Kibana4, superfish og Emergingthreats

I får lige en kort update på min læring fra ugen, og et spark til at komme igang med IDS.

Systemd virker snildt, prøvede det af som bruger/admin på Ubuntu 15.04. Satte det som default og det virker lækkert out of the box, selv gamle kommandoer virkede fint og gav blot mere lækkert output. Status, er ikke så bange for det fremadrettet. Plus jeg forstår i højere grad hvorfor systemd er nødvendigt - binder ting sammen og giver bedre integration, tak ahf!

Kali 1.1.0, har opdateret næsten alle systemer, nemt snildt hurtigt - apt-get dist-upgrade, done.

Kibana4 er blevet releaset, wooohoooo

Illustration: Privatfoto

Lige i denne uge er den nye version af Kibana blevet frigivet officielt og kan findes på http://www.elasticsearch.org/overview/kibana/ - det er en eksplosion af farver og grafer.

Der er nogle gotchas, og nyheder som er specielt interessante - fra annonceringsemailen:

  • Update to Elasticsearch 1.4.4 (yes, your happiness with Kibana 4 depends on it)
  • Kibana is compatible with Shield 1.0.1+ for role-based access control, authentication, and encryption
  • Kibana 3 dashboards will not automatically migrate to Kibana 4 (and if you need a hand, we’ve got migration resources on the way)
  • Kibana 4 is now platform-dependent with packages available for Windows, Linux, and Mac platforms

Rollebaseret adgangskontrol er noget Kibana har manglet, så det skal jeg straks se på. Derudover er det blot better, faster, stronger og jeg forventer at jeg med tiden vil opgradere alle Kibana dashboards til version 4.

Suricata IDS og Emergingthreat

https://twitter.com/et_labs/status/568557280083341312

Jeg spurgte Emergingthreats, som er leverandør af signaturer/regler til min Suricata IDS om de havde signatur til superfish. Den er så kommet inat, og jeg kan straks til morgen hente nyt regelsæt med den! De koster ca. $500/sensor/år. Hvis du ikke har et IDS vil du således relativt billigt på en Ubuntuserver med en formiddag kunne få et rigtig IDS igang! Det tager dig formentlig ~4 timer ialt at installere, jeg har en Ansible playbook der kan gøre det på 20minutter inkl. Kibana3 som UI.

Jeg kan ikke se andre IDS'er med samme pris/kvalitet - men kom gerne med alternativer i debatten nedenfor, så min "reklame" ikke står alene. (PS får ingen kickback udover de engang på Hack.lu gav øl)

Så er du i tvivl om du har Thinkpads eller andre enheder som er ramt af superfish? Kom igang og så har du god grund til at sidde med en fredagsøl og se på fine grafer. Suricata er specielt eminent til SSL/TLS detektering og statistik.

Da jeg aligevel skal rode med Scirius bliver det nok en ny-installation af Suricata, EVE log, Elasticsearch, Kibana4, Scirius i hjemme laboratoriet - ca. en dags sjov.

Kommentarer (4)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Thomas Alexander Frederiksen

Nu hører jeg ikke til dem der per automatik hader de projekter Lennart Poettering står for, men systemd bekymrer mig alligevel. For et par måneder siden lavede en kollega en kodeanalyse af systemd, og fandt at lidt over 50% af de linier kode der er i projektet kun har været omkring Lennart hvis man skal dømme ud fra commit messages. Det er ikke hvad jeg ville betragte som lovende i forhold til stabilitet og sikkerhed - slet ikke i et projekt af den størrelse.

Personligt venter jeg helst til nogle flere øjne har været på koden.

  • 3
  • 0
Heine Lysemsoe

Jeg vil gerne slå et slag for Security Onion, http://blog.securityonion.net/p/securityonion.html, som er baseret på Ubuntu. Det er super nemt at komme i gang med. Det indeholder ikke flotte grafer som Kibana kan levere tilgengæld kan du komme helt i dybden med netværkstrafikken vha. full packet capture.
En anden er SELKS, https://www.stamus-networks.com/open-source/, som er baseret på Debian og indeholder Suricata og ELK-stacken. SELKS giver rigtig godt overblik og levere de flotte grafer som cheferne godt kan lide at se på.

  • 1
  • 0
Henrik Kramshøj Blogger

supergode link, SO indeholder både Snort, Suricata og Bro IDS - plus en masse mere. Sammen med NSM bogen fra Nostarch er man godt på vej http://www.nostarch.com/nsm Jeg har dog prøvet at køre SO på live traffik og det blev hurtigt for tungt - var pænt stykke over 1Gbit og jeg valgte derfor en clean Ubuntu med Suricata PPA

Bro IDS er en nice måde for ikke-C-programmører at afkode protokoller, sådan mere et framework - som tilfældigvis kan bruges som IDS. https://www.bro.org/ NB: det hed Bro før Bro blev noget med drinks, solbriller og douchebags

SELKS har jeg på listen over ting der skal kigges mere på. Det er dem som udvikler Scirius.

  • 2
  • 0
Casper Jensen

Hvordan vil du mene Kibana kører i forholdet til security onion?

Jeg har ikke prøvet Kibana men fordi Security onion kommer med ELSA blev den hurtig et samlings punkt for mine logs.. ALLE logs.. selv de txt logs exchange laver..event logs.. syslogs.. det hele.. og ELSA levere bare nogle fede søge muligheder.. det sindsygt hvad det system og kan håndtere

  • 1
  • 0
Log ind eller Opret konto for at kommentere
IT Company Rank
maximize minimize