Pakiet zabezpieczeń Bro jest adaptowalnym, potężnym systemem wykrywania włamań sieciowych dla systemu Linux. Działa poprzez działanie w tle, bierne analizowanie i rejestrowanie ruchu.
Aplikacja ma wiele funkcji, jest open source i jest chwalona przez wielu członków społeczności bezpieczeństwa za jej otwarty charakter i wydajność.
Spis treści:
Wymagania wstępne
Aby skorzystać z narzędzia bezpieczeństwa sieciowego Bro, potrzebujesz serwera z systemem operacyjnym Linux, który ma co najmniej 2 GB fizycznej pamięci RAM.
Uwaga: nie masz serwera dedykowanego? Nie martw się! Tradycyjny komputer stacjonarny z systemem Ubuntu będzie działał z co najmniej 2 GB pamięci RAM, a przyzwoity sprzęt wystarczy! Tylko upewnij się, że zawsze możesz go mieć!
Podczas części samouczka dotyczącej instalacji omówimy, jak skonfigurować pakiet zabezpieczeń Bro na serwerze Ubuntu, ponieważ większość ludzi używa tego do swoich potrzeb. Mając to na uwadze, instrukcje instalacji nie są specyficzne dla Ubuntu, a narzędzie Bro może działać na prawie każdym systemie operacyjnym Linux serwera i programista ma instrukcje dla wszystkich głównych dystrybucji.
Skonfiguruj bazę danych GeoIP
Narzędzie bezpieczeństwa sieci Bro potrzebuje bazy danych adresów IP do skanowania w celach bezpieczeństwa, więc przed próbą zainstalowania samego oprogramowania Bro należy pobrać najnowsze pliki baz danych IPv4 i IPv6 GeoIP. Za pomocą narzędzia wget pobierz oba pliki bazy danych do systemu Ubuntu.
wget https://geolite.maxmind.com/download/geoip/database/GeoLiteCity.dat.gz wget https://geolite.maxmind.com/download/geoip/database/GeoLiteCityv6-beta/GeoLiteCityv6.dat.gz
Rozpakuj archiwa GeoIP GZ za pomocą polecenia gzip.
gzip -d GeoLiteCity.dat.gz gzip -d GeoLiteCityv6.dat.gz
Umieść pliki bazy danych GeoIP w folderze / usr / share / GeoIP / w systemie Ubuntu za pomocą polecenia mv.
sudo mv GeoLiteCity.dat /usr/share/GeoIP/GeoIPCity.dat sudo mv GeoLiteCityv6.dat /usr/share/GeoIP/GeoIPCityv6.dat
Zainstaluj Bro
Konfigurowanie narzędzia bezpieczeństwa sieciowego Bro rozpoczyna się od utworzenia katalogu, w którym będzie ono żyć w systemie Ubuntu. Zgodnie z oficjalną dokumentacją ten folder to / opt /.
Instalacja rozpoczyna się od włączenia repozytorium oprogramowania Ubuntu Universe.
sudo add-apt-repository universe
Następnie zaktualizuj indeks pakietów Ubuntu o aktualizację.
sudo apt update
Korzystając z menedżera pakietów Apt, zainstaluj Bro i wszystkie powiązane pakiety z repozytorium Ubuntu Universe.
sudo apt install bro bro-aux bro-common bro-pkg broctl
konfiguracja sieci
Aby korzystać z narzędzia bezpieczeństwa sieciowego Bro, musisz skonfigurować kartę sieciową, z której będzie korzystać aplikacja. Domyślnie aplikacja korzysta z „Eth0”. To urządzenie prawdopodobnie nie będzie odpowiednim urządzeniem sieciowym dla większości ludzi, więc musisz je zmienić, edytując plik node.cfg.
Uwaga: jeśli nie masz pewności, jaki jest twój interfejs sieciowy, możesz go łatwo znaleźć, uruchamiając polecenie ip link.
sudo nano /etc/bro/node.cfg
Następnie naciśnij Ctrl + W, aby rozpocząć funkcję wyszukiwania w Nano. Po otwarciu pola wyszukiwania wpisz „interface = eth0 ″ i naciśnij klawisz Enter na klawiaturze, aby natychmiast przejść do sekcji interfejsu sieciowego w pliku konfiguracyjnym.
Zastąp „eth0” interfejsem sieciowym i zapisz plik konfiguracyjny, naciskając Ctrl + O.
Ustaw zakres adresów IP
Teraz, gdy interfejs sieciowy jest ustawiony na Bro, musisz ustawić zakres IP dla programu do monitorowania. Otwórz plik /etc/bro/networks.cfg w edytorze tekstu Nano.
sudo nano /etc/bro/networks.cfg
Podczas ładowania pliku networks.cfg zobaczysz kilka domyślnych przykładów. Usuń te wartości domyślne i zastąp je adresem IP z karty sieciowej ustawionej wcześniej.
Na przykład:
10.196.1.131/24 2600:1702:3980:a258:6978:ebae:d8:20a1/64
Po ustawieniu informacji o IP zapisz konfigurację w Nano, naciskając Ctrl + O na klawiaturze.
Ustaw domyślny adres e-mail dla Bro
Aplikacja Bro posiada system poczty elektronicznej. Jednak musi być poprawnie ustawiony, aby działał. Aby to ustawić, otwórz /etc/bro/broctl.cfg w Nano.
sudo nano /etc/bro/broctl.cfg
Będąc w Nano, naciśnij Ctrl + W i wpisz „MailTo”, aby przejść do sekcji e-mail w pliku. Następnie dodaj prawidłowy adres e-mail, którego może używać Bro.
Uruchom Bro
Bro musi zostać ulepszona, zanim będziesz mógł z niej korzystać. Uruchom okno terminala i uruchom poniższe polecenie, aby uzyskać dostęp do interfejsu powłoki programu.
sudo broctl
Po wejściu do powłoki użyj go, aby skonfigurować domyślny plik konfiguracyjny dla komputera Ubuntu, uruchamiając polecenie instalacji.
install
Po uruchomieniu polecenia instalacji uruchom usługę za pomocą:
deploy
Następnie wyjdź z powłoki, uruchamiając polecenie exit.
exit
Zatrzymaj br
Musisz wyłączyć Bro? Zaloguj się do powłoki broctl i uruchom:
stop
Użyj Bro
Po długim, żmudnym procesie konfiguracji system bezpieczeństwa Bro jest gotowy i działa na Twoim serwerze Ubuntu. Pozwól mu działać w tle, a automatycznie zarejestruje wszystkie włamania do sieci w / var / log / bro.
Jeśli chcesz monitorować skanowanie w czasie rzeczywistym, wprowadź następujące polecenie tail.
tail -f /var/log/bro/current/conn.log
Alternatywnie, aby wyświetlić uwagi dotyczące bezpieczeństwa, wykonaj następujące czynności:
tail -f /var/log/bro/current/notice.log