of 16 /16
Let’s talk about SELKS Éric Leblond Stamus Networks 5 juin 2014 Éric Leblond (Stamus Networks) Let’s talk about SELKS 5 juin 2014 1 / 13

Let's talk about SELKS · DNS SSH Éric Leblond (Stamus Networks) Let’s talk about SELKS 5 juin 2014 5 / 13. Suricata + Kibana ... Let’s talk about SELKS 5 juin 2014 8 / 13. Deny

  • Author
    others

  • View
    3

  • Download
    0

Embed Size (px)

Text of Let's talk about SELKS · DNS SSH Éric Leblond (Stamus Networks) Let’s talk about SELKS 5 juin...

  • Let’s talk about SELKS

    Éric Leblond

    Stamus Networks

    5 juin 2014

    Éric Leblond (Stamus Networks) Let’s talk about SELKS 5 juin 2014 1 / 13

  • Éric Leblond

    [email protected] de Stamus NetworksCore développeur de l’IDS/IPS Suricata

    [email protected] sur les interactions noyau-espace utilisateurHacking noyauMainteneur de [email protected] sur twitter

    Éric Leblond (Stamus Networks) Let’s talk about SELKS 5 juin 2014 2 / 13

  • Sécurité défensive

    Un grand manque de sexyInterface réalisée par des techsProductivité peut-êtreMais pas de fun

    Éric Leblond (Stamus Networks) Let’s talk about SELKS 5 juin 2014 3 / 13

  • Sécurité défensive

    Éric Leblond (Stamus Networks) Let’s talk about SELKS 5 juin 2014 4 / 13

  • Suricata 2.0

    EVENouvelle sortie unifiée en JSONBranchement facile de solutions comme Logstah ou Splunk

    ContenuAlertesÉvénements :

    HTTPFileTLSDNSSSH

    Éric Leblond (Stamus Networks) Let’s talk about SELKS 5 juin 2014 5 / 13

  • Suricata + Kibana

    Éric Leblond (Stamus Networks) Let’s talk about SELKS 5 juin 2014 6 / 13

  • Un exemple d’événements

    {"timestamp":"2014-06-05T09:59:03.829619","event_type":"ssh","src_ip":"1.2.3.4","src_port":49316,"dest_ip":"4.5.6.7","dest_port":22,"proto":"TCP","ssh":{

    "client":{"proto_version":"2.0","software_version":"libssh-0.1"

    },"server": {

    "proto_version":"2.0","software_version":"OpenSSH_6.6.1p1 Debian-5"

    }}

    }

    Éric Leblond (Stamus Networks) Let’s talk about SELKS 5 juin 2014 7 / 13

  • Deny On Monitoring

    def main_task ( args ) :setup_logging ( args )f i l e = open ( args . f i l e , ’ r ’ )while 1:

    where = f i l e . t e l l ( )l i n e = f i l e . r ead l i ne ( )i f not l i n e :

    # Dodot ime . sleep ( 0 . 3 )f i l e . seek ( where )

    else :t ry :

    event = json . loads ( l i n e )except j son . decoder . JSONDecodeError :

    t ime . sleep ( 0 . 3 )break

    i f event [ ’ event_type ’ ] == ’ ssh ’ :i f ’ l i b s s h ’ in event [ ’ ssh ’ ] [ ’ c l i e n t ’ ] [ ’ so f tware_vers ion ’ ] :

    # Vas−y Francis , c ’ es t bon bon bonc a l l ( [ IPSET , ’ add ’ , args . ipse t , event [ ’ s r c_ ip ’ ] ] )

    Éric Leblond (Stamus Networks) Let’s talk about SELKS 5 juin 2014 8 / 13

  • Deny On Monitoring

    Quelques retours utilisateurs

    Dom est une des protections essentielles du réseau du FMI

    Christine Lagarde

    Dom, c’est vraiment bien contre le scan de porc

    Marcela Lacub

    Dom, y nique trop de scans

    Dodo la saumure

    Éric Leblond (Stamus Networks) Let’s talk about SELKS 5 juin 2014 9 / 13

  • Deny On Monitoring

    Quelques retours utilisateurs

    Dom est une des protections essentielles du réseau du FMI

    Christine Lagarde

    Dom, c’est vraiment bien contre le scan de porc

    Marcela Lacub

    Dom, y nique trop de scans

    Dodo la saumure

    Éric Leblond (Stamus Networks) Let’s talk about SELKS 5 juin 2014 9 / 13

  • Deny On Monitoring

    Quelques retours utilisateurs

    Dom est une des protections essentielles du réseau du FMI

    Christine Lagarde

    Dom, c’est vraiment bien contre le scan de porc

    Marcela Lacub

    Dom, y nique trop de scans

    Dodo la saumure

    Éric Leblond (Stamus Networks) Let’s talk about SELKS 5 juin 2014 9 / 13

  • Deny On Monitoring

    Quelques retours utilisateurs

    Dom est une des protections essentielles du réseau du FMI

    Christine Lagarde

    Dom, c’est vraiment bien contre le scan de porc

    Marcela Lacub

    Dom, y nique trop de scans

    Dodo la saumure

    Éric Leblond (Stamus Networks) Let’s talk about SELKS 5 juin 2014 9 / 13

  • SELKS

    Une ISO live et installableBasée sur debian liveUn Suricata configuré et gérable par le web

    ContenuSuricata : en version 2.0.1Elasticsearch : base de données, recherche plein texte.Logstash : collecte des infos et stockage dans ElasticsearchKibana : interface d’analyse des donnéesScirius : interface web de management de ruleset

    Éric Leblond (Stamus Networks) Let’s talk about SELKS 5 juin 2014 10 / 13

  • Capture d’écrans : le bureau

    Éric Leblond (Stamus Networks) Let’s talk about SELKS 5 juin 2014 11 / 13

  • Capture d’écrans : Scirius

    Éric Leblond (Stamus Networks) Let’s talk about SELKS 5 juin 2014 12 / 13

  • Questions ?

    ContactE-mail : [email protected] : @Regiteric

    Plus d’infosSELKS : https://www.stamus-networks.com/open-source/#selks

    Suricata : http://www.suricata-ids.org/Elasticsearch : http://www.elasticsearch.orgDOM : https://github.com/regit/DOM

    Éric Leblond (Stamus Networks) Let’s talk about SELKS 5 juin 2014 13 / 13

    https://www.stamus-networks.com/open-source/#selkshttps://www.stamus-networks.com/open-source/#selkshttp://www.suricata-ids.org/http://www.elasticsearch.orghttps://github.com/regit/DOM

    IntroductionSELKS