7
NSM & Forenzika mreže Praćenje sigurnosnih aspekata mreže Forenzika mreže Blago Čuljak, ožujak 2015. [email protected]

NSM & Forenzika mreže - mscommunitystorage.blob.core ...mscommunitystorage.blob.core.windows.net/event-1022/nsm i forenzi… · NSM & Forenzika mreže Praćenje sigurnosnih aspekata

Embed Size (px)

Citation preview

Page 1: NSM & Forenzika mreže - mscommunitystorage.blob.core ...mscommunitystorage.blob.core.windows.net/event-1022/nsm i forenzi… · NSM & Forenzika mreže Praćenje sigurnosnih aspekata

NSM & Forenzika mreže

Praćenje sigurnosnih aspekata mreže

Forenzika mreže

Blago Čuljak, ožujak [email protected]

Page 2: NSM & Forenzika mreže - mscommunitystorage.blob.core ...mscommunitystorage.blob.core.windows.net/event-1022/nsm i forenzi… · NSM & Forenzika mreže Praćenje sigurnosnih aspekata

Postavljanje uređaja u mrežu

Uređaj postaviti što bliže izvoru napada (Internet), eliminirati promet unutar vlastite mreže za inspekciju paketa.

Cijeli uplink mirrorati na naš uređaj za NSM/forenziku.

Cisco switch:

monitor session 1 source interface Gi1/0/1 - 6 , Gi1/0/8

monitor session 1 destination interface Gi1/0/9

Page 3: NSM & Forenzika mreže - mscommunitystorage.blob.core ...mscommunitystorage.blob.core.windows.net/event-1022/nsm i forenzi… · NSM & Forenzika mreže Praćenje sigurnosnih aspekata

Kalkulacija hardvera

• Pošto ćemo raditi Full Packet Capture (pcap), držati ćemo kopiju cijelog našeg prometa na našemu uređaju. Pretpostavimo da imamo uplink10/10Mbits.

• 10+10Mbit=20Mb svake sekunde

• 20/8= 2,5 MB zapisa svake sekunde

• 1 dan = 86,000 sek x 2,5MB = 215GB dnevno

• 1TB disk dovoljno za 3 dana

• CPU i RAM, i7/Xenon zadnje generacije što viši takt, min. 16GB RAMa

• 2x NIC, 1 za Managment, 1 za monitor podataka

Page 4: NSM & Forenzika mreže - mscommunitystorage.blob.core ...mscommunitystorage.blob.core.windows.net/event-1022/nsm i forenzi… · NSM & Forenzika mreže Praćenje sigurnosnih aspekata

Alate koje ćemo korisiti:

- Snort ili Suricata

- BRO

- Snorby

- ELSA

- Squert

- Sguil

- CAPme

- Wireshark ili Network Miner

Page 5: NSM & Forenzika mreže - mscommunitystorage.blob.core ...mscommunitystorage.blob.core.windows.net/event-1022/nsm i forenzi… · NSM & Forenzika mreže Praćenje sigurnosnih aspekata

Snorby DEMO i najkorisnije postavke Snorta

Deaktivacija nekih alerta (SIDu i po ključnoj rječi):

sudo nano /etc/nsm/pulledpork/disablesid.conf

Dodavanje vlastitih pravila:

sudo nano /etc/nsm/rules/local.rules

Primjer pravila:

alert tcp any any -> any 110 (msg:"ET POLICY PO3 username Interceptor"; flow:established,to_server; content:"user "; nocase; classtype:policy-violation; sid:5000001; rev:1;)

Page 6: NSM & Forenzika mreže - mscommunitystorage.blob.core ...mscommunitystorage.blob.core.windows.net/event-1022/nsm i forenzi… · NSM & Forenzika mreže Praćenje sigurnosnih aspekata

Najkorisnije postavke Snorta

Ručno ažuriranje pravila s Interneta:

sudo rule-update

Osnovne postavke mreža koje štitimo:

sudo nano /etc/nsm/ImeSenzora/Snort.conf

Postavke slanja određenih obavijesti na mail:sudo nano /etc/nsm/securityonion/Sguild.email

Kategorije i SIDovi koji se šalju na mail:EMAIL_CLASSES ("successful-admin trojan-activity”)EMAIL_ENABLE_SIDS (‘’200971’’)

Page 7: NSM & Forenzika mreže - mscommunitystorage.blob.core ...mscommunitystorage.blob.core.windows.net/event-1022/nsm i forenzi… · NSM & Forenzika mreže Praćenje sigurnosnih aspekata

Dekripcija vlastitih servisa• http://resources.infosecinstitute.com/ssl-decryption/

Brisanje Snorby baze• sudo so-snorby-wipe