Let's talk about SELKS · DNS SSH Éric Leblond (Stamus Networks) Let’s talk about SELKS 5...

Preview:

Click to see full reader

Citation preview

Let’s talk about SELKS

Éric Leblond

Stamus Networks

5 juin 2014

Éric Leblond (Stamus Networks) Let’s talk about SELKS 5 juin 2014 1 / 13

Éric Leblond

eleblond@stamus-networks.comFondateur de Stamus NetworksCore développeur de l’IDS/IPS Suricata

eric@regit.orgTravail sur les interactions noyau-espace utilisateurHacking noyauMainteneur de ulogd2@Regiteric sur twitter

Éric Leblond (Stamus Networks) Let’s talk about SELKS 5 juin 2014 2 / 13

Sécurité défensive

Un grand manque de sexyInterface réalisée par des techsProductivité peut-êtreMais pas de fun

Éric Leblond (Stamus Networks) Let’s talk about SELKS 5 juin 2014 3 / 13

Sécurité défensive

Éric Leblond (Stamus Networks) Let’s talk about SELKS 5 juin 2014 4 / 13

Suricata 2.0

EVENouvelle sortie unifiée en JSONBranchement facile de solutions comme Logstah ou Splunk

ContenuAlertesÉvénements :

HTTPFileTLSDNSSSH

Éric Leblond (Stamus Networks) Let’s talk about SELKS 5 juin 2014 5 / 13

Suricata + Kibana

Éric Leblond (Stamus Networks) Let’s talk about SELKS 5 juin 2014 6 / 13

Un exemple d’événements

{"timestamp":"2014-06-05T09:59:03.829619","event_type":"ssh","src_ip":"1.2.3.4","src_port":49316,"dest_ip":"4.5.6.7","dest_port":22,"proto":"TCP","ssh":{

"client":{"proto_version":"2.0","software_version":"libssh-0.1"

},"server": {

"proto_version":"2.0","software_version":"OpenSSH_6.6.1p1 Debian-5"

}}

}

Éric Leblond (Stamus Networks) Let’s talk about SELKS 5 juin 2014 7 / 13

Deny On Monitoring

def main_task ( args ) :setup_logging ( args )f i l e = open ( args . f i l e , ’ r ’ )while 1:

where = f i l e . t e l l ( )l i n e = f i l e . r ead l i ne ( )i f not l i n e :

# Dodot ime . sleep ( 0 . 3 )f i l e . seek ( where )

else :t ry :

event = json . loads ( l i n e )except j son . decoder . JSONDecodeError :

t ime . sleep ( 0 . 3 )break

i f event [ ’ event_type ’ ] == ’ ssh ’ :i f ’ l i b s s h ’ in event [ ’ ssh ’ ] [ ’ c l i e n t ’ ] [ ’ so f tware_vers ion ’ ] :

# Vas−y Francis , c ’ es t bon bon bonc a l l ( [ IPSET , ’ add ’ , args . ipse t , event [ ’ s r c_ ip ’ ] ] )

Éric Leblond (Stamus Networks) Let’s talk about SELKS 5 juin 2014 8 / 13

Deny On Monitoring

Quelques retours utilisateurs

Dom est une des protections essentielles du réseau du FMI

Christine Lagarde

Dom, c’est vraiment bien contre le scan de porc

Marcela Lacub

Dom, y nique trop de scans

Dodo la saumure

Éric Leblond (Stamus Networks) Let’s talk about SELKS 5 juin 2014 9 / 13

Deny On Monitoring

Quelques retours utilisateurs

Dom est une des protections essentielles du réseau du FMI

Christine Lagarde

Dom, c’est vraiment bien contre le scan de porc

Marcela Lacub

Dom, y nique trop de scans

Dodo la saumure

Éric Leblond (Stamus Networks) Let’s talk about SELKS 5 juin 2014 9 / 13

Deny On Monitoring

Quelques retours utilisateurs

Dom est une des protections essentielles du réseau du FMI

Christine Lagarde

Dom, c’est vraiment bien contre le scan de porc

Marcela Lacub

Dom, y nique trop de scans

Dodo la saumure

Éric Leblond (Stamus Networks) Let’s talk about SELKS 5 juin 2014 9 / 13

Deny On Monitoring

Quelques retours utilisateurs

Dom est une des protections essentielles du réseau du FMI

Christine Lagarde

Dom, c’est vraiment bien contre le scan de porc

Marcela Lacub

Dom, y nique trop de scans

Dodo la saumure

Éric Leblond (Stamus Networks) Let’s talk about SELKS 5 juin 2014 9 / 13

SELKS

Une ISO live et installableBasée sur debian liveUn Suricata configuré et gérable par le web

ContenuSuricata : en version 2.0.1Elasticsearch : base de données, recherche plein texte.Logstash : collecte des infos et stockage dans ElasticsearchKibana : interface d’analyse des donnéesScirius : interface web de management de ruleset

Éric Leblond (Stamus Networks) Let’s talk about SELKS 5 juin 2014 10 / 13

Capture d’écrans : le bureau

Éric Leblond (Stamus Networks) Let’s talk about SELKS 5 juin 2014 11 / 13

Capture d’écrans : Scirius

Éric Leblond (Stamus Networks) Let’s talk about SELKS 5 juin 2014 12 / 13

Questions ?

ContactE-mail : eleblond@stamus-networks.comTwitter : @Regiteric

Plus d’infosSELKS : https://www.stamus-networks.com/open-source/#selks

Suricata : http://www.suricata-ids.org/Elasticsearch : http://www.elasticsearch.orgDOM : https://github.com/regit/DOM

Éric Leblond (Stamus Networks) Let’s talk about SELKS 5 juin 2014 13 / 13

https://www.stamus-networks.com/open-source/#selks
https://www.stamus-networks.com/open-source/#selks
http://www.suricata-ids.org/
http://www.elasticsearch.org
https://github.com/regit/DOM

Recommended

Leçon 12: Laddition, sil vous plaît To talk about the quantity of something WITHOUT repeating the noun, use the pronoun EN Jai trois croissants. Tu prends
Documents
Leadership – turning challenges into success · 2013-06-18 · Leadership is a tough topic to talk about, as each of us has our own individual style. In theory, the principles about
Documents
Riccardo-Giraudi Presse Monocle · 2020. 5. 8. · cookbook with the aim of highlighting how food can start conversations across deep cultural and political chasms. "We talk about
Documents
Ar Tonelico Talk
Documents
Module de Transition - Pearson Education · Module de Transition Objectives t Parler de ce qui est important dans la vie Talk about what is important in life Parler de l’informatique
Documents
Giving directions : let’s recap !
Documents
Joomla daylyon2011 talk-finalgiven
Technology
Let’s talk about the exam… - OIIQ · Let’s talk about the exam… Espace étudiant - Congrès 2014 ... Le contenu de l’examen ... Determine and enter in the TNP a nursing
Documents
LET’S CREATE OUR TALK-SHOW! - anglais-lp.ac-creteil.franglais-lp.ac-creteil.fr/IMG/pdf/let_s_create_our_talkshow.pdf · dans le cadre de son domaine d’intérêt. Peut écrire
Documents
Mythesis talk presentation_28_june_2013
Education
LE GRAND DÉRANGEUR LET’S DANCE
Documents
Talk WhyWeShouldBeProudAsPinoys
Documents
Liste de besoins CNV - Let's talk about Nonviolent
Documents
La Jornada - fidmarseille.org · Contact: Dai Films / Olivier Bréant / daifilms@daifilms.com A Porta Claudia Nunes Short film- Brazil - Écriture Two employees talk about the end
Documents
CERAMICS: LET’S TALK
Documents
Bear Talk & a Song
Documents
Let’s save the world - Association Luxembourgeoise … · Let’s make connections ! Let’s save the world ! auan Notre hoi, pour l’arrière -plan, s’est porté sur l’idée
Documents
The Covenant...Oct 10, 2020  · the intersection of race, justice, and mass incarceration in the United States. Unpacking So You Want to Talk about Race with Dana Garbarski and Jill
Documents
دانشگاه خوارزمی - دانشکده فنی و مهندسی · We talk about history, definition, Process of CBIR and introduce methods of each steps. Review Deep Learning
Documents
Let’s talk about sex! - ELABORER: Laboratoire de ... · Let’s talk about sex! Les rôles de la pulsion sexuelle Cours 6 : Frederick Philippe 1
Documents