Integracja MikroTik z Wazuh na Proxmox

    Daniel Nowak·
    BezpieczeństwohomelablinuxmonitoringproxmoxWazuh

    Ruszamy z zapisami na kurs Zabbix – Monitoring Sieci i Serwerów!
    Chcesz zdobyć praktyczną umiejętność w IT i nauczyć się profesjonalnego monitoringu infrastruktury z wykorzystaniem Zabbixa?
     Ten kurs przeprowadzi Cię od podstaw aż po zaawansowane wdrożenia.
     
    Promocja trwa do 16 grudnia do godz. 23:59

    Zapisz się już dziś!

    Sprawdź szczegóły: https://asdevops.pl/kurs-zabbix

     

    Pobieramy obraz z oficjalnej strony Mikrotik

    https://mikrotik.com/download

    Cloud Hosted RouterRaw disk image

    wget https://download.mikrotik.com/routeros/6.49.18/chr-6.49.18.img.zip

    Unzip chr-6.49.18.img.zip

    Importowanie obrazu do VM

    qm importdisk <ip_VM> chr-6.49.18.img local-lmv

    Usuwamy automatycznie stworzoną partycję w WM

    Dodajemy zaimportowany obraz Mikrotik

    W „Options”, ustawiamy „Boot Order”

    Zaznaczamy „ptaszkiem” zaimportowany dysk i przeciągamy go na samą górę, klikamy „ok”

    Możemy uruchomić maszynę. Logowanie „admin” i enter. Następnie „q” po przeczytaniu licencji. Ustawiamy hasło. Mikrotik zainstalowany!

    Sprawdzamy adres IP Mikrotik, komendą „ip address print”

    Ściągamy i instalujemy WinBox na swoim komputerze

    Uruchamiamy program i lokujemy się do routera, po adresie IP z ustawionym wcześniej hasłem urzytkownika „admin”

    ————————

    W rsyslog serwera vm Ubuntu

    nano /etc/rsyslog.conf

    $ModLoad imudp

$UDPServerRun 514

#Storing Messages from a Remote System into a specific File

if $fromhost-ip startswith '<IP_MIKROTIK>' then /var/log/mikrotik.log

& ~

    ————————

    Sprawdź czy nasłuchuje na porcie 514 wazuh-agent

    ss -tuln

    ———————-

    touch /var/log/mikrotik.log

    chown syslog:adm /var/log/mikrotik.log

    systemctl restart rsyslog

    ——————————————

    Edycja pliku ossec.conf w agent-wazuh

    nano /var/ossec/etc/ossec.conf

    <localfile>

  <log_format>syslog</log_format>

  <location>/var/log/mikrotik.log</location>

  <out_format>RouterOS7.1-logs: $(log)</out_format>

</localfile>

    systemctl restart wazuh-agent

    ————————————-

    W „Server managment” / ”Settings” instancji webowej Wazuha, wklejamy, nasłuchiwanie poretu 514

    <remote>

<connection>syslog</connection>

<port>514</port>

<protocol>udp</protocol>

<allowed-ips>192.168.1.1/24</allowed-ips> <— Podsieć Wazuh

<local_ip>192.168.1.74</local_ip> <—— Adres IP Wazuh

</remote>

    „Save” i „Restart Manager”

    Sprawdź czy nasłuhuje wazuh-serwer na procie 514

    ss -tuln

    W „Server  managment” / „Decoders”, wklejamy te zmienne i podpisujemy ustawienie mikrotik_decoders.xml

    <decoder name="mikrotik">

  <prematch>^RouterOS7.1-logs: </prematch>

</decoder>

<decoder name="mikrotik1">

  <parent>mikrotik</parent>

  <regex type="pcre2">\S+ (\w+ \d+ \d+:\d+:\d+) MikroTik user (\S+) (.*?) from (\d+.\d+.\d+.\d+) via (\w+)</regex>

  <order>logtimestamp, logged_user, action, ip_address, protocol</order>

</decoder>

<decoder name="mikrotik1">

  <parent>mikrotik</parent>

  <regex type="pcre2">\S+ (\w+ \d+ \d+:\d+:\d+) MikroTik dhcp-client on (\S+) (.*?) address (\d+.\d+.\d+.\d+)</regex>

  <order>logtimestamp, interface, action, ip_address</order>

</decoder>

<decoder name="mikrotik1">

  <parent>mikrotik</parent>

  <regex type="pcre2">\S+ (\w+ \d+ \d+:\d+:\d+) MikroTik router (\S+)</regex>

  <order>logtimestamp, action</order>

</decoder>

    „Save” i „Restart Manager”

    —————————————-

    W „Server  managment” / „Rules”, wklejamy te zmienne i podpisujemy ustawienie mikrotik_rules.xml

    mikrotik_rules.xml

    <group name="Mikrotik,">

  <rule id="110000" level="0">

    <decoded_as>mikrotik</decoded_as>

    <description>Mikrotik-Event</description>

  </rule>

  <rule id="110001" level="5">

    <if_sid>110000</if_sid>

    <match>dhcp-client on ether</match>

    <description>MikroTik dhcp-client received an IP address $(ip_address)</description>

  </rule>

  <rule id="110002" level="5">

    <if_sid>110000</if_sid>

    <match>rebooted</match>

    <description>MikroTik router rebooted</description>

  </rule>

  <rule id="110003" level="5">

    <if_sid>110000</if_sid>

    <match>logged out from</match>

    <description>MikroTik user logged out via $(protocol)</description>

  </rule>

  <rule id="110004" level="5">

    <if_sid>110000</if_sid>

    <match>logged in from</match>

    <description>MikroTik user logged in from $(ip_address) via $(protocol)</description>

  </rule>

</group>

    „Save” i „Restart Manager”

    ————————————-

    Ściągamy i instalujemy program „Putty” z linku:

    https://the.earth.li/~sgtatham/putty/latest/w64/putty-64bit-0.83-installer.msi

    Natępnie logujemy się do Mikrotik, po jego adresie IP

    Wpisujemy „> /system reboot”  by wymusić, restart routera Mikrotik

    > /system reboot

    Przechodzimy do webowej instancji Wazuh. Wybieramy skonfigurowanego agenta-wazuh.

    Następnie „Treat Hunting” / „Events”. Miktorik przesyła logi do Wazuh, z informacjami na temat logowania.

    Ruszamy z zapisami na kurs Zabbix – Monitoring Sieci i Serwerów!
    Chcesz zdobyć praktyczną umiejętność w IT i nauczyć się profesjonalnego monitoringu infrastruktury z wykorzystaniem Zabbixa?
     Ten kurs przeprowadzi Cię od podstaw aż po zaawansowane wdrożenia.
     
    Promocja trwa do 16 grudnia do godz. 23:59

    Zapisz się już dziś!

    Sprawdź szczegóły: https://asdevops.pl/kurs-zabbix

     

    Ruszamy z zapisami na kurs Zabbix – Monitoring Sieci i Serwerów!

    Dołącz!
    X