SELKS je Open-source instalovatelné LIVE distro vydané francouzskou společností Stamus pod licencí GPLv3 založené na Debian a Suricata.
Snad každý, kdo se někdy zabýval netflow a následnou analýzou síťových toků, se setkal s tím, že rozběhat si Open Source nástroje jako Snort, nebo Suricata do použitelného stavu s webovým dashboardem a databází pro analýzu bylo častokrát o nervy a časově poměrně náročné.
SELKS, coby Network Security Monitor je v tomto o krok dále, je založený na Suricata , s vlastním webovým dashboardem, nástroji Kibana pro analýzu výstrah a Scirius pro konfiguraci pravidel a to vše vám bude fungovat „ihned po rozbalení krabice“.
Pojďme si projít vzorovou instalaci SELKS.
ISO SELKS je k dispozici například na webu výrobce
Instalace SELKS
Instalace je běžná debian klikačka:
Konfigurace SELKS
Po naběhnutí systému se přihlásíme výchozím jménem a heslem:
jméno: selks-user heslo: selks-user
První co uděláme je, že si změníme heslo:
Menu > Preferences > Password
Přejdeme na webové rozhraní, běžící na https a standardním 443 portu a přihlásíme se stejnými výchozími údaji:
jméno: selks-user heslo: selks-user
Přihlašovací jméno a heslo si změníme v „Accout settings“:
Nyní se již můžeme podívat co se nám v síti děje, přejděme tedy do „Events Viewer“:
Z mého pohledu je dashboard přehledný a na první pohled lze vidět jaká IP a jakým protokolem komunikuje a je vyhodnocená jako nestandardní , v tomto případě záložka „Alerts“:
Příklad vyfiltrování si náhledu SSH spojení zdrojové a cílové IP, vč. verze SSH protokolu a SSH klienta:
Aktualizaci přednastavených pravidel lze provádět na záložce „Rulesets“, rozkliknutím „Default SELKS ruleset“ a klikem na „Update“:
Průběh aktualizce pravidel chvíli trvá:
Zpráva o provedených změnách:
Jak vidno, nasazení SELKS je rychlé, webové prostředí odladěné a použitelné.
Jako nevýhodu vidím snad jen v tom, že v základním nastavení neobsahuje žádné realtimeové reportování událostí na e-mail, ani tímto způsobem nezasílá žádné statistiky, např. týdenní statistiky událostí.
Příznivec Open Source, Linuxu a IT obecně.
Živí se jako Ajťák, ve chvílích volna žije internetem a cestováním po významných pamětihodnostech zemí českých a moravských .
