Security Onion – Eine Maschine zur Netzwerküberwachung und -analyse

Die Aufrechterhaltung einer Netzwerksicherheit ist zu einer anspruchsvollen Aufgabe geworden, da Hacker immer mehr Fähigkeiten erwerben und jeden Tag hocheffektive bösartige Tools entwickeln. Daher ist es selbst mit leistungsstarken Sicherheitssystemen wie Antiviren-Technologien, Firewalls und starken Authentifizierungssystemen schwierig, alle Schwachstellen im Netzwerk zu beseitigen. Da auch ein gesichertes Netzwerk gehackt werden kann, benötigen wir Systeme, die verschiedene Formen bösartiger Aktivitäten, die über unsere anfälligen Netzwerke stattfinden können, überwachen, identifizieren und analysieren können.

Ein kürzlich veröffentlichtes Forschungspapier schlägt eine neuartige Sicherheitsmaschine namens Security Onion vor, die über eine Reihe vorinstallierter Tools bösartige Aktivitäten in anfälligen Netzwerken erkennen und analysieren kann. In diesem Artikel werden wir einen Blick auf Security Onion und seine Funktionsweise werfen.

Das Grundgerüst von Security Onion

Security Onion ist eine Maschine zur Überwachung der Netzwerksicherheit (Network Security Monitoring, NSM), die anfällige Netzwerke auf sicherheitsgefährdende Ereignisse überwacht, einschließlich Warnungen, vollständiger Paket- und Sitzungsdatenerfassung. Security Onion ist in der Lage, die Angriffsstrategie des Gegners, seine Aktivitätsmuster und das Ausmaß der Gefährdung nach einem erfolgreichen Angriff zu erkennen.

Security Onion Diagramm

Security Onion setzt sich aus den folgenden Schichten zusammen: Ubuntu (Linux)-Betriebssystem, Snort, Suricata, Snorby, Sguil, Bro, ELSA, Squert, ELSA, PADS, Network Miner, CyberChef und Kibana.

Testen von Security Onion

Um Security Onion zu testen, verwendeten die Autoren Kali Linux als Angreifer, Metasploitable Framework als Zielserver und Security Onion als Netzwerksicherheitsüberwachungsmaschine. So richten Sie die Testumgebung ein:

  • Eine virtuelle Maschine wird heruntergeladen und installiert.
  • Security Onion wird heruntergeladen und installiert. Anschließend werden die entsprechenden Netzwerkadaptereinstellungen heruntergeladen und installiert.
  • Kali Linux wird heruntergeladen und installiert.
  • Metasploitable Framework Version 2.0 wird heruntergeladen und installiert.

Starten eines Backdoor-Angriffs:

Ein Backdoor-Angriff wird über das Metasploitable-Framework mit den folgenden Schritten gestartet:

  • Öffnen Sie das Terminal von Metasploit
  • Geben Sie den folgenden Befehl ein: db_nmap -O -sV (geben Sie hier die IP-Adresse (inet addr) des Ziels ein, die Sie über den Befehl nmap erhalten, z. B. 209.165.200.235). Abbildung (1) zeigt die grundlegenden IP-Adressinformationen, die mit dem Befehl nmap ermittelt werden.

IP-Adressinformationen, die mit dem Befehl nmap ermittelt werden

  • Ermitteln Sie den Versionsnamen von ftp (z. B. vsftpd 2.3.4)
  • Geben Sie den folgenden Befehl ein: search vsftpd 2.3.4
  • Nehmen Sie exploit_path
  • Geben Sie den folgenden Befehl ein: Exploit-Pfad verwenden
  • Geben Sie den folgenden Befehl ein: Set RHOST (geben Sie hier die IP-Adresse des Ziels (inet addr) ein, die Sie mit dem Befehl ifconfig erhalten, z. B. 209.165.200.235)
  • Führen Sie den Exploit-Befehl aus: exploit

Security Onion Monitoring

Wie in Abbildung (2) dargestellt, wird der Port 21 des Opferrechners mit nmap gescannt. Dabei wird versucht, die Version des Dienstes mit Hilfe von nmap zu ermitteln; der verwendete Befehl lautet – nmap -sV p IP-Adresse. P sollte durch die Portnummer ersetzt werden, also bedeutet p-21, dass Portnummer 21 nach der Version gescannt wird. Wir werden die Ports TCP und FTP 21 scannen.

Scannen von Port 21 auf dem Rechner des Opfers mit nmap

Nach erfolgreicher Ausführung des Exploits können alle relevanten Informationen in der Befehlsshell angezeigt werden. Dateien wie ls oder andere, die auf dem Server vorhanden sind, können angezeigt werden. Das bedeutet, dass wir erfolgreich einen Backdoor-Angriff auf ein entferntes Zielsystem gestartet haben. Wie in Abbildung (3) gezeigt, können wir einige Dateien sehen, die bereits auf dem Metasploit-Server vorhanden sind, und Kali-Linux sollte genau die gleichen Dateien enthalten, um sicherzustellen, dass der Backdoor-Angriff erfolgreich gestartet wurde.Durch den Backdoor-Angriff erlangte Dateien, die sich auf dem Metasploit-Server befinden

Überwachung des Angriffs mit den Tools von Security Onion:

Nach dem Start des Angriffs können die Überwachungsschichten von Security Onion verwendet werden, um Informationen im Zusammenhang mit diesem Ereignis zu ermitteln.

Snort:

Snort ist ein Open-Source-System zur Erkennung und Verhinderung von Eindringlingen in das Netzwerk. Es ist in der Lage, den Netzwerkverkehr in Echtzeit zu analysieren, was für die Identifizierung bösartiger Eindringversuche von entscheidender Bedeutung ist. Es kann anormale Aktivitäten erkennen, die über Port 21 stattfinden, den Port, der zum Eindringen in die virtuelle Zielmaschine verwendet wird.

Suricata:

Suricata ist ebenfalls ein Intrusion Prevention System, das in der Lage ist, gefährlichen bösartigen Datenverkehr zu identifizieren. Suricata ist in stabilen Netzwerken wirksam. Der Hauptunterschied zwischen Suricata und Snort besteht darin, dass Snort über eine einzelne Bedrohung arbeitet, während Suricata auf eine Multi-Thread-Basis arbeitet.

Security Onion Darknet

Snorby:

Snorby ist eine Netzwerküberwachungs-App mit einem Online-Frontend. Sie müssen ein Konto mit einer E-Mail und einem Passwort erstellen, um Snorby nutzen zu können. Snorby kann Sicherheitswarnungen je nach Schweregrad in niedrige, mittlere und hohe Schweregrade einteilen. Es kann auch Details zu dem von uns gestarteten Testangriff ermitteln, einschließlich Quell-IP, Quell-Port, Ziel-IP, Ziel-Port und andere.

Squert:

Squert ist ebenfalls eine App für Sicherheitswarnungen mit einer Weboberfläche. Sicherheitsereignisdaten werden in Squil-Datenbanken gespeichert. Squert ist ein spezielles onlinebasiertes visuelles Tool, das Sicherheitsereignissen mittels Zeitreihendarstellungen und Metadaten zusätzlichen Kontext verleiht. Squert kann synergetisch mit der Bro-Anwendung arbeiten.

Sguil:

Sguil ist ein Netzwerkanalysewerkzeug, das über ein SQL-Datenbank-Backend verfügt. Der gestartete Testangriff kann über die Sguil-Schnittstelle in Echtzeit angezeigt werden. Sguil kann auch Daten von Network Miner und Wireshark analysieren. Es kann verschiedene Arten von Daten liefern, darunter HITS, NIDS, Asset-Daten, Sitzungsdaten und mehr.

Elsa:

Elsa ist eine Anwendung, die hauptsächlich zur Verarbeitung von Systemprotokollen für MySQL und Syslog NG dient. Sie funktioniert wie eine Abfrage. Sie verfügt über eine Benutzeroberfläche, die für die Sicherheitsanalyse von Ereignissen und die Filterung verschiedener Ereignisse nach IP-Adresse und Ports verwendet werden kann. So kann sie die IP-Adresse der virtuellen Maschine, die für den Angriff verwendet wurde, und den Port (Port 21), der für das Eindringen in die Opfermaschine verwendet wurde, identifizieren. Elsa kann den Benutzern E-Mail-Warnungen senden und statistische Daten über die Leistung des überwachten Netzwerks erstellen.

Security Onion Tor testen

Abschließende Überlegungen:

Netzwerküberwachungs- und Analysetools sind äußerst wertvoll für die Optimierung der Netzwerksicherheit. Security-Onion-Tools, die sich auf mehrere Schichten von Netzwerkanalyseanwendungen stützen, wie z. B. Security Onion, können sowohl bei der Erkennung als auch bei der Verhinderung bösartiger Aktivitäten äußerst hilfreich sein. Sicherheitsspezialisten müssen jedoch im Umgang mit diesen Tools geschult werden, um anfällige Netzwerke zu schützen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Solve : *
22 − 16 =