首页
学习
活动
专区
工具
TVP
发布
精选内容/技术社群/优惠产品,尽在小程序
立即前往

OSSIM分布式安装实践

对OSSIM的部署,李晨光老师的《OSSIM最佳实践》一书中都有介绍,本人只是对工作中所用到的部分以及自己的部署流程进行了总结。希望对从事安全行业的伙伴所有帮助。

本文主要介绍部分:

OSSIM分布式安装实践

分布式环境下NetFlow数据处理

将NetFlow数据集成到Web UI的仪表盘

Sensor可以理解为ossim 整个系统中的分布式的探针,负责收集和归一化处理数据,再发送给Server做关联和管理。功能上面Server多了一些模块和web界面的框架。但是有一点要注意,ossim server本身也是一个sensor,所以你是可以在web界面的Configuration->Deployment->SensorC的列表里看到server。

一 、安装多台OSSIM(Sensor)

下面实验将带领大家安装分布式OSSIM系统。本节实验中的Sensor配合的内存为OSSIM Server的一半,实验如下:

OSSIM Server IP :192.168.14.3

Sensor1 IP: 192.168.3.11

Sensor3 IP: 192.168.3.110

(1)首先安装OSSIM USM,然后再安装Sensor。

(2)安装Sensor,步骤如下:

在VMware虚拟机演示如下:

虚拟机部分简单介绍下,以下是我为虚拟机分配的内存,仅供参考下。

Install AlientVault OSSIM 5.0 (64 Bit)"(此为混合安装模式)

Install AlientVault Sensor 5.0 (64 Bit) 下面这个是sensor,也就是一般所谓的收集信息的代理端

剩下部分和OSSIM Server安装流程差不多。

为其分配IP

为Sensor服务设置密码,密码尽可能复杂

剩下部分默认即可,然后等待安装。

安装完后输入密码登录

(3)设置Sensor

在OSSIM4.6及以上系统添加多个Sensor和SOOIM4.1的过程有些不同,以下步骤:

1、在Sensor的控制台上,设置连接到Server,具有做法是在Alienvault Setup界面下:

2、选择Configure Sensor;

3、选择Configure Alienvault Setup IP;

4、输入OSSIM Server地址;(192.168.14.3)

5、配置Configure Alienvault Framework IP;

6、输入OSSIM Server地址(192.168.14.3);

7、设置完毕之后退回主菜单;

8、选择Apply all Change,使设置生效,如图

9、下面需要在OSSIM Web UI中继续添加Sensor信息到数据库

(4)在OSSIM Web UI上设置连接。

当Sensor连接到Server并重新启动之后,我们在Web UI中依次点击Configuration-Deployment-Components-Sensors。这时我们看到如图所示:

只有在进行root管理员密码验证成功后,才能添加到OSSIM Server,添加界面如下

经过以上步骤即可完成Sensor与Server之间的连接。

之后的多个Sensor添加步骤如上。

(5)为Sensor改名

首次添加的Sensor机器名称都是默认的alienvault,这样容易混淆,所以我们必须手动修改各Sensor的名称。在Deployment-Components-Sensors菜单下,单机新添加的传感器alienvault,会出现如下界面:

我们可在多个地方验证其是否连接成功,稍微会有介绍。

二 、OSSIM下NetFlow实战

某些情况下,设备不支持NetFlow,对于这样的环境也有响应的解决方法即使用Fprobe。如果没有支持NetFlow的网络设备,可以利用Fprobe来生成NetFlow报文,其格式为v5版本。最初Fprobe是一款在BSD环境下运行的软件,目前在UNIX/Llinux平台均可运行。它可以将其接口收到的数据转化为NetFlow数据,发送至NetFlow分析端。我们可以通过部署OSSIM服务器,将网络流量镜像至OSSIM服务器以实现对网络流量NetFlow分析。在路由器上配置NetFlow方法,很多资料都介绍,不再叙述。

(1)组成(简单介绍)

OSIIM服务器中的NetFlow,由下列3个工具组成,分别是:

Fprobe:从远程Sensor主机上发送数据流,在Sensor上通过输入“ps -efgrep fprobe”命令即可查看到通信进程以及端口。

NfSen:用于分析图形前端。

Nfdump:数据采集模块。

(2)Sensor中启用NetFlow

当我们首次将Sensor连接到OSSIM Server后,默认NetFlow功能虽然启用但并没有将数据发送至NetFlow采集器,所以我们需要在Configuration-Deployment-Components-Sensors下选择对应的Sensor,首次添加Sensor时在Flows选项中默认UDP端口为12000,显示颜色为蓝色,为了以示区别建议定义其他醒目颜色,如图:

之前在对Sensor-1、Sensor2的端口设置上默认12000端口已经被占用,为了避免冲突,这里我为他分配端口为12005。默认显示颜色为蓝色改成了紫粉色。如下所示:

单机CONFIGURE AND RUN按钮后会在OSSIM Server端的、var/cache/nfdump/flows/live目录下产生一个UUID目录,用该目录存储flow数据。注意:如果停止了NetFlow服务,那么系统就会删除这个目录以及目录下所有的flow数据。

另外,当在Sensor上启动NetFlow后,在Sensor上的iptables规则会自动添加一条规则允许sensor将收集到的流发往Server端UDP12000端口,读者可以在Senver端通过命令检查。

以Sensor-3分配的12005端口为例

运行命令:iptables -Lgrep 12005

若再添加Sensor,并启用NetFlow,则端口以此类推。

重启nfsen服务:/etc/init.d/nfsen restart

在分布式OSSIM环境中,用不同颜色表示多个Sensor,如图所示:

(3)分布式环境下NetFlow数据处理

前面讲解了如何添加了Sensor,并与Sensor进行连接,下面接着启用NetFlow服务,交换机上NetFlow也必须同时设置正确,注意不同Sensor主机中的nfcapd进程分别在12000和12001端口进行监听。

对于查看UUID的方法,下面依次在终端输入如下命令

以Sensor-3为例:cat /etc/alienvault/system-id

所有数据存储在OSSIM Server端,接下来最重要的步骤需要将Sensor-1、Sensor-2、Sensor-3数据流转发到192.168.14.3主机上,这一点在Web UI上并没有直接的界面,操作如下:

在Sensor-3上操作:/usr/sbin/fprobe -i eth0 -fip 192.168.14.3:12005

*大家在实验中,不可完全照搬命令,12000、12001、12005是在Sensor上启用NetFlow服务时随机分配的,需要读者将Sensor IP地址和这个随机分配的端口号的对应关系记清楚。

OSSIM Server端是否收到这些数据呢?需要用如下命令进行验证。

tcpdump -n udp port 12000

tcpdump -n udp port 12001

tcpdump -n udp port 12005

如果系统重启,那么这条命令又需要重新输入,这时我们可以分别修改Sensor-1、Sensor-2、Sensor-3上的ossim_setup.conf配置文件

在Sensor-3操作如下:vim /etc/ossim/ossim_setup.conf

修改第55行NetFlow_remote_collector_port=555,在此行配置中将555默认端口修改为对应的netflow发送端口,以Sensor-3为例该值为12005。

为了使其生效不必重启系统,只要执行以下命令:

ossim-reconfig

这时,系统会自动修改/etc/default/fprobe配置文件中Flow_collector的端口号。

为了确保在Sensor-1、Sensor-2、Sensor-3上都能展现其NetFlow数据,要确保nfsen都收到数据,我们在OSSIM Server的终端控制台下,操作命令如下:

在输出结果中,“size”的值代表几个传感器发送采集数据流的总容量。

如果在实验中发现没有收到Sensor数据包,首先检查设置是否正确,接下来用tcpdump来抓包分析,具体抓包操作如下:

通过nfdump可以实现NetFlow记录的过滤、Top统计和排序等功能,在OSSIM通过Web UI能轻松地展现给用户,如图所示

三、 将NetFlow数据集成到Web UI的仪表盘

出于用户观察数据需要,常需要将NetFlow的历史数据,在首页仪表盘中调用。下面介绍设置方法,系统默认在Dashboards内没有启用Network监控。大家首先进入Overview菜单,单击右侧签字笔状图标,会立刻出现如图界面:

我这个已经添加过了,没有添加的伙伴只需要点“Show Tab”选项,在弹出对话框中选择确定按钮。设置完成后,便立即在Web UI中看到OVERVIEW中多出个Network按钮,单机此按钮即可预览NetFlow历史数据。如图

本文作者:Lemon

本文属于安全脉搏原创金币奖励计划

转载请参考:https://www.secpulse.com/archives/61458.html

  • 发表于:
  • 原文链接http://kuaibao.qq.com/s/20180201G10KF100?refer=cp_1026
  • 腾讯「腾讯云开发者社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
  • 如有侵权,请联系 cloudcommunity@tencent.com 删除。

扫码

添加站长 进交流群

领取专属 10元无门槛券

私享最新 技术干货

扫码加入开发者社群
领券