Sådan installeres Security Onion 14.04

Vidste du Security Onion? Det er en Linux distro specialiseret i overvågning af netværkssikkerhed og indbrudsforebyggelse, forenkler hele netværksadministrationen med en Ubuntu-baseret distro, som du kan begynde at bruge med kun få trin. Den leveres med mange værdifulde sikkerhedssoftware til at overvåge dit netværk i realtid eller udføre analyse på pcap-filer og / eller systemlogfiler.

I dag vil jeg drive dig igennem installationsproceduren trin for trin. I slutningen af ​​denne artikel har du den installeret på din maskine og vil kunne begynde at overvåge din netværkstrafik og værtsaktivitet ved hjælp af dens værktøjer.

Her er værktøjer, du finder på Security Onion:

Download Sikkerhedsløg

Download Sikkerhedsløg ISO fra Github. Faktisk kan Security Onion endda installeres på distros baseret på Ubuntu, men dette vil ikke blive dækket her, her er hvordan man installerer Security Onion på Ubuntu.

Boot

Når du starter systemet med Security Onion-mediet, vil du blive præsenteret med følgende skærm, skal du bare trykke på installeringsindstillingen.

Boot skærm

Boot skærm

Installer Security Onion

Når du har valgt installeringsindstillingen, starter systemet op og viser derefter installationsskærmen.

Del I - Operativsystem

Første ting, der skal indstilles, er operativsystemets sprog.

Vælg sprog

Vælg sprog

Nu beslutter du at bruge eller ikke 3rd party teknologi, såsom Flash player eller MP3 codecs.

Tredjeparts software

Tredjeparts software

Vælg, hvordan systemet vil blive installeret på harddisken, diskkryptering og LVM-opsætninger graver ikke ud af kassen, så hvis du ikke er bekendt med det, skal du bare klikke på installationen og derefter fortsætte, når du bliver spurgt.

Setup HD installering

Setup HD installering

Vælg nu placeringen, dette indstiller valgmulighederne for lokal dato / tid, klik på dit land og fortsæt derefter.

indstillet placering

indstillet placering

Vælg dit tastaturlayout, brug detektionsværktøjet, hvis du er i tvivl.

Tastatur layout

Tastatur layout

Indstil derefter dine legitimationsoplysninger, du skal svare på følgende:

  • Dit navn
  • Computer navn
  • Brugernavn
  • Adgangskode
  • Bekræft adgangskode
  • Indstil det for at bede om en adgangskode under systemets opstart
Dine legitimationsoplysninger

Dine legitimationsoplysninger

Noter: Vælg ikke krypteret mig hjemme mappe indstilling, selvom jeg ikke prøvede det selv, men folk klager over det på fora.

I slutningen af ​​denne proces genstartes systemet for at starte fra harddisken.

Del II - Netværk

Når systemet genstarter, kan du køre installationsskriptet fra skrivebordet og derefter angive det kodeord, du har angivet på det sidste trin, når du bliver spurgt. Så spørger du om du vil oprette dine netværksgrænseflader, vælg Ja at opsætte netværk.

Opsætning af netværksgrænseflader

Opsætning af netværksgrænseflader

Vælg netværkskonfigurationsmetode til brug, vi skal bruge statisk konfiguration.

Netværkskonfigurationstilstand

Netværkskonfigurationstilstand

Indstil IP-adressen på denne maskine.

Indstil IP-adresse

Indstil IP-adresse

Indstil netværksmasken.

Indstil netværksmaske

Indstil netværksmaske

Indstil IP af gatewayen.

Indstil gateway

Indstil gateway

Indstil DNS-serverne IP.

Indstil DNS-servere

Indstil DNS-servere

Indstil det lokale domæne.

Indstil lokalt domæne

Indstil lokalt domæne

Indstil eventuelle særlige netværksindstillinger, hvis det er nødvendigt, og genstart derefter systemet igen.

Genstart

Genstart

Del III - Sensorer og servere

Kør installationsskriptet fra skrivebordet igen, når systemet genstarter, og følg de næste trin.

Først vælger du hvilken tilstand af installations scriptet skal køre, vi skal køre Produktion tilstand her for at vise dig detaljer.

Opsætningsmodus

Opsætningsmodus

Vælg hvilken tilstand Sguil vil blive installeret:

  • sensor - Installer agenter til overvågning.
  • server - Installer service til at styre overvågningen.
  • standalone - Installer både sensorer og server, vi skal bruge denne.
Sguil-tilstand

Sguil-tilstand

Indstil et brugernavn til Sguil, ELSA og Squert grænseflader.

Sguil brugernavn

Sguil brugernavn

Definer et kodeord og bekræft.

Sguil adgangskode

Sguil adgangskode

Indstil hvor mange dage der skal logge.

Dage at holde

Dage at holde

Indstil antallet af dage til at reparere MySQL-tabeller.

Dage at reparere

Dage at reparere

Vælg IDS-motor til brug, enten Snøfte or Suricata.

Vælg IDS-motor

Vælg IDS-motor

Vælg IDS-regelsæt, der skal bruges.

Vælg IDS regelsæt

Vælg IDS regelsæt

Indstil mindste antal PF_RING slots.

pfring slots

pfring slots

Aktivér brugen af ​​IDS-motor.

Aktivér IDS-motor

Aktivér IDS-motor

Aktiver Bro netværk analyse ramme.

Aktivér Bro

Aktivér Bro

Aktivér den eksekverbare filudvindingsfunktion i Bro. Denne funktion hjælper meget med at identificere malware.

Aktiver exe-ekstraktion

Aktiver exe-ekstraktion

Deaktiver bro http_agent for at gemme ressourcer, hvis du skal bruge ELSA.

Deaktiver http_agent

Deaktiver http_agent

Aktiver argus session management.

Aktiver Argus

Aktiver Argus

Deaktiver Prads asset management aas vi bruger bro's conn.log

Deaktiver Pradis

Deaktiver Pradis

Aktivér fuld pakkeoptagelse, dette anbefales kraftigt, medmindre det afvises af diskbegrænsninger.

Aktivér fuld pakkefangst

Aktivér fuld pakkefangst

Angiv den maksimale papirstørrelse i megabyte. Dette vil afhænge af dine behov og tilgængelighed på disken, men noget mellem 150 og 1500 skal gøre tricket for de fleste opsætninger.

Indstil pcap filstørrelse

Indstil pcap filstørrelse

Aktivér mmap I / O til pcap-filer på netsniff-ng for at opnå den bedste ydeevne, hvis du har en rimelig mængde hukommelse.

Aktivér mmap på netsniff-ng

Aktivér mmap på netsniff-ng

Indstil det minimumsrum, der er til rådighed på disken, for at starte udrensning af pcap-filer.

Diskfri plads

Diskfri plads

Deaktiver Salt konfigurationsstyringssystem, medmindre du skal køre flere noder.

Deaktiver salt

Deaktiver salt

Aktiver ELSA log ramme.

Aktivér ELSA

Aktivér ELSA

Konklusion

Du er færdig, sikkerhedsløg skal arbejde på dette tidspunkt. Du kan begynde at bruge værktøjerne til at inspicere dit miljø nu. Her er nogle skærmbilleder.

Sguil på advarsel genereret af en anmodning til testmyids.com og session detaljeret på Network Miner

Sguil og NetworkMiner

Sguil og NetworkMiner

Squert visning på samme begivenhed.

Squert GPL angreb

Squert GPL angreb

ELSA søgning i forhold til arrangementet.

ELSA GPL angrebshændelse

ELSA GPL angrebshændelse

Arrangementet ovenfor kan analyseres på mange andre måder på forskellige Security Onion værktøjer, vi kan gå fra en simpel advarsel til selve instruktionerne inden for nogle malware, det afhænger af hændelsen. Dette er ikke tilfældet her, måske på de kommende stillinger graver vi dybere på malwareforensics eller andre anvendelser til sikkerhedsløgsværktøjerne.

Det er alt for nu, tak for læsning!

Giv en kommentar

Dette websted bruger Akismet til at reducere spam. Lær, hvordan dine kommentardata behandles.