Security onion的安装和配置

一、简介

Security onion(以下简称SO)是一个用于网络安全监控的工具。

网络安全监控（NSM）简单来说就是监控网络中的安全相关事件。SO主要有这些功能：完整的数据包捕获功能、基于网络和主机的入侵检测系统（分别为NIDS和HIDS）、和强大的分析工具。因此，我们拥有完整的数据包捕获，Snort或Suricata规则驱动的入侵检测，Bro事件驱动的入侵检测以及OSSEC基于主机的入侵检测，一旦运行Security Onion安装程序，所有这些都会立即启动。这些具有各种依赖性和复杂性的不同系统无缝地运行在一起，否则将需要数小时，数天或数周来自行组装和集成。曾经看似不可能完成的任务现在与Windows一样容易安装。

总的来说，SO可以看做是一个集合了多个流量记录、分析的功能的工具集。

 

 

二、安装

本次实验中，我们将SO镜像安装在两台虚拟机中，镜像可以在如下网址获得。

https://github.com/Security-Onion-Solutions/security-onion/releases/download/v14.04.5.4_20171031/securityonion-14.04.5.4.iso

为什么是两台呢，一台用于做SO服务器，一台做SO监视器。

安装方法就是虚拟机一样正常安装（但是需要安装两台虚拟机）。这个没什么好说的。

 

三、配置

 

配置这部分，分为配置SO服务器和配置SO监视器，两者都不难。

 

首先是配置SO服务器：

1.桌面上打开setup：

 

2.输入密码：

 

3.同意开始配置

 

 

4.由于我之前配置了网络才会显示这个窗口。没配置的时候，看介绍，点配置网络就可以了。

 

 

5.选择动态获取ip，选择这一项前提为VM（我自己用的是VM虚拟机）开了DHCP。

 

 

6.选择版本，一般选择stable setup就好。

 

 

7.继续选择模式，根据英文介绍，需要选择production mode，并且选择server模式

 

 

8.建立sgui的用户名和密码

 

 

9.选择IDS

 

接着要选择IDS，即snort的规则，由于只是尝试一下，直接选择默认的第一个就好

 

 

10.完成基本设置

 

 

11.可以用刚刚设置的账户登录sguil、ELSA、Xplico等工具了

 

 

 

SO监视器的配置方法：

1.还是一样，点击setup，并输入密码，然后点击continue：

 

 

2.点击右边的选项yes，即可开始配置网络

 

 

3.选择DHCP模式

 

 

4.提示问是否需要robot，选择是

 

 

 

5.选择了robot之后，并且在自动重启之后，继续点击setup，并重复上述步骤。

 

6.接下来选择模式，我们这一次选择Experimental setup模式。

 

 

7.在选择evaluation mode和production mode的时候，我们选择production mode

 

 

8.这个时候选择sensor即为监控器模式

 

 

9.然后会提示你输入将数据传递到服务器的ip，我们输入刚才配好的SO服务器的ip

 

 

10.配置SO服务器和SO连接SSH的用户名和密码

 

 

11.然后选择默认的best practices模式就好

 

 

12.设置端口为默认的4096

 

 

13.选择监控的ip段

 

 

14. 最后，确认配置即可

 

15. 使用 sudo service nsm status查看当前nsm状态

 

使用ps aux | grep autoss[h] 查看进程，检测SO服务器和SO监视器是否建立连接