Basicamente é uma distro. Ubuntu com certos pacotes “na caixa” que está configurada em conjunto para proporcionar uma ótima experiência de usuário de monitoramento.
Para definir essa distro não é necessário muito mais que 5 minutos. Para configurar a integração de ferramentas que oferece, bareback, é uma questão de muito mais, muuuuuito... Mas, como tudo é essencial para compreender o funcionamento dos componentes, suas inter-relações, manutenção, etc.
Então, entender que a Segurança Onion é um monitor de segurança de redes, graças a componentes: Ids Bro, Snort motor de detecção ou suricata, Sguil, Squert ELSA Snorby, CapMe e toda a lista de ferramentas que o tornam perfeito para o nosso tempo real a atividade da rede de monitoramento, de vários segmentos multiprotocolo (tcp, udp...) camada de aplicação (ftp, http ...) e com capacidade de análise forense, graças à capacidade de armazenar / inserir arquivos de captura pcap.
Uma das coisas que temos que considerar antes de configurar o aplicativo, é o tamanho. O tamanho importa, e tem um sensor instalado entre um servidor vlan e ambiente do cliente, em uma rede de 100 Mbps pode ser uma tarefa que requer megas looong.
Por exemplo, neste caso: 100 Mb / s = 12,5 MB / s ** ! se você não encontrar "o algoritmo de conversão" sal deste website 1 hora = 45.000 MB = 1080 GIGAS um dia .... dia 1 TB.
Outra questão é a localização do sniffer. À medida que ouvir o tráfego para as duas redes que deseja monitorar. Aqueles que jogaram com ferramentas ARP spoofing você conhece o problema de desempenho que envolve a colocação de uma máquina em modo promíscuo envenenamento desempenho. Se você estiver usando um laptop, com a sua placa de rede pouco gasto, e você começa a farejar uma rede de 10 computadores ...... em 5 minutos você vai ver como você começa a chamar o serviço cai toda lógica. Aqueles que não o fizerem, você sabe.
Para jogar em casa em um laboratório pode utilizar um HUB conectado entre segmentos de rede, e uma das nossas bocas de Segurança em modo promíscuo. O HUB vai me fazer espelhamento de porta para as suas características de desempenho, mas estas características limitam o Full Duplex nós, ou seja, que a velocidade dividida entre as portas usadas...
Para localizar nosso Onion segurança em um ambiente de produção seria aconselhável a utilização de um switch gerenciável capaz de realizar SPAN (análise porta swith), ou seja, como fizemos com o HUB para replicar o conteúdo de uma "palavra" para outro, sem perder desempenho e confiabilidade.
Como outros colegas em "sérios" ambientes de produção usando um aparatejos chamados TAP que simplesmente fazem um "homem no meio" físico sem perda de desempenho e confiabilidade (perda de pacotes...).
Com isso apenas a introdução a este NSM e alguns conceitos a serem considerados. falar em futuras edições instalação, comissionamento e uso. Obrigado pela leitura.
Escrito por: INSEGUROS: IDS
Abraços...
Att: rylook
Para definir essa distro não é necessário muito mais que 5 minutos. Para configurar a integração de ferramentas que oferece, bareback, é uma questão de muito mais, muuuuuito... Mas, como tudo é essencial para compreender o funcionamento dos componentes, suas inter-relações, manutenção, etc.
Então, entender que a Segurança Onion é um monitor de segurança de redes, graças a componentes: Ids Bro, Snort motor de detecção ou suricata, Sguil, Squert ELSA Snorby, CapMe e toda a lista de ferramentas que o tornam perfeito para o nosso tempo real a atividade da rede de monitoramento, de vários segmentos multiprotocolo (tcp, udp...) camada de aplicação (ftp, http ...) e com capacidade de análise forense, graças à capacidade de armazenar / inserir arquivos de captura pcap.
Uma das coisas que temos que considerar antes de configurar o aplicativo, é o tamanho. O tamanho importa, e tem um sensor instalado entre um servidor vlan e ambiente do cliente, em uma rede de 100 Mbps pode ser uma tarefa que requer megas looong.
Por exemplo, neste caso: 100 Mb / s = 12,5 MB / s ** ! se você não encontrar "o algoritmo de conversão" sal deste website 1 hora = 45.000 MB = 1080 GIGAS um dia .... dia 1 TB.
Outra questão é a localização do sniffer. À medida que ouvir o tráfego para as duas redes que deseja monitorar. Aqueles que jogaram com ferramentas ARP spoofing você conhece o problema de desempenho que envolve a colocação de uma máquina em modo promíscuo envenenamento desempenho. Se você estiver usando um laptop, com a sua placa de rede pouco gasto, e você começa a farejar uma rede de 10 computadores ...... em 5 minutos você vai ver como você começa a chamar o serviço cai toda lógica. Aqueles que não o fizerem, você sabe.
Para jogar em casa em um laboratório pode utilizar um HUB conectado entre segmentos de rede, e uma das nossas bocas de Segurança em modo promíscuo. O HUB vai me fazer espelhamento de porta para as suas características de desempenho, mas estas características limitam o Full Duplex nós, ou seja, que a velocidade dividida entre as portas usadas...
Para localizar nosso Onion segurança em um ambiente de produção seria aconselhável a utilização de um switch gerenciável capaz de realizar SPAN (análise porta swith), ou seja, como fizemos com o HUB para replicar o conteúdo de uma "palavra" para outro, sem perder desempenho e confiabilidade.
Como outros colegas em "sérios" ambientes de produção usando um aparatejos chamados TAP que simplesmente fazem um "homem no meio" físico sem perda de desempenho e confiabilidade (perda de pacotes...).
Com isso apenas a introdução a este NSM e alguns conceitos a serem considerados. falar em futuras edições instalação, comissionamento e uso. Obrigado pela leitura.
Escrito por: INSEGUROS: IDS
Abraços...
Att: rylook