Pakiet zabezpieczeń Bro to elastyczny i zaawansowany system wykrywania włamań stworzony dla środowiska Linux. Jego działanie opiera się na monitorowaniu i analizie ruchu w tle.
Ta aplikacja oferuje szeroki wachlarz funkcji, jest dostępna jako open source i zdobyła uznanie wśród wielu ekspertów z dziedziny bezpieczeństwa z powodu swojej przejrzystości i efektywności.
Wymagania wstępne
Aby wdrożyć narzędzie Bro, musisz dysponować serwerem działającym na systemie Linux, wyposażonym w minimum 2 GB pamięci RAM.
Nie masz serwera dedykowanego? To żaden problem! Zwykły komputer stacjonarny z systemem Ubuntu również poradzi sobie z tym zadaniem, wystarczy, że masz co najmniej 2 GB RAM-u i odpowiednią specyfikację sprzętową.
W trakcie instalacji omówimy proces konfiguracji pakietu Bro na serwerze Ubuntu, ponieważ jest to najczęściej wybierane rozwiązanie. Pamiętaj jednak, że instrukcje instalacji są uniwersalne i Bro można zainstalować na niemal każdym systemie operacyjnym Linux. Twórcy zapewniają dokumentację dla wszystkich głównych dystrybucji.
Konfiguracja bazy danych GeoIP
Bro wymaga bazy danych adresów IP do przeprowadzania skanów bezpieczeństwa, dlatego przed instalacją oprogramowania należy ściągnąć najnowsze pliki baz danych GeoIP dla IPv4 i IPv6. Użyj narzędzia wget, aby pobrać oba pliki do systemu Ubuntu.
wget https://geolite.maxmind.com/download/geoip/database/GeoLiteCity.dat.gz wget https://geolite.maxmind.com/download/geoip/database/GeoLiteCityv6-beta/GeoLiteCityv6.dat.gz
Rozpakuj archiwa GeoIP GZ przy pomocy polecenia gzip.
gzip -d GeoLiteCity.dat.gz gzip -d GeoLiteCityv6.dat.gz
Przenieś pliki bazy danych GeoIP do katalogu /usr/share/GeoIP/ w systemie Ubuntu, korzystając z polecenia mv.
sudo mv GeoLiteCity.dat /usr/share/GeoIP/GeoIPCity.dat sudo mv GeoLiteCityv6.dat /usr/share/GeoIP/GeoIPCityv6.dat
Instalacja Bro
Proces konfiguracji narzędzia Bro zaczyna się od stworzenia katalogu, w którym zostanie zainstalowane w systemie Ubuntu. Zgodnie z oficjalną dokumentacją, powinien to być folder /opt/.
Instalację rozpoczynamy od aktywowania repozytorium Ubuntu Universe.
sudo add-apt-repository universe
Kolejnym krokiem jest zaktualizowanie indeksu pakietów Ubuntu.
sudo apt update
Za pomocą menedżera pakietów Apt, zainstaluj Bro oraz wszystkie niezbędne pakiety z repozytorium Ubuntu Universe.
sudo apt install bro bro-aux bro-common bro-pkg broctl
Konfiguracja sieci
Aby Bro mogło działać, musisz skonfigurować kartę sieciową, z której będzie korzystać aplikacja. Domyślnie jest to „Eth0”, co może nie być odpowiednim urządzeniem dla większości użytkowników, dlatego trzeba to zmienić, edytując plik node.cfg.
Jeśli nie jesteś pewien, jaki interfejs sieciowy posiadasz, możesz to łatwo sprawdzić, uruchamiając polecenie ip link.
sudo nano /etc/bro/node.cfg
W edytorze Nano, naciśnij Ctrl + W, aby aktywować funkcję wyszukiwania. Wpisz „interface = eth0” i naciśnij Enter, aby szybko przejść do sekcji dotyczącej interfejsu sieciowego w pliku konfiguracyjnym.
Zamień „eth0” na odpowiedni interfejs sieciowy i zapisz zmiany, naciskając Ctrl + O.
Ustawienie zakresu adresów IP
Gdy interfejs sieciowy jest już ustawiony, musisz określić zakres adresów IP, który Bro będzie monitorować. Otwórz plik /etc/bro/networks.cfg w edytorze Nano.
sudo nano /etc/bro/networks.cfg
W pliku networks.cfg znajdziesz kilka domyślnych przykładów. Usuń te wartości i zastąp je adresem IP interfejsu, który ustawiłeś wcześniej.
Na przykład:
10.196.1.131/24 2600:1702:3980:a258:6978:ebae:d8:20a1/64
Po wprowadzeniu danych o IP, zapisz plik w Nano, używając Ctrl + O.
Ustalenie domyślnego adresu e-mail dla Bro
Bro dysponuje systemem powiadomień e-mailowych, który musi być odpowiednio skonfigurowany, aby działał. Otwórz plik /etc/bro/broctl.cfg w edytorze Nano.
sudo nano /etc/bro/broctl.cfg
W edytorze Nano, naciśnij Ctrl + W i wpisz „MailTo”, aby przejść do sekcji dotyczącej e-maili w pliku. Następnie dodaj prawidłowy adres e-mail, który Bro będzie mógł używać.
Uruchomienie Bro
Aby rozpocząć korzystanie z Bro, musisz je skonfigurować. Otwórz terminal i uruchom poniższe polecenie, aby uzyskać dostęp do powłoki programu.
sudo broctl
Po wejściu do powłoki, skonfiguruj domyślny plik konfiguracyjny dla Ubuntu, uruchamiając polecenie instalacji.
install
Następnie, aby uruchomić usługę, użyj polecenia:
deploy
Wyjdź z powłoki, wpisując polecenie exit.
exit
Jak zatrzymać Bro
Jeśli chcesz wyłączyć Bro, zaloguj się do powłoki broctl i uruchom:
stop
Użytkowanie Bro
Po zakończeniu procesu konfiguracji, system bezpieczeństwa Bro jest gotowy do działania na Twoim serwerze Ubuntu. Możesz pozwolić mu działać w tle, a automatycznie zarejestruje wszystkie incydenty związane z bezpieczeństwem w katalogu /var/log/bro.
Jeżeli chcesz monitorować skanowanie w czasie rzeczywistym, użyj poniższego polecenia tail.
tail -f /var/log/bro/current/conn.log
Aby wyświetlić powiadomienia dotyczące bezpieczeństwa, użyj następującego polecenia:
tail -f /var/log/bro/current/notice.log