Security Onion چیست؟

 Security Onion چیست

Security Onion یک توزیع رایگان و منبع باز لینوکس برای تشخیص نفوذ، نظارت بر امنیت سازمانی و مدیریت ورود به سیستم است. این سیستم عامل شامل چندین سیستم تشخیص نفوذ (IDS) از جمله میزبان(HIDS) و شبکه(NIDS) است. بسیاری از انواع داده ها(شامل داده های مربوط به: هاست، شبکه، نشست، هشدار و پروتکل ها) را می توان با استفاده از این سیستم عامل برای تجزیه و تحلیل به دست آورد.

Security Onion

ارائه یک استراتژی امنیتی کارآمد برای محافظت از یک شبکه با افزایش روز افزون برنامه های وب ارائه شده برای کاربران که عملکردهای مهم و حیاتی (بانکداری آنلاین، امکانات درمانی، دیتاسنتر، ابر، سرویس های SCADA و مدیریت از راه دور) را در شبکه انجام می دهند، بسیار مهم است.

همان طور که در مقالات قبلی بیان شد، سیستم های تشخیص نفوذ (IDS) ابزاری قدرتمند برای هشدار و کنترل ترافیک عبور از طریق شبکه هستند. ابزار های زیادی برای انواع مختلف سیستم تشخیص نفوذ (NIDS ،HIDS و Anomaly-based)  وجود دارند. اما چالش ها و مسائلی برای IDSها مطرح می باشد. در واقع به یک مهاجم امکان می دهد از معیارهایی مانند رمزگذاری، قطعه قطعه شدن بسته ها یا ارسال متن حمله از طریق چندین مسیر که معمولاً با عنوان DDoS شناخته می شود، استفاده کند تا فیلتر ها و قوانین یک سیستم تشخیص نفوذ را دور بزنند.

یک سیستم مدیریت امنیت شبکه متمرکز تر برای تهیه یک راه حل قابل مدیریت برای امنیت شبکه و سیستم لازم است تا امکان تجزیه و تحلیل کارآمدتر با قابلیت گزارش دهی و کنترل کلی شبکه تحت نظارت، فراهم شود.

Security Onion یک پلتفرم  مبتنی بر Xubuntu است که چندین سیستم تشخیص نفوذ HIDS و  NIDS  را همراه با رابط گرافیکی برای مدیریت و همچنین بسیاری از ابزارهای دیگر برای کمک به تجزیه و تحلیل و گزارش دهی یا گرفتن ترافیک و وقایع فراهم می کند.

ابزارهای security onion

این سیستم عامل، سیستم تشخیص نفوذ مبتنی بر میزبان به صورت OSSEC HIDS و تشخیص نفوذ شبکه را با ابزارهای Snort ،Suricata و Bro ارائه می دهد. Security onion را می توان در یک سرور اصلی با سنسورهای متعدد یا به عنوان یک اسقرار مستقل یا ترکیبی تنظیم و پیاده سازی کرد، بنابراین بسیار ساختار سازگاری دارد.

Security Onion ضبط کامل بسته را با استفاده از PF_RING فراهم می کند. همچنین از ابزارهایی مانند (Passive Real-Asset Detection Detector (PRADS برای شناسایی داده های در شبکه و HTTP agent و استفاده از (Audit Record Generation and Usage System(ARGUS برای دستیابی و نظارت داده های شبکه استفاده می کند. اینها به عملکرد IDS و سیستم کلی کمک می کند.

داده های ضبط شده و هشدارها نیز می توانند از طریق رابط گرافیکی (GUI) کلاینت ها که در (Squert ،Log Search and Archive (ELSA و Snorby ارائه شده، قابل دسترسی باشند. این  اطلاعات گزینه های بسیاری را برای مشاهده، فیلتر و پرس و جو از داده های به دست آمده مانند منبع، مقصد، سرویس، پورت، نوع تهدید و …فراهم می کند.

سایر امکاناتی که می توان در Security Onion برای مدیریت سیستم مورد استفاده قرار داد شامل ماژول SOSTAT برای تهیه تجزیه و تحلیل، خلاصه های آماری سیستم، اتصالات SSH به سنسورها/سرور برای مدیریت (یا تنظیم) و یا دسترسی وب کلاینت به مدیریت ELSA ،Squert، و snortby می باشند. همچنین استفاده از SALT که یک ابزار مدیریت و نگهداری است، امکان انجام کارهایی مانند بررسی وضعیت خدمات و پیکربندی سنسورها را فراهم می آورد.

هدف از انتخاب  Security Onion

هدف از Security Onion، فراهم کردن یک سیستم متمرکز تر برای مدیریت امنیت شبکه با استفاده از توانایی سرعت ضبط  بالا، روش های تشخیص چندگانه و همچنین بسیاری از ابزارهای تحلیل و مدیریت برای بررسی از داده های دریافت شده است. از آنجا که این  پلتفرم منبع باز است از نظر شرایط یا گزینه های دیگر مقرون به صرفه است و استقرار آن نسبتاً ساده است. ابزارها و واسط های موجود، تجزیه و تحلیل را با سهولت بیشتری نسبت به IDS استاندارد امکان پذیر می سازد و طیف بیشتری از داده ها مانند نشست، هشدار  شبکه و میزبان را برای انجام این کار فراهم می کند.

در ادامه همانطور که در شکل 1 مشاهده می شود، این پلتفرم با یک سرور اصلی که می تواند چندین حسگر توزیع شده در شبکه را کنترل کند پیاده سازی شده است. داده های ضبط شده توسط Security Onion در فایل های log و در پایگاه داده Sguil ذخیره می شوند که یک رابط کاربری را برای تجزیه و تحلیل، گزارش و مدیریت فراهم می کند.

شکل 1 استقرار سنسور/سرور security onion

هیواشبکه

ما در مجموعه هیواشبکه شامل :
شرکت فنی و مهندسی هیوانوآوران داده گستر : مجری طراحی ، پیاده سازی ، پشتیبانی پروژه های شبکه و امنیت در استان گیلان – رشت و شهرها و استانهای همجوار
آموزشگاه تخصصی هیواشبکه : برگزار کننده دوره های تخصصی شبکه و امنیت ، پیکربندی سرور HP ، مجازی سازی ، MCSA 2016 ، نتورک و … به صورت حضوری با مجوز از سازمان فنی و حرفه ای و آموزش کارکنان دولت در رشت ، استان گیلان و به صورت مجازی در سراسر کشور
در خدمت شما عزیزان هستیم.