Securityanalysen mit Security Onion

Es gibt viele unterschiedliche Werkzeuge, die Securityteams in Unternehmen dabei unterstützen, sicherheitsrelevante Log- und Netzwerkdaten zu überwachen, um akute Bedrohungen und Angriffe gegen die eigene Infrastruktur zu entdecken und zu analysieren. Bereits 2008 wurde das quelloffene Projekt Security Onion [1] ins Leben gerufen mit dem Ziel, offene und freie Software zu bündeln, um Bedrohungen zu analysieren, Securitymonitoring im Sinne eines Intrusion-Detection-Systems zu etablieren und ein zentrales Logmanagement im Unternehmensnetzwerk anzubieten.

Die Idee hinter Security Onion war die Bereitstellung eines Betriebssystems auf Linux-Basis, das alle relevanten Tools mitbringt und Benutzern eine passende Umgebung für die tägliche Arbeit bietet. Die Grundlage von Security Onion bildete zunächst Ubuntu. Mit Version 2 wurde die Installation der einzelnen Werkzeuge auf Container umgestellt, sodass Security Onion heute auf eigentlich allen Distributionen läuft, die Docker bereitstellen. Offiziell als Distributionen unterstützt es jedoch nur Ubuntu und CentOS. Für diesen Artikel verwenden wir die zum Download angebotene ISO-Datei, Sie können aber grundsätzlich auch eine der anderen Varianten ausprobieren, etwa eines der vorbereiteten Images, die für AWS oder Azure bereitstehen.

Intrusion Detection als Ziel

Das Ziel beim Einsatz von Security Onion ist die Einbruchserkennung (Intrusion Detection). Dabei unterscheiden wir zwischen Host-basierter Intrusion Detection (HIDS) und Netzwerk-basierter Intrusion Detec-tion (NIDS). Beide Verfahren haben Vor- und Nachteile, was die möglichen Beobachtungspunkte angeht. Während auf einem Host vor allem die laufenden Prozesse, Einstellungen, Registrierungseinträge, Dateien und Benutzer überprüft werden können, erlaubt die Betrachtung im Netzwerk die Kontrolle der Kommunikation und der Kommunikationspartner sowie die Überwachung von

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.