LinuxDays 2024

Vaše jazykové nastavení bylo uloženo. Česká lokalizace je stále ve vývoji, pokud narazíte na chyby, neváhejte nás kontaktovat!

IDS Lab v Dockeri
12.10.2024 , 107
Jazyk: Slovak

Cybersecurity lab rýchlo a jednoducho pomocou Dockeru a Docker Compose.
Lab simuluje malú "firemnú" sieť s webserverom, databázou, pracovnou stanicou a VPN pre "vzdialených" pracovníkov. V tejto sieti funguje aj centrálny zber logov, IDS a malý SIEM, takže si ukážkové útoky môžeme nielen vyskúšať, ale ich aj analyzovať.


Aj vy ste niekedy chceli mať svoj malý domáci bezpečnostný lab, ale nechcelo sa Vám rozbehávať virtuálne počítače, inštalovať operačné systémy a zdĺhavo konfigurovať rôzne nástroje? Alebo ste nemali dostatočne výkonný hardvér, aby Vám to všetko fungovalo a infraštruktúra v cloude využívajúca Terraform nie je pre Vás riešenie? A čo tak skúsiť malý lab na vlastnom počítači pomocou Dockeru a Docker Compose?

Pri príprave rôznych školení a prednášok som sa často stretával s problémom, ako vytvoriť pre študentov prostredie, v ktorom by si mohli vyskúšať systémy ako SIEM a IDS, mohli by sa učiť analyzovať útoky a porozumieť bežným zraniteľnostiam. Dôležité bolo, aby to fungovalo pre rôzne veľké skupiny študentov a aby sa navzájom neovplyvňovali. Postupne sme vyskúšali virtuálky, cloud s prístupom cez VPN, RDP, VNC, NoVNC, ale vždy tam bolo nejaké ale.

Toto leto sme na Letnej škole kyberkriminality vyskúšali prostredie založené na Dockeri. V rámci IDS Labu sme mali vytvorenú malú firemnú sieť s webserverom, databázou, pracovnými stanicami a VPN pre "vzdialených" pracovníkov. V tejto sieti fungoval aj centrálny zber logov, monitoring sieťovej prevádzky pomocou IDS Suricata a malý SIEM, do ktorého sa ukladali všetky logy a detekcie. Ku tomu niekoľko dashboardov a nakonfigurovaných zobrazení, notifikácie o alertoch na Slack a Telegram.

Na tejto prednáške by som sa rád podelil o skúsenosti a predstavil IDS Lab založený na Dockeri, ktorý je vhodný na vzdelávacie účely doma aj v škole.


Obtížnost

Začátečníci

Viz také:

Ladislav Bačo je bezpečnostný konzultant a analytik malvéru, s 15 ročnými skúsenosťami v oblastiach počítačovej bezpečnosti, informatiky a vzdelávania. Ladislav spolupracoval pri riešení bezpečnostných incidentov namierených voči kritickej infraštruktúre doma aj v zahraničí a analyzoval viacero pokročilých kybernetických hrozieb typu APT.

V súčasnosti pracuje vo firme ESET ako analytik sieťových infiltrácií. Ladislav taktiež spolupracuje s viacerými slovenskými univerzitami v oblasti kyberbezpečnosti, participuje na vzdelávacích programoch pre študentov a konzultuje bakalárske a diplomové práce.

Tento přednášející je uvedený také u: