Набір безпеки Bro - це адаптована, потужна мережева система виявлення вторгнень для Linux. Це працює, виконуючись у фоновому режимі, аналізуючи та пасивно фіксуючи трафік.
Додаток має багато функцій, є відкритим кодом та багатьма в спільноті безпеки похваляється за його характер відкритості та ефективність.
Передумови
Щоб використовувати інструмент захисту мережі Bro, вам знадобиться сервер під управлінням ОС Linux, що має принаймні 2 Гб фізичної оперативної пам’яті.
Примітка: у вас немає виділеного сервера? Не хвилюйся! Традиційний настільний комп’ютер під керуванням Ubuntu буде працювати з щонайменше 2 ГБ оперативної пам’яті, і гідне обладнання буде робити! Просто переконайтесь, що ви завжди можете тримати це!
Під час встановлення частини навчального посібника,ми переглянемо, як налаштувати пакет безпеки Bro на сервері Ubuntu, оскільки саме це використовує більшість людей для своїх серверів. Зважаючи на це, інструкції з установки не характерні лише для Ubuntu, і інструмент Bro може працювати на майже будь-якій ОС Linux сервера, а розробник має інструкції для всіх основних дистрибутивів.
Налаштування бази даних GeoIP
Інструменту безпеки мережі Bro потрібна база данихIP-адреси для сканування з метою безпеки, тому перш ніж спробувати встановити програмне забезпечення Bro, вам потрібно буде завантажити останні файли баз даних IPv4 та IPv6 GeoIP. Використання wget Завантажте обидва файли бази даних в Ubuntu.
wget http://geolite.maxmind.com/download/geoip/database/GeoLiteCity.dat.gz wget http://geolite.maxmind.com/download/geoip/database/GeoLiteCityv6-beta/GeoLiteCityv6.dat.gz
Витягніть архіви GeoIP GZ за допомогою gzip командування.
gzip -d GeoLiteCity.dat.gz gzip -d GeoLiteCityv6.dat.gz
Помістіть файли баз даних GeoIP у папку / usr / share / GeoIP / в Ubuntu за допомогою mv командування.
sudo mv GeoLiteCity.dat /usr/share/GeoIP/GeoIPCity.dat sudo mv GeoLiteCityv6.dat /usr/share/GeoIP/GeoIPCityv6.dat
Встановити бра
Налаштування інструмента захисту мережі Bro починається з створення каталогу, в якому він буде жити на Ubuntu. Згідно з офіційною документацією, ця папка є / opt /.
Установка починається з включення сховища програмного забезпечення Ubuntu Universe.
sudo add-apt-repository universe
Далі оновіть індекс пакунків Ubuntu за допомогою оновлення.
sudo apt update
Використання Apt менеджер пакунків, встановіть Bro та всі пов'язані з ним пакети з репо-Ubuntu Universe.
sudo apt install bro bro-aux bro-common bro-pkg broctl
Конфігурація мережі
Щоб використовувати інструмент захисту мережі Bro, вам знадобитьсящоб настроїти мережеву карту для програми, яку використовуватиме. За замовчуванням у програмі встановлено "Eth0". Цей пристрій, швидше за все, не буде правильним мережевим пристроєм для більшості людей, тому потрібно змінити його, відредагувавши node.cfg файл.
Примітка. Якщо ви не впевнені, що ваш мережевий інтерфейс, це легко знайти, запустивши ip-посилання командування.
sudo nano /etc/bro/node.cfg
Потім натисніть Ctrl + W щоб запустити функцію пошуку в Nano. Після відкриття вікна пошуку напишіть "інтерфейс= eth0 ″ і натисніть Введіть на клавіатурі, щоб негайно перейти до розділу мережевого інтерфейсу файлу налаштування.
Замініть "eth0" на ваш мережевий інтерфейс і збережіть файл конфігурації натисканням Ctrl + O.
Встановити діапазон IP
Тепер, коли для Bro встановлено мережевий інтерфейс, потрібно встановити діапазон IP для моніторингу програми. Відкрийте /etc/bro/networks.cfg файл у текстовому редакторі Nano.
sudo nano /etc/bro/networks.cfg
Як ви завантажуєте networks.cfg файл, ви побачите кілька прикладів за замовчуванням. Видаліть ці за замовчуванням і замініть їх IP-адресою з встановленої раніше мережевої карти.
Наприклад:
10.196.1.131/24 2600:1702:3980:a258:6978:ebae:d8:20a1/64
Коли IP-інформація встановлена, збережіть конфігурацію в Nano, натиснувши Ctrl + O на клавіатурі.
Встановіть стандартну електронну адресу для Bro
У додатку Bro є система електронної пошти. Однак він повинен бути налаштований правильно для роботи. Щоб встановити його, відкрийте /etc/bro/broctl.cfg в Нано.
sudo nano /etc/bro/broctl.cfg
Опинившись у Нано, натисніть Ctrl + W і введіть "MailTo", щоб перейти до розділу електронної пошти файлу. Потім додайте дійсну електронну адресу для Bro.
Почніть брато
Bro потрібно налаштувати, перш ніж ви зможете ним скористатися. Запустіть вікно терміналу і запустіть команду нижче, щоб отримати доступ до інтерфейсу оболонки програми.
sudo broctl
Опинившись в оболонці, використовуйте її для настройки файлу конфігурації за замовчуванням для вашої машини Ubuntu, запустивши встановити командування.
install
Після запуску встановити команда, запустіть службу за допомогою:
deploy
Потім вийдіть з оболонки, запустивши Вхід.
exit
Зупини брате
Потрібно вимкнути брата? Увійдіть у broctl оболонку та запуск:
stop
Використовуй брато
Після тривалого, виснажливого процесу налаштування система захисту Bro працює на вашому сервері Ubuntu. Нехай він працює у фоновому режимі, і він автоматично записуватиме всі вторгнення в мережу / var / log / bro.
Якщо ви хочете відстежувати його сканування в режимі реального часу, введіть наступне хвіст командування.
tail -f /var/log/bro/current/conn.log
Крім того, щоб переглянути повідомлення про безпеку, виконайте:
tail -f /var/log/bro/current/notice.log</p>
Коментарі