การติดตั้ง Bro IDS บน Fedora 25

• บทนำ
• ข้อกำหนดเบื้องต้น
• ขั้นตอนที่ 1: อัปเดตระบบ
• ขั้นตอนที่ 2: ติดตั้งการพึ่งพา
• ขั้นตอนที่ 3: ติดตั้ง Bro IDS
• ขั้นตอนที่ 4: กำหนดค่า Bro IDS
• ขั้นตอนที่ 5: เปิดใช้ BroCtl
• ขั้นตอนที่ 5: ทดสอบการติดตั้งของคุณ

บทนำ

Bro เป็นเครื่องมือวิเคราะห์ทราฟฟิกเครือข่ายโอเพนซอร์ซ เป็นเครื่องตรวจสอบความปลอดภัยเป็นหลักที่ตรวจสอบปริมาณการใช้ข้อมูลทั้งหมดบนลิงก์เชิงลึกเพื่อหาสัญญาณของกิจกรรมที่น่าสงสัย อย่างไรก็ตามโดยทั่วไป Bro สนับสนุนงานการวิเคราะห์ปริมาณการใช้งานที่หลากหลายแม้อยู่นอกโดเมนความปลอดภัยรวมถึงการวัดประสิทธิภาพและความช่วยเหลือในการแก้ไขปัญหา

ข้อกำหนดเบื้องต้น

ก่อนที่จะติดตั้ง Bro คุณจะต้องตรวจสอบให้แน่ใจว่ามีการขึ้นต่อกันบางส่วน:

การพึ่งพาที่จำเป็น

• libpcap
• ไลบรารี OpenSSL
• ห้องสมุด BIND8
• Libz
• Bash (สำหรับ BroControl)
• Python 2.6+ ขึ้นไป (สำหรับ BroControl)

Sendmailไม่จำเป็นต้อง แต่ขอแนะนำ

ขั้นตอนที่ 1: อัปเดตระบบ

ก่อนที่จะติดตั้งแพ็คเกจใด ๆ ขอแนะนำให้อัพเดตแพ็คเกจระบบ dnf --assumeyes updateเรียกใช้คำสั่ง นี่จะดาวน์โหลดและติดตั้งแพ็คเกจระบบรุ่นล่าสุด ผู้จัดการแพคเกจจะตอบว่าใช่โดยอัตโนมัติเพื่อแจ้งข้อเสนอ อาจใช้เวลาสักครู่

ขั้นตอนที่ 2: ติดตั้งการพึ่งพา

คุณจะต้องติดตั้งแพ็คเกจที่จำเป็นในระบบของคุณ รันคำสั่งต่อไปนี้: dnf --assumeyes install libpcap openssl python zlib sendmail

ขั้นตอนที่ 3: ติดตั้ง Bro IDS

เรียกใช้คำสั่งคำสั่งdnf install --assumeyes bro นี้จะติดตั้งbroลงใน/binไดเรกทอรี และตอนนี้เรามากำหนดค่า

ขั้นตอนที่ 4: กำหนดค่า Bro IDS

สร้างโฟลเดอร์: mkdir -p /var/log/broและmkdir -p /var/spool

การกำหนดค่าไฟล์ node.cfg

ตั้งแต่ Fedora 2x อินเตอร์เฟซการตั้งชื่อก็เปลี่ยนเพื่อให้หาชื่อ iface
ls /sys/class/netปัจจุบัน: เอาท์พุทควรจะคล้ายกับคนนี้: หรือนี้:ens3 lo eth0 loในกรณีแรกที่เรามีความสนใจในens3ชื่ออินเตอร์เฟซในหนึ่งวินาที eth0- ens3สมมติว่าเรามี

/etc/bro/node.cfgตอนนี้ตรวจสอบไฟล์ less /etc/bro/node.cfgคำสั่งเรียก ที่เส้น 11
interface=eth0มีสเปคเชื่อมต่อเครือข่าย: หากชื่อ iface ของคุณคือeth0- ให้ไฟล์โดยไม่มีการเปลี่ยนแปลงและทำตามขั้นตอนต่อไป มิฉะนั้น - ens3เปลี่ยนมันด้วย สำหรับการเรียกใช้คำสั่งนี้: sed -i 's/eth0/ens3'. ตัวเลือก-iย่อมาจากการเปลี่ยนไฟล์ในสถานที่ sจะแทนที่ค่าที่อยู่ระหว่างเครื่องหมายทับแรกและตัวที่สองกับค่าระหว่างสองและสาม

การกำหนดค่าไฟล์ broctl.cfg

เพิ่มตัวแปรลงในไฟล์ปรับแต่ง:
echo "LibDirInternal = /usr/lib/python2.7/site-packages/BroControl/" >> /etc/bro/broctl.cfg
echo "SpoolDir = /var/spool" >> /etc/bro/broctl.cfg
echo "LogDir = /var/log/bro" >> /etc/bro/broctl.cfg
echo "CfgDir = /etc/bro" >> /etc/bro/broctl.cfg

ขั้นตอนที่ 5: เปิดใช้ BroCtl

ตอนนี้เราสามารถปรับใช้โหนดที่กำหนดค่าของเราและเริ่มการบันทึก:

broctl deployคำสั่งเรียก คุณจะเห็นผลลัพธ์เช่นนี้:

cannot get list of local IP addresses
checking configurations ...
installing ...
removing old policies in /var/spool/installed-scripts-do-not-touch/site ...
removing old policies in /var/spool/installed-scripts-do-not-touch/auto ...
creating policy directories ...
installing site policies ...
generating standalone-layout.bro ...
generating local-networks.bro ...
generating broctl-config.bro ...
generating broctl-config.sh ...
updating nodes ...
stopping ...
stopping bro ...
starting ...
starting bro ...

หากคุณไม่ได้รับข้อผิดพลาด - มีการปรับใช้เพื่อน

ขั้นตอนที่ 5: ทดสอบการติดตั้งของคุณ

ls -la /var/log/broตอนนี้ให้ดูที่บันทึก: ผลลัพธ์ควรคล้ายกับอันนี้:

total 12
drwxr-xr-x 3 root root 4096 Jun 13 10:11 .
drwxr-xr-x 1 root root 4096 Jun 13 10:04 ..
drwxr-xr-x 2 root root 4096 Jun 13 10:11 2017-06-13
lrwxrwxrwx 1 root root   14 Jun 13 10:11 current -> /var/spool/bro

เรียกใช้คำสั่งนี้เพื่อตัดการบันทึกtail -f /var/log/bro/current/conn.logและสอบถาม IP ของคุณจากเบราว์เซอร์
หากกำหนดค่าทุกอย่างถูกต้องคุณจะเห็นข้อความบันทึก

สนุก!