Instalarea Bro IDS pe Ubuntu 16.04

• Introducere
• Cerințe preliminare
• Pasul 1: Actualizare sistem
• Pasul 2: Instalează dependențe
• Pasul 3: Instalați Bro
• Pasul 4: Configurați Bro
• Pasul 5: Lansați Bro
• Pasul 6: Testarea lui Bro

Introducere

Bro este un cadru puternic de analiză a rețelei open-source. Principala atenție a lui Bro se pune pe monitorizarea securității rețelei. De asemenea, Bro oferă o platformă pentru analiza generală a traficului, precum și asistență la trageri de probleme și măsurători de performanță. Acesta oferă fișiere jurnal extinse care includ o gamă vastă de date în fișiere jurnal bine structurate, potrivite pentru post-procesare cu aplicații externe. Aceste jurnale includ:

• Toate sesiunile HTTP cu adresele URL solicitate, anteturile cheilor, tipurile MIME și răspunsurile serverului.
• Cereri DNS cu răspunsuri.
• Conținutul cheie al sesiunilor SMTP.
• Certificate SSL.

De asemenea, Bro oferă o serie de sarcini de analiză și detectare, cum ar fi:

• Extragerea fișierelor din sesiunile HTTP.
• Detectarea atacurilor cu forțe brute ale SSH.
• Detectarea malware prin interfațarea cu registrele externe.
• Raportarea versiunilor vulnerabile de software văzute în rețea.
• Detectați atacurile de injecție SQL.

Bro poate fi instalat ca un sistem autonom sau ca parte a unui cluster Bro care leagă un set de sisteme pentru a analiza în comun traficul unei rețele. În acest tutorial vom instala Bro de la sursă în regim autonom.

Cerințe preliminare

• O instanță Ubuntu 16.04 cu cel puțin 1 GB memorie.
• Un utilizator sudo non-root.

Pasul 1: Actualizare sistem

Înainte de a începe instalarea noastră, vă recomandăm să actualizați sistemul.

sudo apt-get update
sudo apt-get upgrade

Pasul 2: Instalează dependențe

În continuare, va trebui să instalăm toate pachetele necesare pe serverul dvs.

sudo apt-get install cmake make gcc g++ flex bison libpcap-dev libssl-dev python-dev swig zlib1g-dev sendmail sendmail-bin

Pasul 3: Instalați Bro

În continuare vom instala Bro 2.5.2 de la sursă. Accesați pagina de descărcare a lui Bro pentru a vă asigura că utilizați cea mai recentă versiune.

sudo mkdir -p /nsm/bro
cd ~
wget https://www.bro.org/downloads/bro-2.5.2.tar.gz
tar -xvzf bro-2.5.2.tar.gz
cd bro-2.5.2
./configure --prefix=/nsm/bro
make
sudo make install
export PATH=/nsm/bro/bin:$PATH

Pasul 4: Configurați Bro

Mai întâi vom spune lui Bro ce interfață am dori să monitorizăm. Acest lucru se face cu editarea fișierului de configurare /nsm/bro/etc/node.cfg.

sudo nano /nsm/bro/etc/node.cfg

Găsiți linia interface=eth0și schimbați-o în interfața dvs.

interface=ens3

Puteți găsi ce interfață utilizați cu următoarele.

ifconfig

În continuare, va trebui să-i spunem lui Bro unde să trimiteți e-mailul de jurnal adăugând adresa de e-mail la /nsm/bro/etc/broctl.cfg.

sudo nano /nsm/bro/etc/broctl.cfg

Găsiți MailTolinia și adăugați adresa de e-mail.

MailTo = [email protected]

Pasul 5: Lansați Bro

Bro începe să folosească BroControl, pe care va trebui să-l instalăm.

sudo /nsm/bro/bin/broctl
install
exit

Acum poți începe Bro.

sudo /nsm/bro/bin/broctl deploy

În continuare, vom seta Bro să ruleze la pornire adăugându-l la /etc/rc.local.

sudo nano /etc /rc.local

Adăugați următoarea linie, apoi închideți și salvați fișierul.

/nsm/bro/bin/broctl start

În continuare vom adăuga o lucrare cron.

crontab -e

Adăugați următoarele pentru a menține Bro.

0-59/5 * * * * /nsm/bro/bin/broctl cron

Pasul 6: Testarea lui Bro

Pentru a testa Bro, vom vedea conn.logfișierul în timp real folosind tail.

tail -f /nsm/bro/logs/current/conn.log

Veți putea vedea ieșirea de la Bro așa cum este tipărit pe terminal.