最新Security Onion安裝指南

背景:

網(wǎng)上有不少關(guān)于snort+barnyard2+base搭建IDS的文章蜘渣,可是當(dāng)你花費數(shù)天時間,還是無法完全安裝完成時捐腿,及時當(dāng)你安裝完成發(fā)現(xiàn)不是你想要的平臺式宪躯,時間成本如何計算?

為了節(jié)約時間膳汪,本節(jié)為大家介紹的軟件叫安全洋蔥Security Onion(本文中簡稱:SO)唯蝶,它和OSSIM一樣,是基于Debian Linux的系統(tǒng)遗嗽,內(nèi)部集成了很多開源安全工具例如: OSSEC粘我、NIDS、HIDS以及各種監(jiān)控工具等等媳谁,可以讓你在一支煙的功夫完成整個系統(tǒng)建設(shè)涂滴,下面我們就一起體會一下它如何進行安裝和深層防御的吧。

為了了解這套系統(tǒng)晴音,首先得教小白如何快速安裝這套可用的IDS系統(tǒng)柔纵。先要準(zhǔn)備實驗用的ISO安裝文件(下載地址:https://sourceforge.net/projects/security-onion/)。接著進行如下操作:

1.將SO安裝到硬盤(該步不能省略)

環(huán)境:

虛擬機軟件: Vmware workstation 12

分配內(nèi)存:4G

分配網(wǎng)卡: 1塊

分配磁盤空間: 30G

從SO的iso文件引導(dǎo)系統(tǒng)锤躁,選擇live,然后等待啟動到桌面環(huán)境搁料,單擊安裝圖標(biāo)根據(jù)提示進行系統(tǒng)安裝。安裝完成重啟系統(tǒng)。

然后在root權(quán)限下使用以下命令

apt-get update && sudo apt-get dist-upgrade?? (更新安裝的軟件)郭计。

rule-update

剛裝完系統(tǒng)霸琴,會進入系統(tǒng)會啟動XFCE桌面。

圖1

點擊Setup,提示輸入密碼昭伸。

輸入當(dāng)前用戶的登錄口令梧乘,你會看到Security Onion Setup的歡迎界面,單擊Yes庐杨,Continue选调!按鈕。

接下來灵份,配置網(wǎng)絡(luò)接口仁堪。

在這個環(huán)節(jié)系統(tǒng)會自動優(yōu)化你的網(wǎng)卡,包括禁用一些有可能干擾監(jiān)聽的一些功能填渠。更多信息查看弦聂,如果此時,選擇No氛什,not right now,那么就會手動配置你的管理和監(jiān)聽接口莺葫。一般我們還是選擇Yes,configure /etc/network/interfaces屉更。

2.選擇管理接口

通常徙融,系統(tǒng)會默認(rèn)的將第一塊網(wǎng)卡設(shè)定為管理接口,如果只有一塊網(wǎng)卡瑰谜,那么管理接口和監(jiān)聽接口合二為一欺冀。

單擊OK按鈕后,通常需要給網(wǎng)卡指定靜態(tài)IP地址萨脑。除非你在DHCP中配置了靜態(tài)映射隐轩,才選擇DHCP自動獲取。

指定IP

點擊OK渤早,然后指定掩碼职车。

點擊OK,然后設(shè)定網(wǎng)關(guān)鹊杖。

點擊OK后設(shè)定DNS悴灵。

點擊OK后,在彈出設(shè)定本地域名的對話框骂蓖,我們輸入本地域名test.com积瞒。

點擊OK后系統(tǒng)給出管理接口的網(wǎng)絡(luò)配置清單。

核對無誤后點擊Yes,make changest按鈕登下,這時系統(tǒng)提示重新啟動茫孔。點擊Yes,reboot!

注意:手動修改網(wǎng)絡(luò)配置叮喳,你可以打開/etc/network/interfaces文件編輯iface eth0 inet static的配置。

編輯完成后重啟網(wǎng)絡(luò)服務(wù)缰贝。

$sudo /etc/init.d/networking restart

如果你是初學(xué)者馍悟,最好按系統(tǒng)提示重啟服務(wù)器。

3.組件安裝

當(dāng)重啟系統(tǒng)完成之后剩晴,我們再進入系統(tǒng)XFCE桌面環(huán)境锣咒。按圖1中選擇setup,彈出圖2和圖3。

選擇Yes李破,Continue按鈕后彈出宠哄。

我們選擇Yes,skip network configuration,建議初學(xué)者選擇快速配置。

點擊OK嗤攻,繼續(xù)。由于SO是使用電子郵件地址作為獨立認(rèn)證機制诽俯,下面輸入你常用電子郵箱妇菱,將被Snorby用于生成報警日志。

點擊OK按鈕后暴区,下面需要提供NSM(Network Security Monitoring)組件中Sguil模塊的用戶名闯团,SO會在其他幾款NSM工具中使用它。請務(wù)必記住仙粱。

實例中設(shè)定的用戶名為cgweb房交。

命名規(guī)則只能是字母的組合

輸入OK后伐割,下面要選擇一個字符數(shù)字的口令以供讓SO安裝的NSM軟件認(rèn)證使用候味。稍后可以通過Sguil和Snorby更改口令。

點擊OK后隔心, 確認(rèn)口令白群。

當(dāng)再次確認(rèn)口令,點擊OK按鈕后硬霍,也就是SO NSM應(yīng)用程序創(chuàng)建完了憑證帜慢,配置腳本會問你,是否想安裝企業(yè)日志搜索和歸檔ELSA唯卖。

你需要選擇Yes,enable ELSA,ELSA為NSM日志數(shù)據(jù)提供了一個搜索引擎接口粱玲。

此時,SO會提示用戶拜轨,準(zhǔn)備做好變更抽减,看你是否同意。

我們選擇繼續(xù)改變撩轰。SO要配置系統(tǒng)的時區(qū)胯甩,可以使用UTC昧廷,然后安裝與其打包在一起的所有NSM應(yīng)用程序。

接下來系統(tǒng)會自動設(shè)置偎箫,當(dāng)設(shè)置完成后木柬,你可以在/var/log/nsm/sosetup.log文件看到安裝狀態(tài)報告。

當(dāng)設(shè)置到ELSA設(shè)置環(huán)節(jié)可能會對花點時間淹办,大家需要耐心等待眉枕,最后設(shè)置完成,不必重啟系統(tǒng)怜森,可使用sostat檢查服務(wù)運行狀態(tài)速挑。

點擊OK,后彈出注意涉及IDS規(guī)則管理的內(nèi)容副硅。

有問題可以訪問下圖的站點

4.檢查安裝狀態(tài)

當(dāng)單機系統(tǒng)完成安裝姥宝,應(yīng)該采取了解安裝狀態(tài),首先打開終端恐疲,運行下面命令腊满,查看NSM代理是否在線。

如果你發(fā)現(xiàn)有組件沒有啟動成功培己,可以嘗試sudo service nsm restart命令重啟碳蛋。

在排除故障時,你還需要驗證傳感器連接到服務(wù)器的autossh隧道是否正常省咨。

注意:一個IP只能同時連接一臺SO服務(wù)器肃弟。

5.Web瀏覽器訪問

檢查通過后,你可以在瀏覽器上輸入剛分配的IP地址,https://192.168.91.228/,會打開如下SO的歡迎界面零蓉。

首次用瀏覽器登陸會遇到HTTPS證書不可信的提示笤受,因為它沒有簽名。

當(dāng)你點擊信任就不會再提示了壁公。

你可以通過這個界面來訪問Snorby NSM應(yīng)用程序感论,單擊Snorby連接,彈出如下界面紊册。

界面會顯示你的SO IP地址以及端口444比肄。Snorby會提示你輸入剛才的電子郵件地址,及口令囊陡。單擊Welcome,Singn In按鈕登錄系統(tǒng)芳绩。這時根據(jù)你傳感器部署位置不同以及網(wǎng)絡(luò)活躍程度不同,在控制面板上看到不同的流量信息撞反。

報警測試:

你在虛擬機環(huán)境下妥色,如果不會滲透測試,哪兒來的攻擊數(shù)據(jù)包遏片,系統(tǒng)怎么會報警嘹害,下面用tcpreplay來向網(wǎng)絡(luò)回放一些攻擊包的例子(這些內(nèi)容是無害的)撮竿。

#sudo tcpreplay -ieth0 -M10 /opt/samples/markofu/*.pcap

報警如下圖所示。

如對屏幕下方出現(xiàn)的兩個特定警報感興趣笔呀,那么可點擊條目查看到詳情幢踏。有比較,才知孰優(yōu)孰劣许师,具體分析會在《開源安全運維平臺OSSIM最佳實踐》一書中講解房蝉。

6.查看服務(wù)器狀態(tài)

系統(tǒng)腳本/usr/sbin/nsm可以調(diào)研nsm_server、nsm_sensor底層腳本傳遞的選項微渠,進而可以檢查服務(wù)器的狀態(tài)搭幻,輸入以下命令

那么除了status以外還有其他進程控制命令,例如start,stop以及restart

$sudo /usr/sbin/nsm_sensor --status 查看ossec_agent(sguil)狀態(tài)

清除傳感器數(shù)據(jù)

我們先查看sensor名字逞盆,然后清除

$sudo /usr/sbin/nsm_sensor_clear --sensor-name=cgweb-virtual-machine-eth0

7.刪除數(shù)據(jù)的腳本

如果你想一次刪除所有數(shù)據(jù)檀蹋,很簡單調(diào)用高級腳本/usr/sbin/nsm_all_del即可,它首先會提示用戶確認(rèn)纳击。

還有一個快速刪除命令:/usr/sbin/nsm_all_del_quick续扔,它相當(dāng)危險,因為在刪除時不會給出任何提示信息焕数。

8.升級注意事項

首先你需要了解Upgrade與dist-upgrade之間區(qū)別是什么。

如果運行upgrade,會得到一組選項刨啸,選擇dist-upgrade將會產(chǎn)生另一組徐選項堡赔。

$sudo apt-get upgrade

$sudo apt-get dist-upgrade

需要注意的是,國內(nèi)用戶升級會比較慢设联。更新系統(tǒng)需要在沒有配置系統(tǒng)之前善已,如果你將系統(tǒng)配置完畢之后,在升級系統(tǒng)离例,之前的配置文件將被覆蓋换团。所以一定要在你什么都沒有配置之前做升級工作。

(下回講解分布式IDS安裝與調(diào)試)宫蛆。

9.了解SO數(shù)據(jù)庫

當(dāng)你設(shè)置好嗅探口艘包,將洋蔥服務(wù)器接入網(wǎng)絡(luò)后,NSM就開始收集網(wǎng)絡(luò)信息耀盗。傳感器就會存儲各種數(shù)據(jù)類型想虎,下面的兩個目錄的路徑和用途大家需要了解。

/nsm ? ? ? ? ? :存儲所有日志和完整數(shù)據(jù)內(nèi)容叛拷。

SO在/nsm/sensor_data//dailylogs/YY-MM-DD/目錄中以snort.log.<時間戳>的格式文件名存儲完整內(nèi)容的數(shù)據(jù)舌厨。內(nèi)容為pcap格式。

我們看一個例子:snort.log.1474866755

log后面的數(shù)字“1474866755”表示什么意思忿薇?他是UNIX時間戳的表示方法裙椭,代表了自1970年1月1日以來過去的秒數(shù)躏哩。

轉(zhuǎn)換方法:

這個目錄如此重要,那么SO會定期檢查該目錄的可用空間揉燃,當(dāng)達到90%閾值時扫尺,會做以下幾件事:

腳本會從這個目錄移除舊的完整內(nèi)容的pcap文件,

從/nsm/bro/logs移除舊的Bro日志文件你雌。

從/nsm/sensor_data//dailylogs/argus/目錄移除舊的argus會話器联。

從/nsm/sensor_data/snort-移除舊的Snort Unified2告警文件。

這個腳本位于/usr/sbin/nsm_sensor_clean,cronjob會每小時都調(diào)用/usr/sbin/nsm_sensor_clean腳本婿崭,當(dāng)較早的數(shù)據(jù)刪除拨拓,直到磁盤使用率低于90%。

/var/lib/mysql :存儲洋蔥的數(shù)據(jù)庫氓栈。

疑問

Q:安全洋蔥能阻止入侵嗎渣磷?

A:這一點,和OSSIM一樣授瘦,不能阻止入侵醋界。

參考:

https://security-onion-solutions.github.io/security-onion/

https://github.com/Security-Onion-Solutions

http://sourceforge.net/projects/security-onion/

最后編輯于
?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請聯(lián)系作者
  • 序言:七十年代末,一起剝皮案震驚了整個濱河市提完,隨后出現(xiàn)的幾起案子形纺,更是在濱河造成了極大的恐慌,老刑警劉巖徒欣,帶你破解...
    沈念sama閱讀 211,743評論 6 492
  • 序言:濱河連續(xù)發(fā)生了三起死亡事件逐样,死亡現(xiàn)場離奇詭異,居然都是意外死亡打肝,警方通過查閱死者的電腦和手機脂新,發(fā)現(xiàn)死者居然都...
    沈念sama閱讀 90,296評論 3 385
  • 文/潘曉璐 我一進店門,熙熙樓的掌柜王于貴愁眉苦臉地迎上來粗梭,“玉大人争便,你說我怎么就攤上這事《弦剑” “怎么了滞乙?”我有些...
    開封第一講書人閱讀 157,285評論 0 348
  • 文/不壞的土叔 我叫張陵,是天一觀的道長孩锡。 經(jīng)常有香客問我酷宵,道長,這世上最難降的妖魔是什么躬窜? 我笑而不...
    開封第一講書人閱讀 56,485評論 1 283
  • 正文 為了忘掉前任浇垦,我火速辦了婚禮,結(jié)果婚禮上荣挨,老公的妹妹穿的比我還像新娘男韧。我一直安慰自己朴摊,他們只是感情好,可當(dāng)我...
    茶點故事閱讀 65,581評論 6 386
  • 文/花漫 我一把揭開白布此虑。 她就那樣靜靜地躺著甚纲,像睡著了一般。 火紅的嫁衣襯著肌膚如雪朦前。 梳的紋絲不亂的頭發(fā)上介杆,一...
    開封第一講書人閱讀 49,821評論 1 290
  • 那天,我揣著相機與錄音韭寸,去河邊找鬼春哨。 笑死,一個胖子當(dāng)著我的面吹牛恩伺,可吹牛的內(nèi)容都是我干的赴背。 我是一名探鬼主播,決...
    沈念sama閱讀 38,960評論 3 408
  • 文/蒼蘭香墨 我猛地睜開眼晶渠,長吁一口氣:“原來是場噩夢啊……” “哼凰荚!你這毒婦竟也來了?” 一聲冷哼從身側(cè)響起褒脯,我...
    開封第一講書人閱讀 37,719評論 0 266
  • 序言:老撾萬榮一對情侶失蹤便瑟,失蹤者是張志新(化名)和其女友劉穎,沒想到半個月后番川,有當(dāng)?shù)厝嗽跇淞掷锇l(fā)現(xiàn)了一具尸體胳徽,經(jīng)...
    沈念sama閱讀 44,186評論 1 303
  • 正文 獨居荒郊野嶺守林人離奇死亡,尸身上長有42處帶血的膿包…… 初始之章·張勛 以下內(nèi)容為張勛視角 年9月15日...
    茶點故事閱讀 36,516評論 2 327
  • 正文 我和宋清朗相戀三年爽彤,在試婚紗的時候發(fā)現(xiàn)自己被綠了。 大學(xué)時的朋友給我發(fā)了我未婚夫和他白月光在一起吃飯的照片缚陷。...
    茶點故事閱讀 38,650評論 1 340
  • 序言:一個原本活蹦亂跳的男人離奇死亡适篙,死狀恐怖,靈堂內(nèi)的尸體忽然破棺而出箫爷,到底是詐尸還是另有隱情嚷节,我是刑警寧澤,帶...
    沈念sama閱讀 34,329評論 4 330
  • 正文 年R本政府宣布虎锚,位于F島的核電站,受9級特大地震影響,放射性物質(zhì)發(fā)生泄漏咒林。R本人自食惡果不足惜买羞,卻給世界環(huán)境...
    茶點故事閱讀 39,936評論 3 313
  • 文/蒙蒙 一、第九天 我趴在偏房一處隱蔽的房頂上張望柱徙。 院中可真熱鬧缓屠,春花似錦奇昙、人聲如沸。這莊子的主人今日做“春日...
    開封第一講書人閱讀 30,757評論 0 21
  • 文/蒼蘭香墨 我抬頭看了看天上的太陽。三九已至滨溉,卻和暖如春什湘,著一層夾襖步出監(jiān)牢的瞬間,已是汗流浹背晦攒。 一陣腳步聲響...
    開封第一講書人閱讀 31,991評論 1 266
  • 我被黑心中介騙來泰國打工闽撤, 沒想到剛下飛機就差點兒被人妖公主榨干…… 1. 我叫王不留,地道東北人勤家。 一個月前我還...
    沈念sama閱讀 46,370評論 2 360
  • 正文 我出身青樓腹尖,卻偏偏與公主長得像,于是被迫代替她去往敵國和親伐脖。 傳聞我的和親對象是個殘疾皇子热幔,可洞房花燭夜當(dāng)晚...
    茶點故事閱讀 43,527評論 2 349

推薦閱讀更多精彩內(nèi)容