快速安裝可視化IDS系統 (帶視頻)
本節為大家介紹的軟件叫安全洋蔥Security Onion,根OSSIM一樣,它是基於DebianLinux的系統,內部集成了很多開源安全工具,NIDS、HIDS、各種監控工具等等,下面我們就一起體會一下它如何進行深層防御。
為了了解這套系統,首先得教小白如何快速安裝這套可用的IDS系統。先要准備實驗用的ISO安裝文件(下載地址:https://sourceforge.net/projects/security-onion/ )。接著進行如下操作:
1.將SO安裝到硬盤
環境:
虛擬機軟件: Vmware workstation 12
分配內存:4G
分配網卡: 1塊
分配磁盤空間: 30G
從SO的iso文件引導系統,選擇live,然後等待啟動到桌面環境,單擊安裝圖標根據提示進行系統安裝。安裝完成重啟系統。
然後在root權限下使用以下命令
apt-get update && sudo apt-get dist-upgrade (更新安裝的軟件)。
剛裝完系統,會進入系統會啟動XFCE桌面。
圖1
點擊Setup,提示輸入密碼。
輸入當前用戶的登錄口令,你會看到Security Onion Setup的歡迎界面,單擊Yes,Continue!按鈕。
接下來,配置網絡接口。
在這個環節系統會自動優化你的網卡,包括禁用一些有可能干擾監聽的一些功能。更多信息查看,如果此時,選擇No,not right now,那麼就會手動配置你的管理和監聽接口。一般我們還是選擇Yes,configure /etc/network/interfaces。
2.選擇管理接口
通常,系統會默認的將第一塊網卡設定為管理接口,如果只有一塊網卡,那麼管理接口和監聽接口合二為一。
單擊OK按鈕後,通常需要給網卡指定靜態IP地址。除非你在DHCP中配置了靜態映射,才選擇DHCP自動獲取。
指定IP
點擊OK,然後指定掩碼。
點擊OK,然後設定網關。
點擊OK後設定DNS。
點擊OK後,在彈出設定本地域名的對話框,我們輸入本地域名test.com。
點擊OK後系統給出管理接口的網絡配置清單。
核對無誤後點擊Yes,make changest按鈕,這時系統提示重新啟動。點擊Yes,reboot!
注意:手動修改網絡配置,你可以打開/etc/network/interfaces文件編輯iface eth0 inet static的配置。
編輯完成後重啟網絡服務。
$sudo /etc/init.d/networking restart
如果你是初學者,最好按系統提示重啟服務器。
3.組件安裝
當重啟系統完成之後,我們再進入系統XFCE桌面環境。按圖1中選擇setup,彈出圖2和圖3。
選擇Yes,Continue按鈕後彈出。
我們選擇Yes,skip network configuration,建議初學者選擇快速配置。
點擊OK,繼續。由於SO是使用電子郵件地址作為獨立認證機制,下面輸入你常用電子郵箱,將被Snorby用於生成報警日志。
點擊OK按鈕後,下面需要提供NSM(Network Security Monitoring)組件中Sguil模塊的用戶名,SO會在其他幾款NSM工具中使用它。請務必記住。
實例中設定的用戶名為cgweb。
注:命名規則只能是字母的組合。
輸入OK後,下面要選擇一個字符數字的口令以供讓SO安裝的NSM軟件認證使用。稍後可以通過Sguil和Snorby更改口令。
點擊OK後, 確認口令。
當再次確認口令,點擊OK按鈕後,也就是SO NSM應用程序創建完了憑證,配置腳本會問你,是否想安裝企業日志搜索和歸檔ELSA。
你需要選擇Yes,enable ELSA,ELSA為NSM日志數據提供了一個搜索引擎接口。
此時,SO會提示用戶,准備做好變更,看你是否同意。
我們選擇繼續改變。SO要配置系統的時區,可以使用UTC,然後安裝與其打包在一起的所有NSM應用程序。
接下來系統會自動設置,當設置完成後,你可以在/var/log/nsm/sosetup.log文件看到安裝狀態報告。
當設置到ELSA設置環節可能會對花點時間,大家需要耐心等待,最後設置完成,不必重啟系統,可使用sostat檢查服務運行狀態。
點擊OK,後彈出注意涉及IDS規則管理的內容。
有問題可以訪問下圖的站點
4.檢查安裝狀態
當單機系統完成安裝,應該采取了解安裝狀態,首先打開終端,運行下面命令,查看NSM代理是否在線。
如果你發現有組件沒有啟動成功,可以嘗試sudo service nsm restart命令重啟。
在排除故障時,你還需要驗證傳感器連接到服務器的autossh隧道是否正常。
注意:一個IP只能同時連接一台SO服務器。
5.Web浏覽器訪問
檢查通過後,你可以在浏覽器上輸入剛分配的IP地址,https://192.168.91.228/,會打開如下SO的歡迎界面。
首次用浏覽器登陸會遇到HTTPS證書不可信的提示,因為它沒有簽名。
當你點擊信任就不會再提示了。
你可以通過這個界面來訪問Snorby NSM應用程序,單擊Snorby連接,彈出如下界面。
界面會顯示你的SO IP地址以及端口444。Snorby會提示你輸入剛才的電子郵件地址,及口令。單擊Welcome,Singn In按鈕登錄系統。這時根據你傳感器部署位置不同以及網絡活躍程度不同,在控制面板上看到不同的流量信息。
如對屏幕下方出現的兩個特定警報感興趣,那麼可點擊條目查看到詳情。有比較,才知孰優孰劣,具體分析會在《開源安全運維平台OSSIM最佳實踐》一書中講解。
6.升級注意事項
首先你需要了解Upgrade與dist-upgrade之間區別是什麼。
如果運行upgrade,會得到一組選項,選擇dist-upgrade將會產生另一組徐選項。
$sudo apt-get upgrade
$sudo apt-get dist-upgrade
需要注意的是,更新系統需要在沒有配置系統之前,如果你將系統配置完畢之後,在升級系統,之前的配置文件將被覆蓋。所以一定要在你什麼都沒有配置之前做升級工作。
(下回講解分布式IDS安裝與調試)。
疑問:
Q:安全洋蔥能阻止入侵嗎?
A:這一點,和OSSIM一樣,不能阻止入侵。
安裝配置視頻: