最新Security Onion安装指南

背景:

网上有不少关于snort+barnyard2+base搭建IDS的文章,可是当你花费数天时间,还是无法完全安装完成时,及时当你安装完成发现不是你想要的平台式,时间成本如何计算?

为了节约时间,本节为大家介绍的软件叫安全洋葱Security Onion(本文中简称:SO),它和OSSIM一样,是基于Debian Linux的系统,内部集成了很多开源安全工具例如: OSSEC、NIDS、HIDS以及各种监控工具等等,可以让你在一支烟的功夫完成整个系统建设,下面我们就一起体会一下它如何进行安装和深层防御的吧。

为了了解这套系统,首先得教小白如何快速安装这套可用的IDS系统。先要准备实验用的ISO安装文件(下载地址:https://sourceforge.net/projects/security-onion/)。接着进行如下操作:

1.将SO安装到硬盘(该步不能省略)

环境:

虚拟机软件: Vmware workstation 12

分配内存:4G

分配网卡: 1块

分配磁盘空间: 30G

从SO的iso文件引导系统,选择live,然后等待启动到桌面环境,单击安装图标根据提示进行系统安装。安装完成重启系统。

然后在root权限下使用以下命令

apt-get update && sudo apt-get dist-upgrade   (更新安装的软件)。

rule-update

刚装完系统,会进入系统会启动XFCE桌面。

图1

点击Setup,提示输入密码。

输入当前用户的登录口令,你会看到Security Onion Setup的欢迎界面,单击Yes,Continue!按钮。

接下来,配置网络接口

在这个环节系统会自动优化你的网卡,包括禁用一些有可能干扰监听的一些功能。更多信息查看,如果此时,选择No,not right now,那么就会手动配置你的管理和监听接口。一般我们还是选择Yes,configure /etc/network/interfaces。

2.选择管理接口

通常,系统会默认的将第一块网卡设定为管理接口,如果只有一块网卡,那么管理接口和监听接口合二为一。

单击OK按钮后,通常需要给网卡指定静态IP地址。除非你在DHCP中配置了静态映射,才选择DHCP自动获取。

指定IP

点击OK,然后指定掩码。

点击OK,然后设定网关。

点击OK后设定DNS。

点击OK后,在弹出设定本地域名的对话框,我们输入本地域名test.com。

点击OK后系统给出管理接口的网络配置清单。

核对无误后点击Yes,make changest按钮,这时系统提示重新启动。点击Yes,reboot!

注意:手动修改网络配置,你可以打开/etc/network/interfaces文件编辑iface eth0 inet static的配置。

编辑完成后重启网络服务。

$sudo /etc/init.d/networking restart

如果你是初学者,最好按系统提示重启服务器。

3.组件安装

当重启系统完成之后,我们再进入系统XFCE桌面环境。按图1中选择setup,弹出图2和图3。

选择Yes,Continue按钮后弹出。

我们选择Yes,skip network configuration,建议初学者选择快速配置。

点击OK,继续。由于SO是使用电子邮件地址作为独立认证机制,下面输入你常用电子邮箱,将被Snorby用于生成报警日志。

点击OK按钮后,下面需要提供NSM(Network Security Monitoring)组件中Sguil模块的用户名,SO会在其他几款NSM工具中使用它。请务必记住。

实例中设定的用户名为cgweb。

命名规则只能是字母的组合

输入OK后,下面要选择一个字符数字的口令以供让SO安装的NSM软件认证使用。稍后可以通过Sguil和Snorby更改口令。

点击OK后, 确认口令。

当再次确认口令,点击OK按钮后,也就是SO NSM应用程序创建完了凭证,配置脚本会问你,是否想安装企业日志搜索和归档ELSA。

你需要选择Yes,enable ELSA,ELSA为NSM日志数据提供了一个搜索引擎接口。

此时,SO会提示用户,准备做好变更,看你是否同意。

我们选择继续改变。SO要配置系统的时区,可以使用UTC,然后安装与其打包在一起的所有NSM应用程序。

接下来系统会自动设置,当设置完成后,你可以在/var/log/nsm/sosetup.log文件看到安装状态报告。

当设置到ELSA设置环节可能会对花点时间,大家需要耐心等待,最后设置完成,不必重启系统,可使用sostat检查服务运行状态。

点击OK,后弹出注意涉及IDS规则管理的内容。

有问题可以访问下图的站点

4.检查安装状态

当单机系统完成安装,应该采取了解安装状态,首先打开终端,运行下面命令,查看NSM代理是否在线。

如果你发现有组件没有启动成功,可以尝试sudo service nsm restart命令重启。

在排除故障时,你还需要验证传感器连接到服务器的autossh隧道是否正常。

注意:一个IP只能同时连接一台SO服务器。

5.Web浏览器访问

检查通过后,你可以在浏览器上输入刚分配的IP地址,https://192.168.91.228/,会打开如下SO的欢迎界面。

首次用浏览器登陆会遇到HTTPS证书不可信的提示,因为它没有签名。

当你点击信任就不会再提示了。

你可以通过这个界面来访问Snorby NSM应用程序,单击Snorby连接,弹出如下界面。

界面会显示你的SO IP地址以及端口444。Snorby会提示你输入刚才的电子邮件地址,及口令。单击Welcome,Singn In按钮登录系统。这时根据你传感器部署位置不同以及网络活跃程度不同,在控制面板上看到不同的流量信息。

报警测试:

你在虚拟机环境下,如果不会渗透测试,哪儿来的攻击数据包,系统怎么会报警,下面用tcpreplay来向网络回放一些攻击包的例子(这些内容是无害的)。

#sudo tcpreplay -ieth0 -M10 /opt/samples/markofu/*.pcap

报警如下图所示。

如对屏幕下方出现的两个特定警报感兴趣,那么可点击条目查看到详情。有比较,才知孰优孰劣,具体分析会在《开源安全运维平台OSSIM最佳实践》一书中讲解。

6.查看服务器状态

系统脚本/usr/sbin/nsm可以调研nsm_server、nsm_sensor底层脚本传递的选项,进而可以检查服务器的状态,输入以下命令

那么除了status以外还有其他进程控制命令,例如start,stop以及restart

$sudo /usr/sbin/nsm_sensor --status 查看ossec_agent(sguil)状态

清除传感器数据

我们先查看sensor名字,然后清除

$sudo /usr/sbin/nsm_sensor_clear --sensor-name=cgweb-virtual-machine-eth0

7.删除数据的脚本

如果你想一次删除所有数据,很简单调用高级脚本/usr/sbin/nsm_all_del即可,它首先会提示用户确认。

还有一个快速删除命令:/usr/sbin/nsm_all_del_quick,它相当危险,因为在删除时不会给出任何提示信息。

8.升级注意事项

首先你需要了解Upgrade与dist-upgrade之间区别是什么。

如果运行upgrade,会得到一组选项,选择dist-upgrade将会产生另一组徐选项。

$sudo apt-get upgrade

$sudo apt-get dist-upgrade

需要注意的是,国内用户升级会比较慢。更新系统需要在没有配置系统之前,如果你将系统配置完毕之后,在升级系统,之前的配置文件将被覆盖。所以一定要在你什么都没有配置之前做升级工作。

(下回讲解分布式IDS安装与调试)。

9.了解SO数据库

当你设置好嗅探口,将洋葱服务器接入网络后,NSM就开始收集网络信息。传感器就会存储各种数据类型,下面的两个目录的路径和用途大家需要了解。

/nsm           :存储所有日志和完整数据内容。

SO在/nsm/sensor_data//dailylogs/YY-MM-DD/目录中以snort.log.<时间戳>的格式文件名存储完整内容的数据。内容为pcap格式。

我们看一个例子:snort.log.1474866755

log后面的数字“1474866755”表示什么意思?他是UNIX时间戳的表示方法,代表了自1970年1月1日以来过去的秒数。

转换方法:

这个目录如此重要,那么SO会定期检查该目录的可用空间,当达到90%阈值时,会做以下几件事:

脚本会从这个目录移除旧的完整内容的pcap文件,

从/nsm/bro/logs移除旧的Bro日志文件。

从/nsm/sensor_data//dailylogs/argus/目录移除旧的argus会话。

从/nsm/sensor_data/snort-移除旧的Snort Unified2告警文件。

这个脚本位于/usr/sbin/nsm_sensor_clean,cronjob会每小时都调用/usr/sbin/nsm_sensor_clean脚本,当较早的数据删除,直到磁盘使用率低于90%。

/var/lib/mysql :存储洋葱的数据库。

疑问

Q:安全洋葱能阻止入侵吗?

A:这一点,和OSSIM一样,不能阻止入侵。

参考:

https://security-onion-solutions.github.io/security-onion/

https://github.com/Security-Onion-Solutions

http://sourceforge.net/projects/security-onion/

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 204,732评论 6 478
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 87,496评论 2 381
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 151,264评论 0 338
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 54,807评论 1 277
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 63,806评论 5 368
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 48,675评论 1 281
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 38,029评论 3 399
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 36,683评论 0 258
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 41,704评论 1 299
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 35,666评论 2 321
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 37,773评论 1 332
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 33,413评论 4 321
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 39,016评论 3 307
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 29,978评论 0 19
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 31,204评论 1 260
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 45,083评论 2 350
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 42,503评论 2 343

推荐阅读更多精彩内容