[置頂] 快速安裝可視化IDS系統 （帶視頻）

快速安裝可視化IDS系統 （帶視頻）

       本節為大家介紹的軟件叫安全洋蔥Security Onion，根OSSIM1樣，它是基于DebianLinux的系統，內部集成了很多開源安全工具，NIDS、HIDS、各種監控工具等等，下面我們就1起體會1下它如何進行深層防御。

為了了解這套系統，首先得教小白如何快速安裝這套可用的IDS系統。先要準備實驗用的ISO安裝文件（下載地址：https://sourceforge.net/projects/security-onion/  ）。接著進行以下操作：

1.將SO安裝到硬盤

環境：

虛擬機軟件： Vmware workstation 12

分配內存：4G

分配網卡： 1塊

分配磁盤空間： 30G

從SO的iso文件引導系統，選擇live,然后等待啟動到桌面環境，單擊安裝圖標根據提示進行系統安裝。安裝完成重啟系統。

然后在root權限下使用以下命令

apt-get update && sudo apt-get dist-upgrade   (更新安裝的軟件)。

剛裝完系統，會進入系統會啟動XFCE桌面。

圖1

點擊Setup,提示輸入密碼。

輸入當前用戶的登錄口令，你會看到Security Onion Setup的歡迎界面，單擊Yes，Continue！按鈕。

接下來，配置網絡接口。

在這個環節系統會自動優化你的網卡，包括禁用1些有可能干擾監聽的1些功能。更多信息查看，如果此時，選擇No，not right now,那末就會手動配置你的管理和監聽接口。1般我們還是選擇Yes，configure /etc/network/interfaces。

2.選擇管理接口

通常，系統會默許的將第1塊網卡設定為管理接口，如果只有1塊網卡，那末管理接口和監聽接口合2為1。

單擊OK按鈕后，通常需要給網卡指定靜態IP地址。除非你在DHCP中配置了靜態映照，才選擇DHCP自動獲得。

指定IP

點擊OK，然后指定掩碼。

點擊OK，然后設定網關。

點擊OK后設定DNS。

點擊OK后，在彈出設定本地域名的對話框，我們輸入本地域名test.com。

點擊OK后系統給出管理接口的網絡配置清單。

核對無誤后點擊Yes,make changest按鈕，這時候系統提示重新啟動。點擊Yes,reboot!

注意：手動修改網絡配置，你可以打開/etc/network/interfaces文件編輯iface eth0 inet static的配置。

編輯完成后重啟網絡服務。

$sudo /etc/init.d/networking restart

如果你是初學者，最好按系統提示重啟服務器。

3.組件安裝

當重啟系統完成以后，我們再進入系統XFCE桌面環境。按圖1當選擇setup,彈出圖2和圖3。

選擇Yes，Continue按鈕后彈出。

我們選擇Yes,skip network configuration,建議初學者選擇快速配置。

點擊OK，繼續。由于SO是使用電子郵件地址作為獨立認證機制，下面輸入你經常使用電子郵箱，將被Snorby用于生成報警日志。

點擊OK按鈕后，下面需要提供NSM(Network Security Monitoring)組件中Sguil模塊的用戶名，SO會在其他幾款NSM工具中使用它。請務必記住。

實例中設定的用戶名為cgweb。

注：命名規則只能是字母的組合。

輸入OK后，下面要選擇1個字符數字的口令以供讓SO安裝的NSM軟件認證使用。稍后可以通過Sguil和Snorby更改口令。

點擊OK后， 確認口令。

當再次確認口令，點擊OK按鈕后，也就是SO NSM利用程序創建完了憑證，配置腳本會問你，是不是想安裝企業日志搜索和歸檔ELSA。

你需要選擇Yes,enable ELSA,ELSA為NSM日志數據提供了1個搜索引擎接口。

此時，SO會提示用戶，準備做好變更，看你是不是同意。

我們選擇繼續改變。SO要配置系統的時區，可使用UTC，然后安裝與其打包在1起的所有NSM利用程序。

接下來系統會自動設置，當設置完成后，你可以在/var/log/nsm/sosetup.log文件看到安裝狀態報告。

當設置到ELSA設置環節可能會對花點時間，大家需要耐心等待，最后設置完成，沒必要重啟系統，可以使用sostat檢查服務運行狀態。

點擊OK，后彈出注意觸及IDS規則管理的內容。

有問題可以訪問下圖的站點

4.檢查安裝狀態

當單機系統完成安裝，應當采取了解安裝狀態，首先打開終端，運行下面命令，查看NSM代理是不是在線。

如果你發現有組件沒有啟動成功，可以嘗試sudo service nsm restart命令重啟。

在排除故障時，你還需要驗證傳感器連接到服務器的autossh隧道是不是正常。

注意:1個IP只能同時連接1臺SO服務器。

5.Web閱讀器訪問

檢查通過后，你可以在閱讀器上輸入剛分配的IP地址,https://192.168.91.228/,會打開以下SO的歡迎界面。

首次用閱讀器登陸會遇到HTTPS證書不可信的提示，由于它沒有簽名。

當你點擊信任就不會再提示了。

你可以通過這個界面來訪問Snorby NSM利用程序，單擊Snorby連接，彈出以下界面。

界面會顯示你的SO IP地址和端口444。Snorby會提示你輸入剛才的電子郵件地址，及口令。單擊Welcome,Singn In按鈕登錄系統。這時候根據你傳感器部署位置不同和網絡活躍程度不同，在控制面板上看到不同的流量信息。

   如對屏幕下方出現的兩個特定警報感興趣，那末可點擊條目查看到詳情。有比較，才知孰優孰劣，具體分析會在《開源安全運維平臺OSSIM最好實踐》1書中講授。

6.升級注意事項

首先你需要了解Upgrade與dist-upgrade之間區分是甚么。

如果運行upgrade,會得到1組選項，選擇dist-upgrade將會產生另外一組徐選項。

$sudo apt-get upgrade

$sudo apt-get dist-upgrade

需要注意的是，更新系統需要在沒有配置系統之前，如果你將系統配置終了以后，在升級系統，之前的配置文件將被覆蓋。所以1定要在你甚么都沒有配置之前做升級工作。

(下回講授散布式IDS安裝與調試)。

疑問：

Q：安全洋蔥能禁止入侵嗎？

A：這1點，和OSSIM1樣，不能禁止入侵。

安裝配置視頻： http://www.tudou.com/programs/view/pMKCpEyqSJ8 

生活不易，碼農辛苦
如果您覺得本網站對您的學習有所幫助,可以手機掃描二維碼進行捐贈