快速安裝可視化IDS系統Security Onion

時間  2020-01-23
標籤 快速 安裝 可視化 ids 系統 security onion 简体版
原文   原文鏈接

快速安裝可視化IDS系統Security Onionmysql

背景:git

網上有很多關於snort+barnyard2+base搭建IDS的文章,但是當你花費數天時間,仍是沒法徹底安裝完成時,及時當你安裝完成發現不是你想要的平臺式,時間成本如何計算?github


       爲了節約時間,本節爲你們介紹的軟件叫安全洋蔥Security Onion(本文中簡稱:SO),它和OSSIM同樣,是基於Debian Linux的系統,內部集成了不少開源安全工具例如: OSSEC、NIDS、HIDS以及各類監控工具等等,可讓你在一支菸的功夫完成整個系統建設,下面咱們就一塊兒體會一下它如何進行安裝和深層防護的吧。
web

wKiom1dJBNzxxVBkAAF_icwFlK0877.png


爲了瞭解這套系統,首先得教小白如何快速安裝這套可用的IDS系統。先要準備實驗用的ISO安裝文件(下載地址:https://sourceforge.net/projects/security-onion/  )。接着進行以下操做:sql

 

1.將SO安裝到硬盤 (該步不能省略)數據庫

 

環境:瀏覽器

虛擬機軟件: Vmware workstation 12安全

分配內存:4G服務器

分配網卡: 1塊網絡

分配磁盤空間: 30G


從SO的iso文件引導系統,選擇live,而後等待啓動到桌面環境,單擊安裝圖標根據提示進行系統安裝。安裝完成重啓系統。

而後在root權限下使用如下命令

apt-get update && sudo apt-get dist-upgrade   (更新安裝的軟件)。

rule-update

剛裝完系統,會進入系統會啓動XFCE桌面。

clip_image002

圖1

點擊Setup,提示輸入密碼。

clip_image004


輸入當前用戶的登陸口令,你會看到Security Onion Setup的歡迎界面,單擊Yes,Continue!按鈕。

clip_image005


接下來,配置網絡接口

clip_image007

在這個環節系統會自動優化你的網卡,包括禁用一些有可能干擾監聽的一些功能。更多信息查看,若是此時,選擇No,not right now,那麼就會手動配置你的管理和監聽接口。通常咱們仍是選擇Yes,configure /etc/network/interfaces。

 

2.選擇管理接口

 

一般,系統會默認的將第一塊網卡設定爲管理接口,若是隻有一塊網卡,那麼管理接口和監聽接口合二爲一。

clip_image009

單擊OK按鈕後,一般須要給網卡指定靜態IP地址。除非你在DHCP中配置了靜態映射,才選擇DHCP自動獲取。

clip_image010

指定IP

clip_image011

點擊OK,而後指定掩碼。

clip_image012

點擊OK,而後設定網關。

clip_image013

點擊OK後設定DNS。

clip_image014

點擊OK後,在彈出設定本地域名的對話框,咱們輸入本地域名test.com。

clip_image015

點擊OK後系統給出管理接口的網絡配置清單。

clip_image017

覈對無誤後點擊Yes,make changest按鈕,這時系統提示從新啓動。點擊Yes,reboot!

clip_image019

注意:手動修改網絡配置,你能夠打開/etc/network/interfaces文件編輯iface eth0 inet static的配置。

編輯完成後重啓網絡服務。

$sudo /etc/init.d/networking restart

若是你是初學者,最好按系統提示重啓服務器。


3.組件安裝


當重啓系統完成以後,咱們再進入系統XFCE桌面環境。按圖1中選擇setup,彈出圖2和圖3。

選擇Yes,Continue按鈕後彈出。

clip_image021

咱們選擇Yes,skip network configuration,建議初學者選擇快速配置。

clip_image023

點擊OK,繼續。因爲SO是使用電子郵件地址做爲獨立認證機制,下面輸入你經常使用電子郵箱,將被Snorby用於生成報警日誌。

clip_image024

點擊OK按鈕後,下面須要提供NSM(Network Security Monitoring)組件中Sguil模塊的用戶名,SO會在其餘幾款NSM工具中使用它。請務必記住。

clip_image025

實例中設定的用戶名爲cgweb。

 

命名規則只能是字母的組合

 

輸入OK後,下面要選擇一個字符數字的口令以供讓SO安裝的NSM軟件認證使用。稍後能夠經過Sguil和Snorby更改口令。

clip_image027

點擊OK後, 確認口令。

clip_image028

當再次確認口令,點擊OK按鈕後,也就是SO NSM應用程序建立完了憑證,配置腳本會問你,是否想安裝企業日誌搜索和歸檔ELSA。

clip_image030

你須要選擇Yes,enable ELSA,ELSA爲NSM日誌數據提供了一個搜索引擎接口。

此時,SO會提示用戶,準備作好變動,看你是否贊成。

clip_image031

咱們選擇繼續改變。SO要配置系統的時區,可使用UTC,而後安裝與其打包在一塊兒的全部NSM應用程序。

clip_image032

接下來系統會自動設置,當設置完成後,你能夠在/var/log/nsm/sosetup.log文件看到安裝狀態報告。

clip_image033


當設置到ELSA設置環節可能會對花點時間,你們須要耐心等待,最後設置完成,沒必要重啓系統,可以使用sostat檢查服務運行狀態。


wKiom1dKlmzBSR1uAAEpdFHm13I074.png

clip_image035

點擊OK,後彈出注意涉及IDS規則管理的內容。

clip_image036

有問題能夠訪問下圖的站點

clip_image037

 

4.檢查安裝狀態

 

當單機系統完成安裝,應該採起了解安裝狀態,首先打開終端,運行下面命令,查看NSM代理是否在線。

clip_image039

若是你發現有組件沒有啓動成功,能夠嘗試sudo service nsm restart命令重啓。

在排除故障時,你還須要驗證傳感器鏈接到服務器的autossh隧道是否正常。

注意:一個IP只能同時鏈接一臺SO服務器。

 

5.Web瀏覽器訪問

 

檢查經過後,你能夠在瀏覽器上輸入剛分配的IP地址,https://192.168.91.228/,會打開以下SO的歡迎界面。

首次用瀏覽器登錄會遇到HTTPS證書不可信的提示,由於它沒有簽名。

clip_image041

當你點擊信任就不會再提示了。

clip_image043

你能夠經過這個界面來訪問Snorby NSM應用程序,單擊Snorby鏈接,彈出以下界面。

clip_image045

界面會顯示你的SO IP地址以及端口444。Snorby會提示你輸入剛纔的電子郵件地址,及口令。單擊Welcome,Singn In按鈕登陸系統。這時根據你傳感器部署位置不一樣以及網絡活躍程度不一樣,在控制面板上看到不一樣的流量信息。

clip_image047

wKioL1dKmdnQPGV9AAUMJ4zUSZY048.png-wh_50


報警測試:

你在虛擬機環境下,若是不會***測試,哪兒來的***數據包,系統怎麼會報警,下面用tcpreplay來向網絡回放一些***包的例子(這些內容是無害的)。

#sudo tcpreplay -ieth0 -M10 /opt/samples/markofu/*.pcap

報警以下圖所示。

wKiom1dKmSDjK2VdAATIPby-dEY922.png-wh_50


   如對屏幕下方出現的兩個特定警報感興趣,那麼可點擊條目查看到詳情。有比較,才知孰優孰劣,具體分析會在《開源安全運維平臺OSSIM最佳實踐》一書中講解。


6.查看服務器狀態

系統腳本/usr/sbin/nsm能夠調研nsm_server、nsm_sensor底層腳本傳遞的選項,進而能夠檢查服務器的狀態,輸入如下命令

wKioL1fsnlfQlDl2AABfqqN02k8677.jpg-wh_50

那麼除了status之外還有其餘進程控制命令,例如start,stop以及restart

$sudo /usr/sbin/nsm_sensor --status 查看ossec_agent(sguil)狀態

清除傳感器數據

wKioL1fsodTBEjQMAAB4Gh6Ud6s045.jpg咱們先查看sensor名字,而後清除

$sudo /usr/sbin/nsm_sensor_clear --sensor-name=cgweb-virtual-machine-eth0

wKiom1fsoi7Rgop9AABUb1A2dYM801.jpg


7.刪除數據的腳本

若是你想一次刪除全部數據,很簡單調用高級腳本/usr/sbin/nsm_all_del便可,它首先會提示用戶確認。

wKiom1fsnzzxhUXhAACGC6nqeVE833.jpg

還有一個快速刪除命令:/usr/sbin/nsm_all_del_quick,它至關危險,由於在刪除時不會給出任何提示信息。


8.升級注意事項


首先你須要瞭解Upgrade與dist-upgrade之間區別是什麼。

若是運行upgrade,會獲得一組選項,選擇dist-upgrade將會產生另外一組徐選項。

$sudo apt-get upgrade

$sudo apt-get dist-upgrade

wKioL1fov9LhvuP4AAGF5MCHLO0983.jpg

須要注意的是,國內用戶升級會比較慢。更新系統須要在沒有配置系統以前,若是你將系統配置完畢以後,在升級系統,以前的配置文件將被覆蓋。因此必定要在你什麼都沒有配置以前作升級工做。

(下回講解分佈式IDS安裝與調試)。


9.瞭解SO數據庫


當你設置好嗅探口,將洋蔥服務器接入網絡後,NSM就開始收集網絡信息。傳感器就會存儲各類數據類型,下面的兩個目錄的路徑和用途你們須要瞭解。

/nsm           :存儲全部日誌和完整數據內容。


  SO在/nsm/sensor_data/<sensorname-interface>/dailylogs/YY-MM-DD/目錄中以snort.log.<時間戳>的格式文件名存儲完整內容的數據。內容爲pcap格式。

wKiom1fouqHS29PTAAAqfwNkUv0728.jpg

咱們看一個例子:snort.log.1474866755

log後面的數字「1474866755」表示什麼意思?他是UNIX時間戳的表示方法,表明了自1970年1月1日以來過去的秒數。

轉換方法:

wKioL1fou0WzhcB_AAAXB3idLgk588.jpg

這個目錄如此重要,那麼SO會按期檢查該目錄的可用空間,當達到90%閾值時,會作如下幾件事:

  • 腳本會從這個目錄移除舊的完整內容的pcap文件,

  • 從/nsm/bro/logs移除舊的Bro日誌文件。

  • 從/nsm/sensor_data/<sensorname-interface>/dailylogs/argus/目錄移除舊的argus會話。

  • 從/nsm/sensor_data/<sensorname-interface>snort-<instancenumber>移除舊的Snort Unified2告警文件。


這個腳本位於/usr/sbin/nsm_sensor_clean,cronjob會每小時都調用/usr/sbin/nsm_sensor_clean腳本,當較早的數據刪除,直到磁盤使用率低於90%。


/var/lib/mysql :存儲洋蔥的數據庫。

wKioL1fovHGASqCvAAAtmJ4gLQc292.jpg



重要配置文件說明

Secrity Onion 可修改通用配置文件路徑

/etc/nsm/securityonion.conf


SO工具臨時配置保存在/etc/nsm/templates/

用於包過濾配置文件 /etc/nsm/rules/bpf.conf

IDS 規則保存在/etc/nsm/rules

PulledPort配置文件保存在/etc/nsm/pulledpork/pulledpork.conf





疑問

Q:安全洋蔥能阻止***嗎?

A:這一點,和OSSIM同樣,不能阻止***。

 

 

 參考:

https://github.com/Security-Onion-Solutions

http://sourceforge.net/projects/security-onion/

相關文章
相關標籤/搜索
每日一句
    每一个你不满意的现在,都有一个你没有努力的曾经。
本站公眾號
   歡迎關注本站公眾號,獲取更多信息
聯繫我們 最近搜索 最新文章 沪ICP备13005482号-10 MyBatis教程 SQL 教程 MySQL教程 Java 教程 Thymeleaf 教程 Hibernate教程 Spring教程 Redis教程