Сигурносни пакет Бро је прилагодљив, моћан, мрежни систем за откривање упада у Линук. То функционира тако што покреће у позадини, анализира и биљежи промет пасивно.
Апликација има много функција, отвореног је кода и многи је у безбедносној заједници хвале због своје природе и ефикасности отвореног кода.
Предуслови
Да бисте користили безбедносни алат Бро мреже, требат ће вам сервер са Линук оперативним системом који има најмање 2 ГБ физичке РАМ-а.
Напомена: немате наменски сервер? Не брини! Традиционални десктоп рачунар на коме ради Убунту радиће са најмање 2 ГБ РАМ-а, а пристојни хардвер ће то учинити! Само будите сигурни да га можете увек наставити!
Током инсталационог дела уџбеника,прећи ћемо на то како да поставимо Бро сигурносни пакет на Убунту серверу, јер то већина људи користи за потребе свог сервера. С тим у вези, упутства за инсталацију нису специфична за Убунту, а алат Бро се може покренути на готово било којем Линук серверу, а програмер има упутства за све главне дистрибуције.
Подесите ГеоИП базу података
За безбедносни алат Бро мреже потребна је база податакаИП адресе за скенирање из безбедносних разлога, пре него што покушате да инсталирате сам софтвер Бро, морат ћете преузети најновије датотеке ИПв4 и ИПв6 ГеоИП базе података. Помоћу вгет алатке, преузмите обе датотеке базе података у Убунту.
wget http://geolite.maxmind.com/download/geoip/database/GeoLiteCity.dat.gz wget http://geolite.maxmind.com/download/geoip/database/GeoLiteCityv6-beta/GeoLiteCityv6.dat.gz
Издвојите ГеоИП ГЗ архиве са гзип команда.
gzip -d GeoLiteCity.dat.gz gzip -d GeoLiteCityv6.dat.gz
Ставите датотеке базе података ГеоИП у мапу / уср / схаре / ГеоИП / на Убунту користећи мв команда.
sudo mv GeoLiteCity.dat /usr/share/GeoIP/GeoIPCity.dat sudo mv GeoLiteCityv6.dat /usr/share/GeoIP/GeoIPCityv6.dat
Инсталирај Бро
Постављање безбедносног алата за мрежу Бро започиње израдом директорија у којем ће се налазити на Убунту. Према званичној документацији, ова фасцикла је / опт /.
Инсталација започиње омогућавањем складишта софтвера Убунту Универсе.
sudo add-apt-repository universe
Затим ажурирајте Убунтуов индекс пакета помоћу ажурирање.
sudo apt update
Помоћу Погодан менаџер пакета, инсталирајте Бро и све његове пакете из репо Убунту Универсе.
sudo apt install bro bro-aux bro-common bro-pkg broctl
Конфигурација мреже
Да бисте користили безбедносни алат Бро мреже, требат ће вамда бисте поставили мрежну картицу за апликацију коју ће користити. Апликација је подразумевано постављена да користи „Етх0.” Овај уређај вероватно неће бити исправан мрежни уређај за већину људи, па морате то променити уређивањем node.cfg датотека.
Напомена: Ако нисте сигурни шта је ваш мрежни интерфејс, лако ћете га пронаћи покретањем ип линк команда.
sudo nano /etc/bro/node.cfg
Затим притисните Цтрл + В да бисте покренули функцију претраге у Нано-у. Једном када се отвори оквир за претрагу, напишите „приступ= етх0 ″ и притисните Унесите на тастатури да бисте одмах скочили на одељак мрежног интерфејса цонфиг датотеке.
Замените „етх0“ мрежним интерфејсом и сачувајте конфигурациону датотеку притиском на Цтрл + О.
Подесите ИП опсег
Сада када је мрежни интерфејс постављен за Бро, морате подесити ИП опсег који ће програм пратити. Отвори /етц/бро/нетворкс.цфг датотека у уређивачу текста Нано.
sudo nano /etc/bro/networks.cfg
Док учитавате networks.cfg датотеке, видећете неке подразумеване примере. Обришите ове задане вредности и замените их ИП адресом са претходно постављене мрежне картице.
На пример:
10.196.1.131/24 2600:1702:3980:a258:6978:ebae:d8:20a1/64
Кад је постављена ИП информација, сачувајте конфигурацију у Нано притиском на Цтрл + О на тастатури.
Подесите подразумевану адресу е-поште за Бро
Апликација Бро има систем е-поште. Међутим, мора радити правилно. Да бисте га подесили, отворите /етц/бро/броцтл.цфг у Нано.
sudo nano /etc/bro/broctl.cfg
Једном у Нано, притисните Цтрл + В и унесите „МаилТо“ да бисте прешли на део е-поште датотеке. Затим додајте ваљану адресу е-поште коју ће Бро користити.
Покрени, брате
Бро је потребно изравнати пре него што га можете користити. Покрените прозор терминала и покрените наредбу испод за приступ интерфејсу љуске програма.
sudo broctl
Једном у љусци, помоћу ње поставите задану конфигурациону датотеку за ваш Убунту машину покретањем инсталирај команда.
install
Након покретања инсталирај наредбу, покрените услугу са:
deploy
Затим изађите из љуске трчањем излаз.
exit
Стани брате
Морате искључити Бро? Пријавите се у броцтл схелл анд рун:
stop
Користи Бро
Након дужег, заморног поступка подешавања, Бро систем безбедности је покренут и покренут на вашем Убунту серверу. Нека се покреће у позадини, а аутоматски ће се евидентирати сви упада у мрежу / вар / лог / бро.
Ако желите да надгледате скенирање у реалном времену, унесите следеће Реп команда.
tail -f /var/log/bro/current/conn.log
Алтернативно, да бисте прегледали обавештења о безбедности, урадите:
tail -f /var/log/bro/current/notice.log</п>
Коментари