Комплектът за сигурност Bro е адаптивна, мощна, мрежова система за откриване на проникване на Linux за Linux. Тя работи, като работи във фонов режим, анализира и регистрира пасивно трафика.
Приложението има много функции, е с отворен код и се възхвалява от мнозина в общността на сигурността за своя отворен характер и ефективност.
Предварителни
За да използвате инструмента за защита на мрежата на Bro, ще ви е необходим сървър, работещ с операционна система Linux, който има поне 2 GB физическа оперативна памет.
Забележка: нямате специален сървър? Не се притеснявайте! Традиционният настолен компютър, работещ с Ubuntu, ще работи с поне 2 GB RAM, а приличният хардуер ще го направи! Просто се уверете, че винаги можете да го поддържате!
По време на инсталационната част на урока,ще разгледаме как да настроим пакета за сигурност на Bro на Ubuntu Server, тъй като това използват повечето хора за нуждите на сървъра си. С това казано, инструкциите за инсталиране не са специфични за Ubuntu и инструментът Bro може да работи на почти всяка операционна система на Linux сървър, а разработчикът има инструкции за всички големи дистрибуции.
Настройване на GeoIP база данни
Инструментът за сигурност на мрежата Bro се нуждае от база данни отIP адреси, за да сканирате за целите на сигурността, така че преди да се опитате да инсталирате самия софтуер Bro, ще трябва да изтеглите най-новите файлове с бази данни IPv4 и IPv6 GeoIP. Използвайки Wget инструмент, изтеглете и два файла с база данни в Ubuntu.
wget http://geolite.maxmind.com/download/geoip/database/GeoLiteCity.dat.gz wget http://geolite.maxmind.com/download/geoip/database/GeoLiteCityv6-beta/GeoLiteCityv6.dat.gz
Извадете архивите на GeoIP GZ с софтуерна команда.
gzip -d GeoLiteCity.dat.gz gzip -d GeoLiteCityv6.dat.gz
Поставете файловете на базата данни GeoIP в папката / usr / share / GeoIP / в Ubuntu, като използвате MV команда.
sudo mv GeoLiteCity.dat /usr/share/GeoIP/GeoIPCity.dat sudo mv GeoLiteCityv6.dat /usr/share/GeoIP/GeoIPCityv6.dat
Инсталирайте брато
Настройката на мрежовия инструмент за защита на Bro започва с създаването на директорията, в която ще живее в Ubuntu. Според официалната документация тази папка е /избирам/.
Инсталирането започва с активиране на софтуерното хранилище на Ubuntu Universe.
sudo add-apt-repository universe
След това актуализирайте индекса на пакета на Ubuntu с актуализация.
sudo apt update
Използвайки подходящ мениджър на пакети, инсталирайте Bro и всички негови свързани пакети от репото Ubuntu Universe.
sudo apt install bro bro-aux bro-common bro-pkg broctl
Конфигурация на мрежата
За да използвате инструмента за защита на мрежата на Bro, ще ви трябваза да настроите мрежова карта за приложението, което да използвате. По подразбиране приложението е настроено да използва „Eth0.“ Това устройство вероятно няма да е правилното мрежово устройство за повечето хора, така че трябва да го промените, като редактирате node.cfg файл.
Забележка: Ако не сте сигурни какъв е мрежовият ви интерфейс, лесно е да го намерите, като стартирате ip връзка команда.
sudo nano /etc/bro/node.cfg
След това натиснете Ctrl + W за стартиране на функцията за търсене в Nano. След като полето за търсене се отвори, напишете „интерфейс= eth0 ″ и натиснете Въведете на клавиатурата, за да преминете веднага към секцията с мрежовия интерфейс на конфигурационния файл.
Заменете „eth0“ с вашия мрежов интерфейс и запазете конфигурационния файл, като натиснете Ctrl + O.
Задайте IP обхват
Сега, когато мрежовият интерфейс е зададен за Bro, трябва да зададете IP обхвата на програмата, която да наблюдава. Отворете /etc/bro/networks.cfg файл в текстовия редактор на Nano.
sudo nano /etc/bro/networks.cfg
Докато зареждате networks.cfg файл, ще видите някои примери по подразбиране. Изтрийте тези настройки по подразбиране и ги заменете с IP адреса от мрежовата карта, зададена по-рано.
Например:
10.196.1.131/24 2600:1702:3980:a258:6978:ebae:d8:20a1/64
Когато IP информацията е зададена, запазете конфигурацията в Nano, като натиснете Ctrl + O на клавиатурата.
Задайте по подразбиране имейл адрес за Bro
Приложението Bro има имейл система. Тя обаче трябва да бъде настроена правилно, за да работи. За да го зададете, отворете /etc/bro/broctl.cfg в Нано.
sudo nano /etc/bro/broctl.cfg
Веднъж в Nano, натиснете Ctrl + W и въведете „MailTo“, за да преминете към секцията за електронна поща на файла. След това добавете валиден имейл адрес, който да използвате Bro.
Стартирайте брато
Bro трябва да се ощипне, преди да можете да го използвате. Стартирайте прозорец на терминала и изпълнете командата по-долу, за да получите достъп до интерфейса на черупката на програмата.
sudo broctl
Веднъж в обвивката, използвайте го, за да настроите конфигурационния файл по подразбиране за вашата Ubuntu машина, като стартирате Инсталирай команда.
install
След стартиране на Инсталирай команда, стартирайте услугата с:
deploy
След това излезте от черупката, като стартирате изход.
exit
Спри брато
Трябва да изключите брато? Влезте в broctl обвивка и изпълнение:
stop
Използвай брато
След дълъг, досаден процес на настройка, системата за сигурност Bro работи и работи на вашия Ubuntu сървър. Оставете го да работи във фонов режим и той автоматично ще регистрира всички мрежови прониквания / Var / дневник / брато.
Ако искате да наблюдавате сканирането в реално време, въведете следното опашка команда.
tail -f /var/log/bro/current/conn.log
Освен това, за да видите известия за сигурност, направете:
tail -f /var/log/bro/current/notice.log</ P>
Коментари