Instalación Suricata IDS y Mikrotik

Hola a todos comunidad de Underc0de, hoy os traigo un pequeño documento donde explico como instalar Suricata IDS sobre CentOS 7 y como analizar el tráfico de nuestro router Mikrotik con nuestro IDS. Espero que os ayude.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Saludos, Davidhs.

Interesante post David.

Unas preguntas:

¿Aunque tu explicación esta basada en un router de la compañia MicroTik, existe la posibilidad
imagino de hacer la instalación del IDS, usando otro tipo de hardware con routers como Cisco, TPLINK o cualquiera de los que facilitan los ISP (Provedores de servicios de internet)?

¿En vez de instalar para complementar a suricata Tcpdump, valdría Wireshark? A mi me gusta más

Por añadir que no se si lo has puesto en el manual (igual se me paso al leerlo), los IDS (sistemas de detección de intrusos aparte
de monitorizar el tráfico de la red y analizar los resultados contra una base de datos con firmas de ataques, TAMBIEN GENERA ALERTAS Y AVISOS en tiempo real, cuando descubre alguna actividad sospechosa cosa que por ejemplo no realiza un cortafuegos (Firewall), ya que este solo se limita a bloquear o dejar pasar el trafico de red en base a una serie de reglas, configuaradas previamente Y ES UNA DE LAS DIFERENCIAS CON RESPECTO AL CORTAFUEGOS. Tambien los IDS generan logs que pueden ser analizados posteriormente por el administrador del sistema o auditor, para estudiar los movimientos generados por el tráfico.

Por cierto aparte de la explicación de que es un IDS, que es suricata, su instalación junto con otras herramientas necesarias y las correspondientes bibliografias. No veo por ninguna parte y me falto algo de explicación de como se maneja la herramienta que es lo interesante en cuestión, que opciones de configuración tiene, etc. Lo digo porque haces mención algo del uso de la herramienta.


Ah!Y le heche un vistazo a tu web:  No tienes permitido ver los links. Registrarse o Entrar a mi cuenta  buen trabajo socio!

Un saludo


<<El CoNoCiMiEnTo Es LiBrE y HaY QuE cOmPaRtIrLo>>

Hola Codig0Bit.

A la primera pregunta de si se puede implementar Suricata con otras marcas de routers, se puede implementar perfectamente, solo tienes que averiguar como replicar el tráfico del router hacia este IDS.
Y en la segunda pregunta de si se puede implementar con wireshark, pues lo que he leído realizando búsquedas es que se puede implementar mediante un plugin, pero no te lo confirmo ya que la prueba no la he realizado, pero si te animas a probar, estaré encantado de que compartas tu experiencia.

Por otra parte no he mencionado que se generan logs y que estos se pueden revisar posteriormente, es normal que eches en falta un poco de la explicación de como se maneja o de las diferentes configuraciones que puede tener nuestro IDS, pero eso lo dejo para otro post.

Me alegra que te haya molado el tinglado jajajaj.

Saludos.

Hola de nuevo David!!!

Cuando tenga algo de tiempo y pruebe el asunto de suricata en un router cisco o en un TPLINK junto con Wireshark, hago un video o un manual y lo comparto.

Y si, claro que me ha "molado el tinglado". La página esta muy bien y tienes cosas interesantes y lo más
importante bajo mi punto de vista que ya he comentado otras veces: PRACTICA. Para la gente novata
que empieze le vendra muy bien.

Por cierto hechando un vistacillo por la web y algunos de los videos que tienes sobre hacking básico, en el
numero 11, de "anonimación", te dejaste la explicación de que hay que instalar proxychains tambien y como hacerlo (que no tiene ninguna dificultad). Supongo que se te paso xDDD Te pasas de instalar al servicio tor a configurar despues el archivo /etc/proxychains.conf y piensas en ese momento... aqui como que algo no me cuadra, me falta un servicio que no está en mi computadora

Si lo revisas, te daras cuenta.


Un saludo y gran trabajo.