Vmware workstation12里如何正确快速安装可视化IDS系统Security Onion（图文详解）

 

 

　　不多说，直接上干货！

 

　　首先，大家要明确：

　　问：安全洋葱能阻止入侵吗？

　　答：这一点，和OSSIM一样，不能阻止入侵。

 

 

 

 

　　Security Onion基于Ubuntu，包含了入侵检测、网络安全监控、日志管理所需的Snort、Suricata、Bro、OSSEC、Sguil、Squert、ELSA、Xplico、NetworkMiner等众多工具。

　　Security Onion是用于网络监控和入侵检测的基于Ubuntu的Linux发行版。

 

https://security-onion-solutions.github.io/security-onion/

https://github.com/Security-Onion-Solutions

http://sourceforge.net/projects/security-onion/

 

 

 

 

 

 

 

 

https://sourceforge.net/projects/security-onion/files/

 

 

 

 

 

 

 

https://sourceforge.net/projects/security-onion/files/12.04.5.3/

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 　　因为，安全洋葱Security Onion(本文中简称：SO)，它和OSSIM一样，是基于Debian Linux的系统，内部集成了很多开源安全工具例如： OSSEC、NIDS、HIDS以及各种监控工具等等。

 　　所以，这里选择debian。

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 　　 刚装完系统，会进入系统会启动XFCE桌面，如下

 

 

 

 

 

　　root权限下使用以下命令

由普通用户，切换到root用户
sudo -s

再
apt-get update && sudo apt-get dist-upgrade    apt-get rule-update

中间得输入几个y

(更新安装的软件)。

 

 

 

 

 

 

 

点击Setup,提示输入密码。

 

 

 

 

　　

输入当前用户的登录口令，你会看到Security Onion Setup的欢迎界面，单击Yes，Continue！按钮。

 

 

 

 

 

 

 

　　

接下来，配置网络接口。

 　　在这个环节系统会自动优化你的网卡，包括禁用一些有可能干扰监听的一些功能。更多信息查看，如果此时，选择No，not right now,那么就会手动配置你的管理和监听接口。一般我们还是选择Yes，configure /etc/network/interfaces。

 

 

 

 

 

 　　通常，系统会默认的将第一块网卡设定为管理接口，如果只有一块网卡，那么管理接口和监听接口合二为一。

 

 

 

 

 

 

 

单击OK按钮后，通常需要给网卡指定静态IP地址。除非你在DHCP中配置了静态映射，才选择DHCP自动获取。

 

 

 

 

 

 　　指定IP

 　　因为，我自己虚拟机里的网段是，192.168.80.*

 

 

 

 

　　

点击OK，然后指定掩码。

 

 

 

 

 

　　

　　

点击OK，然后设定网关。

 

 

 

 

 

 　　

点击OK后设定DNS。

 

 

 

 

 

 

 　　

点击OK后，在弹出设定本地域名的对话框，我们输入本地域名test.com。

 

 

 

 

 

 

 

 

 

点击OK后系统给出管理接口的网络配置清单。

 

 

 

 

 

 　　

 　　

核对无误后点击Yes,make changest按钮，这时系统提示重新启动。点击Yes,reboot!

 

 

 

注意：手动修改网络配置，你可以打开/etc/network/interfaces文件编辑iface eth0 inet static的配置。

编辑完成后重启网络服务。

$sudo /etc/init.d/networking restart

如果你是初学者，最好按系统提示重启服务器

 

 

 

 

 

 

 

 

 

 

 

 

 　　重启

 

 

 

 

 

 

 

 

 

 

 

 　　组件安装

 当重启系统完成之后，我们再进入系统XFCE桌面环境。按图1中选择setup,

 

 

 

 

 

 

 

 

 　　因为，之前，我已经配置好了网络。所以这里。选择，no

 

 

 

 

 

 

 

 

 

 

 

 

 　　由于SO是使用电子邮件地址作为独立认证机制，下面输入你常用电子邮箱，将被Snorby用于生成报警日志。

 

 

 

 

 

 

　　点击OK按钮后，下面需要提供NSM(Network Security Monitoring)组件中Sguil模块的用户名，SO会在其他几款NSM工具中使用它。请务必记住。

　　我这里就以sguil吧。

 

 

 

 　　输入OK后，下面要选择一个字符数字的口令以供让SO安装的NSM软件认证使用。稍后可以通过Sguil和Snorby更改口令。

 

 

 

 

 

 

 

 

 　　那我这里，就为sguil_password（这样命名规范，是我大数据那边的一个习惯）

 

　　

点击OK后， 确认口令。

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

点击OK后， 确认口令。

 

 

 

 

当再次确认口令，点击OK按钮后，也就是SO NSM应用程序创建完了凭证，配置脚本会问你，是否想安装企业日志搜索和归档ELSA。

 

 

 

 

 

 

 

 

你需要选择Yes,enable ELSA,ELSA为NSM日志数据提供了一个搜索引擎接口。

此时，SO会提示用户，准备做好变更，看你是否同意。

 

 

 

我们选择继续改变。SO要配置系统的时区，可以使用UTC，然后安装与其打包在一起的所有NSM应用程序。

 

 

 

 

 

 

 

 

 

 

 

 

 

接下来系统会自动设置，当设置完成后，你可以在/var/log/nsm/sosetup.log文件看到安装状态报告。

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

使用sostat检查服务运行状态

 

 

 

 

 

 

 

 检查安装状态

　　当单机系统完成安装，应该采取了解安装状态，首先打开终端，运行下面命令，查看NSM代理是否在线。

 

　　

如果你发现有组件没有启动成功，可以尝试sudo service nsm restart命令重启。

在排除故障时，你还需要验证传感器连接到服务器的autossh隧道是否正常。

注意:一个IP只能同时连接一台SO服务器。

 

 

 

 

 

 Web浏览器访问

 

 

 

 

参考

　　快速安装可视化IDS系统Security Onion（http://chenguang.blog.51cto.com/350944/1783994）（李晨光老师）

快速安装可视化IDS系统 （带视频）