Für Linux gibt es zahlreiche einzelne Werkzeuge, um Netzwerke zu überwachen oder Angriffe abzuwehren. Security Onion bündelt sie und schafft damit eine einheitliche Plattform zum Absichern einer IT-Umgebung.
Es wird immer wichtiger, die Sicherheit der IT-Infrastruktur im Unternehmen zu gewährleisten, denn es kommen ständig neue Bedrohungen und Angriffsformen hinzu. Unter Linux gibt es bereits zahlreiche Werkzeuge, um plattformübergreifend Auffälligkeiten in Netzwerken zu erkennen. Dazu werten Sie unter anderem Protokolldateien aus. Viele der Security-Tools, die Administratoren das Leben erleichtern, sind allerdings im Internet verstreut und nicht leicht zu finden.
Dieses Mankos hat sich bereits 2008 das Projekt Security Onion [1] angenommen. Die ursprünglich auf Ubuntu basierende Security-Suite, die inzwischen in Docker-Umgebungen arbeitet, bündelt professionelle Tools zum Monitoring einer IT-Infrastruktur inklusive der Logdatei-Analyse und der Intrusion Detection [2]. Das System kann dabei in unterschiedlichen Formen zum Einsatz kommen: Als Cloud-Images verfügbare Abbilder zielen auf den Einsatz in der Amazon-, Google- und Azure-Cloud ab. Daneben steht ein ISO-Abbild zum Download bereit, das sich auf einem dedizierten Host und zusätzlich in virtuellen Umgebungen wie Virtualbox oder VMware einsetzen lässt.
Konzepte
Beim Erfassen, Aggregieren und Analysieren von Daten kann Security Onion sowohl Host- als auch netzwerkbasiert arbeiten.
Für die Host-basierte Einbruchserkennung nutzt die Suite drei Werkzeuge: Mit Wazuh [3], einem Fork des Einbruchserkennungssystems OSSEC [4], überwacht es Hosts und übermittelt bei Auffälligkeiten Daten an einen Server. Auf den Rechnern ist dazu ein plattformübergreifend verfügbarer Agent installiert. Durch die anschließende Analyse der Log-Daten erkennt Security Onion Schadsoftware und identifiziert weitere zu behebende Schwachpunkte. Mit Osquery [5] umfasst die Suite ein weiteres Host-basiertes Werkzeug, das den Systemstatus abfragt und protokolliert. Das dritte Werkzeug zum Host-basierten Monitoring ist Beats [6], das mit Winlogbeat Windows-spezifische Logs und Dateien überwacht. Filebeat dagegen kommt plattformübergreifend zum Einsatz. Beide Tools übertragen ihre Daten an den in Security Onion integrierten Logstash-Server. Beats nutzt dabei, wie andere Werkzeuge der Suite auch, die Such- und Analysemaschine Elasticsearch.
Für die netzbasierte Überwachung bringt Security Onion fünf Werkzeuge mit. OpenCanary [7] dient als Honeypot für die Einbruchserkennung, das von Google entwickelte Stenographer [8] konzentriert sich auf die Sammlung großer Datenmengen. Strelka [9] scannt Inhalte und bereitet sie für die detaillierte Analyse vor. Zeek [10] widmet sich ebenfalls der Überwachung großer Datenmengen und analysiert sie auch, wobei es mithilfe einer eigenen Skriptsprache das Datenvolumen eingrenzen kann. Auf diese Weise lassen sich angepasste Logdateien generieren. Mit Suricata [11] ist außerdem noch ein Intrusion-Detection/Intrusion-Prevention-System integriert. Das Tool lokalisiert anhand von Signaturen Auffälligkeiten in der Netzwerkkommunikation.
Ansichtssache
Die einzelnen Werkzeuge in Security Onion arbeiten teilweise mit spezifischen Webschnittstellen, die eine bessere Übersicht gewährleisten sollen. Mit der Security Onion Console (SOC) bietet die Security-Suite dazu eine einheitliche Weboberfläche an. Sie vereinfacht nicht nur die Datenanalyse unabhängig von den verwendeten Werkzeugen, sondern ermöglicht auch die manuelle Suche nach Schwachstellen und Auffälligkeiten und stellt Alarmfunktionen bereit. Das SOC-Webinterface greift wiederum auf standardisierte Werkzeuge zurück, um Inhalte darzustellen. Dazu nutzt es primär Kibana [12] und Grafana [13]. Während Kibana die erhaltenen Daten in verschiedenen Dashboards übersichtlich aufbereitet darstellt, ist Grafana für die Statusanalyse der Systeme zuständig und widmet sich daneben deren Performance.
Automatisiert
Mithilfe eines sogenannten Playbooks lassen sich in Security Onion Erkennungsmuster für Schwachstellen definieren und Lösungsstrategien für die Behebung der spezifizierten Probleme entwickeln. Die Playbooks bestehen aus mehreren Plays, die unterschiedliche Aufgaben übernehmen. Die Sicherheitssuite nimmt Ihnen dabei Arbeit ab: Security Onion integriert ab Werk bereits rund 600 Plays, deren Ergebnisse Sie jederzeit im Dashboard der webbasierten Oberfläche einsehen.
Installation
Das zu Redaktionsschluss in der Version 2.4.30 freigegebene ISO-Abbild [14] mit einem Umfang von gut 11 GByte starten Sie nach dem Herunterladen und der Verifikation mithilfe der Signaturdatei von einem Wechseldatenträger.
Hier gibt es konkrete Vorgaben [15] für die Zielhardware, die Sie beachten müssen. So setzt der produktive Einsatz der Sicherheitssuite mindestens vier CPU-Kerne voraus. Der minimale Arbeitsspeicher beläuft sich in den meisten Anwendungsszenarien auf 12 bis 16 GByte, wobei idealerweise eher 24 GByte RAM oder mehr verbaut sein sollten. Die notwendige Massenspeicherkapazität gibt das Projekt mit mindestens 200 GByte an. Einige Einsatzszenarien erfordern darüber hinaus zwei Netzwerkanschlüsse.
Security Onion unterstützt als Installationsmedien ausschließlich lokal installierte Massenspeicher. Maschinen mit verteilten Speicherkapazitäten wie NFS-Laufwerken eignen sich wegen möglicher Performance-Probleme und der Komplexität der zu erwartenden Konfiguration laut der Installationsanleitung nicht. Auch der Einsatz von RAID-Controllern verbietet sich: Im Test verweigerte die Installationsroutine auf einem Rechner mit zwei im RAID-Verbund genutzten physischen Laufwerken bereits kurz nach dem Start den Dienst.
Sind alle Hardwarevoraussetzungen erfüllt, starten Sie das Zielsystem von dem vorbereiteten Wechseldatenträger. Sie gelangen in ein Grub-Boot-Menü, das die stationäre Installation des Systems anbietet, wobei Sie die Wahl zwischen einer grafischen Basisversion und einer Desktop-Variante haben. Letztere integrieren Sie bei Bedarf auch nachträglich in ein System mit bereits installierter Security Onion Console.
Für Einsteiger empfiehlt sich die automatische Installation, die Sie über den ersten Eintrag im Boot-Menü aktivieren. Die Systemeinrichtung erfolgt weitgehend automatisch, Sie müssen lediglich einen Benutzernamen und ein Passwort für den Administrator eingeben. Nach Abschluss der Grundinstallation starten Sie den Computer neu und melden sich am Prompt mit den Credentials des neu angelegten Administratorzugangs ein. Daraufhin öffnet sich ein als Ncurses-Anwendung konzipierter Setup-Assistent (Abbildung 1).
Der Assistent lässt sich ausschließlich per Tastatur bedienen. Er fügt dem System zahlreiche zusätzliche Komponenten und eine Docker-Umgebung hinzu. Dazu wählen Sie im zweiten Fensterdialog die Option Install und im dritten die Option IMPORT. Im nächsten Schritt bestätigen Sie durch Auswahl der Option Standard den vorhandenen Zugriff auf das Internet. Bitte beachten Sie, dass Security Onion während der Installation ausschließlich kabelgebundene Netzwerkanschlüsse erkennt, eine Nutzung mit WLAN-Zugängen klappt nicht.
In den nächsten beiden Schritten bestätigen Sie zunächst die Lizenzbestimmungen und geben anschließend den Host-Namen ein. Danach ist die Netzwerkschnittstelle auszuwählen. Verfügt das System über zwei oder mehr LAN-Anschlüsse, wählen Sie den ersten, der den Status »Link UP« anzeigt. Für diese Netzwerkschnittstelle können Sie in den nächsten Fenstern eine statische IP-Adresse angeben, das Gateway festlegen und weitere Zugriffsdaten definieren.
Zum Abschluss der Konfiguration zeigt der Assistent eine kurze Zusammenfassung der Einstellungen an und richtet nach Bestätigung der Eingaben das System fertig ein. Dabei nimmt er gleichzeitig eine Systemaktualisierung vor. Die gesamte Installation dauert je nach vorhandener Rechenleistung und Geschwindigkeit der Internet-Anbindung unter Umständen mehrere Stunden.
Einsatz
Nach der Installation verbinden Sie sich von einer beliebigen Workstation im LAN aus mit dem Security-Onion-Host. Dazu nutzen Sie im Webbrowser die während der Konfiguration im Setup-Assistenten festgelegte IP-Adresse oder den Host-Namen. Als Authentifizierungsdaten geben Sie die ebenfalls im Setup-Assistenten definierte E-Mail-Adresse und das entsprechende Passwort ein. Sie gelangen daraufhin in die sehr übersichtlich Administrationsoberfläche (Abbildung 2).
Am linken Rand des Browser-Fensters finden Sie oben die werkzeugübergreifenden Elemente wie die Alarmanzeige, das Dashboard und den Einstellungsdialog, in dem Sie Benutzerkonten anlegen und verwalten. Hier konfigurieren Sie auch die Knoten Ihres Netzes (Grid) oder hinterlegen Lizenzschlüssel für externe Pakete. Für das Einrichten von Elastic-Agents auf externen Hosts zum Monitoring nutzen Sie die Option Downloads. Im rechten Fensterbereich erscheinen danach Links zum Herunterladen der Agenten für alle gängigen Betriebssysteme.
Im unteren Bereich gelangen Sie zu den einzelnen installierten Werkzeugen, die teilweise ihre eigenen Weboberflächen einblenden. Beachten Sie bitte, dass die Anwendung mancher Tools eine vorherige Installation der Agents voraussetzt.
Übersicht
Eine Übersicht über die Installation finden Sie in der Gruppe Dashboards. Hier lassen Sie sich durch die Eingabe von Kategorien grafische Anzeigen der jeweiligen Datenbestände rechts im Browser-Fenster anzeigen. Die einzelnen Datenkategorien können Sie zudem nach Zeitintervallen eingrenzen, die Sie ebenfalls oben im Fenster definieren. Die Security-Suite zeigt dann die aggregierten und ausgewerteten Daten unterhalb davon an. Voreingestellt sind zahlreiche Kategorien aktiv, sodass Sie sich einen schnellen Überblick über die unterschiedlichen Anzeigen und auch Darstellungsformen verschaffen können. Innerhalb der einzelnen Anzeigen nutzen Sie anschließend Filteroptionen, um definierte Daten zu extrahieren (Abbildung 3).
Desktop-Variante
Die noch als experimentell gekennzeichnete Desktop-Variante [16] von Security Onion lässt sich ebenfalls mithilfe des ISO-Abbilds installieren. Sie verwendet einen stark modifizierten Gnome-Desktop unter Oracle Linux 9.2. Er offeriert neben dem Webbrowser Chromium als grafische Werkzeuge zur forensischen Arbeit im Netzwerk lediglich Wireshark und NetworkMiner.
Sie richten die Desktop-Version unabhängig von der herkömmlichen Variante ein. Sie benötigt lediglich 50 GByte freie Mindestkapazität auf dem lokalen Massenspeicher. Sie können den Desktop auch manuell nachinstallieren, indem Sie am Prompt nach der Systemkonfiguration den Befehl »sudo so-desktop-install« eingeben. Die benötigten Pakete landen sodann vorkonfiguriert in Ihrer Security-Onion-Installation.
Nach einem anschließenden Neustart samt Authentifizierung gelangen Sie in den grafischen Desktop, in dem Sie via Webbrowser auf die Security Onion Console zugreifen. Zusätzlich stehen Ihnen die beiden bereits erwähnten grafischen Tools zur Verfügung.
Fazit
Security Onion präsentiert sich als mächtiges Werkzeug zur Datenanalyse und Einbruchserkennung im Netzwerk. Allerdings benötigt die Suite aufgrund ihres komplexen Aufbaus stattliche Hardwareressourcen, sodass sich der Einsatz eigentlich nur in großen IT-Infrastrukturen lohnt. Die Entwickler raten daher auch explizit zum Beschaffen neuer Hardware für die Security-Suite und bieten in einem Webshop eigene Appliances für angepasste Anwendungsprofile an.
Allerdings gestaltet sich der Einstieg in das System recht kompliziert, sodass Security Onion sich nicht für Hobby-Admins eignet. Zwar erleichtert eine umfangreiche und sehr ausführliche Dokumentation die Einarbeitung, die aber dennoch einige Zeit in Anspruch nimmt. Zu bemängeln bleibt die gelegentlich äußerst hektische Freigabe neuer Versionen: So veröffentlicht das Projekt beinahe im Wochenrhythmus auf der Github-Seite teils halbfertige Varianten, die nur wenige Tage später durch Hotfixes ergänzt werden müssen. Es stünde den Entwicklern besser zu Gesicht, ihre Software vor der Freigabe gründlich zu testen und die Benutzer weniger mit nicht korrekt funktionierenden Abbildern und Skripten zu plagen. (jcb)
Infos
- Security Onion: https://securityonionsolutions.com/
- Produktübersicht: https://securityonionsolutions.com/software
- Wazuh: https://wazuh.com
- OSSEC: https://www.ossec.net
- Osquery: https://www.osquery.io
- Beats: https://www.elastic.co/beats
- OpenCanary: https://opencanary.readthedocs.io/en/latest/
- Stenographer: https://github.com/google/stenographer
- Strelka: https://target.github.io/strelka/#/
- Zeek: https://zeek.org
- Suricata: https://suricata.io
- Kibana: https://www.elastic.co/kibana
- Grafana: https://grafana.com
- Download: https://github.com/Security-Onion-Solutions/securityonion/blob/2.4/main/DOWNLOAD_AND_VERIFY_ISO.md
- Hardwarevoraussetzungen: https://docs.securityonion.net/en/2.4/hardware.html
- Infos zur Desktop-Variante: https://docs.securityonion.net/en/2.4/desktop.html









