程序员人生 网站导航

[置顶] 快速安装可视化IDS系统 (带视频)

栏目:服务器时间:2016-06-01 17:39:10

快速安装可视化IDS系统 (带视频)

       本节为大家介绍的软件叫安全洋葱Security Onion,根OSSIM1样,它是基于DebianLinux的系统,内部集成了很多开源安全工具,NIDS、HIDS、各种监控工具等等,下面我们就1起体会1下它如何进行深层防御。

wKiom1dJBNzxxVBkAAF_icwFlK0877.png


为了了解这套系统,首先得教小白如何快速安装这套可用的IDS系统。先要准备实验用的ISO安装文件(下载地址:https://sourceforge.net/projects/security-onion/  )。接着进行以下操作:

 

1.将SO安装到硬盘

 

环境:

虚拟机软件: Vmware workstation 12

分配内存:4G

分配网卡: 1块

分配磁盘空间: 30G


从SO的iso文件引导系统,选择live,然后等待启动到桌面环境,单击安装图标根据提示进行系统安装。安装完成重启系统。

然后在root权限下使用以下命令

apt-get update && sudo apt-get dist-upgrade   (更新安装的软件)。

刚装完系统,会进入系统会启动XFCE桌面。

clip_image002

图1

点击Setup,提示输入密码。

clip_image004


输入当前用户的登录口令,你会看到Security Onion Setup的欢迎界面,单击Yes,Continue!按钮。

clip_image005


接下来,配置网络接口

clip_image007

在这个环节系统会自动优化你的网卡,包括禁用1些有可能干扰监听的1些功能。更多信息查看,如果此时,选择No,not right now,那末就会手动配置你的管理和监听接口。1般我们还是选择Yes,configure /etc/network/interfaces。

 

2.选择管理接口

 

通常,系统会默许的将第1块网卡设定为管理接口,如果只有1块网卡,那末管理接口和监听接口合2为1。

clip_image009

单击OK按钮后,通常需要给网卡指定静态IP地址。除非你在DHCP中配置了静态映照,才选择DHCP自动获得。

clip_image010

指定IP

clip_image011

点击OK,然后指定掩码。

clip_image012

点击OK,然后设定网关。

clip_image013

点击OK后设定DNS。

clip_image014

点击OK后,在弹出设定本地域名的对话框,我们输入本地域名test.com。

clip_image015

点击OK后系统给出管理接口的网络配置清单。

clip_image017

核对无误后点击Yes,make changest按钮,这时候系统提示重新启动。点击Yes,reboot!

clip_image019

注意:手动修改网络配置,你可以打开/etc/network/interfaces文件编辑iface eth0 inet static的配置。

编辑完成后重启网络服务。

$sudo /etc/init.d/networking restart

如果你是初学者,最好按系统提示重启服务器


3.组件安装


当重启系统完成以后,我们再进入系统XFCE桌面环境。按图1当选择setup,弹出图2和图3。

选择Yes,Continue按钮后弹出。

clip_image021

我们选择Yes,skip network configuration,建议初学者选择快速配置。

clip_image023

点击OK,继续。由于SO是使用电子邮件地址作为独立认证机制,下面输入你经常使用电子邮箱,将被Snorby用于生成报警日志。

clip_image024

点击OK按钮后,下面需要提供NSM(Network Security Monitoring)组件中Sguil模块的用户名,SO会在其他几款NSM工具中使用它。请务必记住。

clip_image025

实例中设定的用户名为cgweb。

 

命名规则只能是字母的组合

 

输入OK后,下面要选择1个字符数字的口令以供让SO安装的NSM软件认证使用。稍后可以通过Sguil和Snorby更改口令。

clip_image027

点击OK后, 确认口令。

clip_image028

当再次确认口令,点击OK按钮后,也就是SO NSM利用程序创建完了凭证,配置脚本会问你,是不是想安装企业日志搜索和归档ELSA。

clip_image030

你需要选择Yes,enable ELSA,ELSA为NSM日志数据提供了1个搜索引擎接口。

此时,SO会提示用户,准备做好变更,看你是不是同意。

clip_image031

我们选择继续改变。SO要配置系统的时区,可使用UTC,然后安装与其打包在1起的所有NSM利用程序。

clip_image032

接下来系统会自动设置,当设置完成后,你可以在/var/log/nsm/sosetup.log文件看到安装状态报告。

clip_image033

当设置到ELSA设置环节可能会对花点时间,大家需要耐心等待,最后设置完成,没必要重启系统,可以使用sostat检查服务运行状态。

wKiom1dKlmzBSR1uAAEpdFHm13I074.png

clip_image035

点击OK,后弹出注意触及IDS规则管理的内容。

clip_image036

有问题可以访问下图的站点

clip_image037

 

4.检查安装状态

 

当单机系统完成安装,应当采取了解安装状态,首先打开终端,运行下面命令,查看NSM代理是不是在线。

clip_image039

如果你发现有组件没有启动成功,可以尝试sudo service nsm restart命令重启。

在排除故障时,你还需要验证传感器连接到服务器的autossh隧道是不是正常。

注意:1个IP只能同时连接1台SO服务器

 

5.Web阅读器访问

 

检查通过后,你可以在阅读器上输入刚分配的IP地址,https://192.168.91.228/,会打开以下SO的欢迎界面。

首次用阅读器登陆会遇到HTTPS证书不可信的提示,由于它没有签名。

clip_image041

当你点击信任就不会再提示了。

clip_image043

你可以通过这个界面来访问Snorby NSM利用程序,单击Snorby连接,弹出以下界面。

clip_image045

界面会显示你的SO IP地址和端口444。Snorby会提示你输入刚才的电子邮件地址,及口令。单击Welcome,Singn In按钮登录系统。这时候根据你传感器部署位置不同和网络活跃程度不同,在控制面板上看到不同的流量信息。

clip_image047



   如对屏幕下方出现的两个特定警报感兴趣,那末可点击条目查看到详情。有比较,才知孰优孰劣,具体分析会在《开源安全运维平台OSSIM最好实践》1书中讲授。


6.升级注意事项


首先你需要了解Upgrade与dist-upgrade之间区分是甚么。

如果运行upgrade,会得到1组选项,选择dist-upgrade将会产生另外一组徐选项。

$sudo apt-get upgrade

$sudo apt-get dist-upgrade

需要注意的是,更新系统需要在没有配置系统之前,如果你将系统配置终了以后,在升级系统,之前的配置文件将被覆盖。所以1定要在你甚么都没有配置之前做升级工作。

(下回讲授散布式IDS安装与调试)。

 

疑问

Q:安全洋葱能禁止入侵吗?

A:这1点,和OSSIM1样,不能禁止入侵。

 

安装配置视频: http://www.tudou.com/programs/view/pMKCpEyqSJ8 

------分隔线----------------------------
------分隔线----------------------------

最新技术推荐