☰

CERT.LV publicē Raspberry Pi 3 "Layer Cake"

“Layer Cake” ir CERT.LV darbinieku realizēts eksperiments - modulāra tīkla ielaušanās novērošanas sistēma jeb IDS (intrusion detection system), kuras pamatā ir izmantoti atvērtā koda risinājumi (Bro IDS, rsyslog, Yara, Elasticsearch, Kibana).
Risinājums realizēts, izmantojot Raspberry Pi3 iekārtu.

CERT.LV 2016. gada konferencē demonstrēja šīs sistēmas paplašināšanas iespējas, pievienojot ārējus funkcionalitātes moduļus (Yara, Cuckoo sandbox), tādā veidā iegūstot pilnībā automatizētu vīrusu un ļaunatūras pārtveršanas, kolekcionēšanas un analīzes sistēmu, kuras veiktspēju iespējams neierobežoti un modulāri paplašināt.  

Esošajā sistēmā, kas pieejama lejupielādei, failu pārsūtīšana uz sandbox vidi nav iekļauta privāto datu aizsardzības nolūkos, jo CERT.LV nevar uzņemties atbildību par dokumentiem un datnēm, kuras tiks sūtītas analīzei automatizētā veidā. Ja vēlaties izmantot šo funkciju, tā jāiespējo atbilstoši jūsu izvēlētajai sandbox tehnoloģijai. Šī projekta ietvaros pielietots Cuckoo Sandbox. API apraksts

Esošā sistēma nodrošina pilnvērtīgu IDS funkcionalitāti ar grafisku lietotāja un analītiķa saskarni.

Sistēmu iespējams lejuplādēt šeit (SHA256 61e750eed264d8b3a242e89691071faf40fb97963e67308bb30d038522c294a5)

Uzsākot darbu ar Raspberry, jābūt pieslēgtam Ethernet vadam, kurā iekārta saņems datu plūsmu analīzei. (Datu plūsma visbiežāk būs kopija reālajai datu plūsmai tīkla ierīcē.)

Sistēmas vadība pieejama, izmantojot ssh savienojumu: ssh pi@1.1.1.1.
Lai piekļūtu tīklam 1.1.1.0/24, jāpieslēdzas WiFi, kuru uztur Raspberry ar SSID "avene", parole: hurpadurp.

Sistēmas paroles:
<lietotāja vārds>:<parole>
pi:pipass

Paroles maiņa gan wifi, gan sistēmai ir obligāta. Wifi paroles maiņu piedāvās pirmreizējās konfigurācijas laikā, kas aprakstīta zemāk. Sistēmas paroli maina ar password pi.

Saskarne pēc sistēmas uzstādīšanas pieejama: http://1.1.1.1

Augšējā rīku joslā jāizvēlas sadaļa Dashboard, tad labajā rīku joslā jāuzklikšķina uz simbola, kas līdzīgs mapei "Load saved dashboard", no saraksta jāizvēlas kāds no saglabātajiem "dashboard" profiliem.

Pēc ielogošanās ar ssh jāiegūst "root" lietotāja tiesības ar "sudo -i" komandu, un paša "Layer Cake" pirmreizējā konfigurācija jāpalaiž ar root tiesībām, izpildot root lietotāja direktorijā esošo skriptu "palaidmani".

Dati un grafiki būs redzami, kad sistēma Ethernet interfeisā saņems tīkla plūsmu.

Brīdinājums: CERT.LV šo projektu publicē kā eksperimentu un neuzņemas atbildību par tā turpmāku uzturēšanu.