Kurulum Adımları
1.Security onion iso dosyasını hazırlamış olduğumuz sunucuya bağlayıp, sunucuyu çalıştıralım.
2.Kullanıcı adı ve parola belirleme adımlarını geçtikten sonra kurulum başlıyor. Bu aşama biraz zaman alacaktır. Tamamlandıktan sonra, bir önceki adımda belirlediğimiz kullanıcı adı ve parola ile login olabiliriz.
3.Login sonrası kurulum sihirbazı ile devam ediyoruz. Aşağıdaki şekilde devam ederek yapılandırmaya başlayabiliriz.
4.Kurulum yapacağımızı için “Install” seçeneği ile devam ediyoruz. TAB tuşu ile <ok> butonuna geçip onaylıyoruz.
5.Kurulum amacınıza uygun olan seçenek ile devam edebilirsiniz.
EVAL: Onion yapısını test etmek için tercih edebilirsiniz.
STANDALONE: Tek bir Onion sunucuya sahip olacağınız durumda tercih edebilirsiniz.
DISTRIBUTED: Birden fazla Onion sunucuya sahip olduğunuz durumda bir cluster yapısı kurmak ve bu sunucular arasına yük dengeleme imkanı bulabilmek için tercih edebilirsiniz.
IMPORT: Çok daha az kaynak ile sunucu takibi yapmayan, sadece sınırlı bir izleme imkanı sağlayan dmp dosyalarını inceleyip grafik analizi veren bir yöntem tercih edebilirsiniz.
OTHER: Yukarıdaki seçeneklerden başka bir ihtiyaç durumunda tercih edilebilir.
NOT: Bu dokumanda tek bir onion sunucu kurulumu yapılacağı için “STANDALONE” seçeneği ile devam edilmiştir.
6.Bir sonraki adımda lisansı onaylamanız beklenmektedir. Aşağıdaki şekilde devam edebilirsiniz.
7.Kurulum yaptığımız sunucuda 1 adet NIC bulunduğu için aşağıdaki uyarı ile karşılaşıyoruz. YES seçeneği ile devam etmemizin bir sakıncası olmayacaktır.
8.Sunucuya hostname ya da FQDN vermek için aşağıdaki sayfada gerekli düzenlemeleri yapabilirsiniz. Varsayılanda gelen isim görseldeki gibidir.
9.Varsayılan isimle devam etmeniz halinde aşağıdaki soru ile karşılabilirsiniz. <use anyway > ile değişiklik yapmadan devam edebiliriz.
10.Gelen sayfada sunucu için açıklama yazarak devam edebiliriz.
11.Yönetim yapacağınız IP adresinin bulunduğu adaptörü seçip devam etmelisiniz. Eğer sunucunuz üzerinde birden fazla NIC varsa bu sayfada listelenecektir. Kurulum yapılan sunucu üzerinde tek bir NIC olduğu için işaretleyip devam ediyoruz.
12.İlgili NIC’in ip yapılandırmasının yöntemini seçerek devam edebilirsiniz. Static IP yapılandırması için STATIC seçeneğini işaretleyip <ok> ile devam ediyoruz.
13.Static IP adres yapılandırmasını gerçekletirip devam ediyoruz.
14.Sunucunun varsayılan ağ geçidi bilgisini giriyoruz.
15.Sunucun DNS sunucu bilgilerini giriyoruz.
16.Sunucuya domain bilgisini girebilrsiniz. Eğer bir domain yapınız yoksa, görselde olduğu gibi varsayılanda bırakıp devam edebilirsiniz.
17.Ağ yapılandırmasını onaylamak için OK seçeneği ile devam ediyoruz.
18.Gelen pencerede internet erişim durumunuzu belirterek devam edebilirsiniz.
Internet erişimi olan bir sunucuya sahipseniz “Standard”
Internet erişimi olmayan bir sunucuya sahipseniz “Airgap” seçeneği ile devam etmelisiniz.
Kurulum yaptığımız sunucunun internet erişimi olmayacağı için “Airgap” ile devam ediyoruz.
19.Tek interface ile kurulum yaptığımız için, monitor interface içinde mevcut interface’ seçip devam ediyoruz.
20.Security Onion sunucusunun bulunduğu ağı belirterek devam ediyoruz.
21.Belirtilen adımlar dışında ek yapılandırmalar için “ADVANCED” seçeneği ile varsayılan kurulum adımlarıyla devam etmek için görseldeki gibi “BASIC” seçeneğini işaretleyip devam edebilirsiniz.
22.Gelen sayfada metadataları toplamak için tercih edilecek ajan seçiminini yapabilirsiniz.
Zeek(Bro) seçeneği 2 ajan çalıştırır (data toplamak ve alarm üretmek için) Suricata seçeneği tek ajan ile bu işlemi (data toplamak ve alarm üretmek) yapar.
23.Anomali durumunda hangi kütüphaneleri kullanacağını seçeceğimiz pencerede ücretsiz olan seçenek ile devam ediyoruz. Diğer iki seçenek ücretli üyelik gerektirmektedir.
24.Devam eden sayfada izlediğimiz sunuculardan veri alacağımız kaynak ajanların seçinini gerçekleştiriyoruz. Görselde olduğu gibi hepsinin seçilmesi önerilir.
25.Otomatik olarak Docker Ip yapılandırmasının yapılmasını tercih ediyorsak <Yes> seçeneği ile devam ediyoruz.
26.Security Onion GUI arayüzüne erişim sağlarken login olacağımız mail bilgisini giriyoruz.
27.Security Onion GUI arayüzüne erişim sağlarken login olacağımız mail’in parolasını giriyoruz.
28.Security Onion’ın web arayüzüne erişirken kullanacağımız yöntemi belirliyoruz.
29.Hostlara ait ajanları eklemek için kullanılacak olan şifrenin belirlenmesi gerekmektedir.
30.İlgili şifreyi belirliyoruz.
31.Yapılandırmanın otomatik olarak yapılmasını istiyorsak BASIC seçeneğini, manuel olarak belirlemek istiyorsak ADVANCED seçeneğini kullanıyoruz.
32.İşlemci çekirdeği ve host sayınıza göre Suricata prcesses sayısını belirleyiniz.
33.NTP sunucu ayarlarını gerçekleştirmek için ile devam ediyoruz.
34.NTP sunucusunun bilgisini yazıyoruz.
35.Security onion’ın izleyeceği sunucuların yapılandırma yöntemini belirliyoruz. Eğer NODEBASIC yöntemi tercih edilirse; varsayılan yapılandırma ayarları ile devam edilecektir. NODEADVANCED seçeneği ile devam edilirse yapılandırma ayarlarını manuel olarak belirlememiz gerekir.
36.Security Onion’ı Web arayüzünden mi yoksa sadece komut satırından mı yönetmek istediğimizi belirtiyoruz. seçeneği ile devam edilmesi halinde “so-allow” komutu ile komut satırından yönetim olanağınız vardır. seçeneğinde buna ek olarak başka bir sunucudan GUI’ye erişiminiz mümkün olur.
37.GUI’ye erişim gerçekleştireceğiniz sunucunun IP adresini yazıp devam edebilirsiniz.
38.Kurulum sihirbazı boyunca yaptığınız seçeneklerin bir özetini görebilirsiniz.;
39.Yukarıdaki pencereyi onaylayarak kurulumu başlatabilirsiniz.
40.Sunucu kurulumunu tamamladıtan ile sonlandırabilirsiniz. Sonlandırma işleminden sonra sunucu reboot edilecektir.
41.Kurulum süreci tamamlandıktan sonra arama motoruna Security onion sunucunun IP adresini yazarak aşağıdaki sayfaya ulaşabilirsiniz.
Yazar: Özüm Işık Atasoy