Пакет безопасности Bro — это адаптируемая, мощная система обнаружения сетевых вторжений для Linux. Он работает, работая в фоновом режиме, пассивно анализируя и регистрируя трафик.
Приложение имеет множество функций, имеет открытый исходный код, и многие специалисты по безопасности хвалят его за открытый исходный код и эффективность.
Оглавление
Предпосылки
Чтобы использовать инструмент сетевой безопасности Bro, вам понадобится сервер под управлением ОС Linux с не менее 2 ГБ физической памяти.
Примечание: нет выделенного сервера? Не волнуйтесь! Традиционный настольный компьютер под управлением Ubuntu будет работать как минимум с 2 ГБ ОЗУ, и подойдет приличное оборудование! Просто убедитесь, что вы всегда можете его включить!
Во время установки, мы рассмотрим, как настроить пакет безопасности Bro на Ubuntu Server, поскольку это то, что большинство людей используют для своих серверных нужд. С учетом сказанного, инструкции по установке не относятся к Ubuntu, а инструмент Bro может работать практически на любой серверной ОС Linux, и у разработчика есть инструкции для всех основных дистрибутивов.
Настроить базу данных GeoIP
Средству сетевой безопасности Bro требуется база данных IP-адресов для сканирования в целях безопасности, поэтому, прежде чем пытаться установить само программное обеспечение Bro, вам необходимо загрузить последние файлы базы данных IPv4 и IPv6 GeoIP. Используя инструмент wget, загрузите оба файла базы данных в Ubuntu.
wget https://geolite.maxmind.com/download/geoip/database/GeoLiteCity.dat.gz wget https://geolite.maxmind.com/download/geoip/database/GeoLiteCityv6-beta/GeoLiteCityv6.dat.gz
Распакуйте архивы GeoIP GZ с помощью команды gzip.
gzip -d GeoLiteCity.dat.gz gzip -d GeoLiteCityv6.dat.gz
Поместите файлы базы данных GeoIP в папку / usr / share / GeoIP / в Ubuntu с помощью команды mv.
sudo mv GeoLiteCity.dat /usr/share/GeoIP/GeoIPCity.dat sudo mv GeoLiteCityv6.dat /usr/share/GeoIP/GeoIPCityv6.dat
Установить Bro
Настройка инструмента сетевой безопасности Bro начинается с создания каталога, в котором он будет находиться в Ubuntu. Согласно официальной документации, это папка / opt /.
Установка начинается с включения репозитория программного обеспечения Ubuntu Universe.
sudo add-apt-repository universe
Затем обновите индекс пакетов Ubuntu с помощью update.
sudo apt update
Используя диспетчер пакетов Apt, установите Bro и все связанные с ним пакеты из репозитория Ubuntu Universe.
sudo apt install bro bro-aux bro-common bro-pkg broctl
конфигурация сети
Чтобы использовать инструмент сетевой безопасности Bro, вам необходимо настроить сетевую карту для использования приложением. По умолчанию приложение настроено на использование «Eth0». Это устройство, вероятно, не будет подходящим сетевым устройством для большинства людей, поэтому вы должны изменить его, отредактировав файл node.cfg.
Примечание. Если вы не знаете, какой у вас сетевой интерфейс, его легко найти, выполнив команду ip link.
sudo nano /etc/bro/node.cfg
Затем нажмите Ctrl + W, чтобы запустить функцию поиска в Nano. Как только поле поиска откроется, напишите «interface = eth0 ″ и нажмите Enter на клавиатуре, чтобы сразу перейти к разделу сетевого интерфейса файла конфигурации.
Замените «eth0» на свой сетевой интерфейс и сохраните файл конфигурации, нажав Ctrl + O.
Установить диапазон IP
Теперь, когда сетевой интерфейс настроен для Bro, вы должны установить диапазон IP-адресов, который программа будет отслеживать. Откройте файл /etc/bro/networks.cfg в текстовом редакторе Nano.
sudo nano /etc/bro/networks.cfg
Когда вы загрузите файл networks.cfg, вы увидите несколько примеров по умолчанию. Удалите эти значения по умолчанию и замените их IP-адресом сетевой карты, установленным ранее.
Например:
10.196.1.131/24 2600:1702:3980:a258:6978:ebae:d8:20a1/64
Когда IP-информация установлена, сохраните конфигурацию в Nano, нажав Ctrl + O на клавиатуре.
Установить адрес электронной почты по умолчанию для Bro
В приложении Bro есть система электронной почты. Однако для работы он должен быть настроен правильно. Чтобы установить его, откройте /etc/bro/broctl.cfg в Nano.
sudo nano /etc/bro/broctl.cfg
В Nano нажмите Ctrl + W и введите «MailTo», чтобы перейти к разделу электронной почты файла. Затем добавьте действующий адрес электронной почты, который будет использовать Братан.
Запустить братан
Bro нужно настроить, прежде чем вы сможете его использовать. Запустите окно терминала и выполните команду ниже, чтобы получить доступ к интерфейсу оболочки программы.
sudo broctl
Оказавшись в оболочке, используйте ее для настройки файла конфигурации по умолчанию для вашей машины Ubuntu, выполнив команду установки.
install
После выполнения команды установки запустите службу с помощью:
deploy
Затем выйдите из оболочки, запустив exit.
exit
Стоп брат
Нужно выключить Бро? Войдите в оболочку broctl и запустите:
stop
Используйте Bro
После долгого и утомительного процесса настройки система безопасности Bro запущена на вашем сервере Ubuntu. Пусть он работает в фоновом режиме, и он будет автоматически регистрировать все сетевые вторжения в / var / log / bro.
Если вы хотите отслеживать сканирование в режиме реального времени, введите следующую команду tail.
tail -f /var/log/bro/current/conn.log
Кроме того, чтобы просмотреть уведомления о безопасности, выполните следующие действия:
tail -f /var/log/bro/current/notice.log