El conjunto de seguridad Bro es un sistema de detección de intrusiones de red potente y adaptable para Linux. Funciona ejecutándose en segundo plano, analizando y registrando el tráfico pasivamente.
La aplicación tiene muchas características, es de código abierto y es muy apreciada por muchos en la comunidad de seguridad por su naturaleza de código abierto y eficiencia.
Prerrequisitos
Para usar la herramienta de seguridad de red Bro, necesitará un servidor que ejecute un sistema operativo Linux que tenga al menos 2 GB de RAM física.
Nota: ¿no tienes un servidor dedicado? ¡No te preocupes! Una computadora de escritorio tradicional con Ubuntu funcionará con al menos 2 GB de RAM, ¡y un hardware decente funcionará! ¡Solo asegúrate de que siempre puedas mantenerlo!
Durante la parte de instalación del tutorial,veremos cómo configurar la suite de seguridad Bro en Ubuntu Server, ya que eso es lo que la mayoría de la gente usa para sus necesidades de servidor. Dicho esto, las instrucciones de instalación no son específicas de Ubuntu, y la herramienta Bro puede ejecutarse en casi cualquier sistema operativo de servidor Linux, y el desarrollador tiene instrucciones para todas las distribuciones principales.
Configurar la base de datos GeoIP
La herramienta de seguridad de red Bro necesita una base de datos deDirecciones IP para escanear por motivos de seguridad, por lo que, antes de intentar instalar el software Bro, deberá descargar los últimos archivos de base de datos IPv4 e IPv6 GeoIP. Utilizando la wget herramienta, descargue ambos archivos de base de datos a Ubuntu.
wget http://geolite.maxmind.com/download/geoip/database/GeoLiteCity.dat.gz wget http://geolite.maxmind.com/download/geoip/database/GeoLiteCityv6-beta/GeoLiteCityv6.dat.gz
Extraiga los archivos GeoIP GZ con el gzip mando.
gzip -d GeoLiteCity.dat.gz gzip -d GeoLiteCityv6.dat.gz
Coloque los archivos de la base de datos GeoIP en la carpeta / usr / share / GeoIP / en Ubuntu usando el mv mando.
sudo mv GeoLiteCity.dat /usr/share/GeoIP/GeoIPCity.dat sudo mv GeoLiteCityv6.dat /usr/share/GeoIP/GeoIPCityv6.dat
Instalar Bro
La configuración de la herramienta de seguridad de red Bro comienza creando el directorio en el que vivirá en Ubuntu. Según la documentación oficial, esta carpeta es /optar/.
La instalación comienza habilitando el repositorio de software Ubuntu Universe.
sudo add-apt-repository universe
A continuación, actualice el índice del paquete de Ubuntu con actualizar.
sudo apt update
Utilizando la Apto administrador de paquetes, instale Bro y todos sus paquetes relacionados desde el repositorio de Ubuntu Universe.
sudo apt install bro bro-aux bro-common bro-pkg broctl
configuración de la red
Para usar la herramienta de seguridad de red Bro, necesitaráconfigurar una tarjeta de red para que la aplicación la use. De forma predeterminada, la aplicación está configurada para usar "Eth0". Es probable que este dispositivo no sea el dispositivo de red correcto para la mayoría de las personas, por lo que debe cambiarlo editando el node.cfg archivo.
Nota: Si no está seguro de cuál es su interfaz de red, es fácil de encontrar ejecutando el enlace ip mando.
sudo nano /etc/bro/node.cfg
Entonces presione Ctrl + W para iniciar la función de búsqueda en Nano. Una vez que el cuadro de búsqueda esté abierto, escriba "interfaz= eth0 ″ y presione Entrar en el teclado para saltar inmediatamente a la sección de interfaz de red del archivo de configuración.
Reemplace "eth0" con su interfaz de red y guarde el archivo de configuración presionando Ctrl + O.
Establecer rango de IP
Ahora que la interfaz de red está configurada para Bro, debe configurar el rango de IP para que el programa monitoree. Abre el /etc/bro/networks.cfg archivo en el editor de texto Nano.
sudo nano /etc/bro/networks.cfg
Mientras carga el networks.cfg archivo, verá algunos ejemplos predeterminados. Borre estos valores predeterminados y reemplácelos con la dirección IP de la tarjeta de red establecida anteriormente.
Por ejemplo:
10.196.1.131/24 2600:1702:3980:a258:6978:ebae:d8:20a1/64
Cuando se configura la información de IP, guarde la configuración en Nano presionando Ctrl + O en el teclado
Establecer la dirección de correo electrónico predeterminada para Bro
La aplicación Bro tiene un sistema de correo electrónico. Sin embargo, debe estar configurado correctamente para funcionar. Para configurarlo, abra /etc/bro/broctl.cfg en nano.
sudo nano /etc/bro/broctl.cfg
Una vez en Nano, presione Ctrl + W e ingrese "MailTo" para saltar a la sección de correo electrónico del archivo. Luego, agregue una dirección de correo electrónico válida para que Bro la use.
Pon en marcha hermano
Bro necesita ser ajustado antes de que pueda usarlo. Inicie una ventana de terminal y ejecute el siguiente comando para acceder a la interfaz de shell del programa.
sudo broctl
Una vez en el shell, úselo para configurar el archivo de configuración predeterminado para su máquina Ubuntu ejecutando el Instalar en pc mando.
install
Después de ejecutar el Instalar en pc comando, inicie el servicio con:
deploy
Luego, salga del shell ejecutando salida.
exit
Deja de hermano
¿Necesitas apagar Bro? Inicia sesión en el broctl shell y ejecutar:
stop
Utilizar Bro
Después de un largo y tedioso proceso de configuración, el sistema de seguridad Bro está funcionando en su servidor Ubuntu. Deje que se ejecute en segundo plano y registrará automáticamente todas las intrusiones de red en / var / log / bro.
Si desea monitorear su escaneo en tiempo real, ingrese lo siguiente cola mando.
tail -f /var/log/bro/current/conn.log
Alternativamente, para ver avisos de seguridad, haga:
tail -f /var/log/bro/current/notice.log</p>
Comentarios