Açık kaynak NIDS / HIDS yazılımlarını araştırırken yeni farkettim bu yazılımı. Adı Security Onion. Bilinen araçları tek bir çatı altında entegre etmeye yönelik çalışmalardan biri daha. Splunk sayfalarını karıştırırken rastladım ve test etmeye karar verdim.
Öncelikle bilgilendirme, belgelendirme. http://securityonion.blogspot.com/ sayfasından yayınlanıyor. Malesef yeterince bilgi ve ilgi yok. Geliştiricilerin çok iyi niyetli çabaları ve kendilerinden beklenmeyecek kadar net belgelendirmeleri var ancak etrafında gelişen bir topluluk olmayınca, yeterince bilgi üretilemiyor.
Kurulum. Ürünü ISO olarak indirdim ve Vmware 8 workstation üzerine kurulumu gerçekleştirdim. Hem canlı CD olarak kullanılabiliyor, hem de çok kısa sürede diske kurulum yapılabiliyor. Her iki durumda da başarılı.
Kullanım ve amacına uygunluk. İçinde genel bir Snort yöneticisi olan Snorby, Squert gibi genel bir dashboard ve olayları izleme ekranı ve de Squil gibi gerçek zamanlı bir olay izleme ekranı ve elbette OSSEC'i veriyor. Her biri de başarılı araçlar. Bu ağır topların haricinde, GUI'de her güvenlik denetçisinin ve meraklı uzmanın ihtiyacı olabilecek tüm 'swiss army knife' araçlar bulunuyor. Elbette kullanmasını, faydalanmasını bilen için.
Test hedefim. Amacım daha çok OSSEC ağırlıklı bir çalışma yapmaktı. Öncelikle HIDS testlerimi tamamlayıp daha sonra SNORT ve paket trafiğini yakalama, analiz etme aşamalarına geçerim diye düşünüyordum. Ancak daha bu aşamada test benim açımdan başarısızlıkla bitti. Nedenlerini şöyle açıklayayım.
Snorby, görüldüğü üzere ; üzerinde çalıştığı sunucudan oldukça başarılı şekilde ağ verisi topluyor ve işliyor. Bu yüzeysel testte gördüğüm hiç bir sorun yok. Üstelik verinin detayına kadar inebiliyor ve izleyebiliyorum.
OSSEC. SO sunucusunun üzerindeki OSSEC de sorunsuz çalışıyor. Herhangi bir OSSEC agentını bu sunucuya yönlendirmek ve kurmak standart OSSEC prosedürleriyle gayet basit. http://www.ossec.net . Ancak bu noktada OSSEC agentını, SO sunucusu ile konuşturmakta küçük bir sıkıntı yaşadım. Ubuntu 12.'nin güvenlik duvarını kapatınca agent sorunsuz olarak SO ile konuştu (açıkçası kural tanımlamakla uğraşmak istemedim :) ).
OSSEC verisi sunucuya akmaya başladı. Bir kaç da küçük dosya değişikliği yaparak daha çok kayıt oluşmasını sağladım. Ancak işte tam bu noktada zurnanın zırt dediği yere geliyoruz. Snort verisinde olduğu gibi "drill-down" çalışamadım OSSEC verisi ile. Oysa ki en büyük hedefim buydu.
OSSEC verisini görüyorum ama üzerinde detaylı inceleme yapamıyorum. Evet, bir sorgulama ekranı var ve zaten ekran görüntüsünde açıkça belli oluyor ancak ben bundan daha fazlasını bekliyordum. OSSEC verileri arasında ilişkisel bağlantı kurabileceğim bir ekran veya OSSEC verisinin akar ekranda gösterebilecek bir ortam. Malesef Sguil de bu ihtiyaçlara bir çözüm olamadı.
Dolayısıyla bu kısım benim için hayal kırıklığı ile bitti.
Toplamda bir günümü bu uygulamayı kurmaya ve test etmeye ayırdım. Elbette bir blog sayfasından daha fazla veri ve sonuç elde ettim ancak bu noktadaki hayal kırıklığı ve başvurduğumda süratli cevap verecek bir topluluğun olmaması ( eposta grubu var ) nedeniyle çalışmayı burada sonlandırmak zorunda kaldım.
Belli olmaz, bazen ürünlere ve onu yazanlara haksızlık ettiğimi düşünüp geri döndüğüm ve kendi hatalarım sonucu atladığımı farkettiğim yeni sonuçlar elde ettiğim oluyor. Belki ileride tekrar bu ürüne dönüp bakarım bir gün.
Şimdilik AlienVault' a devam.
