К основному контенту

👩🦽 Настройка bridge на Debian , выполняющий роль межсетевого экрана

# Задача: хотим внедрить в своей сети мост (bridge) на Debian,# выполняющий также задачи межсетевого экрана,# т.е. получить возможность фильтрации трафика, не сильно меняя топологию# и совсем не меняя адресацию в сети и шлюз по умолчанию.# Желательно, чтобы мост-МЭ при этом вообще не имел IP-адресов# на интерфейсах (обращенном наружу и смотрящему в защищаемую сеть)# Администрировать его и смотреть на нем логи предлагается локально# или путем подключения к выделенной сети администрирования# Ставим его в сети так, чтобы одним интерфейсом моста он был# подключен к провайдеру или другому уже имеющемуся шлюзу по умолчанию,# а другой «смотрел» в защищаемую ЛВС, например в порт коммутатора# Таким образом, приходящий извне трафик прежде чем попасть в защищаемую сеть# будет всегда проходить через мост на котором мы его будем фильтровать# с помощью iptablesСхема тестового стенда

📜 Руководство пользователя The Hive

TheHive Project — система инцидент менеджмента. Состоит из двух основных модулей TheHive (платформа регистрации, обработки и работы над инцидентами) и Cortex (платформа для анализа и обогащения информации).

Cortex интегрирован в TheHive – является полностью автоматизированным модулем.

Для доступа в TheHive перейдите по ссылке: https://a-crc-thehive:9443

В случае необходимости, ссылка на Cortex: https://a-crc-cortex:8443

Жизненный цикл инцидента в TheHive:

  1. Описание инцидента;
  2. Деление на задачи;
  3. Обогащение данных;
  4. Отчетность по инциденту.

Для регистрации нового инцидента необходимо нажать на +New Case > Empty Case и ввести начальные сведения по данному инциденту.



  • Title — заголовок инцидента;
  • Severity — классификация угрозы инцидента (L — низкий, M — средний, H — высокий);
  • Tags — набор тегов для быстрого поиска;
  • Date — дата и время регистрации инцидента;
  • TLP — протокол для обмена конфиденциальной информацией
  • (RED — персональный, только для определенных получателей.

Например, в контексте совещания информация о RED ограничена только теми, кто присутствуют на собрании. В большинстве случаев данная информация передается лично или устно;

AMBER — ограниченное распространение.

Получатель может передавать информацию AMBER между другими членами своей организации, но только для  «необходимости знать». Предполагается, что инициатор может указать предполагаемые пределы этого совместного использования;

GREEN — общий.

Информация в этой категории может широко распространяться в рамках конкретного сообщества. Однако информация не может публиковаться или публиковаться в Интернете и не должна выходить за пределы сообщества;

WHITE  — без ограничений.

В соответствии со стандартными правилами авторского права информация  WHITE  может распространяться свободно, без ограничений.);

Description — описание инцидента.

Для создания отдельных задач для аналитиков ИБ, необходимо при создании инцидента в поле Case tasks вписать задачу и нажать Add task (необязательно выполнять данное действие при создании инцидента).

Для управления задачами есть специальная вкладка Tasks, где видно кто из пользователей работает над задачей, описание выполнения задачи и её статус.