Файлы по заданию в папке #ArctikSeverTrans.

Далее идет пошаговый разбор всех действий.

Содержание

0. Топология сети
1. Установка Bee-Box (1.6)
2. Установка Kali Linux (2024.1)
3. Установка phSense (2.7.2)
4. Установка Ubuntu (20.04)
5. Установка Suricata (7.0.4) в роли IDS
6. Cкрипт фильтрации логов
7. Установка GrayLog для агрегирования логов
8. Тестирование
   1. Фаза один
   2. Фаза два
9. Правила обнаружения
10. Правила противодействия
11. Настройка прозрачного прокси

---

Топология сети

Установка Bee-Box

Скачиваем архив с виртуальной машиной Bee-Box с официального сайта.

Настраиваем под свои критерии в нашем случае переносим сетевой адаптер в LAN сегмент (LAN).

Прописываем IP-адрес вручную, так как по ТЗ настройки DHCP не предусмотрена, шлюз ставим как в топологии сети.

На этом вся настройка Bee-Box закончена.

Установка Kali Linux

Скачиваем архив с виртуальной машиной с официального сайта, стабильную версию в нашем случае для VMWare.

Настраиваем под свои критерии, в нашем случае переносим сетевой адаптер в LAN сегмент (WAN).

Прописываем IP-адрес вручную, шлюз ставим как в топологии сети.

Как либо настраивать Kali нет смысла так как все уже предустановлено, в нашем случае NMAP.

Установка pfSense

Скачиваем образ с официального сайта, 64 битную версию.

Настраиваем под свои критерии, в нашем случае переносим сетевой адаптер в LAN сегмент (LAN).

Я не мог использовать реальный WAN, так как в моей сети, где я работаю, уже есть pfSense, что бы не возникали конфликты на всякий случай я сделаю весь стенд на VLAN.

Прописываем IP-адрес WAN интерфейсу, как в топологии сети (192.168.2.1/24/192.168.2.1).

Прописываем IP-адрес LAN интерфейсу, как в топологии сети (192.168.1.2/24/192.168.1.2).

Установка Ubuntu

Скачиваем образ (20.04) с официального сайта, 64 битную версию.

Настраиваем под свои критерии, в нашем случае переносим сетевой адаптер в LAN сегмент (LAN).

Прописываем IP-адрес вручную, так как по ТЗ настройки DHCP не предусмотрена, шлюз ставим как в топологии сети.

Настраиваем apt-репозиторий Docker.

Устанавливаем пакеты Docker.

Запускаем GrayLog сервер.

Установка Suricata в роли IDS

Находим пакет Suricata в веб-конфигураторе pfSense.

Устанавливаем пакет Suricata.

Настраиваем интерфейс WAN.

Включаем блокировку и выбираем Legacy Mode.

Прописываем собственные правила обнаружения.

Cкрипт фильтрации логов

Выбрал я самый доступный - Python, каждая строка имеет описание, фильтрует скрипт соответственно логи из Suricata.

Установка GrayLog для агрегирования логов

Заходим в веб-конфигуратор GrayLog, настраиваем Input.

Добавляем экстракторы и настраиваем им конфигурацию.

Фильтрация логов с помощью конфигуратора GrayLog.

Проверка работоспособности агрегации логов с фильтрацией и извлечением полезных нам данных в реальном времени.

Тестирование

Фаза один (защита выключена)

Сканирование NMAP TCP Connect (-sS) при отключенном интерфейсе Suricata.

Фаза два (защита включена)

Сканирование NMAP TCP Connect (-sS) при включенном интерфейсе Suricata.

Обнаружение атаки в журнале Suricata (pfSense).

Блокировка и деактивация пакетов с атакующего IP-адреса.

Обнаружение атаки в журнале GrayLog.

Системный журнал Suricata.

Правила обнаружения

Alert - для обнаружения и уведомления об атаке.

Правила противодействия

Reject - для обнаружения, блокировки пакетов и уведомления об атаке.

Настройка прозрачного прокси

Устанавливаем пакет Squid.

Переходим на вкладку «Общие». Устанавливаем флажок, чтобы включить Squid.

Устанавливаем флажок, чтобы включить службы прозрачного прокси-сервера HTTP.

Включаем ведение журнала. Это для удаленного ведения журнала (GrayLog).

Вывод

Мы создали, настроили и протестировали тестовый стенд IDS на платформе pfSense со встроенным плагином Suricata.