Установка Bro IDS в Ubuntu 16.04

• Вступление
• Предпосылки
• Шаг 1: Обновление системы
• Шаг 2: Установите зависимости
• Шаг 3: Установите Bro
• Шаг 4: Настройте братан
• Шаг 5: Запусти Бро
• Шаг 6: Тестирование Бро

Вступление

Bro - это мощная платформа сетевого анализа с открытым исходным кодом. Основной задачей Бро является мониторинг безопасности сети. Bro также предоставляет платформу для общего анализа трафика, а также помощи в устранении неполадок и измерения производительности. Он предлагает обширные файлы журналов, которые включают обширный массив данных в хорошо структурированных файлах журналов, пригодных для последующей обработки во внешних приложениях. Эти журналы включают в себя:

• Все сеансы HTTP с запрошенными URL-адресами, ключевыми заголовками, типами MIME и ответами сервера.
• DNS-запросы с ответами.
• Ключевое содержание SMTP-сессий.
• SSL сертификаты.

Бро также предлагает ряд задач анализа и обнаружения, таких как:

• Извлечение файлов из HTTP-сессий.
• Обнаружение SSH атак грубой силы.
• Обнаружение вредоносных программ путем взаимодействия с внешними реестрами.
• Сообщение об уязвимых версиях программного обеспечения, замеченного в сети.
• Обнаружение SQL-инъекций.

Bro может быть установлен как автономная система или как часть Bro Cluster, которая связывает набор систем для совместного анализа трафика сети. В этом уроке мы будем устанавливать Bro из исходного кода в автономном режиме.

Предпосылки

• Экземпляр Ubuntu 16.04 с минимум 1 ГБ памяти.
• Пользователь без полномочий root.

Шаг 1: Обновление системы

Перед началом установки рекомендуется обновить систему.

sudo apt-get update
sudo apt-get upgrade

Шаг 2: Установите зависимости

Далее нам нужно будет установить все необходимые пакеты на ваш сервер.

sudo apt-get install cmake make gcc g++ flex bison libpcap-dev libssl-dev python-dev swig zlib1g-dev sendmail sendmail-bin

Шаг 3: Установите Bro

Далее мы установим Bro 2.5.2 из исходного кода. Посетите страницу загрузки Bro, чтобы убедиться, что вы используете последнюю сборку.

sudo mkdir -p /nsm/bro
cd ~
wget https://www.bro.org/downloads/bro-2.5.2.tar.gz
tar -xvzf bro-2.5.2.tar.gz
cd bro-2.5.2
./configure --prefix=/nsm/bro
make
sudo make install
export PATH=/nsm/bro/bin:$PATH

Шаг 4: Настройте братан

Сначала мы скажем Bro, какой интерфейс мы хотели бы контролировать. Это делается путем редактирования файла конфигурации /nsm/bro/etc/node.cfg.

sudo nano /nsm/bro/etc/node.cfg

Найдите строку interface=eth0и измените ее на свой интерфейс.

interface=ens3

Вы можете найти, какой интерфейс вы используете, с помощью следующего.

ifconfig

Затем нам нужно будет сказать брату, куда отправить электронное письмо, добавив свой адрес электронной почты /nsm/bro/etc/broctl.cfg.

sudo nano /nsm/bro/etc/broctl.cfg

Найдите MailToстроку и добавьте свой адрес электронной почты.

MailTo = [email protected]

Шаг 5: Запусти Бро

Бро начал использовать BroControl, который нам нужно будет установить.

sudo /nsm/bro/bin/broctl
install
exit

Теперь вы можете начать братан.

sudo /nsm/bro/bin/broctl deploy

Далее мы настроим Bro на запуск при добавлении /etc/rc.local.

sudo nano /etc /rc.local

Добавьте следующую строку, затем закройте и сохраните файл.

/nsm/bro/bin/broctl start

Далее мы добавим работу cron.

crontab -e

Добавьте следующее, чтобы сохранить Bro.

0-59/5 * * * * /nsm/bro/bin/broctl cron

Шаг 6: Тестирование Бро

Чтобы проверить Bro, мы будем просматривать conn.logфайл в режиме реального времени, используя tail.

tail -f /nsm/bro/logs/current/conn.log

Вы сможете увидеть вывод Bro, как он распечатан на вашем терминале.