Ha pasado aproximadamente un año desde que alguien contribuyó con una respuesta a esto, pero estoy en proceso de investigar cómo convertir un Raspberry Pi 3 en un sistema IDS con análisis de registro a través de ELK.
Aquí hay algunos buenos recursos que he encontrado sobre el tema:
- Este blogger tiene una serie de tres partes sobre cómo hacer esto con instrucciones detalladas: instala la bifurcación Wazuh de OSSEC, Snort y el conjunto de herramientas ELK de SIEM.
- El investigador de seguridad Travis Smith en Tripwire proporciona una visión general de cómo hacer esto también.
- NOTA: Ambas opciones anteriores requerirán dos dispositivos Raspberry Pi 3: generalmente, instala su herramienta de monitoreo IDS en un pi y el análisis / SIEM en el otro Pi. ¿Por qué? Debido a que 1 GB de RAM no es suficiente para hacer IDS, registros, alertas y análisis (cortar y cortar archivos de registro).
- BriarIDS también parece prometedor: tiene una GUI para guiarlo a través de la instalación de Suricata y Bro IDS. También tiene una herramienta opcional para escanear paquetes recopilados a través de VirusTotal para que coincida con los indicadores conocidos de compromiso (hashes incorrectos, rangos de IP, etc.). El autor sugiere un enrutador con una instalación de Tomato como firmware para permitir la recolección de paquetes de su red y copiarlos a la interfaz de monitoreo de su PI.
Esencialmente, hay algunas herramientas diferentes que se pueden usar para esto: voy a seguir el primer enlace que proporcioné cuando esa persona decidió usar ELK como una herramienta visual SIEM para el análisis de registros y otra correlación con los datos recopilados.
- ¿Cuáles son algunas alternativas para VPN?
- ¿Debo usar VPN mientras navego por la India?
- ¿Cuál es la diferencia entre una red de telecomunicaciones pública y privada?
- Cómo configurar mi propia red privada virtual
- ¿Reserve con éxito boletos de avión baratos utilizando VPN para reservar desde otro país?
Por cierto, si tiene una suscripción VPN, debería poder configurar su enrutador para usar ese servicio VPN para que todo el tráfico de su red esté encriptado. Sin embargo, mi preferencia es instalar y configurar VPN a nivel de dispositivo / punto final; de esa manera puedo habilitar / deshabilitar VPN según sea necesario.
Pero si desea instalar y configurar un servidor VPN dedicado con OpenVPN, eso está más allá del alcance de los enlaces que he proporcionado.