SELKS netflow monitor – Instalace, konfigurace

SELKS je Open-source instalovatelné LIVE distro vydané francouzskou společností Stamus pod licencí GPLv3 založené na Debian a Suricata.

Snad každý, kdo se někdy zabýval netflow a následnou analýzou síťových toků, se setkal s tím, že rozběhat si Open Source nástroje jako Snort, nebo Suricata  do použitelného stavu s webovým dashboardem a databází  pro analýzu bylo častokrát o nervy a časově poměrně náročné.

SELKS, coby Network Security Monitor je v tomto o krok dále, je založený na Suricata , s vlastním webovým dashboardem, nástroji Kibana  pro analýzu výstrah a Scirius pro konfiguraci pravidel a to vše vám bude fungovat „ihned po rozbalení krabice“.

Pojďme si projít vzorovou instalaci SELKS.

ISO SELKS je k dispozici například na webu výrobce

 

Instalace SELKS

Instalace je běžná debian klikačka:

sel01

sel03

sel04

sel05

sel06

sel07

sel08

sel09

sel11

sel15

sel17

 

Konfigurace SELKS

Po naběhnutí systému se přihlásíme výchozím jménem a heslem:

jméno: selks-user 
heslo: selks-user

sel18

 

 

První co uděláme je, že si změníme heslo:

 Menu > Preferences > Password

sel19

 

 

Přejdeme na webové rozhraní, běžící na https a standardním 443 portu a přihlásíme se stejnými výchozími údaji:

jméno: selks-user
heslo: selks-user

sel20

 

 

Přihlašovací jméno a heslo si změníme v „Accout settings“:

sel21

 

 

Nyní se již můžeme podívat co se nám v síti děje, přejděme tedy do  „Events Viewer“:

sel24

 

 

Z mého pohledu je dashboard přehledný a na první pohled lze vidět jaká IP a jakým protokolem komunikuje a  je vyhodnocená jako nestandardní , v tomto případě záložka „Alerts“:

sel25

 

 

Příklad vyfiltrování si náhledu SSH spojení  zdrojové a cílové IP, vč. verze SSH protokolu a SSH klienta:

sel26

 

 

Aktualizaci přednastavených pravidel lze provádět na záložce „Rulesets“, rozkliknutím „Default SELKS ruleset“ a klikem na „Update“:

sel221

sel222

 

 

Průběh aktualizce pravidel chvíli trvá:

sel223

 

Zpráva o provedených změnách:sel224

 

Jak vidno, nasazení SELKS je rychlé, webové prostředí odladěné a použitelné.

Jako nevýhodu vidím snad jen v tom, že v základním nastavení neobsahuje žádné realtimeové reportování událostí na e-mail, ani tímto způsobem nezasílá žádné statistiky, např. týdenní statistiky událostí.

Napsat komentář

Související příspěvky