eve-ng

前提

在学习企业安全建设的时候，大部分情况下我们是没有办法直接接触到一个企业正式的网络环境的，在学习的时候只能零碎的接触到企业里会实际用到的防御手段。但是无法全面的理解一个企业应该如何搭建自己的纵深防御系统。

前置知识

eve-ng(Emulated Virtual Environment - NextGeneration)原名是UnifiedNetworking Lab统一网络实验室。这款模拟器已经不仅可以模拟网络设备，也可以运行一切虚拟机。理论上这款软件上我们可以模拟大部分网络环境。
因此我试着利用eve-ng模拟一个企业的网络安全拓扑，并部署一些开源的安全项目来模拟攻防,可能用到的安全项目如下：

• 网络入侵检测suricata
  https://suricata-ids.org/
• 防火墙pfsense
  https://github.com/pfsense
• 主机入侵检测wazuh
  https://wazuh.com/
• 蜜罐hfish,tpot
  https://github.com/hacklcx/HFish
  https://github.com/telekom-security/tpotce#createiso
• 漏扫xunfeng
  https://github.com/ysrc/xunfeng
• 堡垒机jumpserver
  https://github.com/jumpserver
• 集中管理平台freeipa
  https://www.freeipa.org/page/Main_Page
• 安全运维平台ossim
  https://cybersecurity.att.com/products/ossim
• 威胁情报OTX
  https://otx.alienvault.com/
  https://www.misp-project.org/
• web应用防护
  https://www.modsecurity.org/

eve-ng 基本配置

eve-ng添加自定义镜像

refer

https://zhuanlan.zhihu.com/p/82005651

eve-ng拓展硬盘

refer

https://www.eve-ng.net/index.php/documentation/howtos-video/expand-hdd-on-eve-vm/

eve-ng 自定义操作系统image

refer

https://www.eve-ng.net/index.php/documentation/howtos/howto-create-own-linux-host-image/

pfsense镜像搭建

1. 从https://nyifiles.pfsense.org/mirror/downloads/pfSense-CE-memstick-serial-2.4.5-RELEASE-amd64.img.gz下载pfsense image

2. gzip pfSense-CE-memstick-serial-2.4.5-RELEASE-amd64.img.gz -d .得到pfSense-CE-memstick-serial-2.4.5-RELEASE-amd64.img

3. 创建virtioa.qcow2

   mkdir /opt/unetlab/addons/qemu/pfsense-CE-2.4.5/
   mv pfSense-CE-memstick-serial-2.4.5-RELEASE-amd64.img install.img
   /opt/qemu/bin/qemu-img create -f qcow2 virtioa.qcow2 2G
   /opt/qemu/bin/qemu-system-x86_64 -hda install.img -hdb virtioa.qcow2 -nographic

4. 默认next，安装完成后不要选reboot，选择shell，然后poweroff并rm install.img

5. 修正权限

   /opt/unetlab/wrappers/unl_wrapper -a fixpermissions

6. 在eve-ng拓扑中新建一个pfsense的node

7. 通过vnc/html配置安装

   • 配置vtnet0口为WAN口,vtnet1为LAN口

     refer

     https://www.eve-ng.net/index.php/documentation/howtos/howto-add-pfsense-fw-2-4/

cisco switch镜像搭建

1. 下载cisco IOL ，CiscoIOUKeygen.py上传/opt/unetlab/addons/iol/bin目录下

2. 生成自己的lincense

   python CiscoIOUKeygen.py | grep -A 1 'license' > iourc

3. 修正权限

   /opt/unetlab/wrappers/unl_wrapper -a fixpermissions

refer

https://www.eve-ng.net/index.php/documentation/howtos/howto-add-cisco-iol-ios-on-linux/

网络入侵检测镜像搭建

1. 下载SELK ISO ，拷贝到/opt/unetlab/addons/qemu/linux-SELK-6.0目录下，重命名iso为cdrom.iso

2. 在/opt/unetlab/addons/qemu/linux-SELK-6.0/创建virtioa.qcow2

   /opt/qemu/bin/qemu-img create -f qcow2 virtioa.qcow2 20G

3. 在eve-ng拓扑中新建一个selk的node,并通过vnc安装

4. 安装完成后删除cdrom.iso