De beveiligingssuite van Bro is een aanpasbaar, krachtig, netwerkinbraakdetectiesysteem voor Linux. Het werkt door op de achtergrond te lopen, het verkeer passief te analyseren en vast te leggen.
De app heeft veel functies, is open source en wordt door velen in de beveiligingsgemeenschap geprezen vanwege zijn open source karakter en efficiëntie.
voorwaarden
Om het Bro-netwerkbeveiligingshulpprogramma te gebruiken, hebt u een server nodig met een Linux-besturingssysteem dat ten minste 2 GB fysiek RAM-geheugen heeft.
Opmerking: heeft u geen dedicated server? Maak je geen zorgen! Een traditionele desktopcomputer met Ubuntu werkt met minimaal 2 GB RAM en fatsoenlijke hardware is voldoende! Zorg er wel voor dat je het altijd aan kunt houden!
Tijdens het installatiegedeelte van de zelfstudie,we zullen ingaan op het instellen van de Bro beveiligingssuite op Ubuntu Server, want dat is wat de meeste mensen gebruiken voor hun serverbehoeften. Dat gezegd hebbende, de installatie-instructies zijn niet specifiek voor Ubuntu, en de Bro-tool kan op bijna elk Linux-serverbesturingssysteem draaien, en de ontwikkelaar heeft instructies voor alle belangrijke distributies.
Stel een GeoIP-database in
De netwerkbeveiligingstool van Bro heeft een database nodig vanIP-adressen om te scannen om veiligheidsredenen, dus voordat u probeert de Bro-software zelf te installeren, moet u de nieuwste IPv4- en IPv6 GeoIP-databasebestanden downloaden. De ... gebruiken wget tool, download beide databasebestanden naar Ubuntu.
wget http://geolite.maxmind.com/download/geoip/database/GeoLiteCity.dat.gz wget http://geolite.maxmind.com/download/geoip/database/GeoLiteCityv6-beta/GeoLiteCityv6.dat.gz
Pak de GeoIP GZ-archieven uit met de gzip commando.
gzip -d GeoLiteCity.dat.gz gzip -d GeoLiteCityv6.dat.gz
Plaats de GeoIP-databasebestanden in de map / usr / share / GeoIP / op Ubuntu met behulp van de mv commando.
sudo mv GeoLiteCity.dat /usr/share/GeoIP/GeoIPCity.dat sudo mv GeoLiteCityv6.dat /usr/share/GeoIP/GeoIPCityv6.dat
Installeer Bro
Het instellen van het Bro-netwerkbeveiligingshulpprogramma begint met het maken van de map waarin het zich op Ubuntu bevindt. Volgens de officiële documentatie is deze map dat / Opt /.
De installatie begint met het inschakelen van de Ubuntu Universe-software-repository.
sudo add-apt-repository universe
Werk vervolgens de pakketindex van Ubuntu bij met bijwerken.
sudo apt update
De ... gebruiken geneigd pakketbeheerder, installeer Bro en alle bijbehorende pakketten uit de Ubuntu Universe-repo.
sudo apt install bro bro-aux bro-common bro-pkg broctl
Netwerk configuratie
Om de Bro-netwerkbeveiligingstool te gebruiken, hebt u nodigom een netwerkkaart in te stellen voor de te gebruiken applicatie. Standaard is de app ingesteld op 'Eth0'. Dit apparaat is waarschijnlijk niet het juiste netwerkapparaat voor de meeste mensen, dus u moet het wijzigen door de node.cfg het dossier.
Opmerking: als u niet zeker weet wat uw netwerkinterface is, kunt u deze gemakkelijk vinden door de ip link commando.
sudo nano /etc/bro/node.cfg
Druk vervolgens op Ctrl + W om de zoekfunctie in Nano te starten. Zodra het zoekvak is geopend, schrijft u 'koppel= eth0 ″ en druk op invoeren op het toetsenbord om direct naar het netwerkinterfacegedeelte van het configuratiebestand te springen.
Vervang "eth0" door uw netwerkinterface en sla het configuratiebestand op door op te drukken Ctrl + O.
Stel het IP-bereik in
Nu de netwerkinterface is ingesteld op Bro, moet u het IP-bereik instellen dat het programma moet controleren. Open de /etc/bro/networks.cfg bestand in de Nano-teksteditor.
sudo nano /etc/bro/networks.cfg
Terwijl u de laadt networks.cfg bestand, ziet u enkele standaardvoorbeelden. Wis deze standaardwaarden en vervang ze door het IP-adres van de eerder ingestelde netwerkkaart.
Bijvoorbeeld:
10.196.1.131/24 2600:1702:3980:a258:6978:ebae:d8:20a1/64
Wanneer de IP-informatie is ingesteld, slaat u de configuratie op in Nano door op te drukken Ctrl + O op het toetsenbord.
Stel het standaard e-mailadres in voor Bro
De applicatie Bro heeft een e-mailsysteem. Het moet echter correct zijn ingesteld om te werken. Open het om het in te stellen /etc/bro/broctl.cfg in Nano.
sudo nano /etc/bro/broctl.cfg
Eenmaal in Nano drukt u op Ctrl + W en voer "MailTo" in om naar het e-mailgedeelte van het bestand te gaan. Voeg vervolgens een geldig e-mailadres in dat Bro kan gebruiken.
Opstarten Br
Bro moet worden aangepast voordat je het kunt gebruiken. Start een terminalvenster en voer de onderstaande opdracht uit om toegang te krijgen tot de shell-interface van het programma.
sudo broctl
Eenmaal in de shell gebruikt u het om het standaardconfiguratiebestand voor uw Ubuntu-machine in te stellen door de installeren commando.
install
Na het uitvoeren van de installeren commando, start de service met:
deploy
Verlaat vervolgens de shell door te rennen Uitgang.
exit
Stop Br
Moet je Bro uitschakelen? Log in op de broctl shell en ren:
stop
Gebruik Br
Na een lang, moeizaam installatieproces is het beveiligingssysteem van Bro actief op uw Ubuntu-server. Laat het op de achtergrond draaien en het logt automatisch alle netwerkinbraken in / Var / log / bro.
Als u het scannen in realtime wilt volgen, voert u het volgende in staart commando.
tail -f /var/log/bro/current/conn.log
U kunt ook het volgende doen om beveiligingsmeldingen te bekijken:
tail -f /var/log/bro/current/notice.log</ P>
Comments