La suite di sicurezza Bro è un sistema di rilevamento delle intrusioni di rete potente e adattabile per Linux. Funziona eseguendo in background, analizzando e registrando passivamente il traffico.
L'app ha molte funzionalità, è open source ed è apprezzata da molti nella comunità della sicurezza per la sua natura open source e l'efficienza.
Prerequisiti
Per utilizzare lo strumento di sicurezza della rete Bro, avrai bisogno di un server che esegue un sistema operativo Linux con almeno 2 GB di RAM fisica.
Nota: non hai un server dedicato? Non ti preoccupare! Un computer desktop tradizionale con Ubuntu funzionerà con almeno 2 GB di RAM e funzionerà un hardware decente! Assicurati solo di poterlo tenere sempre acceso!
Durante la parte di installazione del tutorial,esamineremo come impostare la suite di sicurezza Bro su Ubuntu Server, poiché è quello che la maggior parte delle persone usa per le proprie esigenze del server. Detto questo, le istruzioni di installazione non sono specifiche per Ubuntu e lo strumento Bro può essere eseguito su quasi tutti i sistemi operativi server Linux e lo sviluppatore ha istruzioni per tutte le principali distribuzioni.
Configurare il database GeoIP
Lo strumento di sicurezza della rete Bro ha bisogno di un database diIndirizzi IP su cui eseguire la scansione per motivi di sicurezza, quindi, prima di tentare di installare il software Bro stesso, dovrai scaricare i file di database GeoIP IPv4 e IPv6 più recenti. Usando il wget strumento, scarica entrambi i file di database su Ubuntu.
wget http://geolite.maxmind.com/download/geoip/database/GeoLiteCity.dat.gz wget http://geolite.maxmind.com/download/geoip/database/GeoLiteCityv6-beta/GeoLiteCityv6.dat.gz
Estrarre gli archivi GeoIP GZ con il gzip comando.
gzip -d GeoLiteCity.dat.gz gzip -d GeoLiteCityv6.dat.gz
Metti i file del database GeoIP nella cartella / usr / share / GeoIP / su Ubuntu usando il mv comando.
sudo mv GeoLiteCity.dat /usr/share/GeoIP/GeoIPCity.dat sudo mv GeoLiteCityv6.dat /usr/share/GeoIP/GeoIPCityv6.dat
Installa Bro
La configurazione dello strumento di sicurezza della rete Bro inizia creando la directory in cui vivrà su Ubuntu. Secondo la documentazione ufficiale, questa cartella è /optare/.
L'installazione inizia abilitando il repository software Ubuntu Universe.
sudo add-apt-repository universe
Successivamente, aggiorna l'indice del pacchetto di Ubuntu con aggiornare.
sudo apt update
Usando il adatto gestore pacchetti, installa Bro e tutti i relativi pacchetti dal repository di Ubuntu Universe.
sudo apt install bro bro-aux bro-common bro-pkg broctl
Configurazione di rete
Per utilizzare lo strumento di sicurezza della rete Bro, è necessarioper impostare una scheda di rete per l'applicazione da utilizzare. Per impostazione predefinita, l'app è impostata per utilizzare "Eth0". È probabile che questo dispositivo non sia il dispositivo di rete corretto per la maggior parte delle persone, quindi è necessario modificarlo modificando il node.cfg file.
Nota: se non sei sicuro di quale sia la tua interfaccia di rete, è facile da trovare eseguendo il collegamento ip comando.
sudo nano /etc/bro/node.cfg
Quindi premere Ctrl + W per avviare la funzione di ricerca in Nano. Una volta aperta la casella di ricerca, scrivi "interfaccia= eth0 ″ e premere accedere sulla tastiera per passare immediatamente alla sezione dell'interfaccia di rete del file di configurazione.
Sostituire "eth0" con l'interfaccia di rete e salvare il file di configurazione premendo Ctrl + O.
Imposta intervallo IP
Ora che l'interfaccia di rete è impostata per Bro, è necessario impostare l'intervallo IP per il monitoraggio del programma. Apri il /etc/bro/networks.cfg file nell'editor di testo Nano.
sudo nano /etc/bro/networks.cfg
Mentre carichi il file networks.cfg file, vedrai alcuni esempi predefiniti. Cancellare questi valori predefiniti e sostituirli con l'indirizzo IP dalla scheda di rete impostata in precedenza.
Per esempio:
10.196.1.131/24 2600:1702:3980:a258:6978:ebae:d8:20a1/64
Quando vengono impostate le informazioni IP, salvare la configurazione in Nano premendo Ctrl + O sulla tastiera.
Imposta l'indirizzo e-mail predefinito per Bro
L'applicazione Bro ha un sistema di posta elettronica. Tuttavia, deve essere impostato correttamente per funzionare. Per impostarlo, apri /etc/bro/broctl.cfg a Nano.
sudo nano /etc/bro/broctl.cfg
Una volta a Nano, premere Ctrl + W e inserisci "MailTo" per passare alla sezione e-mail del file. Quindi, aggiungi un indirizzo e-mail valido per l'utilizzo da parte di Bro.
Avvia Bro
Bro deve essere modificato prima di poterlo usare. Avvia una finestra del terminale ed esegui il comando seguente per accedere all'interfaccia della shell del programma.
sudo broctl
Una volta nella shell, usalo per impostare il file di configurazione predefinito per la tua macchina Ubuntu eseguendo il installare comando.
install
Dopo aver eseguito il installare comando, avvia il servizio con:
deploy
Quindi, uscire dalla shell eseguendo Uscita.
exit
Stop fr
Devi spegnere Bro? Accedi al broctl shell and run:
stop
Usa il fratello
Dopo un lungo, noioso processo di installazione, il sistema di sicurezza di Bro è attivo e funzionante sul tuo server Ubuntu. Lascialo funzionare in background e accederà automaticamente a tutte le intrusioni della rete / Var / log / bro.
Se desideri monitorare la scansione in tempo reale, inserisci quanto segue coda comando.
tail -f /var/log/bro/current/conn.log
In alternativa, per visualizzare gli avvisi di sicurezza, eseguire:
tail -f /var/log/bro/current/notice.log</ P>
Commenti