Рубрики
Mikrotik

mikrotik + selks

ссылки:

new.20240117
SELKS-7.0+
https://github.com/StamusNetworks/SELKS/wiki/Docker-ISO-setup#get-the-iso
https://github.com/StamusNetworks/scirius#usage
https://github.com/StamusNetworks/SELKS/wiki/Docker#production-setup
https://github.com/StamusNetworks/SELKS/wiki/First-time-setup#first-time-setup
https://github.com/StamusNetworks/SELKS/wiki/Docker-ISO-setup

https://www.stamus-networks.com/2017/08/22/selks-4-0/ - описание установки и работы
http://dl.stamus-networks.com/selks/SELKS-4.0-nodesktop.iso - дистрибутив без рабочего стола
https://github.com/StamusNetworks/SELKS/wiki/Docker#production-setup
https://robert.penz.name/846/howto-fix-bash-trafr-no-such-file-or-directory/ - возникшие проблемы
https://github.com/StamusNetworks/SELKS/issues/97 - возникшие проблемы
https://wiki.mikrotik.com/wiki/Mikrotik_IPS_IDS - mikrotik IDS

https://github.com/StamusNetworks/scirius/issues/127 - geolacation
https://robert.penz.name/849/howto-setup-a-mikrotik-routeros-with-suricata-as-ids/ - Howto setup a Mikrotik RouterOS with Suricata as IDS
google = ids + mikrotik

обновление:

!!! Внимание не нужно обновлять дистрибутив selks с помощью apt
0. /opt/selks/Scripts/Setup/selks-upgrade_stamus.sh - обновление дистрибутива selks
1. reboot - после установки обновлений перезагружаем сервер

настройка:

/opt/selks/Scripts/Setup/ - каталог со скриптами настройки selks
/opt/selks/Scripts/Setup/selks-upgrade_stamus.sh - скрипт обновление дистрибутива selks
/opt/selks/Scripts/Setup/setup-selks-ids-interface.sh - скрипт настройки интерфейса на котором работает selks
/opt/selks/Scripts/Setup/reconfigure-listening-interface_stamus - дополнительная настройка 

настройка mikrotik для selks:

Tools -> Packet Sniffer Settings -> Streamin - > Указываем ip сервера selks

настройка selks для работы с mikrotik:

0. Скачиваем на сервер selks программу trafr
cd /opt
wget http://www.mikrotik.com/download/trafr.tgz
tar -xf /opt/trafr.tgz
chmod u+x trafr
chown root.root trafr
1. запускаем программу trafr для сбора трафика с микротика
./trafr -s | suricata -c /etc/suricata/suricata.yaml --runmode autofp -v -r /dev/stdin

использование:

https://IP_ADDRESS_вашего_сервера_selks/ – веб интерфейс управления selks
selks-user - пользователь по умолчанию (пользователь входит в группу sudo по умолчанию)
selks-user - пароль по умолчанию для установленного selks
live - пароль по умолчанию для live-selks
StamusNetworks - пароль пользователя root по умолчанию

Привет из 2021.08.04

Debian 10... SELKS6 и микротик....
Ошибка при запуске trafr: 
./trafr
-bash: ./trafr: No such file or directory

Один из вариантов решения:
Тут есть нужный пакет libc6-i386_2.28-10_amd64.deb
https://debian.pkgs.org/10/debian-main-amd64/libc6-i386_2.28-10_amd64.deb.html

Качаем и устанавливаем libc6-i386_2.28-10_amd64.deb.
wget http://ftp.br.debian.org/debian/pool/main/g/glibc/libc6-i386_2.28-10_amd64.deb
dpkg -i libc6-i386_2.28-10_amd64.deb

Проверяем трафик должен прилететь
./trafr -s

Привет из 2024.01.18

#https://github.com/StamusNetworks/SELKS/wiki/Docker-ISO-setup

Установка:
sudo su - 
cd /opt/selksd/SELKS/docker/ && \
./easy-setup.sh --non-interactive --no-pull-containers -i tppdummy0 \
--iA --restart-mode always --es-memory 8G && \
docker-compose up -d 

!!! замените tppdummy0 своим сетевым интерфейсом например  enp1s0

Обновление:
cd /opt/selksd/SELKS/ && \
git pull

docker SELKS7 + Mikrotik

!!! Сам SELKS должен быть установлен ранее
Mikrotik+SELKS

0. Находим контейнер suricata
docker ps 

1. Подключаемся к контейнеру на котором крутится suricata
docker exec -it 8cbc241ec428 bash

2. Устанавливаем traf
cd /opt
curl -O -L http://www.mikrotik.com/download/trafr.tgz
tar -xf /opt/trafr.tgz
chmod u+x trafr

3. Ставим дополнительные пакеты для работы traf
# У меня были ошибки с установкой пакетов (ошибки GPG)
# Так как у меня виртуалка тестовая было решено отключить проверку подписей для пакетов
#sed -i 's/gpgcheck=1/gpgcheck=0/g' /etc/yum.conf 
#sed -i 's/gpgcheck=1/gpgcheck=0/g' /etc/dnf/dnf.conf
sed -i 's/gpgcheck=1/gpgcheck=0/g' /etc/yum.repos.d/almalinux.repo
Ставим пакеты:
dnf install glibc-devel  glibc-devel.i686 tmux lsof
Первая проверка / должен запустится и показывать черный экран:
./trafr -s

4. Примерно вот так можно сделать почти боевой режим:
tmux
./trafr -s | suricata -c /etc/suricata/suricata.yaml --runmode autofp -v -r /dev/stdin
Проверка:
ss -tplnu | grep 37008

5. Не забываем настроить mikrotik
a)Port mirroting – функция switch
/interface ethernet switch set switch1 mirror-source=ether2 mirrortarget=ether3
b) или отправка трафика по протоколу TZSP
/tool sniffer set streaming-enabled=yes streaming-server=192.168.x.x
/ip firewall mangle add action=sniff-tzsp chain=prerouting snifftarget=192.168.x.x sniff-target-port=37008