Instalowanie Bro IDS na Fedorze 25

• Wprowadzenie
• Wymagania wstępne
• Krok 1: Zaktualizuj system
• Krok 2: zainstaluj zależności
• Krok 3: Zainstaluj Bro IDS
• Krok 4: Skonfiguruj Bro IDS
• Krok 5: Uruchom BroCtl
• Krok 5: Przetestuj swoją instalację

Wprowadzenie

Bro jest analizatorem ruchu sieciowego typu open source. Jest to przede wszystkim monitor bezpieczeństwa, który dogłębnie sprawdza cały ruch na łączu pod kątem podejrzanych działań. Mówiąc bardziej ogólnie, Bro obsługuje szeroki zakres zadań analizy ruchu nawet poza domeną bezpieczeństwa, w tym pomiary wydajności i pomoc w rozwiązywaniu problemów.

Wymagania wstępne

Przed zainstalowaniem Bro musisz upewnić się, że istnieją pewne zależności:

Wymagane zależności

• Libpcap
• Biblioteki OpenSSL
• Biblioteka BIND8
• Libz
• Bash (dla BroControl)
• Python 2.6+ lub nowszy (dla BroControl)

Nie Sendmailjest wymagane, ale zdecydowanie zalecane.

Krok 1: Zaktualizuj system

Przed zainstalowaniem jakichkolwiek pakietów zaleca się aktualizację pakietów systemowych. Uruchom polecenie dnf --assumeyes update. Spowoduje to pobranie i zainstalowanie najnowszych wersji pakietów systemowych. Menedżer pakietów automatycznie odpowie „tak” na oferowane monity. To może zająć trochę czasu.

Krok 2: zainstaluj zależności

Musisz zainstalować wymagane pakiety w systemie. Uruchom następujące polecenie: dnf --assumeyes install libpcap openssl python zlib sendmail

Krok 3: Zainstaluj Bro IDS

Uruchom polecenie dnf install --assumeyes bro To polecenie zostanie zainstalowane brow /binkatalogu. A teraz skonfigurujmy to.

Krok 4: Skonfiguruj Bro IDS

Utwórz foldery: mkdir -p /var/log/broimkdir -p /var/spool

Konfigurowanie pliku node.cfg

Ponieważ Fedora 2x interfejs nazewnictwo zostało zmienione, tak Przekonajmy się obecną nazwę iface:
ls /sys/class/net. Wynik powinien być podobny do tego: ens3 loczy ten: eth0 lo. W pierwszym przypadku interesuje nas ens3nazwa interfejsu, w drugim - eth0. Załóżmy, że mamy ens3.

Teraz sprawdź plik /etc/bro/node.cfg. Uruchom polecenie less /etc/bro/node.cfg. Na linii 11 jest specyfikacja interfejsu sieciowego:
interface=eth0. Jeśli masz nazwę iface eth0- pozwól plikowi bez zmian i przejdź do następnego kroku. W przeciwnym razie zmień za pomocą ens3. W tym celu uruchom następujące polecenie: sed -i 's/eth0/ens3'. Opcja -ioznacza zmianę pliku w miejscu. szastąpi wartość zawartą między pierwszym i drugim ukośnikiem wartością między drugim a trzecim.

Konfigurowanie pliku broctl.cfg

Dodaj zmienne do pliku konfiguracyjnego:
echo "LibDirInternal = /usr/lib/python2.7/site-packages/BroControl/" >> /etc/bro/broctl.cfg
echo "SpoolDir = /var/spool" >> /etc/bro/broctl.cfg
echo "LogDir = /var/log/bro" >> /etc/bro/broctl.cfg
echo "CfgDir = /etc/bro" >> /etc/bro/broctl.cfg

Krok 5: Uruchom BroCtl

Teraz możemy wdrożyć nasz skonfigurowany węzeł i rozpocząć rejestrowanie:

Uruchom polecenie broctl deploy. Zobaczysz takie dane wyjściowe:

cannot get list of local IP addresses
checking configurations ...
installing ...
removing old policies in /var/spool/installed-scripts-do-not-touch/site ...
removing old policies in /var/spool/installed-scripts-do-not-touch/auto ...
creating policy directories ...
installing site policies ...
generating standalone-layout.bro ...
generating local-networks.bro ...
generating broctl-config.bro ...
generating broctl-config.sh ...
updating nodes ...
stopping ...
stopping bro ...
starting ...
starting bro ...

Jeśli nie wystąpiły żadne błędy - bro jest wdrażane.

Krok 5: Przetestuj swoją instalację

Teraz spójrzmy na dziennikach: ls -la /var/log/bro. Dane wyjściowe powinny być podobne do tego:

total 12
drwxr-xr-x 3 root root 4096 Jun 13 10:11 .
drwxr-xr-x 1 root root 4096 Jun 13 10:04 ..
drwxr-xr-x 2 root root 4096 Jun 13 10:11 2017-06-13
lrwxrwxrwx 1 root root   14 Jun 13 10:11 current -> /var/spool/bro

Uruchom to polecenie, aby ogonić dzienniki: tail -f /var/log/bro/current/conn.logi prześlij zapytanie do ip z przeglądarki.
Jeśli wszystko zostało poprawnie skonfigurowane, zobaczysz komunikaty dziennika.

Cieszyć się!