背景：

網(wǎng)上有不少關(guān)于snort+barnyard2+base搭建IDS的文章，可是當你花費數(shù)天時間，還是無法完全安裝完成時，及時當你安裝完成發(fā)現(xiàn)不是你想要的平臺式，時間成本如何計算?

為了節(jié)約時間，本節(jié)為大家介紹的軟件叫安全洋蔥Security Onion(本文中簡稱：SO)，它和OSSIM一樣，是基于Debian Linux的系統(tǒng)，內(nèi)部集成了很多開源安全工具例如： OSSEC、NIDS、HIDS以及各種監(jiān)控工具等等，可以讓你在一支煙的功夫完成整個系統(tǒng)建設，下面我們就一起體會一下它如何進行安裝和深層防御的吧。

為了了解這套系統(tǒng)，首先得教小白如何快速安裝這套可用的IDS系統(tǒng)。先要準備實驗用的ISO安裝文件(下載地址：https://sourceforge.net/projects/security-onion/ )。接著進行如下操作：

1.將SO安裝到硬盤 (該步不能省略)

環(huán)境：

虛擬機軟件： Vmware workstation 12

分配內(nèi)存：4G

分配網(wǎng)卡： 1塊

分配磁盤空間： 30G

從SO的iso文件引導系統(tǒng)，選擇live,然后等待啟動到桌面環(huán)境，單擊安裝圖標根據(jù)提示進行系統(tǒng)安裝。安裝完成重啟系統(tǒng)。

然后在root權(quán)限下使用以下命令

apt-get update && sudo apt-get dist-upgrade   (更新安裝的軟件)。 
rule-update 

剛裝完系統(tǒng)，會進入系統(tǒng)會啟動XFCE桌面。

圖1

點擊Setup,提示輸入密碼。

輸入當前用戶的登錄口令，你會看到Security Onion Setup的歡迎界面，單擊Yes，Continue!按鈕。

接下來，配置網(wǎng)絡接口。

在這個環(huán)節(jié)系統(tǒng)會自動優(yōu)化你的網(wǎng)卡，包括禁用一些有可能干擾監(jiān)聽的一些功能。更多信息查看，如果此時，選擇No，not right now,那么就會手動配置你的管理和監(jiān)聽接口。一般我們還是選擇Yes，configure /etc/network/interfaces。

2.選擇管理接口

通常，系統(tǒng)會默認的將第一塊網(wǎng)卡設定為管理接口，如果只有一塊網(wǎng)卡，那么管理接口和監(jiān)聽接口合二為一。

單擊OK按鈕后，通常需要給網(wǎng)卡指定靜態(tài)IP地址。除非你在DHCP中配置了靜態(tài)映射，才選擇DHCP自動獲取。

指定IP

點擊OK，然后指定掩碼。

點擊OK，然后設定網(wǎng)關(guān)。

點擊OK后設定DNS。

點擊OK后，在彈出設定本地域名的對話框，我們輸入本地域名test.com。

點擊OK后系統(tǒng)給出管理接口的網(wǎng)絡配置清單。

核對無誤后點擊Yes,make changest按鈕，這時系統(tǒng)提示重新啟動。點擊Yes,reboot!

注意：手動修改網(wǎng)絡配置，你可以打開/etc/network/interfaces文件編輯iface eth0 inet static的配置。

編輯完成后重啟網(wǎng)絡服務。

$sudo /etc/init.d/networking restart

如果你是初學者，最好按系統(tǒng)提示重啟服務器。

3.組件安裝

當重啟系統(tǒng)完成之后，我們再進入系統(tǒng)XFCE桌面環(huán)境。按圖1中選擇setup,彈出圖2和圖3。

選擇Yes，Continue按鈕后彈出。

我們選擇Yes,skip network configuration,建議初學者選擇快速配置。

點擊OK，繼續(xù)。由于SO是使用電子郵件地址作為獨立認證機制，下面輸入你常用電子郵箱，將被Snorby用于生成報警日志。

點擊OK按鈕后，下面需要提供NSM(Network Security Monitoring)組件中Sguil模塊的用戶名，SO會在其他幾款NSM工具中使用它。請務必記住。

實例中設定的用戶名為cgweb。

注：命名規(guī)則只能是字母的組合。

輸入OK后，下面要選擇一個字符數(shù)字的口令以供讓SO安裝的NSM軟件認證使用。稍后可以通過Sguil和Snorby更改口令。

點擊OK后， 確認口令。

當再次確認口令，點擊OK按鈕后，也就是SO NSM應用程序創(chuàng)建完了憑證，配置腳本會問你，是否想安裝企業(yè)日志搜索和歸檔ELSA。

你需要選擇Yes,enable ELSA,ELSA為NSM日志數(shù)據(jù)提供了一個搜索引擎接口。

此時，SO會提示用戶，準備做好變更，看你是否同意。

我們選擇繼續(xù)改變。SO要配置系統(tǒng)的時區(qū)，可以使用UTC，然后安裝與其打包在一起的所有NSM應用程序。

接下來系統(tǒng)會自動設置，當設置完成后，你可以在/var/log/nsm/sosetup.log文件看到安裝狀態(tài)報告。

當設置到ELSA設置環(huán)節(jié)可能會對花點時間，大家需要耐心等待，最后設置完成，不必重啟系統(tǒng)，可使用sostat檢查服務運行狀態(tài)。

點擊OK，后彈出注意涉及IDS規(guī)則管理的內(nèi)容。

有問題可以訪問下圖的站點

4.檢查安裝狀態(tài)

當單機系統(tǒng)完成安裝，應該采取了解安裝狀態(tài)，首先打開終端，運行下面命令，查看NSM代理是否在線。

如果你發(fā)現(xiàn)有組件沒有啟動成功，可以嘗試sudo service nsm restart命令重啟。

在排除故障時，你還需要驗證傳感器連接到服務器的autossh隧道是否正常。

注意:一個IP只能同時連接一臺SO服務器。

5.Web瀏覽器訪問

檢查通過后，你可以在瀏覽器上輸入剛分配的IP地址,https://192.168.91.228/,會打開如下SO的歡迎界面。

首次用瀏覽器登陸會遇到HTTPS證書不可信的提示，因為它沒有簽名。

當你點擊信任就不會再提示了。

你可以通過這個界面來訪問Snorby NSM應用程序，單擊Snorby連接，彈出如下界面。

界面會顯示你的SO IP地址以及端口444。Snorby會提示你輸入剛才的電子郵件地址，及口令。單擊Welcome,Singn In按鈕登錄系統(tǒng)。這時根據(jù)你傳感器部署位置不同以及網(wǎng)絡活躍程度不同，在控制面板上看到不同的流量信息。

報警測試：

你在虛擬機環(huán)境下，如果不會滲透測試，哪兒來的攻擊數(shù)據(jù)包，系統(tǒng)怎么會報警，下面用tcpreplay來向網(wǎng)絡回放一些攻擊包的例子(這些內(nèi)容是無害的)。

#sudo tcpreplay -ieth0 -M10 /opt/samples/markofu/*.pcap

報警如下圖所示。

如對屏幕下方出現(xiàn)的兩個特定警報感興趣，那么可點擊條目查看到詳情。有比較，才知孰優(yōu)孰劣，具體分析會在《開源安全運維平臺OSSIM最佳實踐》一書中講解。

6.查看服務器狀態(tài)

系統(tǒng)腳本/usr/sbin/nsm可以調(diào)研nsm_server、nsm_sensor底層腳本傳遞的選項，進而可以檢查服務器的狀態(tài)，輸入以下命令

那么除了status以外還有其他進程控制命令，例如start,stop以及restart

$sudo /usr/sbin/nsm_sensor --status 查看ossec_agent(sguil)狀態(tài)

清除傳感器數(shù)據(jù)

我們先查看sensor名字，然后清除

 

$sudo /usr/sbin/nsm_sensor_clear --sensor-name=cgweb-virtual-machine-eth0

7.刪除數(shù)據(jù)的腳本

如果你想一次刪除所有數(shù)據(jù)，很簡單調(diào)用高級腳本/usr/sbin/nsm_all_del即可，它首先會提示用戶確認。

還有一個快速刪除命令：/usr/sbin/nsm_all_del_quick，它相當危險，因為在刪除時不會給出任何提示信息。

8.升級注意事項

首先你需要了解Upgrade與dist-upgrade之間區(qū)別是什么。

如果運行upgrade,會得到一組選項，選擇dist-upgrade將會產(chǎn)生另一組徐選項。

$sudo apt-get upgrade 
$sudo apt-get dist-upgrade 

 

需要注意的是，國內(nèi)用戶升級會比較慢。更新系統(tǒng)需要在沒有配置系統(tǒng)之前，如果你將系統(tǒng)配置完畢之后，在升級系統(tǒng)，之前的配置文件將被覆蓋。所以一定要在你什么都沒有配置之前做升級工作。

(下回講解分布式IDS安裝與調(diào)試)。

9.了解SO數(shù)據(jù)庫

當你設置好嗅探口，將洋蔥服務器接入網(wǎng)絡后，NSM就開始收集網(wǎng)絡信息。傳感器就會存儲各種數(shù)據(jù)類型，下面的兩個目錄的路徑和用途大家需要了解。

/nsm :存儲所有日志和完整數(shù)據(jù)內(nèi)容。

SO在/nsm/sensor_data//dailylogs/YY-MM-DD/目錄中以snort.log.<時間戳>的格式文件名存儲完整內(nèi)容的數(shù)據(jù)。內(nèi)容為pcap格式。

我們看一個例子：snort.log.1474866755

log后面的數(shù)字“1474866755”表示什么意思?他是UNIX時間戳的表示方法，代表了自1970年1月1日以來過去的秒數(shù)。

轉(zhuǎn)換方法：

這個目錄如此重要，那么SO會定期檢查該目錄的可用空間，當達到90%閾值時，會做以下幾件事：

• 腳本會從這個目錄移除舊的完整內(nèi)容的pcap文件，
• 從/nsm/bro/logs移除舊的Bro日志文件。
• 從/nsm/sensor_data//dailylogs/argus/目錄移除舊的argus會話。
• 從/nsm/sensor_data/snort-移除舊的Snort Unified2告警文件。

這個腳本位于/usr/sbin/nsm_sensor_clean,cronjob會每小時都調(diào)用/usr/sbin/nsm_sensor_clean腳本，當較早的數(shù)據(jù)刪除，直到磁盤使用率低于90%。

/var/lib/mysql :存儲洋蔥的數(shù)據(jù)庫。

疑問：

Q：安全洋蔥能阻止入侵嗎?

A：這一點，和OSSIM一樣，不能阻止入侵。

參考：

https://security-onion-solutions.github.io/security-onion/

https://github.com/Security-Onion-Solutions

http://sourceforge.net/projects/security-onion/