Security Onion

 

Povezava: http://securityonion.blogspot.com/

 

Security Onion je Linux distribucija za IDS (Intrusion detection system) in NSM (Network security monitoring). Za osnovo ima XUbuntu 10.04 in vsebuje Snort, Suricata, Squil, Snorby, Bro, NetworkMiner, Xplico in veliko drugih varnostnih orodij. Z čarovnikom za lahko in hitro namestitev, imate naložen in usposobljen varnostni sistem v parih minutah. Image za namestitev si lahko prenesete z naslova : http://sourceforge.net/projects/security-onion/files/.

 

 

 

1. Namestitev. Izberete Install. Lahko uporabite tudi “live” za testiranje. Live pomeni, da se sistem naloži v pomnilnik.

2. Izberite jezik namestitve.

3. Nastavite časovni pas.

4. Izberete vrsto tipkovnice.

5. Namestitev vas vpraša, kam naj namesti sistem. Če imate disk namenjen samo za Security Onion, lahko izberete celo particijo. (vsi podatki na disku bodo pobrisani)

6. Vnesete podatke o uporabniku in ime mašine.

7. Pregled nastavitev pred začetkom zapisovanja na disk.

8. Namestitev je končana. Potreben bo ponovni zagon.

9. Zagon Security Oniona na XUbuntu platformi.

10. Namizje.

12. Za namestitev Squila kliknete na ikono “Setup” na Namizju.

13. Začetek namestiteve. Kliknete “Yes,..”

14. Če uporabite “Quick setup”, bo sistem sam nastavil večino parametrov (priporočeno za začetnike). Napredna nastavitev omogoča izbiro IDS-ja (snort, surikata), lahko si prenesete dodatna pravila (potrebna registracija), sami nastavljate imena senzorjem…

15. Vnesete novo uporabniško ime za prijavo v Squil.

16. E-naslov je uporabiško ime za prijavo v paket Snorby (vaše uporabiško ime bo potem “test@local.si).

17. Vnesite geslo za Squil, Snorby, Squert… Za vse prijave bo geslo isto.

18. Ponovi geslo.

19. Nadaljuj in shrani nastavitve.

20. Namestitev je končana.

21. Za zagon Squila kliknete na ikono “Squil”.

22. Prijava.

23. Izberete senozorje (mrežne kartice) na katerih bo snort poslušal.

24. Izgled “on-line” alarmov v konzoli. Tukaj vidimo alarm, da je nekdo iz naslova 192.168.198.1 poskušal vzpostaviti SSH povezavo na našo mašino. Da ne bo prišlo do pomote, vidite samo dogodke, ki so bili namenjeni v vaš računalnik oz. “broadcaste”… Če hočete videti dogodke v celi mreži, morate imeti “hub” ali pa se priklopiti na “span” port switcha, da tako spremljate ves promet. V oknu lahko vidite tudi vsebino paketov…

25. Če želite imate na voljo za pregledovanje dogodkov še Snorbya in Squert. Prvo bomo odrli Squert (ikona na Namizju “Squert”).

26. Povzetek dogodkov.

27. Singatures (dogodki)

28. Grafi dogodkov.

29. Prikaz vira alarmov. (nslookup).

30. Query (poizvedbe) iz baze.

31. Poglejmo še Snorby. Na namizju kliknete ikono “Snorby”. (Snorby porabi malo več resorsov, zato lahko pričakujete počasnejši odziv)

32. Povzetek dogodkov.

33. Lista dogodkov (alarmov).

34. Seznam senzorjev.

V naslednjih prispevkih bomo objavili tudi druga orodja in konfiguracije.

Leave a Reply

Your email address will not be published. Required fields are marked *

VNESITE ŠTEVILO V PRAZNO POLJE !!! *

Internetna zaščita

Copyright © 2013. All Rights Reserved.