Principali differenze tra Kali e SecurityOnion

4

Curioso delle principali differenze tra Kali Linux e SecurityOnion. Pensi che sarebbe facile o utile replicare ciò che è stato fatto con SecurityOnion su Kali? Perché c'è una tale dicotomia tra gli addetti alla sicurezza e i difensori della sicurezza ... e questa divergenza è visibile attraverso queste due distribuzioni primarie (e molto utilizzate)? In definitiva, se ci fosse un "infosec linux distro" unificato, ci sono già alternative migliori ai due, e qual è il futuro delle macchine virtuali guest, l'avvio da USB / SD / microSD / DVD / PXE e l'integrazione con piattaforme moderne (ad es. , Basato su ARM, Android, SteamOS, ChromeOS, iOS e altri)?

Allo stesso modo, quali sono le distro principali per l'infrastruttura Linux basata su IT / Ops? Prima su Zentyal, ma ce ne sono altri (vedi anche la mia ultima domanda qui sotto sulle infrastrutture virtuali), possono (o dovrebbero essere) replicati su Kali / SecurityOnion, e qual è il futuro di queste distro?

Infine, che dire di altre distro che hanno un'importanza critica per la comunità di infosec, ma che non sono "pronte per la produzione" perché sono destinate ad essere utilizzate solo nei laboratori, ad esempio Metasploitable, OWASPBWA, SamuraiSTFU, ecc.? Questa funzionalità dovrebbe essere unita in un unico pacchetto, come un pacchetto OpenStack facilmente installabile? Qual è il futuro di Xen, XenServer, KVM ed ESXi di fronte a OpenStack? Rackspace è principalmente OpenStack, Microsoft per lo più kernel specifico di Azure (Server 2012), kernel Xen specifico di Amazon AWS, VMware ovviamente ESXi / vCloud, e altri stanno facendo un mix di KVM (per i guest Linux) e XenServer (per i guest Windows) - - alla luce di queste opzioni, qual è un buon modello per le infrastrutture virtuali?

    
posta atdre 17.02.2014 - 10:25
fonte

2 risposte

3

La tua domanda si estende a operazioni IT e di virtualizzazione più ampie, che non rientrano nello scopo di questo sito (potresti voler porre tali domande su Serverfault).

Per quanto riguarda le domande su Kali / Security Onion. Kali è principalmente una distribuzione di sicurezza offensiva per la Penetration Testing e la ricerca e Security Onion è una distribuzione difensiva per il monitoraggio della sicurezza della rete.

Per la maggior parte degli utenti è poco importante integrare i due, in quanto difensori di rete e aggressori si escludono quasi a vicenda. La ragione principale di ciò è che è generalmente inappropriato per qualcuno che ha costruito un sistema e progettato i suoi controlli di sicurezza per tentare di romperlo, non hanno "occhi nuovi" per vedere i difetti. Allo stesso modo, un tester di penetrazione dovrebbe fornire una valutazione indipendente della sicurezza di un sistema, se eseguono la configurazione di sicurezza o la difesa della rete su quel sistema, tale indipendenza è sospetta.

Non prenderei in considerazione nessuna delle distro che tu abbia elencato come "critico per la comunità di infosec". Utile per scopi di allenamento, sì, ma non critico. Ciò include Kali, non conosco molti pen-tester che gestiscono Kali come la loro principale piattaforma di test delle penne. La maggior parte di quelli che conosco preferisce eseguire il rollover e installare gli strumenti che vogliono.

    
risposta data 19.02.2014 - 04:32
fonte
1

Temporaneamente, ho deciso di abbandonare tutte le distribuzioni basate su Ubuntu a favore di quelle basate su RedHat. Sto scoprendo che SecurityOnion e Kali sono sempre più difficili da gestire.

Come ultimo chiodo nelle loro bare, trovo che la maggior parte delle aziende esegua RedHat, o abbia qualche supporto ufficiale per RHEL / Fedora / CentOS (in particolare pacchetti yum e RPM). Quando eseguo il prototipo, voglio che corrisponda a quello che verrà utilizzato negli ambienti di sviluppo, test e produzione supportati dall'azienda.

A tal fine, ho selezionato NST (Network Security Toolkit) come build per la mia architettura di riferimento principale. È basato su Fedora 20. Inoltre, ho trovato che è facile aggiungere Fedora Security Lab (FSL) via yum, che ha questi pacchetti aggiuntivi . RVM risolve molte delle dipendenze di Ruby per strumenti come Metasploit, WATOBO, Arachni, WhatWeb, ecc., che hanno funzionato in modo migliore su Kali fino a quando non ho ingaggiato questo nuova strategia.

Avrei preferito restare con Ubuntu, specialmente usando le funzionalità di PPA, ma questi e altri punti di vendita non hanno mai funzionato per me.

Una delle mie vittorie veloci preferite è installare OpenVAS VM ed eseguirlo insieme a NST. In questo modo, posso connettermi al guest OpenVAS da Metasploit (ad es., "Caricare openvas" dal msfconsole) senza complicati incubi di dipendenza OpenVAS.

Un'altra vittoria, per Android, è per guest-VM installare i 4.4 sorgenti da questa posizione di download di Sourceforge .

L'ultimo e più grande banco di prova è stato discusso per essere rilasciato da ODS3 , ma secondo il gruppo di Pentesting su LinkedIn, è possibile ottenere la beta2 se si agisce rapidamente. Sono certo che annunceranno presto altre versioni (come la beta3) e le avranno nella pagina di download di SourceForge.

    
risposta data 01.08.2014 - 22:05
fonte