- 論壇徽章:
- 6
|
本帖最后由 cgweb 于 2016-06-14 09:36 編輯
快速安裝可視化IDS系統(tǒng)
Security Onion安裝視頻操作 :http://www.tudou.com/programs/view/pMKCpEyqSJ8
6-13.jpg (40.37 KB, 下載次數(shù): 167)
下載附件
2016-06-14 09:36 上傳
本節(jié)為大家介紹的軟件叫安全洋蔥Security Onion����,根OSSIM一樣,它是基于DebianLinux的系統(tǒng)����,內(nèi)部集成了很多開源安全工具,NIDS����、HIDS、各種監(jiān)控工具等等��,下面我們就一起體會(huì)一下它如何進(jìn)行深層防御�。
為了了解這套系統(tǒng)�����,首先得教小白如何快速安裝這套可用的IDS系統(tǒng)。先要準(zhǔn)備實(shí)驗(yàn)用的ISO安裝文件(下載地址:https://sourceforge.net/projects/security-onion/ )���。接著進(jìn)行如下操作:
1.將SO安裝到硬盤
環(huán)境:
虛擬機(jī)軟件: Vmware workstation 12
分配內(nèi)存:4G
分配網(wǎng)卡: 1塊
分配磁盤空間: 30G
從SO的iso文件引導(dǎo)系統(tǒng),選擇live,然后等待啟動(dòng)到桌面環(huán)境���,單擊安裝圖標(biāo)根據(jù)提示進(jìn)行系統(tǒng)安裝。安裝完成重啟系統(tǒng)�����。
然后在root權(quán)限下使用以下命令
apt-get update && sudo apt-get dist-upgrade (更新安裝的軟件)�����。
剛裝完系統(tǒng)���,會(huì)進(jìn)入系統(tǒng)會(huì)啟動(dòng)XFCE桌面�����。
clip_image002
圖1
點(diǎn)擊Setup,提示輸入密碼����。
clip_image004
輸入當(dāng)前用戶的登錄口令��,你會(huì)看到Security Onion Setup的歡迎界面��,單擊Yes��,Continue��!按鈕��。
clip_image005
接下來�����,配置網(wǎng)絡(luò)接口�����。
clip_image007
在這個(gè)環(huán)節(jié)系統(tǒng)會(huì)自動(dòng)優(yōu)化你的網(wǎng)卡����,包括禁用一些有可能干擾監(jiān)聽的一些功能。更多信息查看�,如果此時(shí),選擇No���,not right now,那么就會(huì)手動(dòng)配置你的管理和監(jiān)聽接口。一般我們還是選擇Yes�,configure /etc/network/interfaces�����。
2.選擇管理接口
通常���,系統(tǒng)會(huì)默認(rèn)的將第一塊網(wǎng)卡設(shè)定為管理接口����,如果只有一塊網(wǎng)卡����,那么管理接口和監(jiān)聽接口合二為一��。
clip_image009
單擊OK按鈕后���,通常需要給網(wǎng)卡指定靜態(tài)IP地址。除非你在DHCP中配置了靜態(tài)映射�,才選擇DHCP自動(dòng)獲取����。
clip_image010
指定IP
clip_image011
點(diǎn)擊OK��,然后指定掩碼�。
clip_image012
點(diǎn)擊OK,然后設(shè)定網(wǎng)關(guān)��。
clip_image013
點(diǎn)擊OK后設(shè)定DNS���。
clip_image014
點(diǎn)擊OK后����,在彈出設(shè)定本地域名的對(duì)話框�,我們輸入本地域名test.com。
clip_image015
點(diǎn)擊OK后系統(tǒng)給出管理接口的網(wǎng)絡(luò)配置清單�����。
clip_image017
核對(duì)無誤后點(diǎn)擊Yes,make changest按鈕,這時(shí)系統(tǒng)提示重新啟動(dòng)�。點(diǎn)擊Yes,reboot!
clip_image019
注意:手動(dòng)修改網(wǎng)絡(luò)配置,你可以打開/etc/network/interfaces文件編輯iface eth0 inet static的配置���。
編輯完成后重啟網(wǎng)絡(luò)服務(wù)�。
$sudo /etc/init.d/networking restart
如果你是初學(xué)者��,最好按系統(tǒng)提示重啟服務(wù)器�。
3.組件安裝
當(dāng)重啟系統(tǒng)完成之后,我們?cè)龠M(jìn)入系統(tǒng)XFCE桌面環(huán)境�����。按圖1中選擇setup,彈出圖2和圖3�。
選擇Yes�����,Continue按鈕后彈出���。
clip_image021
我們選擇Yes,skip network configuration,建議初學(xué)者選擇快速配置��。
clip_image023
點(diǎn)擊OK�,繼續(xù)。由于SO是使用電子郵件地址作為獨(dú)立認(rèn)證機(jī)制����,下面輸入你常用電子郵箱,將被Snorby用于生成報(bào)警日志�����。
clip_image024
點(diǎn)擊OK按鈕后���,下面需要提供NSM組件中Sguil模塊的用戶名,SO會(huì)在其他幾款NSM工具中使用它����。請(qǐng)務(wù)必記住。
clip_image025
實(shí)例中設(shè)定的用戶名為cgweb�����。
注:命名規(guī)則只能是字母的組合�����。
輸入OK后,下面要選擇一個(gè)字符數(shù)字的口令以供讓SO安裝的NSM軟件認(rèn)證使用�。稍后可以通過Sguil和Snorby更改口令。
clip_image027
點(diǎn)擊OK后��, 確認(rèn)口令����。
clip_image028
當(dāng)再次確認(rèn)口令,點(diǎn)擊OK按鈕后���,也就是SO NSM應(yīng)用程序創(chuàng)建完了憑證�,配置腳本會(huì)問你��,是否想安裝企業(yè)日志搜索和歸檔ELSA���。
clip_image030
你需要選擇Yes,enable ELSA,ELSA為NSM日志數(shù)據(jù)提供了一個(gè)搜索引擎接口����。
此時(shí)�����,SO會(huì)提示用戶,準(zhǔn)備做好變更����,看你是否同意。
clip_image031
我們選擇繼續(xù)改變�����。SO要配置系統(tǒng)的時(shí)區(qū)���,可以使用UTC�����,然后安裝與其打包在一起的所有NSM應(yīng)用程序�����。
clip_image032
接下來系統(tǒng)會(huì)自動(dòng)設(shè)置,當(dāng)設(shè)置完成后���,你可以在/var/log/nsm/sosetup.log文件看到安裝狀態(tài)報(bào)告��。
clip_image033
當(dāng)設(shè)置到ELSA設(shè)置環(huán)節(jié)可能會(huì)對(duì)花點(diǎn)時(shí)間�����,大家需要耐心等待��,最后設(shè)置完成����,不必重啟系統(tǒng),可使用sostat檢查服務(wù)運(yùn)行狀態(tài)���。
wKiom1dKlmzBSR1uAAEpdFHm13I074.png
clip_image035
點(diǎn)擊OK���,后彈出注意涉及IDS規(guī)則管理的內(nèi)容。
clip_image036
有問題可以訪問下圖的站點(diǎn)
clip_image037
4.檢查安裝狀態(tài)
當(dāng)單機(jī)系統(tǒng)完成安裝��,應(yīng)該采取了解安裝狀態(tài)��,首先打開終端�,運(yùn)行下面命令,查看NSM代理是否在線��。
clip_image039
如果你發(fā)現(xiàn)有組件沒有啟動(dòng)成功��,可以嘗試sudo service nsm restart命令重啟����。
在排除故障時(shí)��,你還需要驗(yàn)證傳感器連接到服務(wù)器的autossh隧道是否正常����。
注意:一個(gè)IP只能同時(shí)連接一臺(tái)SO服務(wù)器��。
5.Web瀏覽器訪問
檢查通過后�����,你可以在瀏覽器上輸入剛分配的IP地址,https://192.168.91.228/,會(huì)打開如下SO的歡迎界面���。
首次用瀏覽器登陸會(huì)遇到HTTPS證書不可信的提示��,因?yàn)樗鼪]有簽名�����。
clip_image041
當(dāng)你點(diǎn)擊信任就不會(huì)再提示了��。
clip_image043
你可以通過這個(gè)界面來訪問Snorby NSM應(yīng)用程序,單擊Snorby連接�����,彈出如下界面。
clip_image045
界面會(huì)顯示你的SO IP地址以及端口444�����。Snorby會(huì)提示你輸入剛才的電子郵件地址�,及口令。單擊Welcome,Singn In按鈕登錄系統(tǒng)����。這時(shí)根據(jù)你傳感器部署位置不同以及網(wǎng)絡(luò)活躍程度不同,在控制面板上看到不同的流量信息����。
clip_image047
wKioL1dKmdnQPGV9AAUMJ4zUSZY048.png-wh_50
wKiom1dKmSDjK2VdAATIPby-dEY922.png-wh_50
如對(duì)屏幕下方出現(xiàn)的兩個(gè)特定警報(bào)感興趣,那么可點(diǎn)擊條目查看到詳情��。有比較��,才知孰優(yōu)孰劣���,具體分析會(huì)在《開源安全運(yùn)維平臺(tái)OSSIM最佳實(shí)踐》一書中講解�。
6.升級(jí)注意事項(xiàng)
首先你需要了解Upgrade與dist-upgrade之間區(qū)別是什么�����。
如果運(yùn)行upgrade,會(huì)得到一組選項(xiàng),選擇dist-upgrade將會(huì)產(chǎn)生另一組徐選項(xiàng)�����。
$sudo apt-get upgrade
$sudo apt-get dist-upgrade
需要注意的是����,更新系統(tǒng)需要在沒有配置系統(tǒng)之前,如果你將系統(tǒng)配置完畢之后�,在升級(jí)系統(tǒng),之前的配置文件將被覆蓋�����。所以一定要在你什么都沒有配置之前做升級(jí)工作����。
(下回講解分布式IDS安裝與調(diào)試)。
|
|
免費(fèi)注冊(cè)
發(fā)表于 2016-05-30 09:36
