Instalando o Bro IDS no Ubuntu 16.04

• Introdução
• Pré-requisitos
• Etapa 1: atualizar o sistema
• Etapa 2: instalar dependências
• Etapa 3: Instalar Bro
• Etapa 4: Configurar Bro
• Etapa 5: iniciar o Bro
• Etapa 6: Testando o Bro

Introdução

Bro é uma poderosa estrutura de análise de rede de código aberto. O foco principal de Bro é o monitoramento de segurança de rede. O Bro também fornece uma plataforma para análise geral de tráfego, bem como assistência na solução de problemas e medições de desempenho. Ele oferece extensos arquivos de log que incluem uma vasta gama de dados em arquivos de log bem estruturados, adequados para pós-processamento com aplicativos externos. Esses logs incluem:

• Todas as sessões HTTP com seus URLs solicitados, cabeçalhos de chave, tipos MIME e respostas do servidor.
• Solicitações de DNS com respostas.
• Conteúdo principal das sessões SMTP.
• Certificados SSL.

O Bro também oferece uma variedade de tarefas de análise e detecção, como:

• Extraindo arquivos de sessões HTTP.
• Detectando ataques de força bruta SSH.
• Detectando malware através da interface com registros externos.
• Relatar versões vulneráveis ​​de software vistas na rede.
• Detecte ataques de injeção SQL.

O Bro pode ser instalado como um sistema independente ou como parte de um Bro Cluster que vincula um conjunto de sistemas para analisar conjuntamente o tráfego de uma rede. Neste tutorial, instalaremos o Bro da fonte no modo autônomo.

Pré-requisitos

• Uma instância do Ubuntu 16.04 com pelo menos 1 GB de memória.
• Um usuário sudo não raiz.

Etapa 1: atualizar o sistema

Antes de iniciar nossa instalação, é recomendável que você atualize seu sistema.

sudo apt-get update
sudo apt-get upgrade

Etapa 2: instalar dependências

Em seguida, precisaremos instalar todos os pacotes necessários no seu servidor.

sudo apt-get install cmake make gcc g++ flex bison libpcap-dev libssl-dev python-dev swig zlib1g-dev sendmail sendmail-bin

Etapa 3: Instalar Bro

Em seguida, instalaremos o Bro 2.5.2 a partir da fonte. Visite a página de download do Bro para garantir que você esteja usando a versão mais recente.

sudo mkdir -p /nsm/bro
cd ~
wget https://www.bro.org/downloads/bro-2.5.2.tar.gz
tar -xvzf bro-2.5.2.tar.gz
cd bro-2.5.2
./configure --prefix=/nsm/bro
make
sudo make install
export PATH=/nsm/bro/bin:$PATH

Etapa 4: Configurar Bro

Primeiro, diremos ao Bro qual interface gostaríamos de monitorar. Isso é feito ao editar o arquivo de configuração /nsm/bro/etc/node.cfg.

sudo nano /nsm/bro/etc/node.cfg

Encontre a linha interface=eth0e altere-a para sua interface.

interface=ens3

Você pode encontrar qual interface está usando com o seguinte.

ifconfig

Em seguida, precisaremos informar ao Bro para onde enviar o email de log adicionando seu endereço de email /nsm/bro/etc/broctl.cfg.

sudo nano /nsm/bro/etc/broctl.cfg

Encontre a MailTolinha e adicione seu endereço de email.

MailTo = [email protected]

Etapa 5: iniciar o Bro

O Bro começou a usar BroControl, o qual precisaremos instalar.

sudo /nsm/bro/bin/broctl
install
exit

Agora você pode iniciar o Bro.

sudo /nsm/bro/bin/broctl deploy

Em seguida, definiremos o Bro para executar na inicialização, adicionando-o a /etc/rc.local.

sudo nano /etc /rc.local

Adicione a seguinte linha, feche e salve o arquivo.

/nsm/bro/bin/broctl start

Em seguida, adicionaremos um trabalho cron.

crontab -e

Adicione o seguinte para manter o Bro.

0-59/5 * * * * /nsm/bro/bin/broctl cron

Etapa 6: Testando o Bro

Para testar o Bro, visualizaremos o conn.logarquivo em tempo real usando tail.

tail -f /nsm/bro/logs/current/conn.log

Você poderá ver a saída do Bro à medida que é impressa no seu terminal.