ссылки:
new.20240117 SELKS-7.0+ https://github.com/StamusNetworks/SELKS/wiki/Docker-ISO-setup#get-the-iso https://github.com/StamusNetworks/scirius#usage https://github.com/StamusNetworks/SELKS/wiki/Docker#production-setup https://github.com/StamusNetworks/SELKS/wiki/First-time-setup#first-time-setup https://github.com/StamusNetworks/SELKS/wiki/Docker-ISO-setup https://www.stamus-networks.com/2017/08/22/selks-4-0/ - описание установки и работы http://dl.stamus-networks.com/selks/SELKS-4.0-nodesktop.iso - дистрибутив без рабочего стола https://github.com/StamusNetworks/SELKS/wiki/Docker#production-setup https://robert.penz.name/846/howto-fix-bash-trafr-no-such-file-or-directory/ - возникшие проблемы https://github.com/StamusNetworks/SELKS/issues/97 - возникшие проблемы https://wiki.mikrotik.com/wiki/Mikrotik_IPS_IDS - mikrotik IDS https://github.com/StamusNetworks/scirius/issues/127 - geolacation https://robert.penz.name/849/howto-setup-a-mikrotik-routeros-with-suricata-as-ids/ - Howto setup a Mikrotik RouterOS with Suricata as IDS google = ids + mikrotik
обновление:
!!! Внимание не нужно обновлять дистрибутив selks с помощью apt 0. /opt/selks/Scripts/Setup/selks-upgrade_stamus.sh - обновление дистрибутива selks 1. reboot - после установки обновлений перезагружаем сервер
настройка:
/opt/selks/Scripts/Setup/ - каталог со скриптами настройки selks /opt/selks/Scripts/Setup/selks-upgrade_stamus.sh - скрипт обновление дистрибутива selks /opt/selks/Scripts/Setup/setup-selks-ids-interface.sh - скрипт настройки интерфейса на котором работает selks /opt/selks/Scripts/Setup/reconfigure-listening-interface_stamus - дополнительная настройка
настройка mikrotik для selks:
Tools -> Packet Sniffer Settings -> Streamin - > Указываем ip сервера selks
настройка selks для работы с mikrotik:
0. Скачиваем на сервер selks программу trafr cd /opt wget http://www.mikrotik.com/download/trafr.tgz tar -xf /opt/trafr.tgz chmod u+x trafr chown root.root trafr 1. запускаем программу trafr для сбора трафика с микротика ./trafr -s | suricata -c /etc/suricata/suricata.yaml --runmode autofp -v -r /dev/stdin
использование:
https://IP_ADDRESS_вашего_сервера_selks/ – веб интерфейс управления selks selks-user - пользователь по умолчанию (пользователь входит в группу sudo по умолчанию) selks-user - пароль по умолчанию для установленного selks live - пароль по умолчанию для live-selks StamusNetworks - пароль пользователя root по умолчанию
Привет из 2021.08.04
Debian 10... SELKS6 и микротик.... Ошибка при запуске trafr: ./trafr -bash: ./trafr: No such file or directory Один из вариантов решения: Тут есть нужный пакет libc6-i386_2.28-10_amd64.deb https://debian.pkgs.org/10/debian-main-amd64/libc6-i386_2.28-10_amd64.deb.html Качаем и устанавливаем libc6-i386_2.28-10_amd64.deb. wget http://ftp.br.debian.org/debian/pool/main/g/glibc/libc6-i386_2.28-10_amd64.deb dpkg -i libc6-i386_2.28-10_amd64.deb Проверяем трафик должен прилететь ./trafr -s
Привет из 2024.01.18
#https://github.com/StamusNetworks/SELKS/wiki/Docker-ISO-setup Установка: sudo su - cd /opt/selksd/SELKS/docker/ && \ ./easy-setup.sh --non-interactive --no-pull-containers -i tppdummy0 \ --iA --restart-mode always --es-memory 8G && \ docker-compose up -d !!! замените tppdummy0 своим сетевым интерфейсом например enp1s0 Обновление: cd /opt/selksd/SELKS/ && \ git pull
docker SELKS7 + Mikrotik
!!! Сам SELKS должен быть установлен ранее Mikrotik+SELKS 0. Находим контейнер suricata docker ps 1. Подключаемся к контейнеру на котором крутится suricata docker exec -it 8cbc241ec428 bash 2. Устанавливаем traf cd /opt curl -O -L http://www.mikrotik.com/download/trafr.tgz tar -xf /opt/trafr.tgz chmod u+x trafr 3. Ставим дополнительные пакеты для работы traf # У меня были ошибки с установкой пакетов (ошибки GPG) # Так как у меня виртуалка тестовая было решено отключить проверку подписей для пакетов #sed -i 's/gpgcheck=1/gpgcheck=0/g' /etc/yum.conf #sed -i 's/gpgcheck=1/gpgcheck=0/g' /etc/dnf/dnf.conf sed -i 's/gpgcheck=1/gpgcheck=0/g' /etc/yum.repos.d/almalinux.repo Ставим пакеты: dnf install glibc-devel glibc-devel.i686 tmux lsof Первая проверка / должен запустится и показывать черный экран: ./trafr -s 4. Примерно вот так можно сделать почти боевой режим: tmux ./trafr -s | suricata -c /etc/suricata/suricata.yaml --runmode autofp -v -r /dev/stdin Проверка: ss -tplnu | grep 37008 5. Не забываем настроить mikrotik a)Port mirroting – функция switch /interface ethernet switch set switch1 mirror-source=ether2 mirrortarget=ether3 b) или отправка трафика по протоколу TZSP /tool sniffer set streaming-enabled=yes streaming-server=192.168.x.x /ip firewall mangle add action=sniff-tzsp chain=prerouting snifftarget=192.168.x.x sniff-target-port=37008