La suite de sécurité Bro est un système de détection d’intrusion réseau adaptable, puissant et conçu pour Linux. Il fonctionne en arrière-plan, analyse et enregistre le trafic de manière passive.
L'application présente de nombreuses fonctionnalités, est open source et est considérée par de nombreux membres de la communauté de la sécurité pour sa nature open source et son efficacité.
Conditions préalables
Pour utiliser l’outil de sécurité réseau Bro, vous aurez besoin d’un serveur exécutant un système d’exploitation Linux disposant d’au moins 2 Go de RAM physique.
Remarque: vous n’avez pas de serveur dédié? Ne vous inquiétez pas! Un ordinateur de bureau traditionnel fonctionnant sous Ubuntu fonctionnera avec au moins 2 Go de RAM et un matériel adéquat suffira! Assurez-vous que vous pouvez toujours le garder!
Pendant la partie installation du tutoriel,nous verrons comment installer la suite de sécurité Bro sur Ubuntu Server, car c’est ce que la plupart des gens utilisent pour leurs besoins de serveur. Cela dit, les instructions d’installation ne sont pas spécifiques à Ubuntu, et l’outil Bro peut s’exécuter sur presque tous les systèmes d’exploitation de serveur Linux, et le développeur dispose d’instructions pour toutes les distributions principales.
Configurer la base de données GeoIP
L’outil de sécurité réseau Bro a besoin d’une base de données deAdresses IP à analyser pour des raisons de sécurité, vous devez donc télécharger les fichiers de base de données IPv4 et IPv6 GeoIP les plus récents avant d’essayer d’installer le logiciel Bro lui-même. En utilisant le wget outil, téléchargez les deux fichiers de base de données sur Ubuntu.
wget http://geolite.maxmind.com/download/geoip/database/GeoLiteCity.dat.gz wget http://geolite.maxmind.com/download/geoip/database/GeoLiteCityv6-beta/GeoLiteCityv6.dat.gz
Extraire les archives GeoIP GZ avec le gzip commander.
gzip -d GeoLiteCity.dat.gz gzip -d GeoLiteCityv6.dat.gz
Placez les fichiers de base de données GeoIP dans le dossier / usr / share / GeoIP / sur Ubuntu à l'aide du mv commander.
sudo mv GeoLiteCity.dat /usr/share/GeoIP/GeoIPCity.dat sudo mv GeoLiteCityv6.dat /usr/share/GeoIP/GeoIPCityv6.dat
Installer Bro
La configuration de l'outil de sécurité réseau Bro commence par créer le répertoire dans lequel il vivra sur Ubuntu. Selon la documentation officielle, ce dossier est /opter/.
L'installation commence par l'activation du référentiel de logiciels Ubuntu Universe.
sudo add-apt-repository universe
Ensuite, mettez à jour l’index des paquets Ubuntu avec mise à jour.
sudo apt update
En utilisant le Apte gestionnaire de paquets, installez Bro et tous ses paquets associés à partir du référentiel Ubuntu Universe.
sudo apt install bro bro-aux bro-common bro-pkg broctl
Configuration du réseau
Pour utiliser l’outil de sécurité réseau Bro, vous aurez besoin deconfigurer une carte réseau pour l'application à utiliser. Par défaut, l'application est configurée pour utiliser «Eth0». Cet appareil ne sera probablement pas le bon appareil réseau pour la plupart des gens. Vous devez donc le modifier en modifiant le node.cfg fichier.
Remarque: si vous n’êtes pas sûr de la nature de votre interface réseau, il est facile de le trouver en exécutant la commande lien ip commander.
sudo nano /etc/bro/node.cfg
Puis appuyez Ctrl + W pour lancer la fonction de recherche dans Nano. Une fois le champ de recherche ouvert, écrivez «interface= eth0 "et appuyez sur Entrer sur le clavier pour accéder immédiatement à la section d’interface réseau du fichier de configuration.
Remplacez «eth0» par votre interface réseau et sauvegardez le fichier de configuration en appuyant sur Ctrl + O.
Définir la plage IP
Maintenant que l'interface réseau est définie sur Bro, vous devez définir la plage IP du programme à surveiller. Ouvrez le /etc/bro/networks.cfg fichier dans l'éditeur de texte Nano.
sudo nano /etc/bro/networks.cfg
En chargeant le networks.cfg fichier, vous verrez quelques exemples par défaut. Effacez ces valeurs par défaut et remplacez-les par l'adresse IP de la carte réseau précédemment définie.
Par exemple:
10.196.1.131/24 2600:1702:3980:a258:6978:ebae:d8:20a1/64
Lorsque les informations IP sont définies, enregistrez la configuration dans Nano en appuyant sur Ctrl + O sur le clavier.
Définir l'adresse email par défaut pour Bro
L'application Bro a un système de messagerie. Cependant, il doit être configuré correctement pour fonctionner. Pour le définir, ouvrez /etc/bro/broctl.cfg dans Nano.
sudo nano /etc/bro/broctl.cfg
Une fois dans Nano, appuyez sur Ctrl + W et entrez «MailTo» pour accéder à la section email du fichier. Ajoutez ensuite une adresse électronique valide à utiliser par Bro.
Démarrage
Bro doit être peaufiné avant de pouvoir l'utiliser. Lancez une fenêtre de terminal et exécutez la commande ci-dessous pour accéder à l’interface shell du programme.
sudo broctl
Une fois dans le shell, utilisez-le pour configurer le fichier de configuration par défaut pour votre machine Ubuntu en lançant la commande installer commander.
install
Après avoir exécuté le installer commande, lancez le service avec:
deploy
Ensuite, quittez le shell en lançant sortie.
exit
Arrête Bro
Besoin d'éteindre Bro? Connectez-vous à la Broctl shell et courir:
stop
Utilisez Bro
Après un processus d’installation long et fastidieux, le système de sécurité Bro est opérationnel sur votre serveur Ubuntu. Laissez-le fonctionner en arrière-plan, et il enregistrera automatiquement toutes les intrusions réseau dans / var / log / bro.
Si vous souhaitez surveiller l’analyse en temps réel, entrez les informations suivantes: queue commander.
tail -f /var/log/bro/current/conn.log
Sinon, pour voir les avis de sécurité, faites:
tail -f /var/log/bro/current/notice.log</ p>
commentaires