Autorid: Martin Leppik ja Randel Raidmets

Rühm: A31

Kuupäev: 12.12.2013

Eesmärk

Linuxi administreerimise aine raames paigaldada vastavale Ubuntu serverile sissetungimise avastamise süsteem nimega Suricata. Pärast paigaldust konfigureerida peamised sätted ja reeglid ning viimasena testida süsteemi toimimist.

Eeldused

• Baasteadmised Linuxist.
• Oskus hakkama saada käsureaga.
• Algteadmised võrgundusest (Cisco CCNA1).

Nõuded

Nii server kui ka klient töötavad meie lahenduse puhul Oracle'i Virtualboxi peal. Lisaks on soovitav on kasutada "Extension Packi" ja "Guest Additione".

Server

• Ubuntu Server 12.04.1 LTS (64bit) - http://elab.itcollege.ee:8000/ubuntu-12.04.1-server-amd64.iso
• RAM 512MB
• HDD dynamicly allocated 8GB
• 2 Võrgukaarti NIC1 - NAT (eth0 - Ubuntus) ja NIC2 - HostOnly (eth1 - Ubuntus)
• Liidese eth1 ip aadress 192.168.56.201
• OpenSSH olemasolu

Kasutasime eelnevalt seadistatud serverit, mis on pärit IT infrastruktuuri teenuste ainest, mida natuke muutsime (sellest lähemalt eelseadistuse osas). Kasutajanimi ja parool on student. Klient

• Ubuntu Desktop 12.04.1 LTS ISO (64bit) - http://elab.itcollege.ee:8000/ubuntu-12.04.1-desktop-amd64.iso
• OpenSSH olemasolu

Ksutasime eelnevalt seadistatud klienti. Kasutajanimi ja parool on student.

Eelseadistus

Kõik käsud käivitame serveris juurkasutaja õigustes.

1.Muudame ära hostname'i nimeks suricata.

nano /etc/hostname

2.Muudame liidese eth1 IP aadressi selliseks 192.168.56.201.

nano /etc/network/interfaces

Liidese eth1 näidis:

auto eth1
iface eth1 inet static
        address 192.168.56.201
        netmask 255.255.255.0

3. Kirjeldame faili /etc/hosts sisu

nano /etc/hosts

Faili /etc/hosts faili näidis:

127.0.0.1       localhost
127.0.1.1       suricata.planet.zz      suricata
192.168.56.201  suricata.planet.zz      suricata
192.168.56.200  puppetmaster.planet.zz  puppetmaster
192.168.56.101  klient.planet.zz        klient

4. Uuendame ära tarkvara nimekirja info

apt-get update

5. Uuendame ära tarkvara

apt-get upgrade

Paigaldus Ubuntu serveris

1. Kõigepealt paigaldame paki nimega "python-software-properties", kuna selle sees asub programm "add-apt-repository", mida kasutame järgmisena.

apt-get install python-software-properties

2. Viimase stabiilse Suricata versiooni jaoks käivita vastavad käsud:

add-apt-repository ppa:oisf/suricata-stable
apt-get update

3. Järgmisena paigalda Suricata

apt-get install suricata

Uuendamine ja eemaldamine

1. Suricata uuendamiseks käsud

apt-get update
apt-get upgrade

2. Eemaldamiseks käsk

apt-get remove suricata

Süsteemi üldkirjeldus

Siia tuleb panna skeem ja juurde kirjutada.

Baaskonfiguratsioon

Need käsud käivita serveris juurkasutajaõigustes.

1. Loome kausta Suricata logide jaoks.

mkdir /var/log/suricata

2. Avame faili /etc/suricata/suricata.yaml

nano /etc/suricata/suricata.yaml

3. Kirjeldame, millised operatsioonisüsteemid on meie võrgus seal, kus hakkab rida "host-os-policy" ja nimetame nende ip aadressid.

host-os-policy:
  # Make the default policy windows.
  windows: []
  bsd: []
  bsd-right: []
  old-linux: []
  linux: [192.168.56.200, 192.168.56.201, 192.168.56.101, 127.0.0.1]
  old-solaris: []
  solaris: []
  hpux10: []
  hpux11: []
  irix: []
  macos: []
  vista: []

4. Kirjeldame koduvõrgu serveri ip aadressi kohas, mis algab reaga "address-groups:"

  address-groups:

    HOME_NET: "[192.168.56.0/24]"

    EXTERNAL_NET: "!$HOME_NET"

Kiire testimine

Need käsud käivita serveris juurkasutaja õigustes.

1. Loome faili test.rules kausta /etc/suricata/rules/

touch /etc/suricata/rules/test.rules

2. Kirjutama test.rules faili testimise jaoks ühe reegli.

alert ip any any -> any any (msg:"ICMP detected"; sid:2; rev:1;)

3. Avame uuesti faili /etc/suricata/suricata.yaml, kus lähme rea juurde, mis hakkab reaga "rule_files:" ja kommenteerime kõik reeglid välja ja kirjeldame seal oma reegli nimega "test.rules".

rule-files:
  - test.rules
# - botcc.rules
# - ciarmy.rules
# - compromised.rules
# - drop.rules
# - dshield.rules
# - emerging-activex.rules
# - emerging-attack_response.rules
# - emerging-chat.rules
# - emerging-current_events.rules
# - emerging-dns.rules
# - emerging-dos.rules
# - emerging-exploit.rules
# - emerging-ftp.rules
...

4. Paneme suricata monitoorima eth1 liidese peal.

suricata -c /etc/suricata/suricata.yaml -i eth1

5. Teeme oma kliendi masina pealt pingi Suricata serveri pihta.

ping 192.168.56.201

6. Laseme tunde järgi pingida ja seejärel paneme monitoorimise kinni ning vaatame logi.

less /var/log/suricata/fast.log

7. Logi sisu peaks olema umbes selline:

01/15/2014-00:08:59.409903  [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.101:8 -> 192.168.56.201:0
01/15/2014-00:08:59.409937  [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.201:0 -> 192.168.56.101:0
01/15/2014-00:09:00.410130  [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.101:8 -> 192.168.56.201:0
01/15/2014-00:09:00.410171  [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.201:0 -> 192.168.56.101:0