1. 네트워크 구성도

네트워크 구성도

 

2. securityonion 설치

시큐리티 오니언 초기 화면

가상 시스템 이름 securityonion-16.04.6.6
호환성 ESXi 6.7 가상 시스템
게스트 운영체제 제품군 Linux
게스트 운영체제 버전 Ubuntu(64bit)
ISO 파일 securityonion-16.04.6.6.iso

 

CPU 2
메모리 4GB
하드디스크 200GB (씬 프로비저닝)
네트워크 어댑터 intra-net
dmz-net

 

부팅 후 Setup 실행 - Production Mode

IP 10.0.200.200
managerment interface ens160
subnet mask 255.255.255.0
gateway 10.0.200.1
DNS 8.8.8.8
domain  souser.com
IDS Engine Suricata
Home_NET 10.0.10.0/24
10.0.100.0/24
10.0.150.0/24
10.0.200.0/24

 

sguil GUI

패스워드 분실 시
계정 확인 : cd /etc/nsm
패스워드 변경 : sudo sguild-add-user 확인계정 새패스워드

 

미러링 정상 동작 확인

 

3. Security Onion 원격 접속 설정

security onion 포트 설정

 

외부 접속, apt 업데이트 및 vm-open-tools 설치

sudo apt update
sudo apt insatll -y open-vm-tools open-vm-tools-desktop

 

위 과정 실패 시 Suppress 등록 및 Blocked 된 IP 주소 삭제

 

ssh 확인

 

-X 옵션 : 실제 GUI 오픈했을 때, GUI를 포워딩 하는 기능(X Windows)

 

ssh_config 파일 수정

 

ssh -X 접속

 

연결 IP 확인

 

클라이언트에서 원격 접속 가능

 

 

룰 설정 및 업데이트

sudo vim /etc/nsm/rules/local.rules
sudo rule-update
sudo nsm --sensor --restart --only-snort-alert설정 기본 방법

 

4. 룰 설정 기본 방법

설정한 룰 정상 동작 확인(1)

 

설정한 룰 정상 동작 확인(2)

 

변수 저장경로 확인(1)

 

변수 저장 경로 확인(2)

 

'프로젝트 > [ESXi]인프라 구축 및 모니터링' 카테고리의 다른 글

6. 웹 방화벽(modsecurity) 기본 실습  (0) 2024.11.25
5. pfsense 방화벽 정책 설정(개발자 대역)  (0) 2024.11.22
4. IDS와 IPS 스노트 룰 패턴 탐지 실습  (2) 2024.11.21
2. Snort(Pfsense) 설치 및 공격 IP 차단  (0) 2024.11.19
1. 시스템 환경 구축하기(VMware ESXi)  (1) 2024.11.18

티스토리툴바