Реализация IDS/IPS системы на Mikrotik + Suricata

Рет қаралды 28,269

5 жыл бұрын

Помогаем в Telegram: @MikTrain (t.me/miktrain)
====ОПИСАНИЕ ВЕБИНАРА====
На конференции Mikrotik я выступал с темой реализации системы безопасности по типу IDS/IPS с помощью Suricata, которая будет интегрирована с Mikrotik.
Файлы для настройки: bit.ly/2zOPq8f
Презентация: bit.ly/2RnUzL0
Консультации и помощь по MikroTik в нашем Telegram-канале: t.me/miktrain

Пікірлер: 32

@deus2583 5 жыл бұрын

Спасибо, Роман 👍👍

@agelo1006 4 жыл бұрын

Роман ,поставил Selks.iso 5 версии. Зазеркалил трафик на микроте через switch на вход selks - в scirus только фиксируются трафик исходящий с selks :(

@gatall 5 жыл бұрын

Стoлкнулся с постоянно растущим TCP reassembly gaps. У всех Суриката работает нормально? System status/Problem. Куда копать?

@ilya8304 4 жыл бұрын

Роман подскажите аналог такой системы из платных решений.

@fghtresvbjy543 4 жыл бұрын

любой L7 фаервол хардварный. Fortinet\Cisco ASA Firepower\Palo-Alto . Если не нравится железка - можно взять виртуалку и поставть рядом

@igor_haib1579 4 ай бұрын

Avast не плохо делают, советую присмотреться

@PalamarSat 5 жыл бұрын

Подскажите пожалуйста требуется замена L3 свича,стоит выбор между CRS328-4C-20S-4S+RM и CRS317-1G-16S+RM какой лучше взять?

@MikrotikTraining 5 жыл бұрын

Они по конфигурации портов разные

@user-qg6gy4cn3j 5 жыл бұрын

Что Вы имеете ввиду,по конфигурации портов разные?

@PalamarSat 5 жыл бұрын

какой лучше взять?Не понял что Вы имелм ввиду по конфигурации портов?

@MikrotikTraining 5 жыл бұрын

16 портов sfp+ против 24 порта Gigabit etherner. Это разные свичи, как по количеству портов, так и по их подключению медь vs оптика. Сходите на сайт mikrotik.com/products - там все подробно расписано.

@PalamarSat 5 жыл бұрын

Вы ничего не перепутали?Первый тоже почти весь sfp.

@bubuyom 4 жыл бұрын

Уже неделю долбусь с этим, перепробывал разные варианты, на ESXI SELKS5 и SELKS6 через tzsp2pcap -f | suricata -c /etc/suricata/suricata.yaml --runmode autofp -v -r /dev/stdin трафик идет и суриката анализирует, но работает до определенного момента и зависает все, то есть как бі все работает и запущено, даже eve.json что то идет, а вот fast.log молчит и в EveBox тишина, надо руками перезапускать. Через /usr/bin/tzsp2pcap -f -s 2900 | /usr/bin/tcpreplay --topspeed -i eth10 - вообще лажа, трафик идет на инетрфейс eth10 и он же указан в сурикате, только вот никакого анализа не происходит, да и в консоль сыпеться постоянно Warning in flows.c:flow_decode() line 260: Unable to process unsupported DLT type: 802.11 plus radiotap header (0x7f) Одним словом жуть. Мне нужно запустить его хоть как то, что бы оно работало и анализировало, как перезапускать процесс для профилактики раз в 2 часа так же не могу придумать пока. Микротик кстати CCR1036-12G-4S в нем нет свитча и зеркалирования :/

@DarkenTwin 5 жыл бұрын

Господа. Подскажите что может быть не так с импортом логов в Микротик? fastmikrotik.php запускается, но ни чего не происходит, даже попытки обращения к API. Конфиг поправлен. Ошибок не выдает.

@gatall 5 жыл бұрын

Там рядом должен еще лежать routeros_api.class.php у меня ругается на разные строки... не могу пока побороть

@DarkenTwin 5 жыл бұрын

@@gatall про API это понятно. У нас просто не работает. Я плюнул и переписал все на python. около 50 строк кода и всего один файл.

@gatall 5 жыл бұрын

@@DarkenTwin если не трудно выложите код где-нибудь, а то у меня если и запускается тоже ничего не проиходит, на разные строки ругается (в зависbмости от версии routeros_api.class.php)

@DarkenTwin 5 жыл бұрын

@@gatall Оттестируем - выложу.

@gatall 5 жыл бұрын

@@DarkenTwin Сегодня заработало, лоханулся что закольцевал сеть виртуальным интерфейсом с ip из моей сети. Сменил в скрипте на левый ip и заработало. Теперь только вопрос, как чистить то, что отправляется в блок микротика, а то утечка dns от xiaomi банит 8.8.8.8, да и другие нужные ip, предварительно их whitelистить в firewall или ну сурикате правила перепроверять.

@levzeya89 5 жыл бұрын

Причем на 11.20

@S1ipkn0t 5 жыл бұрын

Ids и fw - это по сути разные комплексы, имеющие разный функционал, даже противоположный по сути. При целостной системе безопасности - это сегрегация между ними, с кучей идей и правил по раскрутке состояния и анализа атаки. Они често мешают друг-другу в реальных ситуациях. И вообще - идс без понимания процесса ломки бессмысленен. Это как у той лисы, морда которой застряла в силке и поэтому ее ебут всем лесом. IPS - да, есть смысл, но при условии подписки у серьезной компании на обновления сигнатур. ИМХО

@UraGagarin1961 Жыл бұрын

😂😂😂😂😂😂

@S1ipkn0t Жыл бұрын

@@UraGagarin1961 , чо именно поэтому желательно миррорить порт до fw, чтобы перенаправить его в ids/ips?