快速安裝可視化IDS系統

快速安裝可視化IDS系統web

       本節爲你們介紹的軟件叫安全洋蔥Security Onion,根OSSIM同樣,它是基於DebianLinux的系統,內部集成了不少開源安全工具,NIDS、HIDS、各類監控工具等等,下面咱們就一塊兒體會一下它如何進行深層防護。瀏覽器

wKiom1dJBNzxxVBkAAF_icwFlK0877.png

 

爲了瞭解這套系統,首先得教小白如何快速安裝這套可用的IDS系統。先要準備實驗用的ISO安裝文件(下載地址:https://sourceforge.net/projects/security-onion/  )。接着進行以下操做:安全

1.將SO安裝到硬盤服務器

從SO的iso文件引導系統,選擇live,而後等待啓動到桌面環境,單擊安裝圖標根據提示進行系統安裝。安裝完成重啓系統。網絡

而後使用如下命令運維

$sudo apt-get update && sudo apt-get dist-upgrade   (更新安裝的軟件)。ssh

剛裝完系統,會進入系統會啓動XFCE桌面。工具

clip_image002

圖1優化

點擊Setup,提示輸入密碼。ui

clip_image004

 

輸入當前用戶的登陸口令,你會看到Security Onion Setup的歡迎界面,單擊Yes,Continue!按鈕。

clip_image005

 

接下來,配置網絡接口

clip_image007

在這個環節系統會自動優化你的網卡,包括禁用一些有可能干擾監聽的一些功能。更多信息查看,若是此時,選擇No,not right now,那麼就會手動配置你的管理和監聽接口。通常咱們仍是選擇Yes,configure /etc/network/interfaces。

2.選擇管理接口

一般,系統會默認的將第一塊網卡設定爲管理接口,若是隻有一塊網卡,那麼管理接口和監聽接口合二爲一。

clip_image009

單擊OK按鈕後,一般須要給網卡指定靜態IP地址。除非你在DHCP中配置了靜態映射,才選擇DHCP自動獲取。

clip_image010

指定IP

clip_image011

點擊OK,而後指定掩碼。

clip_image012

點擊OK,而後設定網關。

clip_image013

點擊OK後設定DNS。

clip_image014

點擊OK後,在彈出設定本地域名的對話框,咱們輸入本地域名test.com。

clip_image015

點擊OK後系統給出管理接口的網絡配置清單。

clip_image017

覈對無誤後點擊Yes,make changest按鈕,這時系統提示從新啓動。點擊Yes,reboot!

clip_image019

注意:手動修改網絡配置,你能夠打開/etc/network/interfaces文件編輯iface eth0 inet static的配置。

編輯完成後重啓網絡服務。

$sudo /etc/init.d/networking restart

3.組件安裝

重啓系統以後,咱們再進入系統XFCE桌面環境。按圖1中選擇setup,彈出圖2和圖3。

選擇Yes,Continue按鈕後彈出。

clip_image021

咱們選擇Yes,skip network configuration,建議初學者選擇快速配置。

clip_image023

點擊OK,繼續。因爲SO是使用電子郵件地址做爲獨立認證機制,下面輸入你經常使用電子郵箱,將被Snorby用於生成報警日誌。

clip_image024

點擊OK按鈕後,下面須要提供NSM組件中Sguil模塊的用戶名,SO會在其餘幾款NSM工具中使用它。請務必記住。

clip_image025

實例中設定的用戶名爲cgweb。

命名規則只能是字母的組合

輸入OK後,下面要選擇一個字符數字的口令以供讓SO安裝的NSM軟件認證使用。稍後能夠經過Sguil和Snorby更改口令。

clip_image027

點擊OK後, 確認口令。

clip_image028

當再次確認口令,點擊OK按鈕後,也就是SO NSM應用程序建立完了憑證,配置腳本會問你,是否想安裝企業日誌搜索和歸檔ELSA。

clip_image030

你須要選擇Yes,enable ELSA,ELSA爲NSM日誌數據提供了一個搜索引擎接口。

此時,SO會提示用戶,準備作好變動,看你是否贊成。

clip_image031

咱們選擇繼續改變。SO要配置系統的時區,可使用UTC,而後安裝與其打包在一塊兒的全部NSM應用程序。

clip_image032

接下來系統會自動設置,當設置完成後,你能夠在/var/log/nsm/sosetup.log文件看到安裝狀態報告。

clip_image033

可以使用sostat檢查服務運行狀態。

clip_image035

點擊OK,後彈出注意涉及IDS規則管理的內容。

clip_image036

有問題能夠訪問下圖的站點

clip_image037

4.檢查安裝狀態

當單機系統完成安裝,應該採起了解安裝狀態,首先打開終端,運行下面命令,查看NSM代理是否在線。

clip_image039

若是你發現有組件沒有啓動成功,能夠嘗試sudo service nsm restart命令重啓。

在排除故障時,你還須要驗證傳感器鏈接到服務器的autossh隧道是否正常。

注意:一個IP只能同時鏈接一臺SO服務器。

5.Web瀏覽器訪問

檢查經過後,你能夠在瀏覽器上輸入剛分配的IP地址,https://192.168.91.228/,會打開以下SO的歡迎界面。

首次用瀏覽器登錄會遇到HTTPS證書不可信的提示,由於它沒有簽名。

clip_image041

當你點擊信任就不會再提示了。

clip_image043

你能夠經過這個界面來訪問Snorby NSM應用程序,單擊Snorby鏈接,彈出以下界面。

clip_image045

界面會顯示你的SO IP地址以及端口444。Snorby會提示你輸入剛纔的電子郵件地址,及口令。單擊Welcome,Singn In按鈕登陸系統。這時根據你傳感器部署位置不一樣以及網絡活躍程度不一樣,在控制面板上看到不一樣的流量信息。

clip_image047

如對屏幕下方出現的兩個特定警報感興趣,那麼可點擊條目查看到詳情。具體分析會在《開源安全運維平臺OSSIM最佳實踐》一書中講解。

6.升級注意事項

首先你須要瞭解Upgrade與dist-upgrade之間區別是什麼。

若是運行upgrade,會獲得一組選項,選擇dist-upgrade將會產生另外一組徐選項。

$sudo apt-get upgrade

相關文章
相關標籤/搜索