Installation de Bro IDS sur Fedora 25

• introduction
• Conditions préalables
• Étape 1: mettre à jour le système
• Étape 2: installer les dépendances
• Étape 3: installer Bro IDS
• Étape 4: configurer Bro IDS
• Étape 5: Lancez BroCtl
• Étape 5: Testez votre installation

introduction

Bro est un analyseur de trafic réseau open source. Il s'agit principalement d'un moniteur de sécurité qui inspecte en profondeur tout le trafic sur une liaison pour détecter des signes d'activité suspecte. Plus généralement, cependant, Bro prend en charge un large éventail de tâches d'analyse du trafic, même en dehors du domaine de la sécurité, y compris les mesures de performances et l'aide au dépannage.

Conditions préalables

Avant d'installer Bro, vous devrez vous assurer que certaines dépendances sont en place:

Dépendances requises

• Libpcap
• Bibliothèques OpenSSL
• Bibliothèque BIND8
• Libz
• Bash (pour BroControl)
• Python 2.6+ ou supérieur (pour BroControl)

Ce Sendmailn'est pas obligatoire, mais fortement recommandé.

Étape 1: mettre à jour le système

Avant d'installer des packages, il est recommandé de mettre à jour les packages système. Exécutez la commande dnf --assumeyes update. Cela va télécharger et installer les dernières versions des packages système. Le gestionnaire de paquets répondra automatiquement oui aux invites proposées. Cela peut prendre un certain temps.

Étape 2: installer les dépendances

Vous devrez installer les packages requis sur votre système. Exécutez la commande suivante: dnf --assumeyes install libpcap openssl python zlib sendmail

Étape 3: installer Bro IDS

Exécuter la commande dnf install --assumeyes bro Cette commande sera installée brodans le /binrépertoire. Et maintenant, configurons-le.

Étape 4: configurer Bro IDS

Créer des dossiers: mkdir -p /var/log/broetmkdir -p /var/spool

Configuration du fichier node.cfg

Depuis nommage d'interface Fedora 2x a été modifiée, de sorte Découvrons nom actuel iface:
ls /sys/class/net. La production devrait être similaire à celui - ci: ens3 loou celui - ci: eth0 lo. Dans le premier cas, nous nous intéressons au ens3nom de l'interface, dans le second - eth0. Supposons que nous l'avons ens3.

Maintenant, examinez le fichier /etc/bro/node.cfg. Exécuter la commande less /etc/bro/node.cfg. Sur la ligne 11 , il est spécification d'interface réseau:
interface=eth0. Si votre nom iface est eth0- laissez le fichier sans modifications et passez à l'étape suivante. Sinon - changez-le avec ens3. Pour cela exécuter cette commande: sed -i 's/eth0/ens3'. Option -isignifie changer le fichier sur place. sremplacera la valeur entre les première et deuxième barres obliques par la valeur entre la deuxième et la troisième.

Configuration du fichier broctl.cfg

Ajoutez des variables au fichier de configuration:
echo "LibDirInternal = /usr/lib/python2.7/site-packages/BroControl/" >> /etc/bro/broctl.cfg
echo "SpoolDir = /var/spool" >> /etc/bro/broctl.cfg
echo "LogDir = /var/log/bro" >> /etc/bro/broctl.cfg
echo "CfgDir = /etc/bro" >> /etc/bro/broctl.cfg

Étape 5: Lancez BroCtl

Nous pouvons maintenant déployer notre nœud configuré et commencer la journalisation:

Exécuter la commande broctl deploy. Vous verrez une sortie comme celle-ci:

cannot get list of local IP addresses
checking configurations ...
installing ...
removing old policies in /var/spool/installed-scripts-do-not-touch/site ...
removing old policies in /var/spool/installed-scripts-do-not-touch/auto ...
creating policy directories ...
installing site policies ...
generating standalone-layout.bro ...
generating local-networks.bro ...
generating broctl-config.bro ...
generating broctl-config.sh ...
updating nodes ...
stopping ...
stopping bro ...
starting ...
starting bro ...

Si vous n'avez pas eu d'erreurs - bro est déployé.

Étape 5: Testez votre installation

Maintenant , nous allons regarder les journaux: ls -la /var/log/bro. La sortie doit être similaire à celle-ci:

total 12
drwxr-xr-x 3 root root 4096 Jun 13 10:11 .
drwxr-xr-x 1 root root 4096 Jun 13 10:04 ..
drwxr-xr-x 2 root root 4096 Jun 13 10:11 2017-06-13
lrwxrwxrwx 1 root root   14 Jun 13 10:11 current -> /var/spool/bro

Exécutez cette commande pour suivre les journaux: tail -f /var/log/bro/current/conn.loget interrogez votre adresse IP à partir du navigateur.
Si tout a été configuré correctement, vous verrez des messages de journal.

Prendre plaisir!