Suita de securitate Bro este un sistem adaptabil, puternic, de detectare a intruziunilor în rețea pentru Linux. Funcționează rulând în fundal, analizând și înregistrând traficul pasiv.
Aplicația are multe caracteristici, este open source și este lăudată de mulți din comunitatea de securitate pentru natura și eficiența sa open source.
Cuprins
Cerințe preliminare
Pentru a utiliza instrumentul de securitate al rețelei Bro, veți avea nevoie de un server care rulează un sistem de operare Linux care are cel puțin 2 GB de memorie RAM fizică.
Notă: nu aveți un server dedicat? Nu-ți face griji! Un computer desktop tradițional care rulează Ubuntu va funcționa cu cel puțin 2 GB de RAM, iar hardware-ul decent va funcționa! Doar asigurați-vă că îl puteți păstra mereu!
În timpul porțiunii de instalare a tutorialului, vom analiza cum să configurați suita de securitate Bro pe Ubuntu Server, deoarece asta este ceea ce folosesc majoritatea oamenilor pentru nevoile serverului lor. Acestea fiind spuse, instrucțiunile de instalare nu sunt specifice pentru Ubuntu, iar instrumentul Bro poate rula pe aproape orice sistem de operare de server Linux și dezvoltatorul are instrucțiuni pentru toate distribuțiile majore.
Configurați baza de date GeoIP
Instrumentul de securitate al rețelei Bro are nevoie de o bază de date cu adrese IP pe care să le scanați din motive de securitate, așa că, înainte de a încerca să instalați software-ul Bro în sine, va trebui să descărcați cele mai recente fișiere de baze de date GeoIP IPv4 și IPv6. Folosind instrumentul wget, descărcați ambele fișiere de bază de date în Ubuntu.
wget https://geolite.maxmind.com/download/geoip/database/GeoLiteCity.dat.gz wget https://geolite.maxmind.com/download/geoip/database/GeoLiteCityv6-beta/GeoLiteCityv6.dat.gz
Extrageți arhivele GeoIP GZ cu comanda gzip.
gzip -d GeoLiteCity.dat.gz gzip -d GeoLiteCityv6.dat.gz
Puneți fișierele bazei de date GeoIP în folderul /usr/share/GeoIP/ de pe Ubuntu folosind comanda mv.
sudo mv GeoLiteCity.dat /usr/share/GeoIP/GeoIPCity.dat sudo mv GeoLiteCityv6.dat /usr/share/GeoIP/GeoIPCityv6.dat
Instalează Bro
Configurarea instrumentului de securitate al rețelei Bro începe prin crearea directorului în care va locui pe Ubuntu. Conform documentației oficiale, acest folder este /opt/.
Instalarea începe prin activarea depozitului de software Ubuntu Universe.
sudo add-apt-repository universe
Apoi, actualizați indexul pachetelor Ubuntu cu actualizare.
sudo apt update
Folosind managerul de pachete Apt, instalați Bro și toate pachetele asociate acestuia din depozitul Ubuntu Universe.
sudo apt install bro bro-aux bro-common bro-pkg broctl
Configurarea Rețelei
Pentru a utiliza instrumentul de securitate al rețelei Bro, va trebui să configurați o placă de rețea pe care să o utilizeze aplicația. În mod implicit, aplicația este setată să folosească „Eth0”. Este posibil ca acest dispozitiv să nu fie dispozitivul de rețea corect pentru majoritatea oamenilor, așa că trebuie să îl schimbați prin editarea fișierului node.cfg.
Notă: Dacă nu sunteți sigur care este interfața dvs. de rețea, este ușor de găsit rulând comanda ip link.
sudo nano /etc/bro/node.cfg
Apoi, apăsați Ctrl + W pentru a porni funcția de căutare în Nano. Odată ce caseta de căutare este deschisă, scrieți „interface=eth0″ și apăsați Enter de pe tastatură pentru a sări imediat la secțiunea de interfață de rețea a fișierului de configurare.
Înlocuiți „eth0” cu interfața de rețea și salvați fișierul de configurare apăsând Ctrl + O.
Setați intervalul IP
Acum că interfața de rețea este setată pentru Bro, trebuie să setați intervalul IP pentru programul de monitorizat. Deschideți fișierul /etc/bro/networks.cfg în editorul de text Nano.
sudo nano /etc/bro/networks.cfg
Pe măsură ce încărcați fișierul networks.cfg, veți vedea câteva exemple implicite. Ștergeți aceste valori implicite și înlocuiți-le cu adresa IP de pe placa de rețea setata mai devreme.
De exemplu:
10.196.1.131/24 2600:1702:3980:a258:6978:ebae:d8:20a1/64
Când informațiile IP sunt setate, salvați configurația în Nano apăsând Ctrl + O de pe tastatură.
Setați adresa de e-mail implicită pentru Bro
Aplicația Bro are un sistem de e-mail. Cu toate acestea, trebuie setat corect pentru a funcționa. Pentru a-l seta, deschideți /etc/bro/broctl.cfg în Nano.
sudo nano /etc/bro/broctl.cfg
Odată ajuns în Nano, apăsați Ctrl + W și introduceți „MailTo” pentru a sări la secțiunea de e-mail a fișierului. Apoi, adăugați o adresă de e-mail validă pe care să o utilizeze Bro.
Porniți frate
Bro trebuie să fie ajustat înainte de a-l putea folosi. Lansați o fereastră de terminal și rulați comanda de mai jos pentru a accesa interfața shell a programului.
sudo broctl
Odată ajuns în shell, utilizați-l pentru a configura fișierul de configurare implicit pentru mașina dvs. Ubuntu, rulând comanda de instalare.
install
După ce rulați comanda de instalare, porniți serviciul cu:
deploy
Apoi, ieșiți din shell rulând Exit.
exit
Opreste frate
Trebuie să dezactivezi frate? Conectați-vă în shell-ul broctl și rulați:
stop
Folosește Bro
După un proces lung, plictisitor, de configurare, sistemul de securitate Bro este activ și rulează pe serverul Ubuntu. Lăsați-l să ruleze în fundal și va înregistra automat toate intruziunile în rețea în /var/log/bro.
Dacă doriți să monitorizați scanarea în timp real, introduceți următoarea comandă de coadă.
tail -f /var/log/bro/current/conn.log
Ca alternativă, pentru a vizualiza notificările de securitate, faceți:
tail -f /var/log/bro/current/notice.log