背景:
網(wǎng)上有不少關(guān)于snort+barnyard2+base搭建IDS的文章蜘渣,可是當(dāng)你花費數(shù)天時間,還是無法完全安裝完成時捐腿,及時當(dāng)你安裝完成發(fā)現(xiàn)不是你想要的平臺式宪躯,時間成本如何計算?
為了節(jié)約時間膳汪,本節(jié)為大家介紹的軟件叫安全洋蔥Security Onion(本文中簡稱:SO)唯蝶,它和OSSIM一樣,是基于Debian Linux的系統(tǒng)遗嗽,內(nèi)部集成了很多開源安全工具例如: OSSEC粘我、NIDS、HIDS以及各種監(jiān)控工具等等媳谁,可以讓你在一支煙的功夫完成整個系統(tǒng)建設(shè)涂滴,下面我們就一起體會一下它如何進行安裝和深層防御的吧。
為了了解這套系統(tǒng)晴音,首先得教小白如何快速安裝這套可用的IDS系統(tǒng)柔纵。先要準(zhǔn)備實驗用的ISO安裝文件(下載地址:https://sourceforge.net/projects/security-onion/)。接著進行如下操作:
1.將SO安裝到硬盤(該步不能省略)
環(huán)境:
虛擬機軟件: Vmware workstation 12
分配內(nèi)存:4G
分配網(wǎng)卡: 1塊
分配磁盤空間: 30G
從SO的iso文件引導(dǎo)系統(tǒng)锤躁,選擇live,然后等待啟動到桌面環(huán)境搁料,單擊安裝圖標(biāo)根據(jù)提示進行系統(tǒng)安裝。安裝完成重啟系統(tǒng)。
apt-get update && sudo apt-get dist-upgrade?? (更新安裝的軟件)郭计。
rule-update
剛裝完系統(tǒng)霸琴,會進入系統(tǒng)會啟動XFCE桌面。
圖1
點擊Setup,提示輸入密碼昭伸。
輸入當(dāng)前用戶的登錄口令梧乘,你會看到Security Onion Setup的歡迎界面,單擊Yes庐杨,Continue选调!按鈕。
接下來灵份,配置網(wǎng)絡(luò)接口仁堪。
在這個環(huán)節(jié)系統(tǒng)會自動優(yōu)化你的網(wǎng)卡,包括禁用一些有可能干擾監(jiān)聽的一些功能填渠。更多信息查看弦聂,如果此時,選擇No氛什,not right now,那么就會手動配置你的管理和監(jiān)聽接口莺葫。一般我們還是選擇Yes,configure /etc/network/interfaces屉更。
2.選擇管理接口
通常徙融,系統(tǒng)會默認(rèn)的將第一塊網(wǎng)卡設(shè)定為管理接口,如果只有一塊網(wǎng)卡瑰谜,那么管理接口和監(jiān)聽接口合二為一欺冀。
單擊OK按鈕后,通常需要給網(wǎng)卡指定靜態(tài)IP地址萨脑。除非你在DHCP中配置了靜態(tài)映射隐轩,才選擇DHCP自動獲取。
指定IP
點擊OK渤早,然后指定掩碼职车。
點擊OK,然后設(shè)定網(wǎng)關(guān)鹊杖。
點擊OK后設(shè)定DNS悴灵。
點擊OK后,在彈出設(shè)定本地域名的對話框骂蓖,我們輸入本地域名test.com积瞒。
點擊OK后系統(tǒng)給出管理接口的網(wǎng)絡(luò)配置清單。
核對無誤后點擊Yes,make changest按鈕登下,這時系統(tǒng)提示重新啟動茫孔。點擊Yes,reboot!
注意:手動修改網(wǎng)絡(luò)配置叮喳,你可以打開/etc/network/interfaces文件編輯iface eth0 inet static的配置。
編輯完成后重啟網(wǎng)絡(luò)服務(wù)缰贝。
$sudo /etc/init.d/networking restart
如果你是初學(xué)者馍悟,最好按系統(tǒng)提示重啟服務(wù)器。
3.組件安裝
當(dāng)重啟系統(tǒng)完成之后剩晴,我們再進入系統(tǒng)XFCE桌面環(huán)境锣咒。按圖1中選擇setup,彈出圖2和圖3。
選擇Yes李破,Continue按鈕后彈出宠哄。
我們選擇Yes,skip network configuration,建議初學(xué)者選擇快速配置。
點擊OK嗤攻,繼續(xù)。由于SO是使用電子郵件地址作為獨立認(rèn)證機制诽俯,下面輸入你常用電子郵箱妇菱,將被Snorby用于生成報警日志。
點擊OK按鈕后暴区,下面需要提供NSM(Network Security Monitoring)組件中Sguil模塊的用戶名闯团,SO會在其他幾款NSM工具中使用它。請務(wù)必記住仙粱。
實例中設(shè)定的用戶名為cgweb房交。
注:命名規(guī)則只能是字母的組合。
輸入OK后伐割,下面要選擇一個字符數(shù)字的口令以供讓SO安裝的NSM軟件認(rèn)證使用候味。稍后可以通過Sguil和Snorby更改口令。
點擊OK后隔心, 確認(rèn)口令白群。
當(dāng)再次確認(rèn)口令,點擊OK按鈕后硬霍,也就是SO NSM應(yīng)用程序創(chuàng)建完了憑證帜慢,配置腳本會問你,是否想安裝企業(yè)日志搜索和歸檔ELSA唯卖。
你需要選擇Yes,enable ELSA,ELSA為NSM日志數(shù)據(jù)提供了一個搜索引擎接口粱玲。
此時,SO會提示用戶拜轨,準(zhǔn)備做好變更抽减,看你是否同意。
我們選擇繼續(xù)改變撩轰。SO要配置系統(tǒng)的時區(qū)胯甩,可以使用UTC昧廷,然后安裝與其打包在一起的所有NSM應(yīng)用程序。
接下來系統(tǒng)會自動設(shè)置偎箫,當(dāng)設(shè)置完成后木柬,你可以在/var/log/nsm/sosetup.log文件看到安裝狀態(tài)報告。
當(dāng)設(shè)置到ELSA設(shè)置環(huán)節(jié)可能會對花點時間淹办,大家需要耐心等待眉枕,最后設(shè)置完成,不必重啟系統(tǒng)怜森,可使用sostat檢查服務(wù)運行狀態(tài)速挑。
點擊OK,后彈出注意涉及IDS規(guī)則管理的內(nèi)容副硅。
有問題可以訪問下圖的站點
4.檢查安裝狀態(tài)
當(dāng)單機系統(tǒng)完成安裝姥宝,應(yīng)該采取了解安裝狀態(tài),首先打開終端恐疲,運行下面命令腊满,查看NSM代理是否在線。
如果你發(fā)現(xiàn)有組件沒有啟動成功培己,可以嘗試sudo service nsm restart命令重啟碳蛋。
在排除故障時,你還需要驗證傳感器連接到服務(wù)器的autossh隧道是否正常省咨。
注意:一個IP只能同時連接一臺SO服務(wù)器肃弟。
5.Web瀏覽器訪問
檢查通過后,你可以在瀏覽器上輸入剛分配的IP地址,https://192.168.91.228/,會打開如下SO的歡迎界面零蓉。
首次用瀏覽器登陸會遇到HTTPS證書不可信的提示笤受,因為它沒有簽名。
當(dāng)你點擊信任就不會再提示了壁公。
你可以通過這個界面來訪問Snorby NSM應(yīng)用程序感论,單擊Snorby連接,彈出如下界面紊册。
界面會顯示你的SO IP地址以及端口444比肄。Snorby會提示你輸入剛才的電子郵件地址,及口令囊陡。單擊Welcome,Singn In按鈕登錄系統(tǒng)芳绩。這時根據(jù)你傳感器部署位置不同以及網(wǎng)絡(luò)活躍程度不同,在控制面板上看到不同的流量信息撞反。
報警測試:
你在虛擬機環(huán)境下妥色,如果不會滲透測試,哪兒來的攻擊數(shù)據(jù)包遏片,系統(tǒng)怎么會報警嘹害,下面用tcpreplay來向網(wǎng)絡(luò)回放一些攻擊包的例子(這些內(nèi)容是無害的)撮竿。
#sudo tcpreplay -ieth0 -M10 /opt/samples/markofu/*.pcap
報警如下圖所示。
如對屏幕下方出現(xiàn)的兩個特定警報感興趣笔呀,那么可點擊條目查看到詳情幢踏。有比較,才知孰優(yōu)孰劣许师,具體分析會在《開源安全運維平臺OSSIM最佳實踐》一書中講解房蝉。
6.查看服務(wù)器狀態(tài)
系統(tǒng)腳本/usr/sbin/nsm可以調(diào)研nsm_server、nsm_sensor底層腳本傳遞的選項微渠,進而可以檢查服務(wù)器的狀態(tài)搭幻,輸入以下命令
那么除了status以外還有其他進程控制命令,例如start,stop以及restart
$sudo /usr/sbin/nsm_sensor --status 查看ossec_agent(sguil)狀態(tài)
清除傳感器數(shù)據(jù)
$sudo /usr/sbin/nsm_sensor_clear --sensor-name=cgweb-virtual-machine-eth0
7.刪除數(shù)據(jù)的腳本
如果你想一次刪除所有數(shù)據(jù)檀蹋,很簡單調(diào)用高級腳本/usr/sbin/nsm_all_del即可,它首先會提示用戶確認(rèn)纳击。
還有一個快速刪除命令:/usr/sbin/nsm_all_del_quick续扔,它相當(dāng)危險,因為在刪除時不會給出任何提示信息焕数。
8.升級注意事項
首先你需要了解Upgrade與dist-upgrade之間區(qū)別是什么。
如果運行upgrade,會得到一組選項刨啸,選擇dist-upgrade將會產(chǎn)生另一組徐選項堡赔。
$sudo apt-get upgrade
$sudo apt-get dist-upgrade
需要注意的是,國內(nèi)用戶升級會比較慢设联。更新系統(tǒng)需要在沒有配置系統(tǒng)之前善已,如果你將系統(tǒng)配置完畢之后,在升級系統(tǒng)离例,之前的配置文件將被覆蓋换团。所以一定要在你什么都沒有配置之前做升級工作。
(下回講解分布式IDS安裝與調(diào)試)宫蛆。
9.了解SO數(shù)據(jù)庫
當(dāng)你設(shè)置好嗅探口艘包,將洋蔥服務(wù)器接入網(wǎng)絡(luò)后,NSM就開始收集網(wǎng)絡(luò)信息耀盗。傳感器就會存儲各種數(shù)據(jù)類型想虎,下面的兩個目錄的路徑和用途大家需要了解。
/nsm ? ? ? ? ? :存儲所有日志和完整數(shù)據(jù)內(nèi)容叛拷。
SO在/nsm/sensor_data//dailylogs/YY-MM-DD/目錄中以snort.log.<時間戳>的格式文件名存儲完整內(nèi)容的數(shù)據(jù)舌厨。內(nèi)容為pcap格式。
我們看一個例子:snort.log.1474866755
log后面的數(shù)字“1474866755”表示什么意思忿薇?他是UNIX時間戳的表示方法裙椭,代表了自1970年1月1日以來過去的秒數(shù)躏哩。
轉(zhuǎn)換方法:
這個目錄如此重要,那么SO會定期檢查該目錄的可用空間揉燃,當(dāng)達到90%閾值時扫尺,會做以下幾件事:
腳本會從這個目錄移除舊的完整內(nèi)容的pcap文件,
從/nsm/bro/logs移除舊的Bro日志文件你雌。
從/nsm/sensor_data//dailylogs/argus/目錄移除舊的argus會話器联。
從/nsm/sensor_data/snort-移除舊的Snort Unified2告警文件。
這個腳本位于/usr/sbin/nsm_sensor_clean,cronjob會每小時都調(diào)用/usr/sbin/nsm_sensor_clean腳本婿崭,當(dāng)較早的數(shù)據(jù)刪除拨拓,直到磁盤使用率低于90%。
/var/lib/mysql :存儲洋蔥的數(shù)據(jù)庫氓栈。
疑問:
Q:安全洋蔥能阻止入侵嗎渣磷?
A:這一點,和OSSIM一樣授瘦,不能阻止入侵醋界。
參考:
https://security-onion-solutions.github.io/security-onion/