SECURITY ONION คือ open source ที่ใช้ดัก traffic ต่างๆ ในองค์กร หรือที่เรียกว่า Network Intrusion Detection System (NIDS) ซึ่งหากมีการโจมตีที่มี signature อยู่ มันจะส่ง alert ให้เรารับทราบได้ ซึ่งผมเคยลองเล่นใน course CISCO CCNA Cyber Ops ตอนได้ทุนสอบหลายปีก่อน ซึ่งวันนี้จะลองมาสอนใช้งาน บน VM ที่จะติดตั้งบนเครื่องตัวเองนี่แหละ เปิดทิ้งไว้เลย เผื่อโดนอะไรมาจะได้รู้ตัว … โดย Security onion เนี่ยจะช่วยในการวิเคราะห์ การโจมตีผ่านระบบเครือข่ายได้
แต่หลัก ๆ ที่ใช้งานจริง ๆ ก็คือใช้ตอนเล่น LAB เพราะกลัวเหมือนกันพวกแชร์ LAB จะโดนของฝากมาด้วย ซึ่งเท่าที่ลองใช้งานก็ถือว่าใช้งานได้ดี และได้ผล เช่นตอนทดสอบ SQL injection, Metasploit ก็ขึ้นว่ามีการโจมตีเช่นกัน
สำหรับบางองค์กร ถ้าไม่มีงบก็ยังน่านำไปใช้งาน เพื่อตรวจสอบว่ามีอะไรน่าสงสัยในเครือข่ายรึป่าว รวมไปถึงใช้งานตอนที่เกิดปัญหาแล้ว เช่นถูก ransomeware โจมตี ก็สามารถนำข้อมูลต่างๆ มาประมวลผลได้ว่า มีการโจมตีต่อไปยังเครื่องอื่นๆ เครื่องใด บ้าง เครื่องไหนเป็นต้นทาง และทำการติดต่อไปยัง C&C Server ที่ไหนอย่างไร
หน้าเวปผู้พัฒนา https://securityonion.net/
หน้าเวป Download https://github.com/Security-Onion-Solutions/security-onion/blob/master/Verify_ISO.md
เริ่มที่ download iso มาก่อนเลย https://download.securityonion.net/file/Security-Onion-16/securityonion-16.04.7.1.iso
ตั้งค่า VM ตามรูป
เปิด VM แล้วเลือก “Install”
เลือก check mark ที่ “Download update while installing SecurityOnion”
รอจนเสร็จสิ้น เลือก .”Restart Now”
หลังจากเปิดขึ้นมาแล้ว configure network เสร็จสิ้น ก็ทำการ install component ต่าง ๆ
ในการทดสอบนี้เลือกเป็น Evaluation Mode
สร้าง account / password
หลังจากลงเสร็จแล้ว จะมี shortcut เพิ่มมาตามด้านล่าง
ลองเล่น Sguil กันก่อน เจ้าตัวนี้จะทำหน้าที่ Monitor ระบบเน็ตเวิคแบบ Real time
เลือก “Select All” และ “START SGUIL”
ทีนี้ผมลองใช้ nessus scan แต่บางอย่าง sguil ก็เจอของมันเอง
ซึ่งสามารถ เลือกเปิดอ่านเป็น Wireshark Format ได้ ว่ามีการส่งข้อมูลไปมาอย่างไร
สำหรับ SQUERT เราสามารถเปิดดูข้อมูล Event ต่าง ๆ โดยจะมีการแยก Signature ต่าง ๆ ออกมาชัดเจน
สามารถดูเป็น IP ได้ว่าส่งข้อมูลไปที่ไหนบ้าง และยังมีหน้า filter เพื่อตรวจสอบเพิ่มเติมได้อีก
และสุดท้ายคือ Kibana ซึ่งเราสามารถดูข้อมูลต่างๆ ได้ คล้ายๆ กับ SQUERT แต่จะทำการ filter ได้ว่าต้องการดู การรับส่งข้อมูลประเภทอะไรจากไหน ไปไหน เวลากี่โมงถึงกี่โมง
