Bir önceki yazımızda Security Onion Mimarisinden bahsetmiştik. Bu yazımızda kurulum adımlarını anlatacağız.
Sistem Gereksinimleri
Bu proje kapsamında Security Onion kurulumları standalone mimari olarak yapılmıştır. Sistem gereksinimleri;
Bellek: Minimum: 16 GB – 64 GB
İşlemci: Minimum: 4 CPU – 16 CPU
Disk: Minimum: 200 GB – 1 TB
Disk depolama boyutu kaydedilecek günlüklerle orantılıdır.
Anlık 10 MBit/s ağ trafiği izlendiği zaman diske 1.25 MB yazmaktadır. Hesaplama: 60 DK * 1.25 = 75 MB * 24 = 1.800 MB günlük disk ihtiyacı. Kaç günlük geçmişe yönelik ağ trafiği kaydedilmek isteniyorsa ona göre hesaplama yapılarak disk alanı belirlenmelidir.
Ağ: 2 Ağ kartı olmalıdır.
- 1.Ağ kartı yönetim arayüzü olacaktır. Statik ip olarak yapılandırılacaktır.
- 2.Ağ kartı kopya verilen ağ trafiği olacaktır.
- Vmware alt yapısında 2. ağ kartı promiscuous mode olarak yapılandırılmalıdır [13].
Security Onion Kurulumu
Kuruluma başlamadan önce kurulum yapılacak platform sanal alt yapıya sahipse kurulum öncesinde sanal anahtarlar (virtual switch) ayarlanmalıdır. Sunucu ağ kartlarında izleme portu Promiscuous mode olarak yapılandırılmalıdır.
Securtiy Onion kurulum dosyası için https://github.com/Security-Onion-Solutions/securityonion/blob/master/VERIFY_ISO.md adresinden en güncel sürüm indirilmelidir. Bu kurulumda 2.3.50 versiyonu indirilmiştir. Kurulum adımları aşağıda anlatılmıştır.
Hazırlanan sanal ve fiziksel sistem indirilen imaj Şekil 3.3’te görüldüğü gibi DVD ile başlatılarak kurulum metodu “basic graphics mode” seçilerek kuruluma devam edilir.
Kurulum yapılırken disk üzerinde bulunan bütün verilerin silineceği uyarısı Şekil 3.4’te gösterildiği gibi “yes” yazılarak kuruluma devam edilir.
Arayüze ve konsola bağlanırken Şekil 3.5’te gösterildiği gibi yönetici hesap adı yazılarak kuruluma devam edilir. Türkçe karakter kullanılmamalıdır.
Aşağıda gösterildiği gibi yönetici hesabı şifresi yazılarak kuruluma devam edilir.
İlk kurulum tamamlanması için aşağıda gösterildiği gibi “Enter” tuşuna basılarak sistem yeniden başlatılır.
Sistem yeniden başladıktan sonra oluşturulan yönetici hesabı ile aşağıda gösterildiği gibi sisteme giriş yapılır.
Security Onion Kurulum ekranında aşağıda gösterildiği gibi “yes” seçilerek kuruluma devam edilir.
Security Onion setup ekranında gösterildiği gibi “Install” seçilerek standart olarak kuruluma devam edilir.
Security Onion ekranında kurulum tipi sorulmaktadır. Burada bağımsız (standalone) kurulum yapacağımız için aşağıda gösterildiği gibi “bağımsız” (standalone) seçilerek kuruluma devam edilir. Dağıtık mimaride kurulum yapılsaydı dağıtık (distributted) seçilmelidir.
Import seçeneğinde önceden kaydedilmiş ağ trafiği sisteme eklemek için seçilmelidir.
EVAL seçeneği de ürünü denemek için seçilecek yapılandırmadır.
Security Onion kurulum ekranında lisans sözleşmesi “AGREE” yazılarak kabul edilir ve “OK” seçilerek kuruluma devam edilir.
Security Onion kurulum ekranında sunucun internete erişimi olup olmadığı sorulmaktadır. Sunucunun direk internete erişimi olduğu için “Standard” seçilerek kuruluma devam edilir.
Security Onion kurulum ekranında sunucu adı sorulmaktadır. Sunucu adı gösterildiği gibi yazılarak kuruluma devam edilir.
Security Onion kurulum ekranında gösterildiği gibi sunucu açıklaması yazılarak kuruluma devam edilir.
Ağ arayüzü kurulum ekranında Security Onion yönetim arayüzüne bağlanırken kullanacağı ağ arayüz kartını gösterildiği gibi arayüz seçilerek kuruluma devam edilir. Link’lerin up olması önemlidir.
Security Onion kurulum ekranında yönetim arayüzünün ip adresini yapılandırmak için gösterildiği gibi “STATIC” seçilerek kuruluma devam edilir.
Security Onion kurulum ekranında Security Onion ip adresini ve alt ağ maskesini gösterildiği gibi yazılarak kuruluma devam edilir.
Security Onion kurulum ekranında ağ geçidi gösterildiği gibi yazılarak kuruluma devam edilir.
Security Onion kurulum ekranında DNS sunucu bilgileri Şekil 3.20’de gösterildiği gibi yazılarak kuruluma devam edilir.
Security Onion kurulum ekranında DNS domain bilgileri gösterildiği gibi yazılarak kuruluma devam edilir.
Security Onion kurulum ekranında “OK” seçilerek ağ kurulumu tamamlanır.
Security Onion kurulum ekranında sucunun internete bir vekil (Proxy) sunucudan mı yoksa direk mi çıktığı sorulmaktadır. Direk internete çıkıyorsa gösterildiği gibi “Direct” seçilerek kuruluma devam edilir.
Ağ arayüzü kurulum ekranında ağ trafiği izleyecek ağ arayüz kartı gösterildiği gibi seçilerek kuruluma devam edilir.
Security Onion kurulum ekranında işletim sistemi yamaların nasıl yapılacağı seçilerek kuruluma devam
edilir. Otomatik “Automatic” seçilerek her 8 saatte bir kontrol edilerek yeni güncelleme varsa yüklenir.
Security Onion kurulum ekranında kurum iç ağları gösterildiği gibi yazılarak kuruluma devam edilir. Farklı ip blokları varsa onlarda eklenmelidir.
Security Onion kurulum ekranında Şekil 3.27’de gösterildiği gibi “BASIC” seçilerek kuruluma devam edilir. ADVANCED seçeceğinde bileşenlerin İşlemci, Bellek, Loglar ve elasticsearch’in konfigürasyonları yapılmaktadır. İlk kez kurulum yapılacaksa “BASIC” seçilmelidir.
Security Onion ekranında ağ tabanlı saldırı tespit sisteminin ne olacağını seçilmelidir. “Suricata” seçilerek kuruluma devam edilir.
Security Onion kurulum ekranında Ağ Tabanlı Saldırı tespit sisteminin kural setini yapılandırması için “ETOPEN” seçilerek kuruluma devam edilir. ETPRO Ücretli üyelik gerektirmektedir
Security Onion kurulum ekranında hangi bileşenlerin kurulacağı seçilmelidir. Kurulumdaki bütün bileşenler inceleceği hepsi seçilerek kuruluma devam edilir.
Security Onion kurulum ekranında TheHive, Cortex ve Fleet bileşenleri için yönetici hesabının e-posta adresi sorulmaktadır. E-posta adresi ve şifresi yazılarak kuruluma devam edilir.
Security Onion ekranında web arayüzüne erişimin nasıl olacağı sorulmaktadır. DNS kaydı yapıldıysa hostname seçilir. DNS kaydı yapılmadıysa “IP” seçilerek kuruluma devam edilir.
Security Onion kurulum ekranında sensör ekleyebilmek için soremote kullanıcısının şifresi oluşturulması gerekmektedir.
Security Onion Kurulum ekranında Ağ Güvenliği İzleme bileşenleri yapılandırmak için “BASIC” seçilerek kuruluma devam edilir. Advanced bölümde elasticsearch, logstash işlemci, belli ve anlık çalışan işlem sayıları ayarlanmaktadır
Security Onion kurulum ekranında Suricata’nın kullanacağı işlemci sayısı ayarlanarak kuruluma devam edilir. Burada işlemci sayısı 16/32 core ise 4 core verilmelidir.
Security Onion kurulum ekranında zaman sunucusu ayarlanarak kuruluma devam edilir. NTP ayarları doğru girilmelidir yoksa loglarda saat farkı olmaktadır.
Security Onion kurulum ekranında arama düğümü yapılandırması “NODEBASIC” olarak seçilir kuruluma devam edilir.
Security Onion kurulum ekranında so-allow kullanıcı ile web araçlarına erişmek için Şekil 3.41’de gösterildiği gibi “yes” seçilerek kuruluma devam edilir.
Yönetim arayüzüne erişim sağlayacak IP adresleri veya ağ bilgileri yazılarak kuruluma devam edilir.
Security Onion kurulum ayarlamaları kontrol edilir. Herhangi bir yanlışlık “Yes” seçilerek kurulum başlatılır. Bu işlem yaklaşık 10-20 dakika sürmektedir.
Kurulum tamamlanınca “OK” seçilerek sistem restart edilir ve kurulum tamamlanır.
Security Onion arayüzüne ip adresinden erişim sağlanır. Tarayıcı olarak chrome kullanılması tavsiye edilmektedir.
Barış İNCEİŞÇİ 