在Vmware上架設Openvswitch做為bridge,並加入snorby分析
因為館內總是會出現攻擊行為,每次都只能等計中公告被鎖,實在太被動了,然後編預算買UTM又被砍,實在是很麻煩啊!所以只好自己建比較簡單的版本,可是發現目前OpenSource中的UTM,只有Untangle有透通模式,但試過後不能滿足我的需求,主要也是網路的問題,因為Untangle的透通模式不是那種只要線插上都不用管的,不然Untangle是用過比較好用的一個,其他的則是一定都要走NAT出去,在不改變現況之下,這樣根本不能滿足需求,所以想了想前陣子研究openstack時,openvswitch的概念似乎可以引用,所以就出現了這篇文章,不過還沒完成,目前先筆記一下卡在哪邊需註記一下免得到時忘了。
有一個超重要的點,那就是......vmware的vSwitch要將安全選項中的Promisc設定成允許,不然封包會被它擋下來。
update 20130716:
後來採用 security onion來當主要工具,因為它整合的很好,且操作不會太難,加上更新rule之類的都不用太煩惱,所以就用它來當主角。
我是將security onion裝在esxi 5.1的VM上, 但是我在那台esxi host上裝三張網卡,一張除了esxi host的管理,同時也讓security onion對外使用。
剩下兩張網卡都是開trunk,這邊有一點要注意,原本在前面我是說要把vSwitch安全選項中的Promisc設定成允許,但那是早些的不同架構,現在我跑的架構則是在vm network要將Promisc設定成允許,此外我並不是在這就先下好vlan,而是透過作業系統那端給vlan tag,所以vm network隨便給,反正會帶trunk進去就好,當然如果不需要像我那樣貪心,倒是不用這樣麻煩:P。
之後security onion中裝openvswitch,並建虛擬網卡帶vlan tag,剩下的就是security onion的設定了。
感想:這個snorby不好駕馭啊,一堆rule,預設一開一堆發報,都搞不清楚怎一回事,一個個個找,一個個解除警報,如果單純做網管,這過程是可以學到很多東西,但.....又不是只做網管,且已經被fortigate這種養大胃口,不用管這樣細節的東西,這....先放一陣子,讓它跑看看,先看看後續會看到多少東西再說。
未來可以的話,想試看看可不可以加入iptable,自動鎖那些很有問題的IP。
因為實在中間太多東西,一步步寫,要很久,所以就先偷懶用幾張圖說明,要是有同道有建議更好的方式不妨通知一下小弟:
有一個超重要的點,那就是......vmware的vSwitch要將安全選項中的Promisc設定成允許,不然封包會被它擋下來。
update 20130716:
後來採用 security onion來當主要工具,因為它整合的很好,且操作不會太難,加上更新rule之類的都不用太煩惱,所以就用它來當主角。
我是將security onion裝在esxi 5.1的VM上, 但是我在那台esxi host上裝三張網卡,一張除了esxi host的管理,同時也讓security onion對外使用。
剩下兩張網卡都是開trunk,這邊有一點要注意,原本在前面我是說要把vSwitch安全選項中的Promisc設定成允許,但那是早些的不同架構,現在我跑的架構則是在vm network要將Promisc設定成允許,此外我並不是在這就先下好vlan,而是透過作業系統那端給vlan tag,所以vm network隨便給,反正會帶trunk進去就好,當然如果不需要像我那樣貪心,倒是不用這樣麻煩:P。
之後security onion中裝openvswitch,並建虛擬網卡帶vlan tag,剩下的就是security onion的設定了。
感想:這個snorby不好駕馭啊,一堆rule,預設一開一堆發報,都搞不清楚怎一回事,一個個個找,一個個解除警報,如果單純做網管,這過程是可以學到很多東西,但.....又不是只做網管,且已經被fortigate這種養大胃口,不用管這樣細節的東西,這....先放一陣子,讓它跑看看,先看看後續會看到多少東西再說。
未來可以的話,想試看看可不可以加入iptable,自動鎖那些很有問題的IP。
因為實在中間太多東西,一步步寫,要很久,所以就先偷懶用幾張圖說明,要是有同道有建議更好的方式不妨通知一下小弟:
留言
張貼留言