入侵检测系统security onion

配置和部署略,网上有很多重复的文章。网上关于security onion部署的文章非常多。但是介绍怎么使用的却很少。


security onion是什么,可以用来做什么?

security onion是一个封装了很多有关于IDS软件的一个基于ubuntu的操作系统,里面的组件包括:snort(入侵检测引擎)、suricata(入侵检测引擎)、bro(入侵检测分析系统)、sguil(入侵检测分析系统)、squert(前端显示)、snorby(前端显示)、wireshark(抓包)、xplico(流量审计)


security onion对硬件的要求?

snort:200~300Mbps时开始丢包,500mbps时无法工作(不推荐使用该引擎)

suricata:能承受的流量比snort高,结合pfring可以承受很高的流量。

在一个流量达到700mbps以上吞吐的线路环境,需要一台1.5w元以上配置的服务器(2017年),配置的要点是需要有性能十分强劲的CPU(E5或者以上),内存32G以上、独立万兆网卡(建议)。


security onion部署要点?

一般情况下,security onion的功能有很多。但是只开一两个功能就可以了。例如suricata+squert。snorby不建议开启(显示不实时,而且体验很差)。同时开多个功能会非常消耗性能。部署的地点是首先要明确你要保护什么,想要获得什么情报。推荐的部署地点是出口线路、机密服务器到普通网络之间的线路。

一般部署步骤:上线运行一段时间,把排名前几位的确认无用的SID写进disablesid.conf里面剔除掉(噪声过滤),让后再根据业务需求写自定义规则。

如果站点使用的是HTTPS方式对外发布服务,为了IDS的工作更加有效。可以部署在明文的传输段,也就是避开部署在HTTPS服务器前面。部署推荐如下:client-->NGINX----(此处的流量被镜像到security onion)----应用服务器

#此处的NGINX负责进行SSL加密。当然,nginx也可以是apche、F5等。流量镜像到IDS的方法是用交换机的镜像端口功能,如下(以华为的设备为例),

接sniffer的端口配置:observe-port 1 int ethernet0/0/1

被镜像的端口:

int ethernet0/0/15

 port-mirroring to observe-port 1 inbound


seucrity的配置核心-规则(重要的工作)

suricata可以使用ET和GPL等检测规则。但是后期需要信息安全工程师进行持续优化以及自定义。规则可以简单分为官方规则和自定义规则。官方规则是由一些专业的安全人员写出来的。一般如果不是对安全原理研究得特别深的情况下,不用去动他。自定义规则可以在官方规则基础上根据自己的需要进行修改。

自定义规则可以这样写(自然语言描述):

在非工作时间有非自动系统账号登录LVS就产生告警。

针对某服务器(没有修复)检测到heart beat特征就告警。

IDC的服务器不是通过堡垒机登录的就告警。


通过security onion发现攻击(重要的工作)

举例,如果出口线路被扫描的话,上squert会有如下发现:



发现攻击后应该做什么?

场景1(对外服务网络):可以使用防火墙阻挡已知的攻击、用交换机/路由器的ACL阻挡攻击者IP、推进漏洞修复的工作、改进安全对策等。

场景2(办公内网):可以知道内网PC是否中毒;内网是否有人企图要发起攻击;是否有僵尸PC;

综上所述。入侵检测系统security onion的主要工作在于如何优化检测规则和告警,以及提升自身发现攻击的能力。提升发现攻击能力的前提是学会攻击。


security onion部署总结:

有很多人发现吧security onion部署上去后发现好像没什么卵用。其实不然,它就像一把锤子,用成什么效果完全取决于安全人员的水平。security onion的部署关键在于“围绕场景而定制”。

        如果你部署办公网的出口,每天估计会产生10万个以上的告警。细看告警,你会发现很多告警是很无稽的。例如http发现有明文密码、翻墙、发现有机器跑着过期的flash版本......超级多。但问题是,这些告警都很无聊吗?不是的。这些告警都是通用的告警。因为用http来传送明文密码的确是非常不安全,过期的flash版本也会导致很大的被入侵的风险。只是别人没有搞你而已。然后这些告警都是通用的告警。我们是不需要的。这时候我们要根据办公网的出口场景来定制各种各样的场景,把不用的特征关闭。上一些自己关注的特征,例如僵尸主机特征等等。

        如果你部署在一台对内服务的WEB服务器的前面。发现有注入的告警。那么这时候就你要注意你的内网已经被入侵了(不用怀疑),或者是主机被外部人员入侵,又或者是来自员工的入侵。

        综上所述。你要知道你要保护什么资产,然后决定怎么去部署security onion,部署的过程根据场景需求来定制规则。去掉噪声,然后你会发现security onion会是一个办公、生产、学习的网络安全利器!



扩展阅读——各种攻击所引发的告警提示

使用sqlmap注入(POST注入)引起的告警

引发告警的特征:

UNION

XSS

访问MYSQL的information_schema


引发告警的特征:

此时注入已经成功,可以获得列的信息。

你可能感兴趣的:(入侵检测系统security onion)