LinuxDays 2024

IDS Lab v Dockeri
2024-10-12 , 107
Language: Slovak

Cybersecurity lab rýchlo a jednoducho pomocou Dockeru a Docker Compose.
Lab simuluje malú "firemnú" sieť s webserverom, databázou, pracovnou stanicou a VPN pre "vzdialených" pracovníkov. V tejto sieti funguje aj centrálny zber logov, IDS a malý SIEM, takže si ukážkové útoky môžeme nielen vyskúšať, ale ich aj analyzovať.


Aj vy ste niekedy chceli mať svoj malý domáci bezpečnostný lab, ale nechcelo sa Vám rozbehávať virtuálne počítače, inštalovať operačné systémy a zdĺhavo konfigurovať rôzne nástroje? Alebo ste nemali dostatočne výkonný hardvér, aby Vám to všetko fungovalo a infraštruktúra v cloude využívajúca Terraform nie je pre Vás riešenie? A čo tak skúsiť malý lab na vlastnom počítači pomocou Dockeru a Docker Compose?

Pri príprave rôznych školení a prednášok som sa často stretával s problémom, ako vytvoriť pre študentov prostredie, v ktorom by si mohli vyskúšať systémy ako SIEM a IDS, mohli by sa učiť analyzovať útoky a porozumieť bežným zraniteľnostiam. Dôležité bolo, aby to fungovalo pre rôzne veľké skupiny študentov a aby sa navzájom neovplyvňovali. Postupne sme vyskúšali virtuálky, cloud s prístupom cez VPN, RDP, VNC, NoVNC, ale vždy tam bolo nejaké ale.

Toto leto sme na Letnej škole kyberkriminality vyskúšali prostredie založené na Dockeri. V rámci IDS Labu sme mali vytvorenú malú firemnú sieť s webserverom, databázou, pracovnými stanicami a VPN pre "vzdialených" pracovníkov. V tejto sieti fungoval aj centrálny zber logov, monitoring sieťovej prevádzky pomocou IDS Suricata a malý SIEM, do ktorého sa ukladali všetky logy a detekcie. Ku tomu niekoľko dashboardov a nakonfigurovaných zobrazení, notifikácie o alertoch na Slack a Telegram.

Na tejto prednáške by som sa rád podelil o skúsenosti a predstavil IDS Lab založený na Dockeri, ktorý je vhodný na vzdelávacie účely doma aj v škole.


Difficulty

Začátečníci

See also:

Ladislav Bačo je bezpečnostný konzultant a analytik malvéru, s 15 ročnými skúsenosťami v oblastiach počítačovej bezpečnosti, informatiky a vzdelávania. Ladislav spolupracoval pri riešení bezpečnostných incidentov namierených voči kritickej infraštruktúre doma aj v zahraničí a analyzoval viacero pokročilých kybernetických hrozieb typu APT.

V súčasnosti pracuje vo firme ESET ako analytik sieťových infiltrácií. Ladislav taktiež spolupracuje s viacerými slovenskými univerzitami v oblasti kyberbezpečnosti, participuje na vzdelávacích programoch pre študentov a konzultuje bakalárske a diplomové práce.

This speaker also appears in: