网上找了一堆开源的入侵检测系统,大多数版本都老掉牙了,看来这类开源系统不太活跃
绝大多数IDS系统的实现都是通过侦听网卡流量,分析其中的数据进行正则匹配,搭配类似ELK日志系统和其他GUI界面进行展示,近年来随着Docker的发展,搭建不在复杂,我也是菜鸟中的菜鸟,今天试着玩一下Security onion,希望可以在搭建个简易的内网入侵检测系统。
这类系统一般需要网络环境的配合,如可以将流量进行镜像的路由或者交换机,将检测系统接入可以分析网内的流量包,也可以在边缘网络进行侦听,可以采用在不同VLAN部署传感器的方案,将数据传输到主服务器进行分析展示。
Security onion官网:https://securityonion.net/
官方文档:https://docs.securityonion.net/en/16.04/
1.搭建准备
- Security onion OS
- VM虚拟机
- 桥接模式网络
2.安装系统
OS安装方式非常简单,和其他Linux发行版差不多,其中选择中文安装到最后经常安装莫名崩溃,我这里选择了英文安装
3.初始化
安装完成后,我们重启进入系统的桌面
进入桌面有个Setup,我们点击安装,输入安装系统的时候创建的密码,此时会让你选择工作的网卡和网络模式,我这里只有一张网卡选择了dhcp,提示重启应用更改,点击重启后再次点击Setup进行安装,这时会提示你已设置过网络是否跳过,我们选择跳过。
界面到了选择安装模式的时候,我们这里选择evaluation 模式进行快速安装。以后有机会在写一篇生产模式的安装。。。
下一步会提示你创建IDS系统的用户密码,此用户用来登录IDS平台,后续点击下一步即可
安装完成后不停点击ok即可
4.放开防火墙
系统默认关闭了所有的外部访问,我们这里为了方便管理进行防火墙设置,右键桌面打开终端输入
sudo so-allow
显示预设的规则,我们选择a,输入放开的白名单ip,回车确认即可
5.web界面
完成上述操作后我们打开浏览器,输入https访问服务器的IP,忽略安全警告
出现这界面基本上算安装成功了,我们也可以在命令行中输入sudo so-status 查看各组件的状态,所有OK即可
如果有问题的话,可以尝试 sudo so-restart 重启所有服务
我们点击squert,输入刚创建的用户密码,进入squert界面
界面显示了网内和系统的一些安全信息,至此简易搭建的平台就完成了,至于如何使用我个人也仍在摸索中,有时间会后续跟新的!!!
Security Onion Solutions 2.3.10 https://zhuanlan.zhihu.com/p/302350720
这个大佬写的真的很好,大家可以看看
SO究极入门,搭建的时候就遇到了好多问题,在网上也找不着,求求大佬救救孩子吧