LINUX

Cómo instalar Security Onion 14.04

¿Conocías Security Onion? Es una distribución de Linux especializada en el monitoreo de la seguridad de la red y la prevención de intrusiones, simplifica toda la administración de la red con una distribución basada en Ubuntu que puede comenzar a usar con solo unos pocos pasos. Viene con muchos software de seguridad valiosos para monitorear su red en tiempo real o realizar análisis en archivos pcap y / o registros del sistema.

Hoy lo guiaré a través del proceso de instalación paso a paso. Al final de este artículo, lo tiene instalado en su máquina y podrá comenzar a monitorear el tráfico de su red y la actividad del host utilizando sus herramientas.

Aquí hay herramientas que encontrará en Security Onion:

Reensamblador tcpdump OSSEC cazar Chirriar
Xplico tshark hermano dsniff ELSA
tcpxtract ngrep Bufido sslsniff Snorby
tcpstat Wireshark Suricata mergecap sguil
tcpslice ssldump corral2 red de deriva p0f
tcpreplay NetworkMiner u2boat netsniff-ng Huela esto
escamoso Argos u2spewfoo red de deriva tcpick
caosreader Daemonlogger enredado labrea esperando

Descarga Security Onion

Descargar el Cebolla de seguridad ISO de Github. De hecho, Security Onion incluso se puede instalar en distribuciones basadas en Ubuntu, sin embargo, esto no se tratará aquí, aquí está cómo instalar Security Onion en Ubuntu.

Bota

Cuando inicie el sistema con los medios Security Onion, se le presentará la siguiente pantalla, simplemente presione la opción de instalación.

Pantalla de arranque
Pantalla de arranque

Instalar cebolla de seguridad

Una vez que seleccione la opción de instalación, el sistema comenzará a arrancar y luego mostrará la pantalla de configuración.

Parte I – Sistema operativo

Lo primero que debe configurar es el idioma del sistema operativo.

Seleccione el idioma
Seleccione el idioma

Ahora decida utilizar o no tecnología de terceros, como el reproductor Flash o los códecs MP3.

Software de terceros
Software de terceros

Seleccione cómo se instalará el sistema en su disco duro, el cifrado del disco y las configuraciones de LVM no funcionaron de inmediato, por lo que si no está familiarizado con él, simplemente haga clic en instalar y luego continúe cuando se le solicite.

Configuración de instalación HD
Configuración de instalación HD

Ahora seleccione la ubicación, esto establecerá las opciones de fecha / hora de la configuración regional, haga clic en su país y luego continúe.

escoger localización
escoger localización

Seleccione la distribución de su teclado, use la herramienta de detección en caso de duda.

Diseño del teclado
Diseño del teclado

Luego configure sus credenciales, deberá responder lo siguiente:

  • Tu nombre
  • Nombre del ordenador
  • Nombre de usuario
  • Contraseña
  • Confirmar Contraseña
  • Configúrelo para solicitar una contraseña durante el inicio del sistema
Tus credenciales
Tus credenciales

Nota: No seleccione la opción encriptarme carpeta de inicio, a pesar de que no lo probé yo mismo, pero la gente se queja de eso en los foros.

Al final de este proceso, reinicie el sistema para arrancar desde el disco duro.

Parte II – Red

Una vez que el sistema se reinicia, puede ejecutar el script de configuración desde el escritorio y luego dar la contraseña que estableció en el último paso cuando se le solicite. Luego le pregunta si desea configurar sus interfaces de red, elija para configurar la red.

Configurar interfaces de red
Configurar interfaces de red

Elija el método de configuración de red a utilizar, vamos a utilizar estático configuración.

Modo de configuración de red
Modo de configuración de red

Configure la dirección IP de esta máquina.

Establecer dirección IP
Establecer dirección IP

Configure la máscara de red.

Establecer máscara de red
Establecer máscara de red

Configure la IP de la puerta de enlace.

Establecer puerta de enlace
Establecer puerta de enlace

Configure la IP de los servidores DNS.

Establecer servidores DNS
Establecer servidores DNS

Configure el dominio local.

Establecer dominio local
Establecer dominio local

Establezca cualquier configuración de red especial si es necesario, luego reinicie el sistema nuevamente.

Reiniciar
Reiniciar

Parte III – Sensores y servidores

Ejecute el script de configuración desde el escritorio nuevamente cuando el sistema se reinicie y siga los siguientes pasos.

Primero elige qué modo del script de instalación ejecutar, vamos a ejecutar el Modo de producción aquí para mostrarte los detalles.

Modo de configuración
Modo de configuración

Seleccione qué modo Sguil será instalado:

  • sensor: instale agentes para el monitoreo.
  • servidor: instale el servicio para administrar el monitoreo.
  • independiente: instale ambos, los sensores y el servidor, vamos a usar este.
Modo Sguil
Modo Sguil

Establezca un nombre de usuario para Sguil, ELSA y Chirriar interfaces.

Nombre de usuario de Sguil
Nombre de usuario de Sguil

Defina una contraseña y confirme.

Contraseña de Sguil
Contraseña de Sguil

Establezca cuántos días conservará el registro.

Días para guardar
Días para guardar

Establezca la cantidad de días para reparar tablas MySQL.

Días para reparar
Días para reparar

Seleccione el motor IDS para usar, ya sea Bufido o Suricata.

Seleccionar motor IDS
Seleccione el motor IDS

Seleccione el conjunto de reglas de IDS que desee utilizar.

Seleccionar conjunto de reglas IDS
Seleccionar conjunto de reglas IDS

Establezca el número mínimo de PF_RING ranuras.

ranuras pfring
ranuras pfring

Habilite el uso del motor IDS.

Habilitar motor IDS
Habilitar motor IDS

Habilitar hermano marco de análisis de red.

Habilitar hermano
Habilitar hermano

Habilite la función de extracción de archivos ejecutables de Bro. Esta característica ayuda mucho a identificar malware.

Habilitar la extracción de exe
Habilitar la extracción de exe

Desactive bro http_agent para ahorrar recursos si va a utilizar ELSA.

Deshabilitar http_agent
Deshabilitar http_agent

Habilitar Argos gestión de sesiones.

Habilitar Argus
Habilitar Argus

Desactivar Prads gestión de activos como estamos usando Bro’s conn.log

Desactivar Pradis
Desactivar Pradis

Habilite la captura completa de paquetes, esto es muy recomendable a menos que lo denieguen las limitaciones del disco.

Habilitar la captura completa de paquetes
Habilitar la captura completa de paquetes

Especifique el tamaño máximo de archivo pcap en megabytes. Esto dependerá de sus necesidades y disponibilidad de disco, pero algo entre 150 y 1500 debería funcionar para la mayoría de las configuraciones.

Establecer el tamaño del archivo pcap
Establecer el tamaño del archivo pcap

Habilite mmap I / O para archivos pcap en netsniff-ng para obtener el mejor rendimiento si tiene una cantidad razonable de memoria.

Habilitar mmap en netsniff-ng
Habilitar mmap en netsniff-ng

Establezca el espacio mínimo disponible en el disco para comenzar a depurar archivos pcap.

Espacio libre en disco
Espacio libre en disco

Desactivar Sal sistema de gestión de la configuración a menos que vaya a ejecutar más nodos.

Desactivar sal
Desactivar sal

Habilitar ELSA marco de registro.

Habilitar ELSA
Habilitar ELSA

Conclusión

Has terminado, Security Onion debe estar funcionando en este punto. Puede comenzar a usar las herramientas para inspeccionar su entorno ahora. A continuación se muestran algunas capturas de pantalla.

Sguil en alerta generada por una solicitud a testmyids.com y sesión detallada en Network Miner

Sguil y NetworkMiner
Sguil y NetworkMiner

Vista rápida del mismo evento.

Ataque Squert GPL
Ataque Squert GPL

Búsqueda de ELSA relativa al evento.

Evento de ataque ELSA GPL
Evento de ataque ELSA GPL

El evento anterior se puede analizar de muchas otras formas en diferentes herramientas de Security Onion, podemos pasar de una simple alerta a las mismas instrucciones dentro de algún malware, dependerá del incidente. Este no es el caso aquí, tal vez en las publicaciones futuras profundicemos en el análisis forense de malware u otros usos de las herramientas de cebolla de seguridad.

Eso es todo por ahora, ¡gracias por leer!

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba
Cerrar