Merhaba, ilk makalede “Security Onion Kurulumu Bölüm-1 Standalone Mimari” kurulumunu gerçekleştirmiştik. İlk makalede standalone kurulum yani tüm rollerin tek bir sunucuda toplandığı mimaride yapmıştık.
Bu makalenin de konusu olan “Distributed Deployment” kurulumu yapacağız. Standalone tasarım kullanılacak yapının büyüklüğü ve ihtiyaçlarına göre yetersiz kalabilir. Bu yüzden Production ortamları için rolleri birbirinden ayırarak mimari tasarlamak performans açısından büyük fark sağlar.
İsterseniz yapımızdan biraz bahsedelim. Yapımızda bu iki sanal sunucu var bunlar yine vmware ESXi 6.7 üzerine kurulu durumda. Yapıya baktığımızda “Security Onion Master” sunucu üzerinde 1 adet ethernet kartı bulunmakta ve bu sunucu üzerinde verilerin saklanması ve sorgulanması,görselleştirme gibi işlemler sorumludur. İkinci olan “Security Onion Forward” olan sunucu ise topladığı logları “Security Onion Master” sunucusuna göndermektir. Forward sunucuları işçiler gibi düşebilirsiniz ve farklı lokasyonlara konumlandıracağınız forward sunucular ile SO sunucunun performansını arttırabilirsiniz.
Evet artık kuruluma geçebiliriz. İlk makalede olduğu gibi fiziksel switch üzerinde gerekli portları “Security Onion Forward” sunucunun ETH1 ethernet kartına yönlendirdiğim böylece network üzerinden akan tüm trafiği dinlemiş olacağız.
Aşağıdaki ekranda “Security Onion Forward” olan sunucu özelliklerini görüyorsunuz. Bu sunucu üzerinde iki adet ethrnet kartı mevcut bir tanesi master sunucu ile iletişim kurması diğeri ise “Promiscuous Mode” olarak yapılandırmış olup network trafiğini dinlemek ile sorumlu.
Bu sunucu ise “”Security Onion Master” olan sunucu bir adet ethernet kartı var ve sadece “Security Onion Forward” ile letişim halinde.
İlk önce SO master ile kuruluma başlıyorum.
“Yes” ile network kartlarımı ayarlamaya başlıyorum.
Sadece bir adet ethernet kartı olduğu söylüyor ve management olarak ayarlanacağı konusunda uyarıda bulunuyor.
Tüm ip yapılandırmalarını tamamladıktan sonra ayarlarımı onaylıyor ve sistemi yeniden başlatıyorum.
Sunucu açıldı ve “Setup” kısayolu ile başlıyoruz ve “Yes” seçeneği ile devam ediyoruz.
Daha önce network ayarlarını yaptığımız için “Yes” seçeneği ile devam ediyoruz.
“Yes” ile devam edelim.
“Production Mode” mode devam ediyoruz.
Yeni bir kurulum yaptığımız için “New” seçeneğili ile devam ediyoruz.
Kullanıcı adı ve şifre tanımlamalarını yapıyoruz.
Değerleri default bırakıp devam ediyoruz.
Eğer “Snort” için ücretli bir desteğe sahipseniz burada onu seçebilirsiniz.
“Yes” seçeneği ile devam ediyoruz.
Network aralığını seçiyoruz.
“Yes” ile devam edin.
“Yes“
“Yes“
“Yes“
“Yes“
“Yes“
“Yes“
“Yes“
SO Master sunucu kurlumu bitti. Şimdi SO Forward’a geçeceğiz ancak SO Master ile SO Forward birbiri ile iletişim kurmak için bazı portlara ihtiyaç duyar. Bunlar:
- 22/tcp (ssh)
- 4505/tcp (salt)
- 4506/tcp (salt)
- 7736/tcp (sguil)
Detaylı bilgiyi buradan alabilirsiniz.
Ben kurulumda sorun yaşamamak için hem master hemde forward üzeride firewall’u kapattım
ufw disable
Sıra geldi SO Forward sunucunu üzerinde gerekli ayarlama yapmaya.
Masaüstündeki “Setup” kısayolu ile başlıyoruz.
“Yes“
“Yes”
İlk önce management interface’i ayarlıyacağız.
Sırada network’u dilemek için kullanacağımız interface’i seçeceğiz.
“Yes“
“Yes“
SO Forward sunucusu yeniden başladı ve yine “Setup” kısayolu ile devam ediyoruz.
“Yes“
Network ayarlarımı yaptık “Yes” ile devam ediyoruz.
“Yes“
Burası önemli daha önce master sunucuyu kurduğumuz için “Existing” seçeneği ile SO Forward sunucuyu master sunucuya bağlıyacağız.
SO Master sunucunun ip adresini yazıyorum.
SO Master sunucu kullanıcı adını ve şifresini yazıyorum.
Burası önemli, burada bu sunucunu hangi role sahip olacağını soruyor. Biz “forward” seçeneği olarak kuracağımız için bu seçenek ile devam ediyoruz.
“Yes“
“Yes“
“Yes“
“Yes“
“Yes“
“Yes“
“Yes“
Önemli bir bölüme daha geldik. Bize burada SO Master sunucunun şifresini soruyor giriyoruz böylece SO Master ile iletişim sağlanmış olunacak.
Evet kurulum bitiyor ve login oluyoruz ve sistemin sağlıklı bir şekilde çalışmaya başladığını görüyoruz.
Loglar sistemde toplanmaya başladıkça görsellik artmaya başladı.
Evet sistemimiz sorunsuz çalışmakta. Yapınıza göre forwarder sayıları attırılabilir veya storege rolüne sahip başka sunucularda eklenebilir tercih tamamen sizin yapınızı ihtiyaçlarına bağlı. SO daha bir çok özelliğe sahip çok yetenekli log analiz sistemi.
Faydalı olmasını dilerim. Keyifli okumalar.
