Autorid: Martin Leppik ja Randel Raidmets

Rühm: A31

Kuupäev: 12.12.2013

Linuxi administreerimise aine raames paigaldada vastavale Ubuntu serverile sissetungimise avastamise süsteem nimega Suricata. Pärast paigaldust konfigureerida peamised sätted ja reeglid ning viimasena testida süsteemi toimimist.

• Baasteadmised Linuxist.
• Oskus hakkama saada käsureaga.
• Algteadmised võrgundusest (Cisco CCNA1).

Nii server kui ka klient töötavad meie lahenduse puhul Oracle'i Virtualboxi peal. Lisaks on soovitav on kasutada "Extension Packi" ja "Guest Additione".

Server

• Ubuntu Server 12.04.1 LTS (64bit) - http://elab.itcollege.ee:8000/ubuntu-12.04.1-server-amd64.iso
• RAM 512MB
• HDD dynamicly allocated 8GB
• 2 Võrgukaarti NIC1 - NAT (eth0 - Ubuntus) ja NIC2 - HostOnly (eth1 - Ubuntus)
• Liidese eth1 ip aadress 192.168.56.201
• OpenSSH olemasolu

Kasutasime eelnevalt seadistatud serverit, mis on pärit IT infrastruktuuri teenuste ainest, mida natuke muutsime (sellest lähemalt eelseadistuse osas). Kasutajanimi ja parool on student. Klient

• Ubuntu Desktop 12.04.1 LTS ISO (64bit) - http://elab.itcollege.ee:8000/ubuntu-12.04.1-desktop-amd64.iso
• OpenSSH olemasolu

Ksutasime eelnevalt seadistatud klienti. Kasutajanimi ja parool on student.

Kõik käsud käivitame serveris juurkasutaja õigustes.

1.Muudame ära hostname'i nimeks suricata.

nano /etc/hostname

2.Muudame liidese eth1 IP aadressi selliseks 192.168.56.201.

nano /etc/network/interfaces

Liidese eth1 näidis:

auto eth1
iface eth1 inet static
        address 192.168.56.201
        netmask 255.255.255.0

3. Kirjeldame faili /etc/hosts sisu

nano /etc/hosts

Faili /etc/hosts faili näidis:

127.0.0.1       localhost
127.0.1.1       suricata.planet.zz      suricata
192.168.56.201  suricata.planet.zz      suricata
192.168.56.200  puppetmaster.planet.zz  puppetmaster
192.168.56.101  klient.planet.zz        klient

4. Uuendame ära tarkvara nimekirja info

apt-get update

5. Uuendame ära tarkvara

apt-get upgrade

1. Kõigepealt paigaldame paki nimega "python-software-properties", kuna selle sees asub programm "add-apt-repository", mida kasutame järgmisena.

apt-get install python-software-properties

2. Viimase stabiilse Suricata versiooni jaoks käivita vastavad käsud:

add-apt-repository ppa:oisf/suricata-stable
apt-get update

3. Järgmisena paigalda Suricata

apt-get install suricata

1. Suricata uuendamiseks käsud

apt-get update
apt-get upgrade

2. Eemaldamiseks käsk

apt-get remove suricata

Siia tuleb panna skeem ja juurde kirjutada.

1. Loome kausta Suricata logide jaoks.

mkdir /var/log/suricata

2. Avame faili /etc/suricata/suricata.yaml

nano /etc/suricata/suricata.yaml

3. Kirjeldame, millised operatsioonisüsteemid on meie võrgus seal, kus hakkab rida "host-os-policy" ja nimetame nende ip aadressid.

host-os-policy:
  # Make the default policy windows.
  windows: []
  bsd: []
  bsd-right: []
  old-linux: []
  linux: [192.168.56.200, 192.168.56.201, 192.168.56.101, 127.0.0.1]
  old-solaris: []
  solaris: []
  hpux10: []
  hpux11: []
  irix: []
  macos: []
  vista: []

4. Kirjeldame koduvõrgu serveri ip aadressi kohas, mis algab reaga "address-groups:"

  address-groups:

    HOME_NET: "[192.168.56.0/24]"

    EXTERNAL_NET: "!$HOME_NET"

1. Loome faili test.rules kausta /etc/suricata/rules/

touch /etc/suricata/rules/test.rules

2. Kirjutama test.rules faili testimise jaoks ühe reegli.

alert ip any any -> any any (msg:"ICMP detected"; sid:2; rev:1;)

3. Avame uuesti faili /etc/suricata/suricata.yaml, kus lähme rea juurde, mis hakkab reaga "rule_files:" ja kommenteerime kõik reeglid välja ja kirjeldame seal oma reegli nimega ""

rule-files:

 - test.rules

1. - botcc.rules
2. - ciarmy.rules
3. - compromised.rules
4. - drop.rules
5. - dshield.rules
6. - emerging-activex.rules
7. - emerging-attack_response.rules
8. - emerging-chat.rules
9. - emerging-current_events.rules
10. - emerging-dns.rules
11. - emerging-dos.rules
12. - emerging-exploit.rules
13. - emerging-ftp.rules

...