Bro, o suită de securitate, reprezintă un sistem adaptabil și performant de detecție a intruziunilor în rețea, special conceput pentru mediul Linux. Acesta funcționează în fundal, analizând și înregistrând traficul într-un mod pasiv.
Această aplicație open-source se remarcă prin numeroasele sale funcționalități și este apreciată de comunitatea de securitate pentru caracterul său deschis și eficiența ridicată.
Elemente necesare
Pentru a putea utiliza instrumentul de securitate Bro, este necesar un server care rulează un sistem de operare Linux și care dispune de cel puțin 2 GB de memorie RAM.
Notă: Nu ai un server dedicat? Nu este niciun impediment! Un calculator desktop obișnuit care rulează Ubuntu, cu cel puțin 2 GB de RAM și hardware decent, este perfect adecvat. Asigură-te doar că poate rămâne mereu pornit!
În cadrul acestei prezentări, ne vom concentra pe configurarea suitei de securitate Bro pe Ubuntu Server, deoarece aceasta este platforma preferată de majoritatea utilizatorilor. Totuși, pașii de instalare sunt aplicabili și altor sisteme de operare server Linux, dezvoltatorii oferind instrucțiuni pentru toate distribuțiile importante.
Configurarea bazei de date GeoIP
Instrumentul de securitate Bro necesită o bază de date cu adrese IP pentru a realiza scanarea din motive de securitate. Prin urmare, înainte de instalarea software-ului propriu-zis, este obligatoriu să descarci cele mai recente fișiere de bază de date GeoIP IPv4 și IPv6. Utilizează utilitarul wget pentru a descărca ambele fișiere pe serverul Ubuntu.
wget https://geolite.maxmind.com/download/geoip/database/GeoLiteCity.dat.gz wget https://geolite.maxmind.com/download/geoip/database/GeoLiteCityv6-beta/GeoLiteCityv6.dat.gz
Extrage arhivele GeoIP GZ utilizând comanda gzip.
gzip -d GeoLiteCity.dat.gz gzip -d GeoLiteCityv6.dat.gz
Transferă fișierele bazei de date GeoIP în folderul /usr/share/GeoIP/ de pe Ubuntu, folosind comanda mv.
sudo mv GeoLiteCity.dat /usr/share/GeoIP/GeoIPCity.dat sudo mv GeoLiteCityv6.dat /usr/share/GeoIP/GeoIPCityv6.dat
Instalarea Bro
Configurarea instrumentului de securitate Bro începe prin crearea directorului unde va fi localizat pe Ubuntu. Conform documentației oficiale, acest folder este /opt/.
Instalarea propriu-zisă începe prin activarea depozitului de software Ubuntu Universe.
sudo add-apt-repository universe
Actualizează indexul pachetelor Ubuntu cu ajutorul comenzii update.
sudo apt update
Utilizând managerul de pachete Apt, instalează Bro și toate pachetele conexe din depozitul Ubuntu Universe.
sudo apt install bro bro-aux bro-common bro-pkg broctl
Configurarea rețelei
Pentru a utiliza instrumentul de securitate Bro, este necesară configurarea unei plăci de rețea pe care aplicația să o folosească. În mod implicit, aplicația este setată să utilizeze „Eth0”. Este posibil ca acest dispozitiv să nu fie corect pentru majoritatea utilizatorilor, așa că este necesară modificarea prin editarea fișierului node.cfg.
Notă: Dacă nu ești sigur care este interfața ta de rețea, o poți afla ușor rulând comanda ip link.
sudo nano /etc/bro/node.cfg
Apoi, apasă Ctrl + W pentru a activa funcția de căutare în Nano. În caseta de căutare, introdu „interface=eth0” și apasă Enter pentru a naviga rapid la secțiunea de interfață de rețea din fișierul de configurare.
Înlocuiește „eth0” cu interfața ta de rețea corectă și salvează fișierul de configurare apăsând Ctrl + O.
Stabilirea intervalului IP
După configurarea interfeței de rețea pentru Bro, este necesar să definești intervalul IP pe care programul îl va monitoriza. Deschide fișierul /etc/bro/networks.cfg cu editorul de text Nano.
sudo nano /etc/bro/networks.cfg
La încărcarea fișierului networks.cfg, vei observa câteva exemple predefinite. Șterge aceste valori și înlocuiește-le cu adresele IP corespunzătoare plăcii de rețea configurate anterior.
De exemplu:
10.196.1.131/24 2600:1702:3980:a258:6978:ebae:d8:20a1/64
După configurarea informațiilor IP, salvează configurația în Nano apăsând Ctrl + O.
Setarea adresei de e-mail implicite pentru Bro
Aplicația Bro dispune de un sistem de e-mail. Cu toate acestea, trebuie configurat corect pentru a funcționa. Pentru a realiza acest lucru, deschide fișierul /etc/bro/broctl.cfg cu Nano.
sudo nano /etc/bro/broctl.cfg
În Nano, apasă Ctrl + W și introdu „MailTo” pentru a naviga rapid la secțiunea de e-mail din fișier. Adaugă o adresă de e-mail validă pe care Bro o va utiliza.
Pornirea Bro
Bro trebuie ajustat înainte de a fi utilizat. Deschide o fereastră de terminal și rulează comanda de mai jos pentru a accesa interfața shell a programului.
sudo broctl
Odată ajuns în shell, utilizează-l pentru a configura fișierul de configurare implicit pentru mașina ta Ubuntu, executând comanda install.
install
După rularea comenzii de instalare, pornește serviciul cu:
deploy
Ieși din shell executând comanda Exit.
exit
Oprirea Bro
Dorești să dezactivezi Bro? Conectează-te în shell-ul broctl și rulează:
stop
Utilizarea Bro
După acest proces lung și detaliat de configurare, sistemul de securitate Bro este activ și funcțional pe serverul Ubuntu. Lasă-l să ruleze în fundal și va înregistra automat toate intruziunile în rețea în /var/log/bro.
Pentru a monitoriza scanarea în timp real, introdu următoarea comandă de coadă.
tail -f /var/log/bro/current/conn.log
Alternativ, pentru a vizualiza notificările de securitate, execută:
tail -f /var/log/bro/current/notice.log