Security Onion ile Newtork Security Analizleri

Merhabalar;

Bu yazımda Security Onion kurulumu işlemini yapıyor olacağım;

Security Onion 16.04 open source linux distrosu ile;

  • network security monitoring
  • intrusion detection
  • log managment
  • threat hunting

cyber security operation işlemleri yapılabilmektedir. Security onion 16.04  üzerinde Elasticsearch, Logstash, Kibana, Snort , Suricata, Wazuh , Squil, Squert ve daha bir çok güvenlik araçları bulunmaktadır. İşletim sistemi ile alakalı detaylı bilgiler;

adreslerinden elde edilebilir.

Secuirty Onion 16.04 Kurulumu

Security Onion 16.04 versiyonunu , Oracle Virtual Box üzerinde kurulumunu yapacağım. Kaynak olarak 4 GB RAM, 2 cpu  , 30 gb disk ve 2 adet network interface (biri managment için , diğeri de sniffing için) kartı ilk etapta yeterlidir.

İşletim sisteminin ISO dosyasını ;

adresinden indirip kurulum işlemine başlayabiliriz.

Klasik bir şekilde virtual box’ı açalım ve Yeni ile yeni makine oluşturmaya başlayalım;

Ram bellke  boyutumuzu seçelim ki 4 gb şu an için yeterlidir.

Hard Diskimizi oluşturalım;

Oluştur dedikten sonra İşletim sistemimiz ayarlarına gelelim ve NIC’lerimizi ayarlayalım. İhtyacımız olan şu an 2 adet network interface card’ı. Bir tanesi managment için diğeri ise sniffing için. Managment interface’i NAT modda olacak ve sniffing interface’i için Dahili Ağ’ yada host only olacak şekilde kullanabiliriz. Burada önemli noktalardan birisi , sniffing interface’i promiscous mod’a almak, sniffing interface’i promiscous moda almayı unutmayalım ki ağ da gelen giden paketleri listen edebilelim.

 

Sistem kısmında CPU sayımızı belirleyelim, 2 CPU yeterlidir.

Depolama kısmından işletim sistemi ISO dosyamızı takalım ve boot’u verelim.

İşletim sistemi boot oldukdan sonra Intall SecurityOnion 16.04 e double click ile kuruluma devam edelim.

Kurulum esnasında herhangi bir update işlemi yapmıyoruz, kurulumlar bittikten sonra manuel olarak update işlemi yapacağız.

Install Now diyelim ve kurulum işlemine başlayalım.

İşletim sisminin username’i ni ve password’unu belirleyelim.

İlk kurulum işlemleri bittikten sonra işletim sistemini reboot edelim.

Reboot olduktan sonra oluşturduğumuz kullanıcı adı ve password ile sisteme giriş yapalım.

Kurulum işlemlerine , sisteme login olduktan sonra masaüstünde bulunan Setup’a double click yaparak devam edelim.

İşletim sistemi parolamızı girelim.

Elasticsearch, Logstash, Kibana, Squert, Squil, Zeek, Snort/Suricata ve netsniff-ng servislerinin kurulmasını sağlayalım.

Network interface’lerini konfigure edelim.

Managment interface’imiz NAT interface’imiz olan enp0s3 interface’idir. Seçip devam edelim.

Managment interface’imiz ip adresini DHCP üzerinden almaktadır.

Sniffing interface’ini konfigure edelim.

Network konfigurasyonlarımızdan sonra bir reboot daha gerekiyor. Makineyi reboot’a gönderelim.

Cihaz boot olduktan sonra kurulumun son fazı için tekrar Setup’ı çalıştıralım.

Bir önceki adımda network konfigurasyonunu yaptığımız için bu adımda skip ediyoruz.

Cihazın sniffing ids modunda çalıması için production mode’u seçmemiz gerekiyor.

Kibana , Squert vs servislere bağlanabilmek için yeni bir user create edelim.

Best Practise’e göre kurulum ile ilerleyelim.

IDS rule set olarak Snort Subscriber ruleset and Emerging Threats Open’ı seçip ilerleyelim. (Burada ilk iki seçenek suricat ids engine’i diğer iki seçenek ise snort ids engine i içindir.)

IDS engine olarak Snort’u seçelim. (www.snort.com adresinden kendimize bir account oluşturalım ve bu hesaba verilen oinkcode’u not alalım, bir sonraki adımda bunu kullanacağız.)

Lab ortamından tek sensor olduğu için network sensor servisini enable edebiliriz.

Monitor edeceğimiz interface’i seçelim.

HOME_NET bilgilerini girelim.

Logları local üzerinde tutatlım ve limit size’ını girelim.

Yaptığımız değişiklikleri onaylayalım.

Kurulumların bitmesini bekleyelim.

Kurulumlar tamamlandıktan sonra sudo soupkomutu ile işletim sisteminin update’ini yapalım.

Update işlemi bittikten sonra sudo sostat komutu ile servislerin sağlık durumlarını kontrol edebiliriz. Eğer sensör’ün herhangi bir servisinde fail almış isek sudo nsm_sensor_ps-restart komutu ile servisleri restart edebilriz.

Son olarak /opt/samples/ dizini altında bulunan zeus trojan pcap’ini çalıştırıp, squert üzerinden snort alertlerini görür isek kurulumumuz başarı ile bitmiş diyebiliriz.

sudo tcpreplay -l 20 -i enp0s8 -t /opt/samples/zeus-sample-1.pcap

 

 

İlk yorum yapan olun

Bir yanıt bırakın

E-posta hesabınız yayımlanmayacak.


*