Лабораторная работа. Аномальный траффик

# Лабораторная работа. Аномальный трафик ## Инфраструктура ![](https://hackmd.io/_uploads/B13UwcM82.png) **Если у вас нет образа Debian 11 srv, то используйте Kali Linux и дайте ей следующие ресурсы:** ![](https://hackmd.io/_uploads/B1-LvYzU2.png) ## Настройка Linux Подготовим нашу машинку для установки STAMUS, предварительно поставив и развернув докер. Сначала обновимся: ``` sudo apt update -y ``` Во избежание подобной ошибки пропишем команду: ![](https://hackmd.io/_uploads/ry6RKUb83.png) ``` sudo apt-get remove binutils ``` Немного подождем, затем выберем YES: ![](https://hackmd.io/_uploads/HkYW9UWU2.png) Продолжаем установку: ``` sudo apt install apt-transport-https ca-certificates curl software-properties-common ``` Вывод при успешном выполнении: ![](https://hackmd.io/_uploads/Syrnq8WL2.png) ``` curl -fsSL https://download.docker.com/linux/ubuntu/gpg | sudo apt-key add - ``` Вывод при успешном выполнении: ![](https://hackmd.io/_uploads/SJ8Gs8Z8h.png) ``` sudo add-apt-repository "deb [arch=amd64] https://download.docker.com/linux/ubuntu focal stable" ``` Вывод при успешном выполнении: ![](https://hackmd.io/_uploads/BJiLoLZI2.png) ``` apt-cache policy docker-ce ``` Вывод при успешном выполнении: ![](https://hackmd.io/_uploads/HJ8YnL-Ih.png) ``` sudo apt install docker-ce ``` Вывод при успешном выполнении: ![](https://hackmd.io/_uploads/HkD2nUWL3.png) Проверим статус докера: ``` sudo systemctl status docker ``` Вывод, если докер активен: ![](https://hackmd.io/_uploads/S1GbaU-Ln.png) Машинка подоготвлена, переходим к установке STAMUS. ## Установка STAMUS ``` git clone https://github.com/StamusNetworks/SELKS.git ``` Вывод при успешном выполнении: ![](https://hackmd.io/_uploads/S1hcCIbIh.png) Перейдём в директорию: ``` cd SELKS/docker/ ``` ![](https://hackmd.io/_uploads/HkMX1vZLh.png) Запустим скрипт установки: ``` sudo ./easy-setup.sh ``` Можно нажать ENTER: ![](https://hackmd.io/_uploads/BkH01DW8h.png) Проведём первичную установку: ![](https://hackmd.io/_uploads/SkjmlvZ8n.png) > Do you want to install Portainer? [y/n] > y ![](https://hackmd.io/_uploads/HyyDxwWL2.png) > Network interfaces detected: > eth0 > Do you want to use debug mode? [y/n] > n > Do you want the containers to restart automatically on startup? [y/n] > y ![](https://hackmd.io/_uploads/By5JbwZL3.png) Дождемся окончания загрузки: ![](https://hackmd.io/_uploads/H1AObwbIn.png) ![](https://hackmd.io/_uploads/BkDBXPZIh.png) ``` sudo -E docker compose up -d ``` ![](https://hackmd.io/_uploads/SyabEwbUh.png) Если у вас возникает проблема с контейнером scirius и вы видите ошибку, помеченную красным цветом, то попробуйте поднять контейнер ещё раз. Если после поднятия контейнера у вас возникает ошибка "the Portanier instance timed out...", то выполните команду: ``` sudo docker restart portainer ``` ## Начало работы Перейдём по адресу https://localhost:9443 , вы должны увидеть Stamus Networks. После того, как вы создали пользователя, проверьте состояние ваших контейнеров: ![](https://hackmd.io/_uploads/BybiGPGL2.png) Нам нужно воспользоваться nginx, узнаем на каком порту располагается: ![](https://hackmd.io/_uploads/S1q74vMU3.png) ![](https://hackmd.io/_uploads/BJKBNvGIn.png) Перейдём по адресу https://localhost:443 , вы должны увидеть Scirius Security Platform: ![](https://hackmd.io/_uploads/ryNW7wfI3.png) Данные для входа в систему: > user: selks-user > password: selks-user Пример вывода при успешном входе в систему: ![](https://hackmd.io/_uploads/H1n9XwfIn.png) Проверьте, что у вас есть необходимые правила Switch applications - Administations - Rulesets: ![](https://hackmd.io/_uploads/BySHSwf82.png) При желании подробно посмотреть на правила, можно нажать на View. Если у вас возникла проблема с зависанием виртуальной машины и вы увидели, что некоторые сервисы деактивированы, то выделите их и нажмите кнопку "Restart": ![](https://hackmd.io/_uploads/BJeaPwzLh.png) ### Добавление правил Есть возможность добавить источники для новых правил: ![](https://hackmd.io/_uploads/HyOZhwGI3.png) ![](https://hackmd.io/_uploads/r1r7nvzLh.png) Добавим следующие правила: ![](https://hackmd.io/_uploads/HJ-ihPz8h.png) ![](https://hackmd.io/_uploads/BkqspDfUn.png) Подождем их загрузки, пример успешного вывода: ![](https://hackmd.io/_uploads/SkSJ6vfIn.png) ![](https://hackmd.io/_uploads/BkMTpvM82.png) ## Знакомство с сервисами ![](https://hackmd.io/_uploads/HkiwKOf83.png) ### Kibana Вы можете сказать, что “иногда бывает нужно...” Но на самом деле, вы хотите всегда видеть, что у вас в логах, через графический интерфейс. Это позволяет: - Облегчить жизнь разработчикам и сисадминам, время которых просто жалко и дорого тратить на написание grep-конвейеров и парсеров под каждый отдельный случай. - Предоставить доступ к информации, содержащейся в логах, умеренно-продвинутым пользователям — менеджерам и техподдержке. - Видеть динамику и тенденции появления залогированых событий (например, ошибок). ![](https://hackmd.io/_uploads/H1ERF_M8n.png) ### Evebox Веб-инструмент управления оповещениями и событиями для механизма мониторинга сетевой безопасности Suricata. Поможет посмотреть на то, что находится внутри траффика, содержимое пакетов. ![](https://hackmd.io/_uploads/r1GXodfUn.png) ### Cyberchef Сервис для декодирования и десятков других операций. ![](https://hackmd.io/_uploads/H138ouzL2.png) ## Настройка port mirroring Перейдём на switch и пропишем следующее: ``` en conf t monitor session 1 source interface e0/0 monitor session 1 destination interface e0/3 monitor session 1 source interface e1/0 monitor session 1 source interface e0/1 do wr do sh run ``` ![](https://hackmd.io/_uploads/H13fFqz83.png) ## Настройка promisc в Kali ``` sudo ifconfig eth0 promisc sudo service networking restart ifconfig ``` ![](https://hackmd.io/_uploads/Hk9_5qGI3.png) После этого снова поднимите докер. ``` cd SELKS/docker sudo -E docker compose up -d ``` Удостоверьтесь в том, что с все контейнеры находятся в работоспособном состоянии: ![](https://hackmd.io/_uploads/Sya_3cfLh.png) > Примечание: > Всё также переходим по адресам https://localhost:9443 и https://localhost:443 ## Сетевое сканирование Пробный скан firewall с Kali ![](https://hackmd.io/_uploads/S1WcDof8h.png) Просмотрим подробнее один из алертов в Kibana: ![](https://hackmd.io/_uploads/S14yOjzLn.png) Можно также посмотреть Dashdoard - SN-ALERTS: ![](https://hackmd.io/_uploads/SJK5KjMLn.png) ![](https://hackmd.io/_uploads/H1kl5ifLh.png) ![](https://hackmd.io/_uploads/SkGb5ofI3.png) Просмотрим подробнее в EveBox: ![](https://hackmd.io/_uploads/BkmY_szL2.png) ![](https://hackmd.io/_uploads/ryYpOjG8h.png) ![](https://hackmd.io/_uploads/r1PkKjGU3.png) ![](https://hackmd.io/_uploads/HJ9xYizI3.png) ![](https://hackmd.io/_uploads/rktzFjMLh.png) ## MAC-spoofing ### Подготовим Kali_attck ``` apt install dsniff macof -d 192.168.159.135 -n 60 ``` ![](https://hackmd.io/_uploads/rywj8hf83.png) ![](https://hackmd.io/_uploads/SydSLhGIh.png) ![](https://hackmd.io/_uploads/SyjA8hfUh.png) ## Bruteforce. Patator Установим Patator: ``` sudo apt install patator ``` Создадим 2 текстовых файла: - user_name.txt - список с возможными логинами жертвы - passwords.txt - список с возможными паролями жертвы ![](https://hackmd.io/_uploads/BJXyOhGIn.png) ![](https://hackmd.io/_uploads/B1ucD3zUh.png) Чтобы начать брутфорс-атаку, необходимо использовать команду: `patator ssh_login host=192.168.159.138 user=FILE0 password=FILE1 0=user_name.txt 1=passwords.txt -x ignore:mesg=‘Authentication failed’` Где: > host= - ip адрес цели > > user=FILE0 password=FILE1 - данные, которые будет использовать Potator при брутфорс-атаке > > 0=user_name.txt 1=passwords.txt - файлы, созданные нами, именно из них Potator будет брать данные для брутфорса > > -х ignore:mesg= 'Authentication failed' - команда не выводить на экран строку, имеющую данное сообщение. Параметр фильтрации подбирается индивидуально. То есть в зависимости от версии и настроек сервера, сообщение об неудачной аутентификации может быть другим Проверим логи в Kibana: ![](https://hackmd.io/_uploads/BkopYhMLh.png) ![](https://hackmd.io/_uploads/H16lonM82.png)