• Document: IDS
  • Size: 5.66 MB
  • Uploaded: 2018-11-27 18:16:11
  • Status: Successfully converted


Some snippets from your converted document:

MikroTik User Meeting Utilizando RouterOS como IPS / IDS Por: Maximiliano Dobladez MKE Solutions 25 de Julio de 2017 Asunción - Paraguay Presentación Personal ❖ Nombre: Maximiliano Dobladez ❖ CEO MKE Solutions ❖ Consultor y Entrenador MikroTik RouterOS ❖ Experiencia con MikroTik RouterOS desde 1999 ❖ Entrenador desde 2006 ❖ - info@mkesolutions.net - mdobladez - @mdobladez MKE Solutions ❖ Consultora en Telecomunicaciones ❖ Establecida en 2008 ❖ Certificada en ISO 9001:2015 ❖ Entrenamientos Oficiales ❖ Soporte IT info@mkesolutions.net @mkesolutions /mkesolutions /mkesolutions Entrenamientos Oficiales ❖ Entrenamientos Públicos y Privados. ❖ ~300 alumnos por año, con un 75% de certificados. Soporte IT ❖ Diseño, desarrollo e implementación de soluciones. ❖ Incidencias puntuales. ❖ Soporte mensual (OutSourcing). ❖ Revisión y Optimización ❖ Asesoramiento ❖ Actualización ❖ Soporte Prioritario ❖ Mantenimiento preventivo ❖ Guardia 24x7 ❖ Monitoreo ❖ Implementaciones Adicionales Agenda Desarrollo de la presentación: ❖ IDS / IPS ❖ Suricata: qué es?, cómo funciona? cómo se instala? ❖ Rules Manager: qué es?, cómo funciona? cómo se instala? ❖ Integración con RouterOS ❖ Recursos y bibliografía IDS / IPS IDS (Intrusion Detection System) ❖ Es un dispositivo o aplicación que analiza paquetes completos, tanto cabeceras como and payload, en busca de eventos conocidos. ❖ Cuando se detecta un evento se genera un mensaje de log. IPS (Intrusion Prevention System) ❖ Es un dispositivo o aplicación que analiza paquetes completos, tanto cabeceras como payload en busca de eventos conocidos. ❖ Utiliza Firmas, Patrones de comportamientos, Políticas de seguridad ❖ Cuando se detecta un evento conocido se trata con una acción (drop, reject, alert, pass) Suricata Suricata - Qué es? Suricata: ❖ Es un IDS / IPS ❖ Gratuito, Open Source, rápido y robusto. ❖ Se puede descargar desde: https://suricata-ids.org/ ❖ Puede trabajar en conjunto con RouterOS para detectar intrusos o ciertos tipos de ataques Internet RED Interna / ISP Suricata - Instalación La instalación de Suricata puede ser a través de su código fuente o con los pre empaquetados del SO ❖ Debian: apt-get install suricata. ❖ Fuente: wget https://www.openinfosecfoundation.org/download/suricata-3.2.tar.gz tar -xvzf suricata-3.2.tar.gz ; cd suricata-3.2
 ./configure --prefix=/usr --sysconfdir=/etc --localstatedir=/var make make install make install-rules
 Suricata - Configuración La configuración de Suricata se realiza en /etc/suricata/suricata.yaml Hay que definir: Las redes internas: HOME_NET: “[192.168.0.0/16,10.0.0.0/8,172.16.0.0/12]" Para que se ejecute al inicio init.d: RUN=yes Interface donde escuchará: IFACE=eth0 
 Suricata - Integración con rOS Para que empiece a trabajar hay que redireccionar el tráfico desde el MikroTik RouterOS hacia Suricata Podemos realizarlo con: ❖ Port Mirror (Switch) ❖ Packet Sniffer (Tool Packet Sniffer) ❖ Mangle (Sniff TZSP) Suricata - Reportes Los logs estarán en /var/log/suricata Suricata - Reportes Es posible integrarlo con otras Aplicaciones para un reporte mas “amigable” ELK (Elasticsearch, Logstash, Kibana) Suricata - Herramientas Existen distribuciones listas para utilizar: • SmoothSec = Ubuntu + Suricata + Snorby Disponible en: http://bailey.st/blog/smooth-sec/
 • SELKS (Live CD - Open Source IDS/IPS basado en Debian) bajo GPLv3 por Stamus Networks SELKS tiene los siguientes componentes: • S - Suricata - http://suricata-ids.org/ • E - Elasticsearch - http://www.elasticsearch.org/overview/ • L - Logstash - http://www.elasticsearch.org/overview/ • K - Kibana - http://www.elasticsearch.org/overview/ • S - Scirius - https://github.com/StamusNetworks/scirius • EveBox - https://codemonkey.net/evebox/ • Disponible en https://github.com/StamusNetworks/SELKS Suricata - Herramientas • SELKS Proyecto 
 IPS MikroTik Suricata IPS-MikroTik-Suricata - Qué es? IPS-MikroTik-Suricata: ❖ Módulo que se conecta a la DB del Suricata para buscar alertas particulares ❖ Al encontrarlas toma una acción (IPS) y se conecta al RouterOS vía A

Recently converted files (publicly available):