文档章节

快速安装可视化IDS系统

OSSIM
 OSSIM
发布于 2016/05/29 00:11
字数 1544
阅读 2351
收藏 23

快速安装可视化IDS系统

       本节为大家介绍的软件叫安全洋葱Security Onion,根OSSIM一样,它是基于DebianLinux的系统,内部集成了很多开源安全工具,NIDS、HIDS、各种监控工具等等,下面我们就一起体会一下它如何进行深层防御。

wKiom1dJBNzxxVBkAAF_icwFlK0877.png

 

为了了解这套系统,首先得教小白如何快速安装这套可用的IDS系统。先要准备实验用的ISO安装文件(下载地址:https://sourceforge.net/projects/security-onion/  )。接着进行如下操作:

1.将SO安装到硬盘

从SO的iso文件引导系统,选择live,然后等待启动到桌面环境,单击安装图标根据提示进行系统安装。安装完成重启系统。

然后使用以下命令

$sudo apt-get update && sudo apt-get dist-upgrade   (更新安装的软件)。

刚装完系统,会进入系统会启动XFCE桌面。

clip_image002

图1

点击Setup,提示输入密码。

clip_image004

 

输入当前用户的登录口令,你会看到Security Onion Setup的欢迎界面,单击Yes,Continue!按钮。

clip_image005

 

接下来,配置网络接口

clip_image007

在这个环节系统会自动优化你的网卡,包括禁用一些有可能干扰监听的一些功能。更多信息查看,如果此时,选择No,not right now,那么就会手动配置你的管理和监听接口。一般我们还是选择Yes,configure /etc/network/interfaces。

2.选择管理接口

通常,系统会默认的将第一块网卡设定为管理接口,如果只有一块网卡,那么管理接口和监听接口合二为一。

clip_image009

单击OK按钮后,通常需要给网卡指定静态IP地址。除非你在DHCP中配置了静态映射,才选择DHCP自动获取。

clip_image010

指定IP

clip_image011

点击OK,然后指定掩码。

clip_image012

点击OK,然后设定网关。

clip_image013

点击OK后设定DNS。

clip_image014

点击OK后,在弹出设定本地域名的对话框,我们输入本地域名test.com。

clip_image015

点击OK后系统给出管理接口的网络配置清单。

clip_image017

核对无误后点击Yes,make changest按钮,这时系统提示重新启动。点击Yes,reboot!

clip_image019

注意:手动修改网络配置,你可以打开/etc/network/interfaces文件编辑iface eth0 inet static的配置。

编辑完成后重启网络服务。

$sudo /etc/init.d/networking restart

3.组件安装

重启系统之后,我们再进入系统XFCE桌面环境。按图1中选择setup,弹出图2和图3。

选择Yes,Continue按钮后弹出。

clip_image021

我们选择Yes,skip network configuration,建议初学者选择快速配置。

clip_image023

点击OK,继续。由于SO是使用电子邮件地址作为独立认证机制,下面输入你常用电子邮箱,将被Snorby用于生成报警日志。

clip_image024

点击OK按钮后,下面需要提供NSM组件中Sguil模块的用户名,SO会在其他几款NSM工具中使用它。请务必记住。

clip_image025

实例中设定的用户名为cgweb。

命名规则只能是字母的组合

输入OK后,下面要选择一个字符数字的口令以供让SO安装的NSM软件认证使用。稍后可以通过Sguil和Snorby更改口令。

clip_image027

点击OK后, 确认口令。

clip_image028

当再次确认口令,点击OK按钮后,也就是SO NSM应用程序创建完了凭证,配置脚本会问你,是否想安装企业日志搜索和归档ELSA。

clip_image030

你需要选择Yes,enable ELSA,ELSA为NSM日志数据提供了一个搜索引擎接口。

此时,SO会提示用户,准备做好变更,看你是否同意。

clip_image031

我们选择继续改变。SO要配置系统的时区,可以使用UTC,然后安装与其打包在一起的所有NSM应用程序。

clip_image032

接下来系统会自动设置,当设置完成后,你可以在/var/log/nsm/sosetup.log文件看到安装状态报告。

clip_image033

可使用sostat检查服务运行状态。

clip_image035

点击OK,后弹出注意涉及IDS规则管理的内容。

clip_image036

有问题可以访问下图的站点

clip_image037

4.检查安装状态

当单机系统完成安装,应该采取了解安装状态,首先打开终端,运行下面命令,查看NSM代理是否在线。

clip_image039

如果你发现有组件没有启动成功,可以尝试sudo service nsm restart命令重启。

在排除故障时,你还需要验证传感器连接到服务器的autossh隧道是否正常。

注意:一个IP只能同时连接一台SO服务器。

5.Web浏览器访问

检查通过后,你可以在浏览器上输入刚分配的IP地址,https://192.168.91.228/,会打开如下SO的欢迎界面。

首次用浏览器登陆会遇到HTTPS证书不可信的提示,因为它没有签名。

clip_image041

当你点击信任就不会再提示了。

clip_image043

你可以通过这个界面来访问Snorby NSM应用程序,单击Snorby连接,弹出如下界面。

clip_image045

界面会显示你的SO IP地址以及端口444。Snorby会提示你输入刚才的电子邮件地址,及口令。单击Welcome,Singn In按钮登录系统。这时根据你传感器部署位置不同以及网络活跃程度不同,在控制面板上看到不同的流量信息。

clip_image047

如对屏幕下方出现的两个特定警报感兴趣,那么可点击条目查看到详情。具体分析会在《开源安全运维平台OSSIM最佳实践》一书中讲解。

6.升级注意事项

首先你需要了解Upgrade与dist-upgrade之间区别是什么。

如果运行upgrade,会得到一组选项,选择dist-upgrade将会产生另一组徐选项。

$sudo apt-get upgrade

© 著作权归作者所有

OSSIM

OSSIM

粉丝 146
博文 114
码字总数 150474
作品 0
朝阳
技术主管
私信 提问
加载中

评论(1)

yangjh_chs
yangjh_chs
好东西,研究看看
如何使用Bro IDS和Intel Critical Stack分析网络活动

越来越多的网络攻击迫使企业将其网络活动作为安全策略的一部分加以控制。 众多供应商已经设计了多种入侵检测系统(IDS)来帮助企业保护网络基础设施。但是,由于商业IDS通常需要花费数千美元...

技术小能手
2018/05/22
0
0
快速安装可视化IDS系统Security Onion

快速安装可视化IDS系统Security Onion 背景: 网上有不少关于snort+barnyard2+base搭建IDS的文章,可是当你花费数天时间,还是无法完全安装完成时,及时当你安装完成发现不是你想要的平台式,...

李晨光
2016/05/28
0
0
OSSIM中快速部署HIDS

OSSIM中快速部署HIDS OSSEC是OSSIM下的IDS之一,在系统中作为HIDS。通常如果你自己手动安装Ossec Server/Ossec Agent,很多精力花在安装部署和排错上,而且自己搭建分布式Ossec对你而言或许是...

OSSIM
2015/11/26
232
0
十余款进阶Clouder技能认证上线,打造全方位云+数据人才成长路径

2018伊始,阿里云Apsara Clouder认证上线10余款进阶版技能认证。在前期技术入门基础上,新上线的认证进一步细化了云上技能应用场景划分,提升技术及场景深度,打造全方位的云+数据人才成长路...

云大学小编
2018/01/04
0
0
NetCloud——一个网易云音乐评论抓取和分析的Python库

在17的四月份,我曾经写了一篇关于网易云音乐爬虫的文章,还写了一篇关于评论数据可视化的文章。在这大半年的时间里,有时会有一些朋友给我发私信询问一些关于代码方面的问题。所以我最近抽空...

lyrichu
2018/02/04
0
0

没有更多内容

加载失败,请刷新页面

加载更多

数组中有一个数字出现的次数超过数组长度的一半,请找出这个数字由于数字2在数组中出现了5次,超过数组长度的一半,因此输出2。如果不存在则输出0。

import java.util.Arrays; public class Solution { public int MoreThanHalfNum_Solution(int [] array) { Arrays.sort(array); int count=0; for(int i=0;i<array.le......

南桥北木
31分钟前
2
0
关于FLAG_ACTIVITY_NEW_TASK的使用

参考文章: https://blog.csdn.net/u010389391/article/details/78558475 Context调用startActivity, 有部分情况会报出如下错误: Caused by: android.util.AndroidRuntimeException: Calli......

Gemini-Lin
47分钟前
1
0
Python开发工具:Webware for Python

原文来之:https://www.oschina.net/p/webware+for+python 前言 Webware for Python 是一组 Python 包和工具用来开发面向对象的 Web 应用。良好的设计模式,包含一个快速的应用服务器、Servl...

A_裙232550246
55分钟前
2
0
高并发场景下的缓存有哪些常见的问题?

一、缓存一致性问题 当数据时效性要求很高时,需要保证缓存中的数据与数据库中的保持一致,而且需要保证缓存节点和副本中的数据也保持一致,不能出现差异现象。 这就比较依赖缓存的过期和更新...

别打我会飞
今天
3
0
List list = new ArrayList()为何父类引用指向子类对象(多态)

态:要有继承,方法的重写,父类引用指向子类对象 疑问一:父类引用指向子类对象 与指向父类对象 Animal cat = new Cat(); //向上转型。 父类引用指向子类对象,该引用不能再访问子类新增加的...

architect刘源源
今天
3
0

没有更多内容

加载失败,请刷新页面

加载更多

返回顶部
顶部