Utilizando RouterOS como IPS / IDS

Documentos relacionados
Monitoreo de redes. Ing. Diego Córdoba Pagina 1 de 9

Soluciones de administración de clientes e impresión móvil

Seguridad Informática: Mecanismos de defensa

INSTALACIÓN DE GITLAB

Seguridad en Redes (Monitoreo y Control)

Administración de Usuario respalda dos modos: Basada en Reglas y Basada en Usuario.

INSTALACION Y CONFIGURACION DE UN NIDS (SNORT) EN UBUNTU

Cómo desarrollar una Arquitectura de Red segura?

Forjas de Software y repositorios de código en la nube

This work is licensed under the Creative Commons Attribution-NonCommercial-ShareAlike 3.0 Unported License.

Contents. 1 Instalacion de Observium

Revisión práctica de IDS. por Sacha Fuentes

Enchanting en Linux Ubuntu

Manual técnico de Instalación

ENMIENDA No. 1 LICITACIÓN PÚBLICA INTERNACIONAL OSP/PER/01/205/1315 ADQUISICIÓN DE SOFWARE PARA LA SEDE DEL GOBIERNO REGIONAL DE LA LIBERTAD

Plataforma Integral de Gestión para Operadores WISP

Sistemas de Detección de Intrusos

SISTEMAS DE DETECCIÓN DE INTRUSOS EN LA PLATAFORMA NETFPGA USANDO RECONOCIMIENTO DE EXPRESIONES REGULARES.

Conferencias Abiertas de GNU/Linux MTLUG La Matanza GNU/Linux Users Group Firewalls con IPTABLES (y sus amigos)

Vcontrol de Vizioncore es en términos generales una consola basada en web que nos permite gestionar un entorno virtualizado multiplataforma.

Documentación Técnica FortiGate: Conexión VPN. Cliente VPNSSL. Tunnel Mode VERSIÓN 1.0 DIRIGIDO A DIPUTACIÓN PROVINCIAL DE TERUEL USUARIOS

Taller de Seguridad. Securizando un servidor. Daniel Marcos Martín GUL UC3M 04/03/2010

Integración de Hotspot con UserManager

CAPÍTULO 3 INSTALACIÓN DE SERVIDORES DE APLICACIONES WEB

Sistemas de Clonación

Guía de instalación de Debian GNU/Linux para principiantes.

Firewalls: iptables. Pablo Suau Pérez (aka Siew) Marzo 2002

Este documento recoge ejercicios prácticos y teóricos relacionados con el direccionamiento IPv6 y su gestión.

Curso Implementing and Managing Microsoft Desktop Virtualization (10324)

Manual de instalación de aplicaciones en Ubuntu (Synaptic, Agregar/quitar programas, Aptitude, Compilar, archivos.deb,.rpm,.run y.

Área: Microsoft SQL. Nombre del curso. Administración de Microsoft SQL Server 2014 Bases de datos

Cómo calcular los niveles de señal necesarios

CENTOS: SUSE Linux Slackware Linux Gentoo Linux Mandriva Linux Fedora

TomTom. Compatibilidad Bluetooth para Service Tool

Instituto Tecnológico de Las América. Materia Sistemas operativos III. Temas Creación de una Distro. Facilitador José Doñe

SISTEMA AUTONOMO CON PATROL IP Manual de Usuario VERSION 1.0 PRELIMINAR

HP Easy Tools. Guía del administrador

Instalación de la herramienta de valoración Inclúe

El valor de los log para el negocio

Linux Completo (Versión Ubuntu 9)

Cómo usar VNC y RDP a través de SSL VPN

Sistemas de Detección y Prevención de Intrusos Estado del Arte. Charles Ware cware@uy.ibm.com Agosto 2011

Semana 3: Con Con r t o r l de Acceso

Intrusion Detection/Prevention Systems SNORT.

SAE en mi propia nube Paso a paso

POSGRADO EXPERTO EN REDES LINUX

DETECCION DE INTRUSOS.

Seguridad en Aplicaciones Web

Pruebas y securización con Mikrotik. José Manuel Román

Capítulo 4.- Recomendaciones para un Servidor web y de bases de datos seguro.

TUTORIAL INSTALACION SERVIDOR DE VIDEOCONFERENCIA CON OPENFIRE. Descargamos el openfire de la página oficial luego lo pasamos a Ubuntu:

Curso: 10983A Upgrading Your Skills To Windows Server 2016

Linux, Solaris, monitorear y controlar sus sistemas. Se mezcla

Distribución del Software

MUM Argentina 2015 Buenos Aires. CAPsMAN para redes empresariales

Microsoft Office Outlook NIVEL: BÁSICO Duración: 7 horas

Seguridad Perimetral. Mg. Ing. M. Angélica Castillo Ríos Jefa de la Oficina de Sistemas PCM

Zabbix en Linux. Como trabaja zabbix?

Programa Administración Linux

MANUAL TECNICO DE INSTALACIÓN OCS INVENTORY

ÍNDICE. 1. Requisitos de Hardware Arranque del front-end Arranque de los nodos Utilización de lam, OpenMPI y Ganglia...

BIENVENIDOS MUM AR11 Buenos Aires - Argentina

IBM Security Systems. QRadar, Plataforma de inteligencia de seguridad (SIEM) QRadar Log Manager

DESCRIPCIÓN PROJECT PRO FOR OFFICE 365

Configuracio n de PFSense 2.0 con OpenVPN Road Warrior.

TEMA 7: SERVIDOR PROXY-CACHÉ

Guía del dispositivo de Bomgar B200 TM. Índice. BOMGAR BASE 3 Guía del dispositivo B200

NUEVO TEMARIO INTEGRAL MIKROTIK RouterOs

Manual de instalación AutoFirma 1.4.2

MS_ Enabling and Managing Office 365.

Aspectos Básicos de Networking

Requerimientos Previos Instalación Servidor Completo Instalación Servidor Reducido Configuración SQL Server en red...

RAD. Instalación de DSpace en Ubuntu. Elaboró: Rodolfo González Romero Este documento es una guía práctica para la instalación de DSpace en Ubuntu

CAPITULO 1 INTRODUCCIÓN

INTEGRACIÓN API MIKROTIK MUM CHILE 2016

Conocer las herramientas de seguridad es un punto vital para mantener nuestro sistema seguro.

Requisitos Previos de Instalación Conceptos básicos a manejar antes de avanzar con el curso.

Para qué se creó? El objetivo del estándar es proporcionar un conjunto estandarizado de documentos para la documentación de pruebas de software.

Introducción a GIT GIT - SDA. Carlos Del Aquila Sistemas Digitales Avanzados Universidad Nacional de San Juan

MANUAL DE INSTALACIÓN GLPI

MANUAL DEL USUARIO CONFERENCIA EN LÍNEA IPLAN

Funciones de Network Assistant

APLICACIONES DE MONITORIZACIÓN. Servicio de Informática

INSTALACIÓN DE UN NIDS CLEIVER ANDRADE FOSSI

1.4.1 Inicio de la computadora por primera vez Hay problemas Causas, síntomas y soluciones a posibles averías...

Curso Administering Windows Server 2012 (20411)

UD 4: Instalación y administración de servicios Web SRI

1. Descripción de Heartbleed. 3. Como Logtrust puede ayudar a protegerte contra Heartbleed. 4. Detectar el error mediante el Logtrust.

INSTALACION VIRTUALIZADA DE UBUNTU SERVER CON SERVICIOS LAMP Y OPENSSH SOBRE VIRTUAL BOX. Nicolás Botero Botero Juan Manuel Velásquez Isaza

LINUCA - Asociación de Usuarios GNU/Linux en Cantabria SNORT+MYSQL+ACID: Sistema de detección de intrusos open source.

TIPOS DE REDES Y TOPOLOGIAS

Windows XP Home. GestionGlobal21.com Página 1

MANUAL PARA EL CARGUE DE REPORTES POR FTP

ACERCA DE ODOO ERP. Resumen ejecutivo

BOLETÍN OFICIAL DEL ESTADO

Transcripción:

MikroTik User Meeting Utilizando RouterOS como IPS / IDS Por: Maximiliano Dobladez MKE Solutions 25 de Julio de 2017 Asunción - Paraguay

Presentación Personal Nombre: Maximiliano Dobladez CEO MKE Solutions Consultor y Entrenador MikroTik RouterOS Experiencia con MikroTik RouterOS desde 1999 Entrenador desde 2006 - info@mkesolutions.net - mdobladez - @mdobladez

MKE Solutions Consultora en Telecomunicaciones Establecida en 2008 Certificada en ISO 9001:2015 Entrenamientos Oficiales Soporte IT info@mkesolutions.net /mkesolutions @mkesolutions /mkesolutions

Entrenamientos Oficiales Entrenamientos Públicos y Privados. ~300 alumnos por año, con un 75% de certificados.

Soporte IT Diseño, desarrollo e implementación de soluciones. Incidencias puntuales. Soporte mensual (OutSourcing). Revisión y Optimización Actualización Mantenimiento preventivo Monitoreo Asesoramiento Soporte Prioritario Guardia 24x7 Implementaciones Adicionales

Agenda Desarrollo de la presentación: IDS / IPS Suricata: qué es?, cómo funciona? cómo se instala? Rules Manager: qué es?, cómo funciona? cómo se instala? Integración con RouterOS Recursos y bibliografía

IDS / IPS IDS (Intrusion Detection System) Es un dispositivo o aplicación que analiza paquetes completos, tanto cabeceras como and payload, en busca de eventos conocidos. Cuando se detecta un evento se genera un mensaje de log. IPS (Intrusion Prevention System) Es un dispositivo o aplicación que analiza paquetes completos, tanto cabeceras como payload en busca de eventos conocidos. Utiliza Firmas, Patrones de comportamientos, Políticas de seguridad Cuando se detecta un evento conocido se trata con una acción (drop, reject, alert, pass)

Suricata

Suricata - Qué es? Suricata: Es un IDS / IPS Gratuito, Open Source, rápido y robusto. Se puede descargar desde: https://suricata-ids.org/ Puede trabajar en conjunto con RouterOS para detectar intrusos o ciertos tipos de ataques Internet RED Interna / ISP

Suricata - Instalación La instalación de Suricata puede ser a través de su código fuente o con los pre empaquetados del SO Debian: apt-get install suricata. Fuente: wget https://www.openinfosecfoundation.org/download/suricata-3.2.tar.gz tar -xvzf suricata-3.2.tar.gz ; cd suricata-3.2./configure --prefix=/usr --sysconfdir=/etc --localstatedir=/var make make install make install-rules

Suricata - Configuración La configuración de Suricata se realiza en /etc/suricata/suricata.yaml Hay que definir: Las redes internas: HOME_NET: [192.168.0.0/16,10.0.0.0/8,172.16.0.0/12]" Para que se ejecute al inicio init.d: RUN=yes Interface donde escuchará: IFACE=eth0

Suricata - Integración con ros Para que empiece a trabajar hay que redireccionar el tráfico desde el MikroTik RouterOS hacia Suricata Podemos realizarlo con: Port Mirror (Switch) Packet Sniffer (Tool Packet Sniffer) Mangle (Sniff TZSP)

Suricata - Reportes Los logs estarán en /var/log/suricata

Suricata - Reportes Es posible integrarlo con otras Aplicaciones para un reporte mas amigable ELK (Elasticsearch, Logstash, Kibana)

Suricata - Herramientas Existen distribuciones listas para utilizar: SmoothSec = Ubuntu + Suricata + Snorby Disponible en: http://bailey.st/blog/smooth-sec/ SELKS (Live CD - Open Source IDS/IPS basado en Debian) bajo GPLv3 por Stamus Networks SELKS tiene los siguientes componentes: S - Suricata - http://suricata-ids.org/ E - Elasticsearch - http://www.elasticsearch.org/overview/ L - Logstash - http://www.elasticsearch.org/overview/ K - Kibana - http://www.elasticsearch.org/overview/ S - Scirius - https://github.com/stamusnetworks/scirius EveBox - https://codemonkey.net/evebox/ Disponible en https://github.com/stamusnetworks/selks

SELKS Suricata - Herramientas

Proyecto IPS MikroTik Suricata

IPS-MikroTik-Suricata - Qué es? IPS-MikroTik-Suricata: Módulo que se conecta a la DB del Suricata para buscar alertas particulares Al encontrarlas toma una acción (IPS) y se conecta al RouterOS vía API para bloquear el IP Address atacante. Se pueden personalizar la acción a realizar (por defecto agrega un IP a un Address list) Gratuito, Open Source, Colaborativo (Alojado en Github) Inspirado en el post de Tom Fisk: http://forum.mikrotik.com/ viewtopic.php?t=111727

IPS-MikroTik-Suricata Notificaciones: Permite enviar notificaciones vía Email / Telegram Requerimientos: Suricata con Barnyard2 (MySQL) Snorby (opcional) Git IP Address y credenciales de login con acceso write (API)

IPS-MikroTik-Suricata Instalación: Clonar el repositorio de GitHub cd /opt git clone https://github.com/elmaxid/ips-mikrotik-suricata.git cd ips-mikrotik-suricata Editar archivo config.php (Datos DB, Router Login, notificaciones, etc) Crear esquema DB: mysql -u user -p db_name < schema.sql Comprobar conexión a DB y API: php -f mikrotik-ips-install.php

IPS-MikroTik-Suricata Instalación: Setear los permisos de ejecución para el archivo que inicia el servicio chmod 777 /opt/ips-mikrotik-suricata/ips_start.sh Ejecutar iniciador de servicio sh /opt/ips-mikrotik-suricata/ips_start.sh Funcionamiento: Reenviar el tráfico desde el Router MikroTik que se desea analizar con alguno de las opciones ya vistas.

IPS-MikroTik-Suricata

IPS-MikroTik-Suricata

Proyecto Rules Manager

Rules Manager - Qué es? WebPanel-IPS-MikroTik-Suricata ó Rules Manager: Monitorear las alertas bloqueadas activas Crear y actualizar las Reglas (Alertas a bloquear) Manager centralizado para actualizar las reglas (opcional) Permite Geolocalizar el IP Atacante Gratuito, Open Source, Colaborativo (Alojado en Github)

Rules Manager

Rules Manager

Rules Manager Instalación: Instalar dependencias php5-geoip y php5-mysql Clonar el repositorio de GitHub cd /www/html/snorby/public/ git clone https://github.com/elmaxid/webpanel_ips_mikrotik_suricata.git mv webpanel_ips_mikrotik_suricata rules Modificar el esquema DB: mysql -u user -p db_name < schema.sql Ingresar via web: http://ip_suricata/rules

Referencias Sitios y bibliografia utilizada: Suricata: https://suricata-ids.org/ IPS-Mikrotik-Suricata: https://github.com/elmaxid/ips-mikrotik-suricata Rule Manager / WebPanel https://github.com/elmaxid/webpanel_ips_mikrotik_suricata Presentaciones MUMs: Mikrotik y Suricata - José M. Román - MUM España 16 http://mum.mikrotik.com/presentations/es16/presentation_3746_1476679132.pdf Securing your Mikrotik Network Andrew Thrift - MUM Australia 2012 http://mum.mikrotik.com/presentations/au12/2_andrew.pdf

MikroTik User Meeting Preguntas? MUCHAS GRACIAS! Maximiliano Dobladez MKE Solutions info@mkesolutions.net - http://www.mkesolutions.net http://maxid.com.ar http://twitter.com/mdobladez

2026 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback