Security onion快速搭建入侵检测平台

  • 2020 年 07 月 26 日
  • 1514
  • 736 字
  • 7 条评论

网上找了一堆开源的入侵检测系统,大多数版本都老掉牙了,看来这类开源系统不太活跃
绝大多数IDS系统的实现都是通过侦听网卡流量,分析其中的数据进行正则匹配,搭配类似ELK日志系统和其他GUI界面进行展示,近年来随着Docker的发展,搭建不在复杂,我也是菜鸟中的菜鸟,今天试着玩一下Security onion,希望可以在搭建个简易的内网入侵检测系统。

这类系统一般需要网络环境的配合,如可以将流量进行镜像的路由或者交换机,将检测系统接入可以分析网内的流量包,也可以在边缘网络进行侦听,可以采用在不同VLAN部署传感器的方案,将数据传输到主服务器进行分析展示。

Security onion官网:https://securityonion.net/
官方文档:https://docs.securityonion.net/en/16.04/

1.搭建准备

  • Security onion OS
  • VM虚拟机
  • 桥接模式网络

2.安装系统

OS安装方式非常简单,和其他Linux发行版差不多,其中选择中文安装到最后经常安装莫名崩溃,我这里选择了英文安装

3.初始化

安装完成后,我们重启进入系统的桌面
进入桌面有个Setup,我们点击安装,输入安装系统的时候创建的密码,此时会让你选择工作的网卡和网络模式,我这里只有一张网卡选择了dhcp,提示重启应用更改,点击重启后再次点击Setup进行安装,这时会提示你已设置过网络是否跳过,我们选择跳过。
微信截图_20200726154833.png
界面到了选择安装模式的时候,我们这里选择evaluation 模式进行快速安装。以后有机会在写一篇生产模式的安装。。。
下一步会提示你创建IDS系统的用户密码,此用户用来登录IDS平台,后续点击下一步即可
安装完成后不停点击ok即可

4.放开防火墙

系统默认关闭了所有的外部访问,我们这里为了方便管理进行防火墙设置,右键桌面打开终端输入

sudo so-allow

123.png
显示预设的规则,我们选择a,输入放开的白名单ip,回车确认即可

5.web界面

完成上述操作后我们打开浏览器,输入https访问服务器的IP,忽略安全警告
1.png
出现这界面基本上算安装成功了,我们也可以在命令行中输入sudo so-status 查看各组件的状态,所有OK即可
如果有问题的话,可以尝试 sudo so-restart 重启所有服务
我们点击squert,输入刚创建的用户密码,进入squert界面
111.png
界面显示了网内和系统的一些安全信息,至此简易搭建的平台就完成了,至于如何使用我个人也仍在摸索中,有时间会后续跟新的!!!




IDS

—— 收到 7 条评论 ——

    2021 年 04 月 14 日 10:34

    Having read this I thought it was very enlightening. I appreciate you finding the time and energy to
    put this article together. I once again find myself spending way too much time both reading and leaving comments.
    But so what, it was still worth it!

    2021 年 04 月 14 日 05:32

    An outstanding share! I've just forwarded this onto a friend
    who was doing a little homework on this. And he in fact bought me dinner because I
    discovered it for him... lol. So let me reword this....
    Thank YOU for the meal!! But yeah, thanks for spending
    the time to discuss this topic here on your internet site.

    2021 年 04 月 12 日 11:58

    Hello, I enjoy reading all of your article. I like to write a little comment to support

    asmr 0mniartist
    2021 年 04 月 10 日 21:44

    hello!,I like your writing very much! percentage we be in contact more about your article on AOL?
    I require a specialist on this area to solve my problem.
    May be that is you! Taking a look ahead to see you.
    asmr 0mniartist

    Security Onion
    2020 年 11 月 23 日 11:15

    Security Onion Solutions 2.3.10 https://zhuanlan.zhihu.com/p/302350720

      2020 年 12 月 03 日 11:32

      这个大佬写的真的很好,大家可以看看

    小废物
    2020 年 11 月 05 日 20:37

    SO究极入门,搭建的时候就遇到了好多问题,在网上也找不着,求求大佬救救孩子吧

OωO