O conjunto de segurança Bro é um sistema de detecção de intrusão de rede adaptável e poderoso para Linux. Ele funciona executando em segundo plano, analisando e registrando tráfego passivamente.
O aplicativo possui muitos recursos, é de código aberto e é elogiado por muitos na comunidade de segurança por sua natureza de código aberto e eficiência.
Pré-requisitos
Para usar a ferramenta de segurança de rede Bro, você precisará de um servidor executando um sistema operacional Linux com pelo menos 2 GB de RAM física.
Nota: não possui um servidor dedicado? Não se preocupe! Um computador desktop tradicional executando o Ubuntu funcionará com pelo menos 2 GB de RAM e um hardware decente funcionará! Apenas certifique-se de que você sempre pode mantê-lo!
Durante a parte de instalação do tutorial,veremos como configurar o pacote de segurança Bro no Ubuntu Server, pois é isso que a maioria das pessoas usa para as necessidades de seus servidores. Dito isso, as instruções de instalação não são específicas para o Ubuntu, e a ferramenta Bro pode ser executada em praticamente qualquer sistema operacional de servidor Linux, e o desenvolvedor tem instruções para todas as principais distribuições.
Configurar banco de dados GeoIP
A ferramenta de segurança de rede Bro precisa de um banco de dados deEndereços IP a serem verificados por motivos de segurança. Portanto, antes de tentar instalar o próprio software Bro, você precisará fazer o download dos arquivos mais recentes do banco de dados IPv4 e IPv6 GeoIP. Usando o wget ferramenta, baixe os dois arquivos de banco de dados para o Ubuntu.
wget http://geolite.maxmind.com/download/geoip/database/GeoLiteCity.dat.gz wget http://geolite.maxmind.com/download/geoip/database/GeoLiteCityv6-beta/GeoLiteCityv6.dat.gz
Extraia os arquivos GeoIP GZ com o gzip comando.
gzip -d GeoLiteCity.dat.gz gzip -d GeoLiteCityv6.dat.gz
Coloque os arquivos do banco de dados GeoIP na pasta / usr / share / GeoIP / no Ubuntu usando o mv comando.
sudo mv GeoLiteCity.dat /usr/share/GeoIP/GeoIPCity.dat sudo mv GeoLiteCityv6.dat /usr/share/GeoIP/GeoIPCityv6.dat
Instalar Bro
A configuração da ferramenta de segurança de rede Bro começa criando o diretório em que ele estará no Ubuntu. De acordo com a documentação oficial, esta pasta é /optar/.
A instalação inicia ativando o repositório de software Ubuntu Universe.
sudo add-apt-repository universe
Em seguida, atualize o índice de pacotes do Ubuntu com atualizar.
sudo apt update
Usando o Apt gerenciador de pacotes, instale o Bro e todos os pacotes relacionados do repositório Ubuntu Universe.
sudo apt install bro bro-aux bro-common bro-pkg broctl
configuração de rede
Para usar a ferramenta de segurança de rede Bro, você precisarápara configurar uma placa de rede para o aplicativo usar. Por padrão, o aplicativo está definido para usar "Eth0". Esse dispositivo provavelmente não será o dispositivo de rede correto para a maioria das pessoas, portanto, você deve alterá-lo editando o node.cfg Arquivo.
Nota: se você não souber qual é a sua interface de rede, é fácil encontrar executando o link ip comando.
sudo nano /etc/bro/node.cfg
Então aperte Ctrl + W para iniciar a função de pesquisa no Nano. Quando a caixa de pesquisa estiver aberta, escreva "interface= eth0 ″ e pressione Entrar no teclado para pular imediatamente para a seção da interface de rede do arquivo de configuração.
Substitua “eth0” pela sua interface de rede e salve o arquivo de configuração pressionando Ctrl + O.
Definir intervalo de IP
Agora que a interface de rede está definida para Bro, você deve definir o intervalo de IPs para o programa monitorar. Abra o /etc/bro/networks.cfg arquivo no editor de texto Nano.
sudo nano /etc/bro/networks.cfg
Conforme você carrega o networks.cfg arquivo, você verá alguns exemplos padrão. Apague esses padrões e substitua-os pelo endereço IP da placa de rede definida anteriormente.
Por exemplo:
10.196.1.131/24 2600:1702:3980:a258:6978:ebae:d8:20a1/64
Quando as informações de IP estiverem definidas, salve a configuração no Nano pressionando Ctrl + O no teclado
Definir endereço de email padrão para Bro
O aplicativo Bro possui um sistema de email. No entanto, ele deve ser definido corretamente para funcionar. Para configurá-lo, abra /etc/bro/broctl.cfg em Nano.
sudo nano /etc/bro/broctl.cfg
Uma vez no Nano, pressione Ctrl + W e digite "MailTo" para ir para a seção de email do arquivo. Em seguida, adicione um endereço de email válido para o Bro usar.
Start Bro
O Bro precisa ser ajustado antes que você possa usá-lo. Inicie uma janela do terminal e execute o comando abaixo para acessar a interface do shell do programa.
sudo broctl
Uma vez no shell, use-o para definir o arquivo de configuração padrão para sua máquina Ubuntu executando o instalar comando.
install
Depois de executar o instalar comando, inicie o serviço com:
deploy
Em seguida, saia do shell executando Saída.
exit
Stop Bro
Precisa desativar o Bro? Faça login no broctl shell e executar:
stop
Use Bro
Após um longo e tedioso processo de instalação, o sistema de segurança Bro está em funcionamento no servidor Ubuntu. Deixe executar em segundo plano e registrará automaticamente todas as intrusões de rede em / var / log / bro.
Se você deseja monitorar a verificação em tempo real, digite o seguinte rabo comando.
tail -f /var/log/bro/current/conn.log
Como alternativa, para visualizar os avisos de segurança, faça:
tail -f /var/log/bro/current/notice.log</p>
Comentários