20TD02Y_CCNA_20TD02X - itnett/FTD02H-N GitHub Wiki

Lab: Monitorering og Digital Etterforskning

Fysisk og Virtuelt Utstyr

  1. Cisco Nexus 5548UP
  2. VirtualBox
  3. Ubuntu Server (som monitorerings- og etterforskningsverktøy)
  4. Wireshark (for nettverksanalyse)
  5. Nagios (for nettverksovervåking)
  6. Snort (for IDS/IPS)
  7. Autopsy (for digital etterforskning)

Koblinger

Cisco Nexus 5548UP (Gi1/1) ----- VirtualBox Host

Diagram

        +----------------------+
        |   Cisco Nexus 5548UP |
        |   SPAN Configuration |
        +----------+-----------+
                   |
                   |
                   |
               +---+---+
               |Virtual |
               | Box    |
               | (Nagios|
               |/Snort/ |
               |Wireshark)|
               +-------+
               |Virtual |
               | Box    |
               | (Autopsy)|
               +-------+

Lab 1: Monitorering

Oppsett

  1. Cisco Nexus 5548UP:

    • Implementer SPAN (Switched Port Analyzer) for trafikkmonitorering.

  2. VirtualBox:

    • Opprett en virtuell maskin for monitorering med Nagios og Snort.
    • Opprett en virtuell maskin for nettverksanalyse med Wireshark.

Trinnvis Veiledning

Cisco Nexus 5548UP:

monitor session 1 source interface ethernet 1/1
monitor session 1 destination interface ethernet 1/2

Nagios Konfigurasjon:

  1. Installer Nagios på Ubuntu Server:

    sudo apt update
sudo apt install -y nagios3

  2. Start Nagios og sjekk status:

    sudo systemctl start nagios
sudo systemctl status nagios

  3. Åpne Nagios webgrensesnitt:

    • Naviger til http://<server_ip>/nagios3 i nettleseren din.
    • Logg inn med admin-legitimasjon.

Snort Konfigurasjon:

  1. Installer Snort på Ubuntu Server:

    sudo apt update
sudo apt install -y snort

  2. Konfigurer Snort for nettverksovervåking:

    • Rediger Snort konfigurasjonsfilen /etc/snort/snort.conf for å inkludere nettverksgrensesnittet som skal overvåkes.
    • Start Snort med kommandoen: 
      sudo snort -A console -i eth0 -c /etc/snort/snort.conf

Wireshark Konfigurasjon:

  1. Installer Wireshark på Ubuntu Server:

    sudo apt update
sudo apt install -y wireshark

  2. Start Wireshark:

    • Kjør Wireshark med kommandoen: 
      sudo wireshark

Testing og Monitorering

  • Bruk Nagios for å overvåke nettverkets tilstand og tjenester.
  • Bruk Snort for å oppdage potensielle trusler og inntrengingsforsøk.
  • Bruk Wireshark for å analysere nettverkstrafikken i sanntid.

Lab 2: Digital Etterforskning

Oppsett

  1. VirtualBox:
    • Opprett en virtuell maskin for digital etterforskning med Autopsy.

Trinnvis Veiledning

Autopsy Konfigurasjon:

  1. Installer Autopsy på Ubuntu Server:

    sudo apt update
sudo apt install -y autopsy

  2. Start Autopsy:

    • Kjør Autopsy med kommandoen: 
      sudo autopsy

  3. Åpne Autopsy webgrensesnitt:

    • Naviger til http://<server_ip>:9999/autopsy i nettleseren din.
    • Opprett et nytt etterforskningsprosjekt og legg til en diskavbildning (disk image) for analyse.

Lab 3: Integrasjon av Monitorering og Etterforskning

Oppsett

  1. Cisco Nexus 5548UP:

    • Sørg for at SPAN-konfigurasjonen er aktiv for å speile trafikken til monitoreringsserverne.

  2. VirtualBox:

    • Bruk de tidligere opprettede VM-ene for monitorering (Nagios, Snort, Wireshark) og etterforskning (Autopsy).

Trinnvis Veiledning

Scenario for Sikkerhetsbrudd:

  1. Generer nettverkstrafikk som inneholder potensielle sikkerhetstrusler:

    • Bruk verktøy som Metasploit for å simulere angrep på nettverket.
    • Overvåk trafikken med Snort og Wireshark for å oppdage angrepet.

  2. Analyser data:

    • Bruk Nagios for å få en oversikt over nettverkets tilstand før, under og etter angrepet.
    • Bruk Snort for å identifisere spesifikke inntrengingsforsøk.
    • Bruk Wireshark for å analysere nettverkstrafikk og identifisere mistenkelige pakker.

  3. Utfør digital etterforskning:

    • Bruk Autopsy for å analysere diskavbildninger og loggfiler fra berørte systemer.
    • Identifiser og dokumenter bevis på sikkerhetsbruddet.

Testing og Dokumentasjon

Testing:

  • Verifiser at alle overvåkings- og etterforskningsverktøyene fungerer som forventet.
  • Test responsen på sikkerhetsbrudd ved å generere og analysere nettverkstrafikk som inneholder trusler.
  • Utfør fullstendig digital etterforskning og dokumenter funnene.

Dokumentasjon:

  • Ta skjermbilder av alle konfigurasjonstrinnene og resultatene.
  • Lag en rapport som beskriver trinnene og resultatene av hver lab, inkludert identifisering av sikkerhetsbrudd og analyser av data.

Disse laboratoriene gir omfattende hands-on erfaring med overvåking, identifisering av sikkerhetsbrudd, og digital etterforskning, i tråd med læringsutbyttene for emnet "Monitorering og Digital Etterforskning" ved Fagskolen Innlandet.

Her er detaljert konfigurasjon for Cisco Nexus 5548UP, Nagios, Snort, Wireshark og Autopsy, inkludert alle nødvendige trinn og kommandoer.

Cisco Nexus 5548UP Konfigurasjon

Konfigurer SPAN (Switched Port Analyzer) for trafikkmonitorering:

configure terminal
monitor session 1 source interface ethernet 1/1
monitor session 1 destination interface ethernet 1/2
end

Nagios Konfigurasjon

Installer og konfigurer Nagios på Ubuntu Server:

  1. Installer nødvendige pakker:

    sudo apt update
sudo apt install -y nagios3 nagios-nrpe-plugin

  2. Start og sjekk statusen til Nagios:

    sudo systemctl start nagios
sudo systemctl status nagios

  3. Konfigurer overvåkningstjenester: Rediger konfigurasjonsfilene for å legge til overvåkning av spesifikke tjenester eller enheter. Filene finnes vanligvis i /etc/nagios3/conf.d/.

    Eksempel på å legge til en tjeneste i /etc/nagios3/conf.d/localhost_nagios2.cfg:

    define host {
    use                     generic-host
    host_name               localhost
    alias                   localhost
    address                 127.0.0.1
}

define service {
    use                             generic-service
    host_name                       localhost
    service_description             PING
    check_command                   check_ping!100.0,20%!500.0,60%
}

define service {
    use                             generic-service
    host_name                       localhost
    service_description             HTTP
    check_command                   check_http
}

  4. Restart Nagios for å bruke endringene:

    sudo systemctl restart nagios

  5. Åpne Nagios webgrensesnitt:

    • Naviger til http://<server_ip>/nagios3 i nettleseren din.
    • Logg inn med admin-legitimasjon (standardbruker: nagiosadmin, passord satt under installasjonen).

Snort Konfigurasjon

Installer og konfigurer Snort på Ubuntu Server:

  1. Installer nødvendige pakker:

    sudo apt update
sudo apt install -y snort

  2. Konfigurer Snort: Rediger Snort konfigurasjonsfilen /etc/snort/snort.conf for å inkludere nettverksgrensesnittet som skal overvåkes. Se etter linjen som starter med ipvar HOME_NET og sett den til nettverket ditt, for eksempel:

    ipvar HOME_NET 192.168.1.0/24

  3. Start Snort:

    sudo snort -A console -i eth0 -c /etc/snort/snort.conf

Wireshark Konfigurasjon

Installer og bruk Wireshark på Ubuntu Server:

  1. Installer nødvendige pakker:

    sudo apt update
sudo apt install -y wireshark

  2. Start Wireshark:

    • Kjør Wireshark med kommandoen: 
      sudo wireshark

Autopsy Konfigurasjon

Installer og bruk Autopsy på Ubuntu Server:

  1. Installer nødvendige pakker:

    sudo apt update
sudo apt install -y autopsy

  2. Start Autopsy:

    • Kjør Autopsy med kommandoen: 
      sudo autopsy

  3. Åpne Autopsy webgrensesnitt:

    • Naviger til http://<server_ip>:9999/autopsy i nettleseren din.
    • Opprett et nytt etterforskningsprosjekt og legg til en diskavbildning (disk image) for analyse.

Integrasjon av Monitorering og Etterforskning

Scenario for Sikkerhetsbrudd:

  1. Generer nettverkstrafikk som inneholder potensielle sikkerhetstrusler:

    • Bruk verktøy som Metasploit for å simulere angrep på nettverket.
    • Overvåk trafikken med Snort og Wireshark for å oppdage angrepet.

  2. Analyser data:

    • Bruk Nagios for å få en oversikt over nettverkets tilstand før, under og etter angrepet.
    • Bruk Snort for å identifisere spesifikke inntrengingsforsøk.
    • Bruk Wireshark for å analysere nettverkstrafikk og identifisere mistenkelige pakker.

  3. Utfør digital etterforskning:

    • Bruk Autopsy for å analysere diskavbildninger og loggfiler fra berørte systemer.
    • Identifiser og dokumenter bevis på sikkerhetsbruddet.

Testing og Dokumentasjon

Testing:

  • Verifiser at alle overvåkings- og etterforskningsverktøyene fungerer som forventet.
  • Test responsen på sikkerhetsbrudd ved å generere og analysere nettverkstrafikk som inneholder trusler.
  • Utfør fullstendig digital etterforskning og dokumenter funnene.

Dokumentasjon:

  • Ta skjermbilder av alle konfigurasjonstrinnene og resultatene.
  • Lag en rapport som beskriver trinnene og resultatene av hver lab, inkludert identifisering av sikkerhetsbrudd og analyser av data.

Disse detaljkonfigurasjonene gir en fullstendig hands-on opplevelse med overvåking og digital etterforskning, og dekker læringsutbyttene for emnet "Monitorering og Digital Etterforskning" ved Fagskolen Innlandet.

Ansvarsfraskrivelse:

Innholdet på denne wikisiden er generert helt eller delvis av kunstig intelligens (AI) og er ikke ment for informasjonsformål. Forfatteren fraskriver seg ethvert ansvar for nøyaktigheten, fullstendigheten eller påliteligheten av innholdet. Enhver handling du tar basert på informasjonen på denne siden er på eget ansvar og risiko.

Forfatteren fraskriver seg også ethvert ansvar for eventuelle likheter eller antydninger til likhet med annet publisert materiale. Enhver slik likhet er utilsiktet og uten ansvar. Det er leserens ansvar å gjennomføre plagiatkontroll og sikre at all bruk av innholdet fra denne siden er i samsvar med gjeldende regler og retningslinjer for opphavsrett og plagiering.

Det gis ingen garantier for at informasjonen på denne siden er i samsvar med gjeldende lover, regler eller retningslinjer. Leseren er selv ansvarlig for å verifisere nøyaktigheten og relevansen av informasjonen, og for å sikre korrekt kreditering av originale kilder.

Bruk av informasjonen på denne siden, inkludert risiko for plagiat eller brudd på opphavsrett, er på egen risiko.

Disklaimer 2

Alt innhold på denne plattformen er et resultat av en kreativ prosess som involverer både menneskelig input og generativ kunstig intelligens (AI). Tekstene er basert på bearbeidede prompts, og representerer en sammenslåing av publisistens tanker, ideer og AI-ens evne til å generere tekst.

Eventuelle likheter i rekkefølge, struktur, innhold, emnevalg, tematikk, avgrensninger eller oppstilling med annet materiale, enten kreditert eller ikke kreditert, publisert eller upublisert, er utilsiktet og tilfeldig.

Innholdet på denne plattformen er ikke ment å være en kilde til informasjon eller fakta, og skal ikke brukes som sådan. Dette er et eksperiment for å utforske potensialet og begrensningene ved generativ AI, både positive og negative, fordelaktige og ufordelaktige.

Vi oppfordrer leserne til å være kritiske og vurdere informasjonen i lys av dette. Vi tar ikke ansvar for eventuelle feil, unøyaktigheter eller misforståelser som kan oppstå som følge av bruk av innholdet på denne plattformen.

Disclaimer:

The information on this wiki page is generated entirely or partially by artificial intelligence (AI) and is not intended for informational purposes. The author disclaims any responsibility for the accuracy, completeness, or reliability of the content. Any action you take based on the information on this page is at your own responsibility and risk.

The author also disclaims any liability for any similarities or suggestions of similarity to other published material. Any such resemblance is unintentional and without liability. It is the reader's responsibility to conduct plagiarism checks and ensure that any use of the content from this page complies with applicable copyright and plagiarism rules and guidelines.

No guarantees are provided that the information on this page complies with applicable laws, rules, or guidelines. The reader is responsible for verifying the accuracy and relevance of the information and for ensuring proper crediting of original sources.

Use of the information on this page, including the risk of plagiarism or copyright infringement, is at your own risk.

⚠️ **GitHub.com Fallback** ⚠️