Broセキュリティスイートは、Linux用の適応性があり強力なネットワーク侵入検知システムです。バックグラウンドで実行し、トラフィックを受動的に分析および記録することで機能します。
このアプリには多くの機能があり、オープンソースであり、そのオープンソースの性質と効率性でセキュリティコミュニティの多くの人から賞賛されています。
前提条件
Broネットワークセキュリティツールを使用するには、少なくとも2 GBの物理RAMを搭載したLinux OSを実行しているサーバーが必要です。
注:専用サーバーはありませんか?心配しないで! Ubuntuを実行する従来のデスクトップコンピューターは、少なくとも2 GBのRAMで動作し、まともなハードウェアでも動作します!常にオンにできることを確認してください!
チュートリアルのインストール部分では、UbuntuサーバーでBroセキュリティスイートをセットアップする方法について説明します。これは、ほとんどの人がサーバーのニーズに使用しているためです。そうは言っても、インストール手順はUbuntuに固有のものではなく、BroツールはほぼすべてのLinuxサーバーOSで実行でき、開発者はすべての主要なディストリビューションに関する手順を持っています。
GeoIPデータベースをセットアップする
Broネットワークセキュリティツールには、次のデータベースが必要です。セキュリティ上の目的でスキャンするIPアドレス。したがって、Broソフトウェア自体をインストールする前に、最新のIPv4およびIPv6 GeoIPデータベースファイルをダウンロードする必要があります。を使用して wget ツール、両方のデータベースファイルをUbuntuにダウンロードします。
wget http://geolite.maxmind.com/download/geoip/database/GeoLiteCity.dat.gz wget http://geolite.maxmind.com/download/geoip/database/GeoLiteCityv6-beta/GeoLiteCityv6.dat.gz
GeoIP GZアーカイブを抽出します gzip コマンド。
gzip -d GeoLiteCity.dat.gz gzip -d GeoLiteCityv6.dat.gz
を使用して、Ubuntuの/ usr / share / GeoIP /フォルダーにGeoIPデータベースファイルを配置します。 mv コマンド。
sudo mv GeoLiteCity.dat /usr/share/GeoIP/GeoIPCity.dat sudo mv GeoLiteCityv6.dat /usr/share/GeoIP/GeoIPCityv6.dat
ブロをインストール
Broネットワークセキュリティツールのセットアップは、Ubuntuで使用するディレクトリを作成することから始まります。公式文書によると、このフォルダーは / opt /.
Ubuntu Universeソフトウェアリポジトリを有効にすると、インストールが開始されます。
sudo add-apt-repository universe
次に、Ubuntuのパッケージインデックスを更新します。 更新.
sudo apt update
を使用して アプト パッケージマネージャー、Bro、および関連するすべてのパッケージをUbuntu Universeリポジトリからインストールします。
sudo apt install bro bro-aux bro-common bro-pkg broctl
ネットワーク設定
Broネットワークセキュリティツールを使用するには、次のものが必要です。アプリケーションが使用するネットワークカードを設定します。デフォルトでは、アプリは「Eth0」を使用するように設定されています。このデバイスは、ほとんどの人にとって正しいネットワークデバイスではない可能性が高いため、編集して変更する必要があります node.cfg ファイル。
注:ネットワークインターフェースが何かわからない場合は、 IPリンク コマンド。
sudo nano /etc/bro/node.cfg
次に、を押す Ctrl + W Nanoで検索機能を開始します。検索ボックスが開いたら、「インタフェース= eth0″を押して 入る キーボードですぐに構成ファイルのネットワークインターフェイスセクションにジャンプします。
「eth0」をネットワークインターフェースに置き換え、を押して構成ファイルを保存します Ctrl + O.
IP範囲を設定する
ネットワークインターフェイスがBroに設定されたので、監視するプログラムのIP範囲を設定する必要があります。開いて /etc/bro/networks.cfg Nanoテキストエディターのファイル。
sudo nano /etc/bro/networks.cfg
あなたがロードするように networks.cfg ファイルには、デフォルトの例がいくつか表示されます。これらのデフォルトを消去し、以前に設定したネットワークカードのIPアドレスに置き換えます。
例えば:
10.196.1.131/24 2600:1702:3980:a258:6978:ebae:d8:20a1/64
IP情報が設定されたら、Nanoで設定を保存します Ctrl + O キーボードで。
Broのデフォルトのメールアドレスを設定する
Broアプリケーションには電子メールシステムがあります。ただし、正しく機能するように設定する必要があります。設定するには、開く /etc/bro/broctl.cfg ナノで。
sudo nano /etc/bro/broctl.cfg
Nanoで、を押します Ctrl + W 「MailTo」と入力して、ファイルの電子メールセクションにジャンプします。次に、Broが使用する有効なメールアドレスを追加します。
ブロを起動
Broを使用する前に調整する必要があります。ターミナルウィンドウを起動し、以下のコマンドを実行して、プログラムのシェルインターフェイスにアクセスします。
sudo broctl
シェルに入ったら、それを使用して、Ubuntuマシンのデフォルト構成ファイルをセットアップします。 インストール コマンド。
install
実行後 インストール コマンド、次のコマンドでサービスを開始します:
deploy
次に、実行してシェルを終了します 出口.
exit
ストップブロ
Broをオフにする必要がありますか?にログインする broctl シェルと実行:
stop
ブロを使用
長い退屈なセットアッププロセスの後、BroセキュリティシステムがUbuntuサーバー上で稼働しています。バックグラウンドで実行すると、すべてのネットワーク侵入を自動的に記録します / var / log / bro.
スキャンをリアルタイムで監視する場合は、次を入力します 尾 コマンド。
tail -f /var/log/bro/current/conn.log
または、セキュリティ通知を表示するには、次を実行します。
tail -f /var/log/bro/current/notice.log</ p>
コメント