Vmware workstation12里如何正確快速安裝可視化IDS系統Security Onion（圖文詳解）

 

 

　　不多說，直接上干貨！

 

　　首先，大家要明確：

　　問：安全洋蔥能阻止入侵嗎？

　　答：這一點，和OSSIM一樣，不能阻止入侵。

 

 

 

 

　　Security Onion基於Ubuntu，包含了入侵檢測、網絡安全監控、日志管理所需的Snort、Suricata、Bro、OSSEC、Sguil、Squert、ELSA、Xplico、NetworkMiner等眾多工具。

　　Security Onion是用於網絡監控和入侵檢測的基於Ubuntu的Linux發行版。

 

https://security-onion-solutions.github.io/security-onion/

https://github.com/Security-Onion-Solutions

http://sourceforge.net/projects/security-onion/

 

 

 

 

 

 

 

 

https://sourceforge.net/projects/security-onion/files/

 

 

 

 

 

 

 

https://sourceforge.net/projects/security-onion/files/12.04.5.3/

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 　　因為，安全洋蔥Security Onion(本文中簡稱：SO)，它和OSSIM一樣，是基於Debian Linux的系統，內部集成了很多開源安全工具例如： OSSEC、NIDS、HIDS以及各種監控工具等等。

 　　所以，這里選擇debian。

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 　　 剛裝完系統，會進入系統會啟動XFCE桌面，如下

 

 

 

 

 

　　root權限下使用以下命令

由普通用戶，切換到root用戶
sudo -s

再
apt-get update && sudo apt-get dist-upgrade    apt-get rule-update

中間得輸入幾個y

(更新安裝的軟件)。

 

 

 

 

 

 

 

點擊Setup,提示輸入密碼。

 

 

 

 

　　

輸入當前用戶的登錄口令，你會看到Security Onion Setup的歡迎界面，單擊Yes，Continue！按鈕。

 

 

 

 

 

 

 

　　

接下來，配置網絡接口。

 　　在這個環節系統會自動優化你的網卡，包括禁用一些有可能干擾監聽的一些功能。更多信息查看，如果此時，選擇No，not right now,那么就會手動配置你的管理和監聽接口。一般我們還是選擇Yes，configure /etc/network/interfaces。

 

 

 

 

 

 　　通常，系統會默認的將第一塊網卡設定為管理接口，如果只有一塊網卡，那么管理接口和監聽接口合二為一。

 

 

 

 

 

 

 

單擊OK按鈕后，通常需要給網卡指定靜態IP地址。除非你在DHCP中配置了靜態映射，才選擇DHCP自動獲取。

 

 

 

 

 

 　　指定IP

 　　因為，我自己虛擬機里的網段是，192.168.80.*

 

 

 

 

　　

點擊OK，然后指定掩碼。

 

 

 

 

 

　　

　　

點擊OK，然后設定網關。

 

 

 

 

 

 　　

點擊OK后設定DNS。

 

 

 

 

 

 

 　　

點擊OK后，在彈出設定本地域名的對話框，我們輸入本地域名test.com。

 

 

 

 

 

 

 

 

 

點擊OK后系統給出管理接口的網絡配置清單。

 

 

 

 

 

 　　

 　　

核對無誤后點擊Yes,make changest按鈕，這時系統提示重新啟動。點擊Yes,reboot!

 

 

 

注意：手動修改網絡配置，你可以打開/etc/network/interfaces文件編輯iface eth0 inet static的配置。

編輯完成后重啟網絡服務。

$sudo /etc/init.d/networking restart

如果你是初學者，最好按系統提示重啟服務器

 

 

 

 

 

 

 

 

 

 

 

 

 　　重啟

 

 

 

 

 

 

 

 

 

 

 

 　　組件安裝

 當重啟系統完成之后，我們再進入系統XFCE桌面環境。按圖1中選擇setup,

 

 

 

 

 

 

 

 

 　　因為，之前，我已經配置好了網絡。所以這里。選擇，no

 

 

 

 

 

 

 

 

 

 

 

 

 　　由於SO是使用電子郵件地址作為獨立認證機制，下面輸入你常用電子郵箱，將被Snorby用於生成報警日志。

 

 

 

 

 

 

　　點擊OK按鈕后，下面需要提供NSM(Network Security Monitoring)組件中Sguil模塊的用戶名，SO會在其他幾款NSM工具中使用它。請務必記住。

　　我這里就以sguil吧。

 

 

 

 　　輸入OK后，下面要選擇一個字符數字的口令以供讓SO安裝的NSM軟件認證使用。稍后可以通過Sguil和Snorby更改口令。

 

 

 

 

 

 

 

 

 　　那我這里，就為sguil_password（這樣命名規范，是我大數據那邊的一個習慣）

 

　　

點擊OK后， 確認口令。

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

點擊OK后， 確認口令。

 

 

 

 

當再次確認口令，點擊OK按鈕后，也就是SO NSM應用程序創建完了憑證，配置腳本會問你，是否想安裝企業日志搜索和歸檔ELSA。

 

 

 

 

 

 

 

 

你需要選擇Yes,enable ELSA,ELSA為NSM日志數據提供了一個搜索引擎接口。

此時，SO會提示用戶，准備做好變更，看你是否同意。

 

 

 

我們選擇繼續改變。SO要配置系統的時區，可以使用UTC，然后安裝與其打包在一起的所有NSM應用程序。

 

 

 

 

 

 

 

 

 

 

 

 

 

接下來系統會自動設置，當設置完成后，你可以在/var/log/nsm/sosetup.log文件看到安裝狀態報告。

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

使用sostat檢查服務運行狀態

 

 

 

 

 

 

 

 檢查安裝狀態

　　當單機系統完成安裝，應該采取了解安裝狀態，首先打開終端，運行下面命令，查看NSM代理是否在線。

 

　　

如果你發現有組件沒有啟動成功，可以嘗試sudo service nsm restart命令重啟。

在排除故障時，你還需要驗證傳感器連接到服務器的autossh隧道是否正常。

注意:一個IP只能同時連接一台SO服務器。

 

 

 

 

 

 Web瀏覽器訪問

 

 

 

 

參考

　　快速安裝可視化IDS系統Security Onion（http://chenguang.blog.51cto.com/350944/1783994）（李晨光老師）

快速安裝可視化IDS系統 （帶視頻）