-dns.rules
# - emerging-dos.rules
# - emerging-exploit.rules
# - emerging-ftp.rules
...
</source>

4. Paneme suricata monitoorima eth1 liidese peal.
<source lang="bash">
suricata -c /etc/suricata/suricata.yaml -i eth1
</source>

5. Teeme oma kliendi masina pealt pingi Suricata serveri pihta.
<source lang="bash">
ping 192.168.56.201
</source>

6. Laseme tunde järgi pingida ja seejärel paneme monitoorimise kinni ning vaatame logi.
<source lang="bash">
less /var/log/suricata/fast.log
</source>

7. Logi sisu peaks olema umbes selline:
<source lang="bash">
01/15/2014-00:08:59.409903 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.101:8 -> 192.168.56.201:0
01/15/2014-00:08:59.409937 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.201:0 -> 192.168.56.101:0
01/15/2014-00:09:00.410130 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.101:8 -> 192.168.56.201:0
01/15/2014-00:09:00.410171 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.201:0 -> 192.168.56.101:0
</source>

8. Edasi saab logi puhul kasutada mõnda sündmuste korreleerimise töörista nagu näiteks SEC, mille kohta saab lugeda siit: http://simple-evcorr.sourceforge.net/SEC-tutorial/article.html või uurida EIK enda wikist teemat [https://wiki.itcollege.ee/index.php/Keskne_logihaldus_Rsyslog_ja_SEC_n%C3%A4itel Keskne logihaldus Rsyslog ja SEC näitel].

== Reeglite sisselükkamine: ==

Suricata uuemates versioonides tulevad baasreeglid kaasa. Need asuvad kaustas /etc/suricata/rules
<source lang="bash">
cd /etc/suricata/rules
ll
</source>

Olemasolevaid reegleid saab lähemalt uurida käsuga less. Näites uurime malware reeglit.
<source lang="bash">
less emerging-malware.rules
</source>

Kui vajalikud reeglid on valitud, siis tuleb need suricata konfiguratsioonifaili lisada. Selleks tuleb reeglid uuesti sisse kommenteerida.
<source lang="bash">
nano /etc/suricata/suricata.yaml
- emerging-malware.rules
</source>

Seejärel tuleb teha suricatale restart. Selleks katkestage monitooring eth1 vajutades klahvikombinatsiooni "ctrl c" ning käivitame uuesti.
<source lang="bash">
suricata -c /etc/suricata/suricata.yaml -i eth1
</source>

== Uue reegli tegemine: ==
Suricatas saab ise reegleid teha vastavalt vajadustele. Näites teeme XSSi keelava reegli.

1. Teeme /etc/suricata/rules kausta uue faili nimega xss.rules
<source lang="bash">
nano /etc/suricata/rules/xss.rules
</source>

2. Seejärel kirjutame reegli:
<code>
drop http $EXTERNAL_NET any -> $HTTP_SERVERS $HTTP_PORTS (msg:"skripti tag avastatud URIs, voimalik xss runne"; flow:to_server,established; uricontent:"</script>"; nocase; reference:url,ha.ckers.org/xss.html; reference:url,doc.emergingthreats.net/2009714; classtype:web-application-attack; sid:2009714; rev:5;)
</code>

3. Kui reegel on tehtud, tuleb see lisada ka suricata konfiguratsiooni:
<source lang="bash">
nano /etc/suricata/suricata.yaml
</source>
Otsime üles koha, kus on reeglid ning lisame enda tehtud xss reegli.
<source lang="bash">
rule-files:
- test.rules
- xss.rules
- emerging-malware.rules
</source>

4. Viimase sammuna tuleb suricata uuesti käivitada:
<source lang="bash">
suricata -c /etc/suricata/suricata.yaml -i eth1
</source>

=Kokkuvõte=

Kui aus olla, siis alguses päris täpselt ei teadnudki, mida Suricata endast kujutab, kuid pärast wiki artikli kirjutamist on juba mingi ettekujutas, mida antud süsteem teeb. Suricata paigaldamise ja konfigureerimise käigus avastasime, et on olemas mitu erinevat varianti, kuidas antud süteemi paigaldada. Meie õnneks saime teada, et kõige uuema versiooniga on meie eest pool tööd tehtud ning me ei pidanudki käsitsi kopeerima erinevaid konfiguratsiooni faile. Kokkuvõttes on Suricata väga võimas ja paljude võimalustega tööriist, mille täielikuks arusaamiseks peaks seda proovima testida reaalsetes olukordades.

= Kasulikud materjalid =

*http://www.linux.org/threads/suricata-the-snort-replacer-part-1-intro-install.4346/
*http://www.linux.org/threads/suricata-the-snort-replacer-part-2-configure-test.4348/
*http://www.linux.org/threads/suricata-the-snort-replacer-part-3-rules.4363/
*http://suricata-ids.org/
*https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricata_Installation
*https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Basic_Setup

[[Category: Linuxi administreerimine]]

= Viited =

<references />