Webinár o Suricate v domácom labe

Na konferencii OpenAlt v Brne som sa zúčastnil workshopu o Suricate, ktorý viedol Lukáš Šišmiš, jeden z vývojárov Suricaty. Po workshope sa účastníci opýtali zopár dobrých otázok, nasledovala plodná diskusia, do ktorej som sa zapojil tiež. Rozhovor s Lukášom pokračoval ešte aj na chodbe po workshope a aj neskôr v online prostredí. Vznišlo z toho pozvanie urobiť oficiálny webinár pre Open Information Security Foundation (OISF), organizáce, ktorá stojí za vývojom Suricaty. Suricata je nástroj na detekciu útokov v sieťovej komunikácii, Intrusion Detection System (IDS). A môj prvý webinár pre OISF sa venoval tomu, ako môžeme nasadiť Suricatu v domácom labe, v domácnosti alebo v prostredí malých firiem (tiež označovaných aj SOHO).

Systémy na detekciu a prevenciu infiltrácii a kybernetických útokov (IDS a IPS) sú často považované za drahé a komplexné nástroje určené iba pre veľké firmy a organizácie. No nemusí to tak byť vždy. Vďaka open-source nástrojom ako Suricata môžeme urobiť monitorovanie sieťovej komunikácie prístupné aj pre malé firmy a ľudí pracujúcich z domu. Prípadne si môžeme rozbehnúť monitoring siete aj v malom domácom labe. A nemusí to byť vôbec drahé, postačí nám na to aj bežne dostupný hardvér s cenovkou do 100 Eur, prípadne aj menej. Na webinári som prezentoval príklad malého systému na analýzu sieťovej komunikácie s cenovkou necelých 50 Eur.

Počas webinára som spomínal, prečo je monitoring sieťovej komunikácie dôležitý. Obzvlášť pre potreby riešenia incidentov, keď tradične logy z počitačov sú často nedostatočné, zle nakonfigurované, alebo v čase riešenia incidentu už vymazané.

Priblížil som niektoré dostupné možnosti, ako si nasadiť monitoring domácej siete pomocou manažovaných prepínačov (switchov), lepších domácich smerovačov (routerov). Ako príklad som uvádzal TP Link a Netgear prepínače a zariadenia od lotyšskej firmy MikroTik, ktoré poskytujú široké možnosti konfigurácie za veľmi prijateľnú cenu. Na samotnú analýzu sieťovej komunikácie pomocou Suricaty a odľahčeného SIEM nástroja sa dajú použiť niektoré malé počitače typu Raspberry Pi, alebo minipočitače či tenkí klienti. Majú minimálnu spotrebu zopár wattov a na domáce použitie postačujú (pravdaže, pokiaľ nemáte doma 10 Gbps sieť, ktorú naplno využívate).

Počas webinára som naživo ukázal nasadenie a konfiguráciu môjho malého kompletného systému nazvaného AtomIDS. Využíva bežne dostupný hardvér, pre ktorý som si nadizajnoval a vytlačil 3D krabičku na uchytenie pod stolom. Samotný systém AtomIDS je postavený na Alpine Linuxe, Suricate, syslog-ng a OpenObserve. Ukazáli sme si automatizované spracovanie sieťovej prevádzky, analýzu logov zo Suricaty a nechýbali ani notifikácie o podorzivých udalostiach zasielané v reálnom čase na Telegram, prípadne Discord, Slack alebo Microsoft Teams - princíp konfigurácie je rovnaký.

Na záver webinára sme si ukázali rýchle demo phishingového útoku. Po tovorení infikovaného PDF súboru v prílohe emailu získal útočník kompletnú kontrolu nad zariadením obete. Suricata však tento útok detegovala a náš systém o tom naživo posielal notifikácie na Telegram.

Záznam z webinára je dostupný na oficiálnom Youtube kanáli OISF a repozitár s nástrojmi a konfiguračnými súbormi použitými počas webináru je dostupný na GitHube.