Audyty KRI, KSC, NIS2, PKE

Security Onion MikroTik Packet Sniffer

Posted on 15 czerwca 2025 by Audytor ISO 27001

Konfiguracja Security Onion do analizy pakietów z routera MikroTik przy wykorzystaniu narzędzia Packet Sniffer.

Aktualna wersja Security Onion to 2.4.150. Konfiguracja zostanie przygotowana dla VM w Proxmox.

Całość żeby zmusić do pracy w mniej niż kilka godzin należy zachować polecane poniżej minimum. Oczywiście hardkorowo można jechać od zera i uczyć się na własnych błędach ale po co jak drzwi są otwarte i wystarczy przez nie wejść a wymyślanie nowego koła w tym projekcie jest jednak bez sensu.

Hardware VM dla 5 routerów MikroTik

  • Dysk: 250GB NVME;
  • Pamięć: 96000 GB RAM;
  • Procesor: 2xCPU 5core czyli 10 rdzeni
  • Interfejsy: 1 do zarządzania, 5 do wlewania pakietów z MikroTików;
  • Adres IP do FW pozwalający na logowanie do GUI

Instalacja pakietów w Security Onion

sudo dnf install epel-release
sudo dnf groupinstall "Development Tools"
sudo dnf install tcpreplay
git clone https://github.com/the-tcpdump-group/libpcap.git
cd libpcap
./autogen.sh
./configure
make
sudo make install
git clone https://github.com/thefloweringash/tzsp2pcap
cd tzsp2pcap
make
sudo bash -c './tzsp2pcap -vv -f | /usr/bin/tcpreplay --topspeed -i enp6s19 -'
#uruchomienie
sudo so-status
watch -n 5 'sudo docker ps --format "table {{.Names}}\t{{.Status}}"'
#reguły suricata
sudo so-rule-update
sudo reboot
#dodatkowo można ale nie polecam
sudo docker restart so-suricata

Zawsze można dodać do systemu

sudo cp /home/user_so/tzsp2pcap/tzsp2pcap /usr/local/bin/
sudo chmod +x /usr/local/bin/tzsp2pcap
sudo vim /usr/local/bin/tzsp-replay.sh

Wklejamy do pliku

#!/bin/bash
exec /usr/local/bin/tzsp2pcap -vv -f | /usr/bin/tcpreplay --topspeed -i bond0 -

Lecimy dalej

sudo chmod +x /usr/local/bin/tzsp-replay.sh
sudo vim /etc/systemd/system/tzsp-replay.service

Wklejamy do pliku

[Unit]
Description=TZSP to tcpreplay stream
After=network.target

[Service]
ExecStart=/usr/local/bin/tzsp-replay.sh
Restart=always
User=root
StandardOutput=journal
StandardError=journal

[Install]
WantedBy=multi-user.target

Sprawdzamy czy działa Security Onion

sudo systemctl daemon-reload
sudo systemctl enable tzsp-replay.service
sudo systemctl start tzsp-replay.service
sudo systemctl status tzsp-replay.service

Jak uruchomić Security Operations Center? Usługa monitorowania sieci i komputerów SOC Własny Security Operations Center (SOC)