手把手教你白嫖开源网络安全神器,从零基础到精通,收藏这篇就够了!

最近听到不少小伙伴吐槽,说网络安全市场现在是真不好混了,甲方爸爸们一个个精得跟猴似的,光靠卖盒子忽悠人那套已经不好使了。遥想当年,只要政策一响,盒子随便卖,现在呢?用户机房里各种安全设备堆成山,防火墙、终端安全管理,啥也不缺,简直就是安全盒子的“坟墓”

而且,更扎心的是,很多甲方爸爸也开始自我觉醒,安全意识蹭蹭往上涨,想忽悠他们,门都没有!之前的那些安全集成项目,效果嘛,呵呵,说多了都是泪,设备买回去就吃灰,运营效果基本为零。

所以,我跟朋友说,咱们得换个思路,别老想着卖盒子,转型做服务才是王道! 之前的那些坑,那些浪费,咱们得想办法弥补。站在专业的角度,帮甲方爸爸把现有的设备、资源整合起来,打造一个真正能打的网络安全防御体系,这才是正经事。深入了解甲方的痛点,以需求为导向,以结果为目标,这才是我们应该努力的方向。

今天,就给大家分享一个开源的入侵检测系统,这个方案我也给不少用户推荐过。咱们先简单粗暴地把甲方的信息化环境分为四种模式:

1、私有云+公有云
2、本地机房组网
3、公有云
4、私有云

这四种模式都能完美支持咱们今天的主角——开源入侵检测系统。 核心要点就是:引流和入侵检测的主机网卡必须设置成镜像模式!

当然,提到开源,肯定有小伙伴会问:这玩意儿能过等保吗?

别慌,我已经替你们查过了!

等保2.0:开源也能Hold住!

简单来说,信息安全等级保护是国家为了规范企业信息安全而制定的标准,它更关注你的技术能力和管理能力是否达标,而不是你买了什么产品。换句话说,只要你的开源安全产品能满足等保测评的要求,就能顺利通过!

当然,为了避免网络安全事故,响应国家号召,还是建议大家尽快开展等保工作,拿到认证,心里才踏实。

打消了顾虑,咱们就来好好认识一下这个开源入侵检测系统——Security Onion

Security Onion:安全界的瑞士军刀

Security Onion 是一个免费、开源的 Linux 发行版,专门用于威胁搜索、企业安全监控和日志管理。你可以把它想象成一个安全界的瑞士军刀,啥都能干!

它自带一个超好用的网络界面,内置各种工具,可以帮助安全分析师快速响应警报、威胁狩猎、整理证据、监控网络性能等等。

更厉害的是,它还集成了各种第三方神器,比如 Elasticsearch、Logstash、Kibana、Suricata、Zeek(以前叫 Bro)、Wazuh、NetworkMiner、CyberChef 等等,简直就是安全工具界的豪华套餐!

Security Onion能干啥?

  • NIDS(网络入侵检测系统): 实时监控网络流量,发现恶意行为。
  • HIDS(主机入侵检测系统): 监控系统内部,揪出潜伏的威胁。
  • 静态分析: 支持导入 PCAP、EVTX 文件,进行离线分析。
  • SOC(安全运营平台): 集中管理安全事件,提升安全运营效率。

Security Onion界面一览

告警信息一目了然:

威胁狩猎,主动出击:

告警详情,抽丝剥茧:

PCAP分析,还原真相:

威胁事件,一网打尽:

控制面板,全局掌控:

安装过程也超级简单,官方提供了脚本一键安装,图形化界面,有手就行。

Security Onion安装教程

CentOS环境

安装git:

sudo yum -y install git

下载仓库,运行一键安装脚本:

git clone https://github.com/Security-Onion-Solutions/securityonion

Ubuntu环境

安装git:

sudo apt -y install git curl

下载仓库,运行一键安装脚本:

git clone https://github.com/Security-Onion-Solutions/securityonion

Security Onion配置

运行完脚本会弹出古老的图形化界面,在<Yes>上回车:

然后继续回车:

然后输入AGREE

输入自定义的hostname:

继续回车:

然后按空格选择网卡,前面会出现*号:

选择Direct直连,我们不需要代理,按回车:

预装检测完成后,会让我们选择监控流量的网卡,我们依旧是按空格选择网卡:

根据个人情况选择更新计划,我们这里默认是Automatic,每8个小时一更,继续回车:

基础设置完成:

防火墙开放端口

so-allow

温馨提示:

1、 确定访问的管理地址段,是安装完成后访问的管理地址。

2、 双网卡,一块用于管理,另外一块用于接收流量镜像。

本地机房: 在核心交换机上联接口镜像到另外一个接口。服务器的第二块网卡接到这个镜像口上。

#1. 配置镜像(观测)端口
[SwitchA]monitor-port e0/8
#2. 配置被镜像端口
[SwitchA]port mirror Ethernet 0/1 to Ethernet 0/2
#3. 可以一次性定义镜像和被镜像端口
[SwitchA]port mirror Ethernet 0/1 to Ethernet 0/2 observing-port Ethernet 0/8

云端: 可以直接设置把流量镜像打到服务器网卡上。

黑客/网络安全学习包

资料目录

  1. 成长路线图&学习规划

  2. 配套视频教程

  3. SRC&黑客文籍

  4. 护网行动资料

  5. 黑客必读书单

  6. 面试题合集

因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取

*************************************优快云大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享*************************************

1.成长路线图&学习规划

要学习一门新的技术,作为新手一定要先学习成长路线图方向不对,努力白费

对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图&学习规划。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。


因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取

*************************************优快云大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享*************************************

2.视频教程

很多朋友都不喜欢晦涩的文字,我也为大家准备了视频教程,其中一共有21个章节,每个章节都是当前板块的精华浓缩


因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取

*************************************优快云大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享*************************************

3.SRC&黑客文籍

大家最喜欢也是最关心的SRC技术文籍&黑客技术也有收录

SRC技术文籍:

黑客资料由于是敏感资源,这里不能直接展示哦!

4.护网行动资料

其中关于HW护网行动,也准备了对应的资料,这些内容可相当于比赛的金手指!

5.黑客必读书单

**

**

6.面试题合集

当你自学到这里,你就要开始思考找工作的事情了,而工作绕不开的就是真题和面试题。

更多内容为防止和谐,可以扫描获取~

因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取

*************************************优快云大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享*********************************

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值