Comenzaremos haciendo la descarga del programa desde este enlace. El archivo que vamos a grabar se puede usar grabándolo en un DVD y que funcione en modo Live (sin necesidad de instalarlo). El escenario que vamos a realizar montará una versión completa, instalada en el equipo. La instalación en si mismo del sistema es bastante simple usando el entorno de instalación de la distribución.
A efectos de notas de la instalación solo decir que si se dispone de una maquina que tenga más de 2 TB de espacio de disco, probablemente quieras crear una partición /boot dedicada al comienzo del disco para evitar cualquier problema con Grub y que quizas quieras usar una partición propia para las capturas de paquetes que se realicen asignandole una buena cantidad de disco duro dada la cantidad y el tamaño de los paquetes.
Una vez terminada la instalación configuraremos el enlace de red para darle conexión al equipo. Si la maquina cuenta con una memoria que supera los 4 gigas, debemos seguir las indicaciones de este enlace para activar PAE y poder usar este potencial.
A continuación, debemos realizar la actualización de los paquetes del sistema directamente desde el GUI del usuario, haciendo clic arriba a la derecha, al lado del reloj, en la alerta que nos indica los paquetes que tenemos pendientes de descargar.
Update Manager Xubuntu con las actualizaciones pendientes
Una vez concluida la instalación de todos los paquetes nos solicitará un reinicio y nos indicará que la aplicación tcl no ha sido actualizada. Esto es el Tool Command Language y no debe ser actualizado puesto que Sguil no es compatible con esta herramienta en su versión con threading y por ello hubo de compilarse con una versión que no lo incorporara y colocar la actualización en espera.
tcl8.5 aparecerá sin instalarse y en espera
Reiniciamos. Una vez de nuevo en el sistema, si deseas actualizar a partir de aquí con actualizaciones desatendidas, seguimos la ruta Applications - System - Update Manager se abrirá Update Manager y en la parte de abajo de la pantalla seleccionamos Settings... una vez dentro de la pantalla sde Software Sources y en la pestaña Updates, seleccionamos Install security updates without confirmation. Cerramos las pantallas abiertas.
A continuación, realizaremos la actualización de Security Onion, esto actualizará tu versión de Security Onion a la última disponible, para ello, abriremos una consola y copiaremos la siguiente linea
sudo -i "curl -L http://sourceforge.net/projects/security-onion/files/security-onion-upgrade.sh > ~/security-onion-upgrade.sh && bash ~/security-onion-upgrade.sh"
Este proceso va a tardar varios minutos. Una vez concluído, en el escritorio encontraremos un enlace al setup de la aplicación. Al ejecutarlo, nos pregunta si queremos hacer la configuración fácil o la avanzada. En este caso vamos a configurar la básica. La primera ventana que nos aparece nos pide que indiquemos un usuario para Sguil. A continuación, un correo electrónico para logarse en Snorby. Nos pide despues una contraseña para las tres aplicaciones. Por último, nos indica los cambios que va a realizar en el sistema y cuando los aceptamos comienza a aplicarlos.
Es muy importante que revisemos de manera periodica el tráfico producido por Sguil, puesto que la base de datos tiende a dar problemas si hay muchos eventos sin identificar. Es bastante recomendable reiniciar el sistema despues de realizar todos estos pasos. Y... listo!!! ya tendremos montado un IDS y NSM desde el cual poder controlar en tráfico de nuestra red.
Hola Goyo. Si quisiera instalar un soft de este tipo para monitorizar el ancho de banda y el tipo de navegacion (webs visitadas, etc.) de los usuarios de mi red local (25-30 usuarios) ¿este estaria bien? Supongo que logicamente el equipo que lo tenga instalado debera ser configurado como puerta de enlace de la red, ¿no? ...
ResponderEliminarSecurity Onion es una recopilación de software más centrada en la detección de intrusos en la red. Su funcionamiento se basa en la captura de todos los paquetes que pueda a través de sus sensores y en su posterior análisis a través de unas alertas de seguridad. Desde luego, si en la red tienes la figura de un proxy, es el sitio perfecto para un sensor.
ResponderEliminarPara una red de esas dimensiones, la opción más adecuada para lo que pides (salvo para el ancho de banda) es la solución que tenemos nosotros montada que es a través de OpenDNS (http://www.opendns.com/business-solutions/premium-dns/benefits/). Es muy fácil, te das de alta la cuenta, sigues las instrucciones para modificar los reenviadores en el servicio DNS que uses y listo.