Security Onion Kurulum ve Konfigürasyonu

Ağ trafiğini kaydetmek ve ağ adli incelemesi gerçekleştirebilmek için ticari veya açık kaynak kodlu pek çok araç mevcuttur. Bu araçlardan birisi de Ubuntu tabanlı bir GNU/Linux dağıtımı olan Security Onion’dır. Bu yazıda 40 GB disk, 2 network interface, 2 GB RAM ve 2 Core’a sahip bir sanal makine üzerine Security Onion 14 kurulumu ve temel konfigürasyonu yapılacaktır.

 

İşletim Sisteminin Kurulumu

İlgili kurulum test amaçlı olarak 40 GB diske sahip bir sanal makine için olacaktır. Burada donanım isterleri izlenecek ağın yoğunluğuna (RX+TX) ve verinin geriye dönük tutulması istenen süreye göre planlanmalıdır. Aşağıdaki adresten ISO indirilir ve arzu edilirse hash değeri doğrulanır.

https://github.com/Security-Onion-Solutions/security-onion/blob/master/Verify_ISO.md

 

Tercihe göre sanallaştırma platformu -yoksa- kurulur. Biz VMWare (VMware® Workstation 12 Pro) tercih ettik.

File > New Virtual Machine ile yeni sanal makine oluşturulur.

 

Dağıtım tipi olarak Ubuntu 64-bit seçilir.

Donanım ayarları sekmesinde ikinci bir ağ arayüzü eklenir. (Arayüzlerden birisi yönetim amaçlı, diğeri ise ağ trafiğini dinleme amaçlıdır) Memory 2 GB, CPU core sayısı ise 2 olarak ayarlanır. Ağ arayüzlerinin ikisi de ilk aşamada NAT modda kalmalıdır.

Install seçilir;

 

Çıkan ekranda güncellemeleri kurarken yükle seçeneceği seçilir ve ilerlenir.

 

Çıkan ekranda opsiyonel olarak diski şifrele (Encrypt the new SO installation for security) işaretlenir ve devamında bir şifreleme anahtarı seçilir. Bu sayede içerisinde tüm ağa ait ağ kayıtlarının (PCAP) bulunduğu SO sisteminizde verileriniz şifreli olarak tutulur.

 

Anahtar girilir ve diske yazılır. Sonra da değişiklikler kaydedilir.

 

Saat dilimi seçilir.

 

Klavye tercihi yapılır.

 

Sonrasında çıkan ekranda işletim sistemi için kullanıcı adı ve parola seçimleri yapılır.

Kurulum tamamlandı. Sistem yeniden başlatılır.

 

Sistem yeniden başladığında (eğer aktif ettiyseniz) çıkan “Enter passphrase” alanı kurulum yaparken disk şifreleme amacıyla seçtiğiniz parola değerini sizden ister.

 

Kurulum tamamlanmıştır.

 

Sistem Bileşenlerinin Konfigürasyonu

SO açıldıktan sonra çıkan ekranda masaüstündeki Setup uygulaması çalıştırılır.

 

 

Continue’ye bastığımızda bize ağ arayüzlerini ayarlamak isteyip istemediğimzi soracaktır. İlk kez kurulum yaptığımızdan bu alanı Yes olarak seçiyoruz.

 

Çıkan ekranda bize yönetim arayüzü olarak hangi ağ arayüzünü seçmek istediğimizi soruyor. Buna -sanal makinede kurulum yaptığımız için- eth0 diyebiliriz. IP adresini ise NAT olan bu arayüzden DHCP olarak aldırabiliriz.

 

Bu ekranda ise asıl işi yapacak/trafiği toplayacak sniffing interface’e ait ne yapmak istediğimiz soruluyor. Burada da Yes diyerek sniffing arayüz ayarlarına gidelim. Arayüz olarak çıkan ekranda eth1 seçeceğiz. Eğer birden fazla sniffing interface’imiz olsaydı burada her birini işaretleyecektik. Değişiklikleri kaydederek ilerliyoruz.

 

Çıkan ekranda makineyi reboot ediyoruz.

 

Şu anki durumda eth0 arayüzü ile SO makinemizi yönetebilir, eth1 arayüzüyle ise ağı dinleyebilir halde geldik. Tabii trafiğin promiscious moddaki bu eth1 arayüzüne yönlendirilmesi apayrı bir olaydır. Bu amaçla TAP cihazı kullanabileceğiniz gibi akıllı switch’lerdeki port mirroring özelliğini de kullanabilirsiniz.

Not: Makine yeniden başladığında siyah ekranda kalırsa disk şifreleme parolanızı girip enter’a basın. Bunu iki kez tekrarlayın.

Daha önce ağ ayarlarını yaptığımızdan bu kısım Yes, skip network configuration ile geçilir.

 

Çıkan ekranda ne tür bir kurulum istediğimizi soracak sistem. Burada anlatımın detaylı olması açısından “Production Mode” u seçiyoruz.

 

SO’nun varsayılan olarak 3 kurulum modu vardır. Server, Sensor ve bu ikisinin beraber yer aldığı Standalone mode. Dağıtık yapılarda Server+ n adet Sensor ile gidilebileceği gibi daha küçük/merkezi kurulumlarda Standalone seçilebilir. Biz de bu şekilde ilerleyeceğiz. İlgili değer seçilip ilerlenebilir.

 

Ekranda kurulum parametreleri için neleri tercih ettiğimiz soruluyor. Bu kısımda Custom ile ilerleyebiliriz.

 

SO içindeki uygulamalarda kullanacağımız kullanıcı adı ve parolayı oluşturuyoruz.

 

Bu ekranda Sguil (MySQL) veritabanında kaç günlük veri tutacağımız soruluyor. 30 iyi bir değer. Sguil’in ne olduğuna ileriki bölümlerde gireceğiz.

 

Yine aynı şekilde olası bir veri kaybı durumunda geriye dönük kaç gün için veriyi onarabilir halde olmak istiyorsun sorusu bu soru da. 7 ideal bir rakam.

 

Bu ekranda hangi IDS (Saldırı Tespit Sistemi)’ni kullanmak istediğimiz soruluyor. Burada tercihimiz Suricata olacak.

 

IDS için hangi kural setlerini kullanmak istediğimiz soruluyor. Burada 1 numaralı seçim ile gideceğiz. ET PRO kural seti ücretli bir kural settir. Snort VRT kurallar da yine Cisco (Talos) tarafından parayla satılır. Eğer IDS’i altyapınızda ciddi anlamda kullanmak istiyorsanız -ki tavsiye edilir- Suricata ile beraber ET Pro imzaları satın almanız tavsiye edilir.

 

PF_RING isimli çözüm ağ arayüzüne gelen trafikle diske yazma hızı arasındaki farkı trafiği memory’e alarak buffer ederek dengelemeye çalışan açık kaynak çözümün adıdır. Burada ilgili değer 4096 olarak bırakılabilir. Ağ yoğunluğu kaynaklı paket kaybı yaşanması durumunda değer ile 65534’e kadar oynayabilirsiniz.

 

Hangi arayüzün dinlendiği seçilir. (eth0 yönetim arayüzüydü)

 

Bu kısımda IDS motorunu aktif etmek isteyip istemediğimiz soruluyor. Yes diyerek geçiyoruz.

 

Burada Snort/Suricata’daki HOME_NET değişkeni belirliyoruz. Yani ağı koruyorsunuz ama sizin ağ nereden başlıyor? Bu değerler kullandığınız IP subnetting’e göre değişebilse de default olarak bu şekilde private block’lar olacak şekilde bırakılabilir. Ama örneğin NAT yapıldıktan sonra bir C Class’ı koruyacak şekilde IDS konumlandırdıysanız, buraya o segmenti yazabilirsiniz.

 

Burada BRO IDS’i açıp açmayacağımız soruluyor. Buraya da Yes diyoruz. Bro, Snort/Suricata’dan farklı olarak Layer 7 flow’a benzetebileceğimiz farklı bir IDS çözümü. Ağdaki tüm bilindik protokolleri çıkararak farklı dosyalara detaylı olarak kaydeder. (http.log, ssl.log, dns.log vb..) Kendine has programlama diliyle bunlara göre kurallar yazabilirsiniz.

 

Burada ise yine Bro’nun bir özelliği olan ağdan geçen EXE’leri çıkarıp çıkarmak istemediğimiz soruluyor. Buna da evet diyoruz. Otomatik script’lerle bunların hash’lerini Virustotal’e sormak, eğer alarm varsa da kayıtlı bu hallerini alıp analiz etmek güzel bir pratik olacaktır.

 

Çıkan ekranda sırasıyla; http_agent, Argus, Prads özelliklerini istemediğimizi No’yu seçerek belirtiyoruz. Zira bu işlevselliğinin tamamına yakınını Bro zaten sağlıyor.

Bu ekranda ise full packet capture açıp açmayacağımız soruluyor. FPC ağdaki tüm trafiği PCAP olarak kaydetmek için kullanılr. Yes seçiyoruz. Default PCAP parçalama boyutunu ise 150 MB olarak bırakıyoruz.

 

Burada ise enable diyerek geçiyoruz. PCAP ring_buffer’ı 64 olarak bırakabiliriz.

 

Burada eski logları silmeye başlamak için disk doluluk oranının kaçı bulmasını beklememiz gerektiğini seçiyoruz. %90 güzel bir seçim.

 

Dağıtık kurulumlarda kullanılan bir çözüm olan Salt’ı no ile aktif etmiyoruz.

 

ELSA özellikle Bro ve IDS loglarını loglatmak için çok kulllanacağımız Splunk ve ELK benzeri bir çözüm. Yes ile enable ediyoruz. Default olarak diskin yarısını kullansa da bunu %40’lara da indirebilirsiniz.

 

Burada ELSA’ya 19 GB alan veriyoruz. Disk toplamda 40 GB.

 

Değişiklikleri kaydederek ilerliyoruz.

 

Kurulumumuz tamamlandı.

 

Kaynak (Alıntıdır):

http://acikdefans.com/security-onion-kurulum-ve-konfigurasyonu/
http://acikdefans.com/security-onion-tips-tricks/

 

 

 

Yazarın Bilgileri

Furkan Çalışkan

Bir Cevap Yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Kullanabileceğiniz HTLM etiketleri ve özellikleri: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">

Bu sayfada incelenen konulardan doğacak sorunlar kişinin kendi sorumluluğundadır.