חבילת האבטחה של Bro הינה מערכת גילוי חדירה לרשת המותאמת, חזקה, לינוקס. זה עובד על ידי ריצה ברקע, ניתוח ורישום תנועה באופן פסיבי.
האפליקציה כוללת תכונות רבות, היא קוד פתוח, והיא זוכה לשבחים רבים על ידי קהילת האבטחה על אופייה בקוד הפתוח ויעילותה.
תנאים מוקדמים
כדי להשתמש בכלי האבטחה של רשת Bro, תזדקק לשרת שמריץ מערכת הפעלה לינוקס עם לפחות 2 ג'יגה-בתים של זיכרון RAM.
הערה: אין לך שרת ייעודי? אל תדאג! מחשב שולחני מסורתי שמריץ אובונטו יעבוד עם לפחות 2 GB של זיכרון RAM, וחומרה הגונה תעשה! רק וודאו שתמיד תוכלו להמשיך!
במהלך חלק ההתקנה של המדריך,נבדוק כיצד להגדיר את חבילת האבטחה של Bro בשרת אובונטו, מכיוון שזה מה שרוב האנשים משתמשים לצורך השרת שלהם. עם זאת, הוראות ההתקנה אינן ספציפיות לאובונטו, וכלי ה- Bro יכול לפעול כמעט בכל מערכת הפעלה של שרת לינוקס, ולמפתח יש הוראות לכל ההפצות העיקריות.
הגדר בסיס נתונים של GeoIP
כלי האבטחה של רשת Bro זקוק למסד נתונים שלכתובות IP לסריקה נגדן למטרות אבטחה, לפני שתנסה להתקין את תוכנת Bro עצמה, תצטרך להוריד את קבצי מסדי הנתונים IPv4 ו- IPv6 GeoIP האחרונים. משתמש ב ווגט כלי, הורד את שני קבצי מסד הנתונים לאובונטו.
wget http://geolite.maxmind.com/download/geoip/database/GeoLiteCity.dat.gz wget http://geolite.maxmind.com/download/geoip/database/GeoLiteCityv6-beta/GeoLiteCityv6.dat.gz
חלץ את ארכיוני GeoIP GZ עם gzip פקודה.
gzip -d GeoLiteCity.dat.gz gzip -d GeoLiteCityv6.dat.gz
שים את קבצי מסד הנתונים של GeoIP בתיקיה / usr / share / GeoIP / באובונטו באמצעות mv פקודה.
sudo mv GeoLiteCity.dat /usr/share/GeoIP/GeoIPCity.dat sudo mv GeoLiteCityv6.dat /usr/share/GeoIP/GeoIPCityv6.dat
התקן אח
הגדרת כלי האבטחה ברשת Bro מתחילה בהכנת הספרייה בה היא תחיה באובונטו. על פי התיעוד הרשמי, תיקיה זו היא /העדיף/.
ההתקנה מתחילה בהפעלת מאגר התוכנות של Ubuntu Universe.
sudo add-apt-repository universe
בשלב הבא, עדכן את אינדקס החבילה של אובונטו באמצעות עדכון.
sudo apt update
משתמש ב אפט מנהל החבילות, התקן את Bro ואת כל החבילות הקשורות אליו מהריפו האוניברסלי של אובונטו.
sudo apt install bro bro-aux bro-common bro-pkg broctl
תצורת רשת
כדי להשתמש בכלי האבטחה של רשת Bro תצטרךלהגדרת כרטיס רשת לשימוש היישום. כברירת מחדל, האפליקציה מוגדרת להשתמש ב- "Eth0". ככל הנראה מכשיר זה לא יהיה מכשיר הרשת הנכון עבור רוב האנשים, לכן עליך לשנות אותו על ידי עריכת ה- node.cfg קובץ.
הערה: אם אינך בטוח מה ממשק הרשת שלך, קל למצוא אותה על ידי הפעלת ה- קישור ip פקודה.
sudo nano /etc/bro/node.cfg
ואז לחץ Ctrl + W כדי להתחיל בפונקציית החיפוש בננו. ברגע שתיבת החיפוש פתוחה, כתוב "ממשק= eth0 ″ ולחץ להיכנס במקלדת כדי לקפוץ מייד לחלק ממשק הרשת בקובץ config.
החלף את "eth0" בממשק הרשת שלך ושמור את קובץ התצורה על ידי לחיצה על Ctrl + O.
הגדר טווח IP
כעת, כאשר ממשק הרשת מוגדר ל- Bro, עליך להגדיר את טווח ה- IP של התוכנית לפיקוח. לפתוח את /etc/bro/networks.cfg הקובץ בעורך הטקסט של ננו.
sudo nano /etc/bro/networks.cfg
כשאתה טוען את ה- networks.cfg הקובץ, תראה כמה דוגמאות לברירת מחדל. מחק ברירות מחדל אלה והחלף אותן בכתובת ה- IP מכרטיס הרשת שהוגדר קודם.
לדוגמה:
10.196.1.131/24 2600:1702:3980:a258:6978:ebae:d8:20a1/64
כאשר מוגדר מידע ה- IP, שמור את התצורה בננו על ידי לחיצה על Ctrl + O במקלדת.
הגדר כתובת דוא"ל ברירת מחדל עבור אחי
ליישום Bro יש מערכת דוא"ל. עם זאת, יש להגדיר אותו נכון לעבוד. כדי להגדיר את זה, פתח /etc/bro/broctl.cfg בננו.
sudo nano /etc/bro/broctl.cfg
ברגע שננו, לחץ Ctrl + W והזן "MailTo" כדי לקפוץ למקטע הדוא"ל של הקובץ. לאחר מכן, הוסף כתובת דוא"ל חוקית לשימוש בר.
להקים אחי
אחי צריך לצבוט לפני שתוכל להשתמש בו. הפעל חלון מסוף והפעל את הפקודה למטה כדי לגשת לממשק הפגז של התוכנית.
sudo broctl
לאחר הקליפה, השתמש בו כדי להגדיר את קובץ התצורה המוגדר כברירת מחדל עבור מכונת Ubuntu שלך על ידי הפעלת להתקין פקודה.
install
לאחר הפעלת להתקין הפקודה, הפעל את השירות באמצעות:
deploy
ואז, צא מהקליפה על ידי ריצה יציאה.
exit
עצור אחי
צריך לכבות את אחי? היכנס ל- ברוקטל פגז והפעל:
stop
השתמש אחי
לאחר תהליך הגדרה ארוך ומייגע, מערכת האבטחה של Bro פועלת בשרת אובונטו. תן לזה לרוץ ברקע, והיא תיכנס אוטומטית לכל פריצות הרשת בהן / var / log / bro.
אם תרצה לעקוב אחר סריקתו בזמן אמת, הזן את הדברים הבאים זנב פקודה.
tail -f /var/log/bro/current/conn.log
לחלופין, לצפייה בהודעות אבטחה, עשה:
tail -f /var/log/bro/current/notice.log</ p>
הערות