一、简介
Security onion(以下简称SO)是一个用于网络安全监控的工具。
网络安全监控(NSM)简单来说就是监控网络中的安全相关事件。SO主要有这些功能:完整的数据包捕获功能、基于网络和主机的入侵检测系统(分别为NIDS和HIDS)、和强大的分析工具。因此,我们拥有完整的数据包捕获,Snort或Suricata规则驱动的入侵检测,Bro事件驱动的入侵检测以及OSSEC基于主机的入侵检测,一旦运行Security Onion安装程序,所有这些都会立即启动。这些具有各种依赖性和复杂性的不同系统无缝地运行在一起,否则将需要数小时,数天或数周来自行组装和集成。曾经看似不可能完成的任务现在与Windows一样容易安装。
总的来说,SO可以看做是一个集合了多个流量记录、分析的功能的工具集。
二、安装
本次实验中,我们将SO镜像安装在两台虚拟机中,镜像可以在如下网址获得。
https://github.com/Security-Onion-Solutions/security-onion/releases/download/v14.04.5.4_20171031/securityonion-14.04.5.4.iso
为什么是两台呢,一台用于做SO服务器,一台做SO监视器。
安装方法就是虚拟机一样正常安装(但是需要安装两台虚拟机)。这个没什么好说的。
三、配置
配置这部分,分为配置SO服务器和配置SO监视器,两者都不难。
首先是配置SO服务器:
1.桌面上打开setup:
2.输入密码:
3.同意开始配置
4.由于我之前配置了网络才会显示这个窗口。没配置的时候,看介绍,点配置网络就可以了。
5.选择动态获取ip,选择这一项前提为VM(我自己用的是VM虚拟机)开了DHCP。
6.选择版本,一般选择stable setup就好。
7.继续选择模式,根据英文介绍,需要选择production mode,并且选择server模式
8.建立sgui的用户名和密码
9.选择IDS
接着要选择IDS,即snort的规则,由于只是尝试一下,直接选择默认的第一个就好
10.完成基本设置
11.可以用刚刚设置的账户登录sguil、ELSA、Xplico等工具了
SO监视器的配置方法:
1.还是一样,点击setup,并输入密码,然后点击continue:
2.点击右边的选项yes,即可开始配置网络
3.选择DHCP模式
4.提示问是否需要robot,选择是
5.选择了robot之后,并且在自动重启之后,继续点击setup,并重复上述步骤。
6.接下来选择模式,我们这一次选择Experimental setup模式。
7.在选择evaluation mode和production mode的时候,我们选择production mode
8.这个时候选择sensor即为监控器模式
9.然后会提示你输入将数据传递到服务器的ip,我们输入刚才配好的SO服务器的ip
10.配置SO服务器和SO连接SSH的用户名和密码
11.然后选择默认的best practices模式就好
12.设置端口为默认的4096
13.选择监控的ip段
14. 最后,确认配置即可
15. 使用 sudo service nsm status查看当前nsm状态
使用ps aux | grep autoss[h] 查看进程,检测SO服务器和SO监视器是否建立连接