Este sitio utiliza cookies propias y de terceros. Si continúa navegando consideramos que acepta el uso de cookies. OK Más Información.

Instalación Suricata IDS y Mikrotik

  • 3 Respuestas
  • 3324 Vistas

0 Usuarios y 1 Visitante están viendo este tema.

Desconectado davidhs

  • *
  • Underc0der
  • Mensajes: 59
  • Actividad:
    0%
  • Reputación 2
  • La oscuridad de mi teclado me lleva a la eternidad
    • Ver Perfil
    • Hardsoft Security
« en: Octubre 31, 2017, 09:26:22 am »


Hola a todos comunidad de Underc0de, hoy os traigo un pequeño documento donde explico como instalar Suricata IDS sobre CentOS 7 y como analizar el tráfico de nuestro router Mikrotik con nuestro IDS. Espero que os ayude.

https://hardsoftsecurity.es/suricataMikrotik.pdf

Saludos, Davidhs.
« Última modificación: Noviembre 01, 2017, 07:47:47 pm por xyz »
Un mundo construido sobre fantasía. Emociones sintéticas en forma de pastillas. Guerras psicológicas en forma de publicidad. Sustancias químicas que alteran la mente en forma de comida. Lavados de cerebro en forma de medios de comunicación. Agujas aisladas bajo control en forma de redes sociales.

Desconectado Codig0Bit

  • *
  • Underc0der
  • Mensajes: 17
  • Actividad:
    0%
  • Reputación 2
    • Ver Perfil
« Respuesta #1 en: Noviembre 01, 2017, 03:45:17 pm »
Interesante post David.

Unas preguntas:

¿Aunque tu explicación esta basada en un router de la compañia MicroTik, existe la posibilidad
imagino de hacer la instalación del IDS, usando otro tipo de hardware con routers como Cisco, TPLINK o cualquiera de los que facilitan los ISP (Provedores de servicios de internet)?

¿En vez de instalar para complementar a suricata Tcpdump, valdría Wireshark? A mi me gusta más :)

Por añadir que no se si lo has puesto en el manual (igual se me paso al leerlo), los IDS (sistemas de detección de intrusos aparte
de monitorizar el tráfico de la red y analizar los resultados contra una base de datos con firmas de ataques, TAMBIEN GENERA ALERTAS Y AVISOS en tiempo real, cuando descubre alguna actividad sospechosa cosa que por ejemplo no realiza un cortafuegos (Firewall), ya que este solo se limita a bloquear o dejar pasar el trafico de red en base a una serie de reglas, configuaradas previamente Y ES UNA DE LAS DIFERENCIAS CON RESPECTO AL CORTAFUEGOS. Tambien los IDS generan logs que pueden ser analizados posteriormente por el administrador del sistema o auditor, para estudiar los movimientos generados por el tráfico.

Por cierto aparte de la explicación de que es un IDS, que es suricata, su instalación junto con otras herramientas necesarias y las correspondientes bibliografias. No veo por ninguna parte y me falto algo de explicación de como se maneja la herramienta que es lo interesante en cuestión, que opciones de configuración tiene, etc. Lo digo porque haces mención algo del uso de la herramienta.


Ah!Y le heche un vistazo a tu web:  https://hardsoftsecurity.es/  buen trabajo socio!

Un saludo


<<El CoNoCiMiEnTo Es LiBrE y HaY QuE cOmPaRtIrLo>>
« Última modificación: Noviembre 01, 2017, 03:50:04 pm por Codig0Bit »
<<DaDmE uN oRdEnAdOr Y cReArE aRtE, DaDmE uNa ReD y DoMiNarE eL MunDo>>

<<El CoNoCiMiEnTo Es LiBrE y HaY QuE cOmPaRtIrLo>>

<<EtErNo ApReNdIz>>

Desconectado davidhs

  • *
  • Underc0der
  • Mensajes: 59
  • Actividad:
    0%
  • Reputación 2
  • La oscuridad de mi teclado me lleva a la eternidad
    • Ver Perfil
    • Hardsoft Security
« Respuesta #2 en: Noviembre 01, 2017, 07:42:14 pm »
Hola Codig0Bit.

A la primera pregunta de si se puede implementar Suricata con otras marcas de routers, se puede implementar perfectamente, solo tienes que averiguar como replicar el tráfico del router hacia este IDS.
Y en la segunda pregunta de si se puede implementar con wireshark, pues lo que he leído realizando búsquedas es que se puede implementar mediante un plugin, pero no te lo confirmo ya que la prueba no la he realizado, pero si te animas a probar, estaré encantado de que compartas tu experiencia.

Por otra parte no he mencionado que se generan logs y que estos se pueden revisar posteriormente, es normal que eches en falta un poco de la explicación de como se maneja o de las diferentes configuraciones que puede tener nuestro IDS, pero eso lo dejo para otro post.

Me alegra que te haya molado el tinglado jajajaj.

Saludos.
Un mundo construido sobre fantasía. Emociones sintéticas en forma de pastillas. Guerras psicológicas en forma de publicidad. Sustancias químicas que alteran la mente en forma de comida. Lavados de cerebro en forma de medios de comunicación. Agujas aisladas bajo control en forma de redes sociales.

Desconectado Codig0Bit

  • *
  • Underc0der
  • Mensajes: 17
  • Actividad:
    0%
  • Reputación 2
    • Ver Perfil
« Respuesta #3 en: Noviembre 17, 2017, 11:26:06 pm »
Hola de nuevo David!!!

Cuando tenga algo de tiempo y pruebe el asunto de suricata en un router cisco o en un TPLINK junto con Wireshark, hago un video o un manual y lo comparto.

Y si, claro que me ha "molado el tinglado". La página esta muy bien y tienes cosas interesantes y lo más
importante bajo mi punto de vista que ya he comentado otras veces: PRACTICA. Para la gente novata
que empieze le vendra muy bien.

Por cierto hechando un vistacillo por la web y algunos de los videos que tienes sobre hacking básico, en el
numero 11, de "anonimación", te dejaste la explicación de que hay que instalar proxychains tambien y como hacerlo (que no tiene ninguna dificultad). Supongo que se te paso xDDD Te pasas de instalar al servicio tor a configurar despues el archivo /etc/proxychains.conf y piensas en ese momento... aqui como que algo no me cuadra, me falta un servicio que no está en mi computadora :D

Si lo revisas, te daras cuenta.


Un saludo y gran trabajo.
« Última modificación: Noviembre 21, 2017, 12:51:27 pm por Codig0Bit »
<<DaDmE uN oRdEnAdOr Y cReArE aRtE, DaDmE uNa ReD y DoMiNarE eL MunDo>>

<<El CoNoCiMiEnTo Es LiBrE y HaY QuE cOmPaRtIrLo>>

<<EtErNo ApReNdIz>>

 

¿Te gustó el post? COMPARTILO!