Suita de securitate Bro este un sistem adaptabil, puternic, de detectare a intruziunilor de rețea pentru Linux. Funcționează rulând în fundal, analizând și înregistrând pasiv traficul.
Aplicația are multe caracteristici, este open source și este laudată de mulți din comunitatea de securitate pentru natura sa open source și eficiența.
Cerințe preliminare
Pentru a utiliza instrumentul de securitate a rețelei Bro, veți avea nevoie de un server care să ruleze un sistem de operare Linux care să aibă cel puțin 2 GB memorie RAM fizică.
Notă: nu aveți un server dedicat? Nu vă faceți griji! Un computer desktop tradițional care rulează Ubuntu va funcționa cu cel puțin 2 GB RAM, iar hardware-ul decent o va face! Doar asigurați-vă că puteți să-l țineți întotdeauna!
În timpul porțiunii de instalare a tutorialului,vom analiza modul de configurare a suitei de securitate Bro pe serverul Ubuntu, întrucât este ceea ce utilizează majoritatea oamenilor pentru nevoile serverului lor. Cu acest lucru, instrucțiunile de instalare nu sunt specifice Ubuntu, iar instrumentul Bro poate rula pe aproape orice sistem de operare Linux, iar dezvoltatorul are instrucțiuni pentru toate distribuțiile majore.
Configurați baza de date GeoIP
Instrumentul de securitate a rețelei Bro are nevoie de o bază de dateAdrese IP pentru a scana în scopuri de securitate, astfel încât, înainte de a încerca să instalați software-ul Bro în sine, va trebui să descărcați cele mai recente fișiere de bază IPv4 și IPv6 GeoIP. Folosind wget instrument, descărcați ambele fișiere ale bazei de date pe Ubuntu.
wget http://geolite.maxmind.com/download/geoip/database/GeoLiteCity.dat.gz wget http://geolite.maxmind.com/download/geoip/database/GeoLiteCityv6-beta/GeoLiteCityv6.dat.gz
Extrageți arhivele GeoIP GZ cu gzip comanda.
gzip -d GeoLiteCity.dat.gz gzip -d GeoLiteCityv6.dat.gz
Puneți fișierele bazei de date GeoIP în folderul / usr / share / GeoIP / pe Ubuntu folosind mv comanda.
sudo mv GeoLiteCity.dat /usr/share/GeoIP/GeoIPCity.dat sudo mv GeoLiteCityv6.dat /usr/share/GeoIP/GeoIPCityv6.dat
Instalați Bro
Configurarea instrumentului de securitate a rețelei Bro începe prin crearea directorului în care va locui pe Ubuntu. Conform documentației oficiale, acest folder este /opta/.
Instalarea începe prin activarea depozitului de software Ubuntu Universe.
sudo add-apt-repository universe
Apoi, actualizați indexul pachetului Ubuntu cu Actualizați.
sudo apt update
Folosind potrivit manager de pachete, instalați Bro și toate pachetele sale asociate de la Ubuntu Univers repo.
sudo apt install bro bro-aux bro-common bro-pkg broctl
Configurarea Rețelei
Pentru a utiliza instrumentul de securitate a rețelei Bro, va trebuipentru a configura o placă de rețea pentru aplicația de utilizat. În mod implicit, aplicația este setată să utilizeze „Eth0.” Este probabil că acest dispozitiv nu va fi dispozitivul de rețea corect pentru majoritatea oamenilor, așa că trebuie să îl schimbați prin editarea node.cfg fişier.
Notă: Dacă nu sunteți sigur care este interfața de rețea, este ușor de găsit rulând funcția link-ul ip comanda.
sudo nano /etc/bro/node.cfg
Apoi, apăsați Ctrl + W pentru a porni funcția de căutare în Nano. Odată ce caseta de căutare este deschisă, scrieți „interfață= eth0 ″ și apăsați introduce pe tastatură pentru a trece imediat la secțiunea interfață de rețea a fișierului de configurare.
Înlocuiți „eth0” cu interfața de rețea și salvați fișierul de configurare apăsând Ctrl + O.
Setați intervalul IP
Acum că interfața de rețea este setată pentru Bro, trebuie să setați intervalul IP pentru monitorizarea programului. Deschideți /etc/bro/networks.cfg fișier în editorul de text Nano.
sudo nano /etc/bro/networks.cfg
Pe măsură ce încărcați networks.cfg fișier, veți vedea câteva exemple implicite. Ștergeți aceste valori implicite și înlocuiți-le cu adresa IP din placa de rețea setată anterior.
De exemplu:
10.196.1.131/24 2600:1702:3980:a258:6978:ebae:d8:20a1/64
Când informațiile IP sunt setate, salvați configurația în Nano apăsând Ctrl + O pe tastatură.
Setați adresa de e-mail implicită pentru Bro
Aplicația Bro are un sistem de e-mail. Cu toate acestea, trebuie să fie setat corect pentru a funcționa. Pentru setare, deschideți /etc/bro/broctl.cfg în Nano.
sudo nano /etc/bro/broctl.cfg
Odată ajuns în Nano, apăsați Ctrl + W și introduceți „MailTo” pentru a trece la secțiunea de e-mail a fișierului. Apoi, adăugați o adresă de e-mail validă pentru Bro.
Începeți Bro
Bro trebuie să fie modificat înainte de a-l putea folosi. Lansați o fereastră de terminal și executați comanda de mai jos pentru a accesa interfața shell a programului.
sudo broctl
Odată ajunsă în coajă, folosiți-l pentru a configura fișierul de configurare implicit pentru mașina dvs. Ubuntu rulând instalare comanda.
install
După rularea instalare comanda, porniți serviciul cu:
deploy
Apoi, ieșiți din coajă rulând Ieșire.
exit
Oprește-te pe Bro
Trebuie să opriți Bro? Conectați-vă la broctl shell and run:
stop
Folosiți Bro
După un proces de configurare lung, obositor, sistemul de securitate Bro este în funcțiune pe serverul tău Ubuntu. Lasă-l să ruleze în fundal și va înregistra automat toate intruziunile din rețea / Var / log / bro.
Dacă doriți să monitorizați scanarea în timp real, introduceți următoarele coadă comanda.
tail -f /var/log/bro/current/conn.log
Alternativ, pentru a vizualiza notificări de securitate, faceți:
tail -f /var/log/bro/current/notice.log</ P>
Comentarii