首页 黑阔

网上找了一堆开源的入侵检测系统,大多数版本都老掉牙了,看来这类开源系统不太活跃
绝大多数IDS系统的实现都是通过侦听网卡流量,分析其中的数据进行正则匹配,搭配类似ELK日志系统和其他GUI界面进行展示,近年来随着Docker的发展,搭建不在复杂,我也是菜鸟中的菜鸟,今天试着玩一下Security onion,希望可以在搭建个简易的内网入侵检测系统。

这类系统一般需要网络环境的配合,如可以将流量进行镜像的路由或者交换机,将检测系统接入可以分析网内的流量包,也可以在边缘网络进行侦听,可以采用在不同VLAN部署传感器的方案,将数据传输到主服务器进行分析展示。

Security onion官网:https://securityonion.net/
官方文档:https://docs.securityonion.net/en/16.04/

1.搭建准备

  • Security onion OS
  • VM虚拟机
  • 桥接模式网络

2.安装系统

OS安装方式非常简单,和其他Linux发行版差不多,其中选择中文安装到最后经常安装莫名崩溃,我这里选择了英文安装

3.初始化

安装完成后,我们重启进入系统的桌面
进入桌面有个Setup,我们点击安装,输入安装系统的时候创建的密码,此时会让你选择工作的网卡和网络模式,我这里只有一张网卡选择了dhcp,提示重启应用更改,点击重启后再次点击Setup进行安装,这时会提示你已设置过网络是否跳过,我们选择跳过。
微信截图_20200726154833.png
界面到了选择安装模式的时候,我们这里选择evaluation 模式进行快速安装。以后有机会在写一篇生产模式的安装。。。
下一步会提示你创建IDS系统的用户密码,此用户用来登录IDS平台,后续点击下一步即可
安装完成后不停点击ok即可

4.放开防火墙

系统默认关闭了所有的外部访问,我们这里为了方便管理进行防火墙设置,右键桌面打开终端输入

sudo so-allow

123.png
显示预设的规则,我们选择a,输入放开的白名单ip,回车确认即可

5.web界面

完成上述操作后我们打开浏览器,输入https访问服务器的IP,忽略安全警告
1.png
出现这界面基本上算安装成功了,我们也可以在命令行中输入sudo so-status 查看各组件的状态,所有OK即可
如果有问题的话,可以尝试 sudo so-restart 重启所有服务
我们点击squert,输入刚创建的用户密码,进入squert界面
111.png
界面显示了网内和系统的一些安全信息,至此简易搭建的平台就完成了,至于如何使用我个人也仍在摸索中,有时间会后续跟新的!!!



文章评论

    Security Onion 访客ChromeWindows
    2020-11-23 3:15   回复

    Security Onion Solutions 2.3.10 https://zhuanlan.zhihu.com/p/302350720

      lemon 站长ChromeWindows
      2020-12-3 3:32   回复

      这个大佬写的真的很好,大家可以看看

    小废物 访客FireFoxWindows
    2020-11-5 12:37   回复

    SO究极入门,搭建的时候就遇到了好多问题,在网上也找不着,求求大佬救救孩子吧