# Практическая работа 6
# Системы анализа аномального трафика в корпоративной сети (Network traffic anomaly analysers)
Системы анализа аномального трафика в корпоративной сети, также известные как Network traffic anomaly analysers, это программные или аппаратные средства, которые используются для мониторинга и анализа сетевого трафика с целью обнаружения аномалий, несоответствий и потенциальных угроз безопасности. Они позволяют быстро обнаруживать и предотвращать кибератаки, вредоносные программы и другие угрозы для информационной безопасности корпоративных сетей.
STAMUS Networks - это компания-разработчик программных средств для обнаружения и предотвращения кибератак, включая системы анализа аномального трафика в корпоративной сети. Они предлагают решения для мониторинга и защиты сетей от угроз, таких как DDoS-атаки, ботнеты, вредоносные программы и другие. Компания была основана в 2014 году в США. Ими был разрабон SELKS
SELKS - включает в себя множество инструментов для обнаружения и предотвращения кибератак. Он использует открытые и свободные программы, такие как Suricata, Elasticsearch, Logstash и Kibana, для анализа трафика и журналов событий в режиме реального времени. SELKS разработан для использования в корпоративных сетях и может быть настроен для обнаружения широкого спектра угроз, включая DDoS-атаки, ботнеты, вредоносные программы и другие.
### Построним инфраструктуру
## Установим stamus на kali linux
Для это для начала обновим kali linux:
Установим необходимые пакеты для установки программ и добавим ключи проверки сертификатов, которые обеспечивают безопасность соединения при установке программ.
Далее Импортируем GPG-ключ
GPG-ключ нужен для верификации подписей ПО. Он понадобится для добавления репозитория докера в локальный список. Импортируем GPG-ключ:
Добавляем репозиторий докера и проверяем репозиторий
Убедимся, что инсталляция будет осуществлена из нужного нам репозитория. Выполняем следующую оманду:
Устанавливаем докер
Убедимся в успешности установки, проверив статус докера в системе:
### Установим Stamus
```
git clone https://github.com/StamusNetworks/SELKS.git
cd SELKS/docker/
./easy-setup.sh
sudo -E docker compose up -d
```
После установки заходим https://192.168.110.151:9443
Устанавливаем пароль
Проверяем контейнеры:
Видим что suricata коректно отрабатывает, для этого необходимо изменить файл docker-compose.yml
в suricata изменить строчку:
> image: jasonish/suricata:master-amd64
на строчку:
> image: jasonish/suricata:latest
После перезапускаем докер и проверяем контейнеры
Видим что все запустилось
Переходим https://192.168.110.151
Учетные данные и вход
пользователь:selks-user
пароль:selks-user
Здесь необходимо дабавить правила для suricata
Переходим в kibana
## Необходимо настроить интерфейс etho для получения трафика
Для того, чтобы нам приходил трафик. Для этого переводим eth0 интерфейс в режим promisc
> sudo ifconfig eth0 promisc
Для того, чтобы данные с инфраструктуры летели на stamus, необходимо сделать monitir session list на switch
> monitor session 1 destination interface e0/0
> monitor session 1 source interface e0/1
> monitor session 1 source interface e0/2
## Атаки и просмотр логов
1) nmapсканируем внутренний pfsense
Просматриваем логи:
2) Dos заходим на https:// 192.168.110.151
Win+R
Смотрим логи:
3) arpspoof
смотрим логи:
Видео демонстрация выполнения работы:
https://drive.google.com/file/d/1DrbL6aFiDKiuEu3ZHfW72gABzlZdMl8s/view?usp=drive_link
Sign in with Wallet
Connect another wallet