Instalando Bro IDS en Fedora 25

• Introducción
• Prerrequisitos
• Paso 1: actualiza el sistema
• Paso 2: instalar dependencias
• Paso 3: instalar Bro IDS
• Paso 4: Configurar Bro IDS
• Paso 5: Inicie BroCtl
• Paso 5: prueba tu instalación

Introducción

Bro es un analizador de tráfico de red de código abierto. Es principalmente un monitor de seguridad que inspecciona todo el tráfico en un enlace en profundidad en busca de signos de actividad sospechosa. Sin embargo, en términos más generales, Bro admite una amplia gama de tareas de análisis de tráfico incluso fuera del dominio de seguridad, incluidas las mediciones de rendimiento y la ayuda con la resolución de problemas.

Prerrequisitos

Antes de instalar Bro, deberá asegurarse de que existan algunas dependencias:

Dependencias requeridas

• Libpcap
• Bibliotecas OpenSSL
• Biblioteca BIND8
• Libz
• Bash (para BroControl)
• Python 2.6+ o superior (para BroControl)

No Sendmailes obligatorio, pero se recomienda encarecidamente.

Paso 1: actualiza el sistema

Antes de instalar cualquier paquete, se recomienda actualizar los paquetes del sistema. Ejecutar el comando dnf --assumeyes update. Esto descargará e instalará las últimas versiones de los paquetes del sistema. El administrador de paquetes responderá automáticamente sí a las indicaciones ofrecidas. Puede llevar algo de tiempo.

Paso 2: instalar dependencias

Deberá instalar los paquetes necesarios en su sistema. Ejecute el siguiente comando: dnf --assumeyes install libpcap openssl python zlib sendmail

Paso 3: instalar Bro IDS

Ejecutar comando dnf install --assumeyes bro Este comando se instalará broen el /bindirectorio. Y ahora vamos a configurarlo.

Paso 4: Configurar Bro IDS

Crear carpetas: mkdir -p /var/log/broymkdir -p /var/spool

Configurar el archivo node.cfg

Desde la interfaz de Fedora 2x denominación fue cambiada, por lo que vamos a averiguar el nombre del iface actual:
ls /sys/class/net. La salida debe ser similar a la siguiente: ens3 loo esta otra: eth0 lo. En el primer caso estamos interesados ​​en el ens3nombre de la interfaz, en el segundo - eth0. Asumamos que tenemos ens3.

Ahora, examine el archivo /etc/bro/node.cfg. Orden de marcha less /etc/bro/node.cfg. En la línea 11 hay especificación de interfaz de red:
interface=eth0. Si su nombre es iface eth0, deje el archivo sin cambios y continúe con el siguiente paso. De lo contrario, cámbielo con ens3. Para que ejecute este comando: sed -i 's/eth0/ens3'. La opción -isignifica cambiar el archivo en el lugar. ssustituirá el valor encerrado entre la primera y la segunda barra inclinada por el valor entre la segunda y la tercera.

Configurar el archivo broctl.cfg

Agregue variables al archivo de configuración:
echo "LibDirInternal = /usr/lib/python2.7/site-packages/BroControl/" >> /etc/bro/broctl.cfg
echo "SpoolDir = /var/spool" >> /etc/bro/broctl.cfg
echo "LogDir = /var/log/bro" >> /etc/bro/broctl.cfg
echo "CfgDir = /etc/bro" >> /etc/bro/broctl.cfg

Paso 5: Inicie BroCtl

Ahora podemos implementar nuestro nodo configurado y comenzar a registrar:

Orden de marcha broctl deploy. Verás resultados como este:

cannot get list of local IP addresses
checking configurations ...
installing ...
removing old policies in /var/spool/installed-scripts-do-not-touch/site ...
removing old policies in /var/spool/installed-scripts-do-not-touch/auto ...
creating policy directories ...
installing site policies ...
generating standalone-layout.bro ...
generating local-networks.bro ...
generating broctl-config.bro ...
generating broctl-config.sh ...
updating nodes ...
stopping ...
stopping bro ...
starting ...
starting bro ...

Si no obtuvo ningún error, se implementa bro.

Paso 5: prueba tu instalación

Ahora vamos a ver los registros: ls -la /var/log/bro. La salida debería ser similar a esta:

total 12
drwxr-xr-x 3 root root 4096 Jun 13 10:11 .
drwxr-xr-x 1 root root 4096 Jun 13 10:04 ..
drwxr-xr-x 2 root root 4096 Jun 13 10:11 2017-06-13
lrwxrwxrwx 1 root root   14 Jun 13 10:11 current -> /var/spool/bro

Ejecute este comando para seguir los registros: tail -f /var/log/bro/current/conn.logy consulte su IP desde el navegador.
Si todo se configuró correctamente, verá mensajes de registro.

¡Disfrutar!