Upload
nguyenanh
View
255
Download
11
Embed Size (px)
Citation preview
NSM & Forenzika mreže
Praćenje sigurnosnih aspekata mreže
Forenzika mreže
Blago Čuljak, ožujak [email protected]
Postavljanje uređaja u mrežu
Uređaj postaviti što bliže izvoru napada (Internet), eliminirati promet unutar vlastite mreže za inspekciju paketa.
Cijeli uplink mirrorati na naš uređaj za NSM/forenziku.
Cisco switch:
monitor session 1 source interface Gi1/0/1 - 6 , Gi1/0/8
monitor session 1 destination interface Gi1/0/9
Kalkulacija hardvera
• Pošto ćemo raditi Full Packet Capture (pcap), držati ćemo kopiju cijelog našeg prometa na našemu uređaju. Pretpostavimo da imamo uplink10/10Mbits.
• 10+10Mbit=20Mb svake sekunde
• 20/8= 2,5 MB zapisa svake sekunde
• 1 dan = 86,000 sek x 2,5MB = 215GB dnevno
• 1TB disk dovoljno za 3 dana
• CPU i RAM, i7/Xenon zadnje generacije što viši takt, min. 16GB RAMa
• 2x NIC, 1 za Managment, 1 za monitor podataka
Alate koje ćemo korisiti:
- Snort ili Suricata
- BRO
- Snorby
- ELSA
- Squert
- Sguil
- CAPme
- Wireshark ili Network Miner
Snorby DEMO i najkorisnije postavke Snorta
Deaktivacija nekih alerta (SIDu i po ključnoj rječi):
sudo nano /etc/nsm/pulledpork/disablesid.conf
Dodavanje vlastitih pravila:
sudo nano /etc/nsm/rules/local.rules
Primjer pravila:
alert tcp any any -> any 110 (msg:"ET POLICY PO3 username Interceptor"; flow:established,to_server; content:"user "; nocase; classtype:policy-violation; sid:5000001; rev:1;)
Najkorisnije postavke Snorta
Ručno ažuriranje pravila s Interneta:
sudo rule-update
Osnovne postavke mreža koje štitimo:
sudo nano /etc/nsm/ImeSenzora/Snort.conf
Postavke slanja određenih obavijesti na mail:sudo nano /etc/nsm/securityonion/Sguild.email
Kategorije i SIDovi koji se šalju na mail:EMAIL_CLASSES ("successful-admin trojan-activity”)EMAIL_ENABLE_SIDS (‘’200971’’)
Dekripcija vlastitih servisa• http://resources.infosecinstitute.com/ssl-decryption/
Brisanje Snorby baze• sudo so-snorby-wipe