Реализация IDS/IPS системы на Mikrotik + Suricata

preview_player
Показать описание

====ОПИСАНИЕ ВЕБИНАРА====
На конференции Mikrotik я выступал с темой реализации системы безопасности по типу IDS/IPS с помощью Suricata, которая будет интегрирована с Mikrotik.

  1. Mikrotik Training
  2. Mikrotik
  3. Routeros
  4. IDS
  5. IPS
  6. Suricata
Рекомендации по теме
Реализация IDS/IPS системы 1:05:26

Реализация IDS/IPS системы на Mikrotik + Suricata

Реализуем проактивную систему 0:34:51

Реализуем проактивную систему IPS/IDS защиты на Mikrotik and Suri

Что такое IDS/IPS 0:06:06

Что такое IDS/IPS (система обнаружения и предотвращения вторжений)?...

Что такое IPS 0:00:35

Что такое IPS (Intrusion Prevention System)

Integración de IDS 0:36:29

Integración de IDS / IPS con MikroTik

Что такое IDS 0:00:34

Что такое IDS (Intrusion Detection System)

Системы обнаружения вторжений. 0:04:49

Системы обнаружения вторжений. Основные функции. Схемы применения. Примеры (Парилов Иван)...

Utilizando RouterOS como 0:25:21

Utilizando RouterOS como IPS / IDS

Utilizando RouterOS como 0:37:29

Utilizando RouterOS como IPS / IDS

35 Обход WAF, 0:24:48

35 Обход WAF, IDS IPS Часть1

Practice IDS (Intrution 0:30:00

Practice IDS (Intrution Detection System) with MikroTik

Система предотвращения вторжений 0:00:51

Система предотвращения вторжений (IPS/IDS) от MOXA: IEC-G102-BP

How to activate 0:02:33

How to activate the LucidView IPS Module for MikroTik

Реализация Port Knocking 0:19:49

Реализация Port Knocking на Mikrotik для защиты подключения к ресурсам...

Система обнаружения и 0:41:31

Система обнаружения и предотвращения вторжений IPS/IDS в ИКС...

Безопасность в MikroTik. 0:50:10

Безопасность в MikroTik. Защита ресурсов сети и маршрутизатора...

Системная интеграция на 0:27:42

Системная интеграция на платформе MikroTik. Реализация сложных задач на примере реальных проектов...

Обзор системы обнаружения 0:26:32

Обзор системы обнаружения и предотвращения вторжений Континент / СОВ Континент / IDS / IPS...

LucidView Behaviour based 0:32:39

LucidView Behaviour based IPS for MikroTik

Система обнаружения вторжений 0:05:58

Система обнаружения вторжений «Континент» / Формирование и установка политик СОВ / IDS / IPS...

Настройка Suricata в 0:29:43

Настройка Suricata в режиме IPS средствами NFQ в Linux

Как обойти IDS 0:31:03

Как обойти IDS с netcat и Linux

Безопасность в MikroTik. 0:44:24

Безопасность в MikroTik. Защита ресурсов сети и маршрутиза

Mikrotik, внедряем в 0:12:19

Mikrotik, внедряем в жизнь Часть 10 Firewall Защита VPN серверов

Комментарии
Автор

Роман, поставил Selks.iso 5 версии. Зазеркалил трафик на микроте через switch на вход selks - в scirus только фиксируются трафик исходящий с selks :(

agelo
Автор

Стoлкнулся с постоянно растущим TCP reassembly gaps. У всех Суриката работает нормально? System status/Problem. Куда копать?

gatall
Автор

Уже неделю долбусь с этим, перепробывал разные варианты, на ESXI SELKS5 и SELKS6 через tzsp2pcap -f | suricata -c /etc/suricata/suricata.yaml --runmode autofp -v -r /dev/stdin трафик идет и суриката анализирует, но работает до определенного момента и зависает все, то есть как бі все работает и запущено, даже eve.json что то идет, а вот fast.log молчит и в EveBox тишина, надо руками перезапускать. Через /usr/bin/tzsp2pcap -f -s 2900 | /usr/bin/tcpreplay --topspeed -i eth10 -
вообще лажа, трафик идет на инетрфейс eth10 и он же указан в сурикате, только вот никакого анализа не происходит, да и в консоль сыпеться постоянно
Warning in flows.c:flow_decode() line 260:
Unable to process unsupported DLT type: 802.11 plus radiotap header (0x7f)
Одним словом жуть. Мне нужно запустить его хоть как то, что бы оно работало и анализировало, как перезапускать процесс для профилактики раз в 2 часа так же не могу придумать пока. Микротик кстати CCR1036-12G-4S в нем нет свитча и зеркалирования :/

bubuyom
Автор

Роман подскажите аналог такой системы из платных решений.

ilya
Автор

Подскажите пожалуйста требуется замена L3 свича, стоит выбор между CRS328-4C-20S-4S+RM и CRS317-1G-16S+RM какой лучше взять?

PalamarSat
Автор

Господа. Подскажите что может быть не так с импортом логов в Микротик?
fastmikrotik.php запускается, но ни чего не происходит, даже попытки обращения к API. Конфиг поправлен. Ошибок не выдает.

DarkenTwin
Автор

Ids и fw - это по сути разные комплексы, имеющие разный функционал, даже противоположный по сути. При целостной системе безопасности - это сегрегация между ними, с кучей идей и правил по раскрутке состояния и анализа атаки. Они често мешают друг-другу в реальных ситуациях. И вообще - идс без понимания процесса ломки бессмысленен. Это как у той лисы, морда которой застряла в силке и поэтому ее ебут всем лесом. IPS - да, есть смысл, но при условии подписки у серьезной компании на обновления сигнатур. ИМХО

Sipknt