Saltar a contenido

Instalación y configuración en Proxmox

El software escogido para comenzar la investigación es Security Onion. A continuación, se detalla su instalación en un servidor Proxmox.

Requisitos de Hardware para Security Onion

  • RAM: Mínimo 12 GB (Recomendado 16 GB para mejor desempeño).
  • CPU: 4 cores.
  • Almacenamiento: 200 GB.

Security Onion es una distribución de Linux diseñada para la caza de amenazas y análisis de seguridad, que utiliza Elasticsearch en el backend, lo cual justifica sus requisitos de hardware relativamente altos.

Descarga de Security Onion

  1. Descarga la ISO de Security Onion desde la página oficial.
  2. Asegúrate de tener Proxmox instalado y configurado en tu servidor.

Creación de la Máquina Virtual en Proxmox

  1. Inicia sesión en Proxmox VE.
  2. Crea una nueva VM y asigna los recursos según los requisitos (mínimo 12 GB de RAM, 4 CPUs, y 200 GB de almacenamiento).
  3. Carga la ISO de Security Onion que previamente descargaste.
  4. Sigue las instrucciones del asistente de instalación de Proxmox para configurar la VM.

Instalación de Security Onion

  1. Inicia la VM y selecciona la opción de instalar Security Onion.
  2. Sigue el proceso de instalación, estableciendo un nombre de usuario, contraseña y configuraciones de red según sea necesario.
  3. Una vez completada la instalación, reinicia la VM.

Configuración Post-Instalación

  1. Inicia sesión en Security Onion con el usuario y contraseña que configuraste.
  2. Ejecuta el asistente de configuración post-instalación para ajustar los parámetros de seguridad y monitoreo según tus necesidades.

Configuración Específica de Proxmox para Security Onion

CPU

Para asegurar el máximo rendimiento, es recomendable configurar la VM para utilizar el tipo de CPU host y así pasar todas las características del CPU del host a la VM.

Display

Para aplicaciones basadas en Mono como NetworkMiner, configura el display de la VM a VMware compatible (vmware).

NIC

Passthrough de NIC Física

  • Configura un passthrough de una NIC física hacia la VM de Security Onion para permitir el monitoreo directo del tráfico de red.
  • Consulta la documentación de passthrough de Proxmox para más detalles.

NIC Virtual

  • Si usas una NIC virtual para el monitoreo, asegúrate de desactivar las características de offloading en la interfaz física y cualquier interfaz de puente relacionada.
  • Esto puede lograrse añadiendo comandos post-up en /etc/network/interfaces en el host Proxmox. Por ejemplo:
post-up for i in rx tx sg tso ufo gso gro lro; do ethtool -K enp2s0 $i off; done
post-up for i in rx tx sg tso ufo gso gro lro; do ethtool -K vmbr1 $i off; done

Verificación y Uso

  1. Accede a la interfaz web de Security Onion para comenzar a monitorear el tráfico de red y analizar eventos de seguridad.
  2. Configura paneles de control, alertas y otros parámetros según tus requisitos de monitoreo y análisis.