Security onion的安装和配置


一、简介

Security onion(以下简称SO)是一个用于网络安全监控的工具。

网络安全监控(NSM)简单来说就是监控网络中的安全相关事件。SO主要有这些功能:完整的数据包捕获功能、基于网络和主机的入侵检测系统(分别为NIDSHIDS)、和强大的分析工具。因此,我们拥有完整的数据包捕获,SnortSuricata规则驱动的入侵检测,Bro事件驱动的入侵检测以及OSSEC基于主机的入侵检测,一旦运行Security Onion安装程序,所有这些都会立即启动。这些具有各种依赖性和复杂性的不同系统无缝地运行在一起,否则将需要数小时,数天或数周来自行组装和集成。曾经看似不可能完成的任务现在与Windows一样容易安装。

总的来说,SO可以看做是一个集合了多个流量记录、分析的功能的工具集。

 

 

二、安装

本次实验中,我们将SO镜像安装在两台虚拟机中,镜像可以在如下网址获得。

https://github.com/Security-Onion-Solutions/security-onion/releases/download/v14.04.5.4_20171031/securityonion-14.04.5.4.iso

为什么是两台呢,一台用于做SO服务器,一台做SO监视器。

安装方法就是虚拟机一样正常安装(但是需要安装两台虚拟机)。这个没什么好说的。

 

三、配置

 

配置这部分,分为配置SO服务器和配置SO监视器,两者都不难。

 

首先是配置SO服务器:

1.桌面上打开setup

 


2.输入密码:

 


3.同意开始配置

 

 

4.由于我之前配置了网络才会显示这个窗口。没配置的时候,看介绍,点配置网络就可以了。

 

 

5.选择动态获取ip,选择这一项前提为VM(我自己用的是VM虚拟机)开了DHCP

 

 

6.选择版本,一般选择stable setup就好。

 

 

7.继续选择模式,根据英文介绍,需要选择production mode,并且选择server模式

 


 

8.建立sgui的用户名和密码

 


 

9.选择IDS

 

接着要选择IDS,即snort的规则,由于只是尝试一下,直接选择默认的第一个就好

 

 

10.完成基本设置

 

 

11.可以用刚刚设置的账户登录sguilELSAXplico等工具了

 

 

 

SO监视器的配置方法:

1.还是一样,点击setup,并输入密码,然后点击continue

 

 

2.点击右边的选项yes,即可开始配置网络

 

 

3.选择DHCP模式

 

 

4.提示问是否需要robot,选择是

 

 

 

5.选择了robot之后,并且在自动重启之后,继续点击setup,并重复上述步骤。

 

6.接下来选择模式,我们这一次选择Experimental setup模式。

 

 

7.在选择evaluation modeproduction mode的时候,我们选择production mode

 

 

8.这个时候选择sensor即为监控器模式

 

 

9.然后会提示你输入将数据传递到服务器的ip,我们输入刚才配好的SO服务器的ip

 

 

10.配置SO服务器和SO连接SSH的用户名和密码

 

 

11.然后选择默认的best practices模式就好

 

 

12.设置端口为默认的4096

 

 

13.选择监控的ip

 

 

14. 最后,确认配置即可

 

15. 使用 sudo service nsm status查看当前nsm状态

 

使用ps aux | grep autoss[h] 查看进程,检测SO服务器和SO监视器是否建立连接


你可能感兴趣的:(网络安全)