by Security Onion ist eine spezialisierte Linux-Distribution für Netzwerküberwachung, Intrusion Detection und Log-Management, die viele Security-Tools in einer integrierten Plattform bündelt. Im Homelab kann sie dir als zentrale Monitoring- und Analyseplattform dienen, um Traffic, Logs und Angriffe realitätsnah zu beobachten und zu untersuchen. Sie ist eine freie OpenSource-Lösung, die Suricata, Zeek, PCAP-Capturing, CyberChef und vieles mehr integriert hat. Klar, du kannst auch die OPNsense als IDS und sogar IPS einsetzen, aber die Visualisierung ist da eher dürftig.
Wie arbeitet die Security Onion?
Grundsätzlich erwartet die Security Onion (SO) einen TAP/SPAN-Port bzw. einen Mirror-Port/Bridge von deinem Switch bzw. Router. Das bedeutet, eines deiner Geräte im LAN muss in der Lage sein, passierenden Traffic gezielt parallel auf einem weiteren Port auszugeben und damit deiner SO zuzuführen.
Während sich WAZUH (siehe anderen Beitrag) sich gezielt um Endpoints wie Server/Clients kümmert, ergänzt die Security Onion das Setup um eine Netzwerküberwachung. Das geht auch über mehrere VLANs, weil die SO entweder mit mehreren Schnittstellen ausgestattet werden kann, aber auch mit einem Mirror-Port, der als Trunk arbeitet und der SO gleichzeitig mehrere VLANs zur Überwachung anbietet. Eine große Stärke der SO ist die Netzwerkforensik.
Installation
Zuerst holen wir uns das ISO, dazu gehst du auf https://github.com/Security-Onion-Solutions/securityonion, klickst rechts auf den Eintrag unter Releases, folgst dem Link unter „Download the ISO“ und kopierst dir mit einem Rechtsklick auf den Link unter Download und Verify den selbigen in die Zwischenablage.
Dann öffnest du den Storage deine Proxmox, gehst auf ISO Images, Download from URL, fügst unter URL den Link aus der Zwischenablage ein und klickst auf Query URL. Der Filename sollte automatisch ausgefüllt werden und mit Download beginnt dieser dann auch umgehend.
Dann erzeugst du eine neue VM mit dem Security‑Onion‑ISO, UEFI und mindestens 8 GB RAM (eher 16-24 GB), 4 vCPUs und 100–200 GB Disk (für PCAPs gerne mehr. Gib der VM zwei oder mehr virtuelle NICs, NIC 1 an deine normale vmbr0 (Management, Web-GUI, Updates) und die anderen NICs jeweils an eine dedizierte Bridge (z.B. vmbr1 oder OVS‑Bridge), die nur an der „Mirror“-NIC des Hosts hängt.
Die Fritzbox kann im Normalfall kein echtes Port-Mirroring, daher brauchst du zwischen Fritzbox und Proxmox einen Managed Switch mit Port-Mirroring oder SPAN‑Funktion. Ich habe bei meinem PVE-Server mittels USB-Ethernet-Adaptern diesen um 2 weitere Netzwerkkarten ergänzt und habe so einen Intel-NUX mit 3 Netzwerkkarten: 1x Mgmt, 2x SPAN. Wie du das bei dir umsetzt, kann ich dir nicht sagen, das ist abhängig vom jeweiligen Setup.
Direkt nach dem Start der VM kannst du noch ein paar Optionen auswählen, ich empfehle dir für erste die All-in-one-Standardinstallation, also einfach ENTER
Die Frage nach DESTROY ALL DATA kannst du getrost mit YES beantworten, die VM ist ja frisch und enthält noch gar keine Daten
Dann wirst du nach Username und Passwort gefragt, den du ganz nach deinem Belieben frei wählen kannst – achte darauf, das die Tastatur noch auf englisch ist (gerade was das Passwort und Sonderzeichen betrifft). Dabei handelt es sich um den Linux-System-Account, nicht die WebGUI. Die Installation läuft erstmal selbstständig durch, der Installer lädt dann noch ein paar Komponenten nach und irgendwann wirst du aufgefordert, die VM mit ENTER zu einem Reboot zu bewegen. Vergiss nicht, ggf. die ISO wieder zu entfernen, wenn der Dialog (siehe letzter Screenshot) wieder angezeigt wird. Das System sollte sich dann mit einem Login-Prompt melden:
Gib deine soeben erstellten Credentials ein und dann begrüßt dich das interaktive Security Onion Setup:
Mit YES gehts weiter und als nächstes wählst du INSTALL
Dann hast du mehrere Auswahlmöglichkeiten, ich empfehle dir STANDALONE oder EVAL. Wenn du nicht so viele Systemressourcen hast, nehme EVAL, die ist nicht so leistungshungrig und im HomeLab ausreichend:
Akzeptiere als nächstes die Nutzungsbedingungen mit einem AGREE:
Wenn dein Node wie oben gesagt über eine Managementschnittstelle verfügt, kannst du Standard wählen. AIRGAP ist für den Fall, das die SO in einer Sicherheitsdomäne ohne Internet ist
Dann wählst du einen passenden Hostnamen und bestätigst ggf. den folgenden Warnhinweis und die Beschreibung:
Jetzt kommt der wichtige Teil, die Netzwerkkonfiguration. Vergleiche die MAC-Adressen deiner Proxmox-Konfiguration mit denen im Installerdialog. Denn du wirst hier nach dem Managementinterface gefragt und das ist i.d.R. die NIC an vmbr0, also bei mir BC:24:11:95:EA:F2 – und genau die wähle ich auch aus.
Ich wähle anschließend eine dynamische IP-Konfiguration (DHCP), ich kann die IP ja später im Router dauerhaft reservieren:
Proxy habe ich an dieser Stelle keinen…
Die Standard-IP-Range für Docker ist auch okay für mich (ist ja nur intern)…
Und dann wähle ich beide übrigen NICs für das Monitoring aus:
Dann musst du eine Mail-Adresse für deinen internen Admin-Account und das Passwort hinterlegen, das @-Zeichen findest du mit SHIFT+2. Denn auch hier hast du wieder ein US-Tastatur-Layout, bedenke das bei der Wahl deines Passwortes.
Als nächstes musst du festlegen, wie du das Web-Interface erreichen willst. Wenn dein DNS bzw. HA-Proxy noch nicht sauber konfiguriert ist, wähle hier vorerst IP aus, das kannst du später noch ändern.
Dann wirst du gefragt, aus welchem Netz du den Zugriff auf die Security Onion erlauben willst, das wird bei dir vermutlich dein LAN sein (192.168.x.0/24). Ich wähle das deutlich größer, weil ich ja in einem Wireguard-Mesh unterwegs bin und mehr als nur ein 24er-Netz für den Zugriff erlauben will.
Die Telemetry-Frage beantworte ich mit NO und dann folgt auch schon der Abschlussdialog zur Verifikation, hier steht auch die IP-Adresse der Security Onion.
Dann lädt SO noch ein paar Repos und Updates herunter und steht dir dann im Browser unter erwähnter IP zur Verfügung. Schon bei der Installation konnte ich beobachten, wie die SO knapp 32GB RAM benötigt….sparen wäre hier also der falsche Ansatz.
Unter GRID kannst du prüfen, ob das System fehlerfrei läuft, gib dem System an Anfang ruhig 15 Minuten…
Weitere Dokumentation findest du unter https://docs.securityonion.net/en/2.4/index.html
Für mich kommen jetzt noch ein paar Zusatzaufgaben hinzu, wie die VM dem WAZUH und ANSIBLE bekanntmachen, damit später auch die Endpoint-Überwachung und automatische Updates, Ausrollen von Software, etc. funktionieren.