บทนำ
Bro เป็นกรอบการวิเคราะห์เครือข่ายโอเพ่นซอร์สที่ทรงพลัง เป้าหมายหลักของ Bro คือการตรวจสอบความปลอดภัยเครือข่าย Bro ยังเป็นเวทีสำหรับการวิเคราะห์การจราจรทั่วไปรวมถึงความช่วยเหลือในการแก้ไขปัญหาและการวัดประสิทธิภาพ มันมีไฟล์บันทึกที่กว้างขวางซึ่งรวมถึงข้อมูลมากมายในไฟล์บันทึกที่มีโครงสร้างที่เหมาะสมสำหรับการโพสต์ด้วยโปรแกรมภายนอก บันทึกเหล่านี้รวมถึง:
- เซสชัน HTTP ทั้งหมดพร้อม URL ที่ร้องขอส่วนหัวคีย์ประเภท MIME และการตอบกลับของเซิร์ฟเวอร์
- คำขอ DNS พร้อมคำตอบ
- เนื้อหาหลักของเซสชัน SMTP
- ใบรับรอง SSL
Bro ยังมีช่วงของการวิเคราะห์และการตรวจจับงานเช่น:
- แตกไฟล์จากเซสชัน HTTP
- ตรวจจับการโจมตีด้วยกำลังดุร้ายของ SSH
- ตรวจจับมัลแวร์โดยเชื่อมต่อกับการลงทะเบียนภายนอก
- การรายงานซอฟต์แวร์ที่มีช่องโหว่ที่เห็นบนเครือข่าย
- ตรวจจับการโจมตี SQL injection
Bro สามารถติดตั้งเป็นระบบแบบสแตนด์อโลนหรือเป็นส่วนหนึ่งของBro Clusterที่เชื่อมโยงชุดของระบบเพื่อวิเคราะห์การรับส่งข้อมูลของเครือข่ายร่วมกัน ในบทช่วยสอนนี้เราจะติดตั้ง Bro จากซอร์สในโหมดสแตนด์อะโลน
ข้อกำหนดเบื้องต้น
- อินสแตนซ์ของ Ubuntu 16.04 ที่มีหน่วยความจำอย่างน้อย 1 GB
- ผู้ใช้ sudo ที่ไม่ใช่รูท
ขั้นตอนที่ 1: อัปเดตระบบ
ก่อนที่จะเริ่มการติดตั้งของเราขอแนะนำให้คุณอัปเดตระบบของคุณ
sudo apt-get update
sudo apt-get upgrade
ขั้นตอนที่ 2: ติดตั้งอ้างอิง
ต่อไปเราจะต้องติดตั้งแพ็คเกจทั้งหมดที่จำเป็นลงบนเซิร์ฟเวอร์ของคุณ
sudo apt-get install cmake make gcc g++ flex bison libpcap-dev libssl-dev python-dev swig zlib1g-dev sendmail sendmail-bin
ขั้นตอนที่ 3: ติดตั้ง Bro
ต่อไปเราจะติดตั้ง Bro 2.5.2 จากแหล่งที่มา เยี่ยมชมหน้าดาวน์โหลดของ Broเพื่อให้แน่ใจว่าคุณกำลังใช้งานบิลด์ล่าสุด
sudo mkdir -p /nsm/bro
cd ~
wget https://www.bro.org/downloads/bro-2.5.2.tar.gz
tar -xvzf bro-2.5.2.tar.gz
cd bro-2.5.2
./configure --prefix=/nsm/bro
make
sudo make install
export PATH=/nsm/bro/bin:$PATH
ก่อนอื่นเราจะบอก Bro ว่าอินเทอร์เฟซใดที่เราต้องการตรวจสอบ /nsm/bro/etc/node.cfg
นี้จะกระทำได้รับการแก้ไขแฟ้มการกำหนดค่า
sudo nano /nsm/bro/etc/node.cfg
ค้นหาบรรทัดinterface=eth0
และเปลี่ยนเป็นอินเทอร์เฟซของคุณ
interface=ens3
คุณสามารถค้นหาอินเทอร์เฟซที่คุณใช้ด้วยสิ่งต่อไปนี้
ifconfig
/nsm/bro/etc/broctl.cfg
ต่อไปเราจะต้องบอกน้องชายว่าจะส่งอีเมลเข้าสู่ระบบโดยการเพิ่มที่อยู่อีเมลของคุณเพื่อ
sudo nano /nsm/bro/etc/broctl.cfg
ค้นหาMailTo
บรรทัดและเพิ่มที่อยู่อีเมลของคุณ
MailTo = [email protected]
ขั้นตอนที่ 5: เปิดตัว Bro
Bro เริ่มใช้BroControl
งานซึ่งเราจะต้องติดตั้ง
sudo /nsm/bro/bin/broctl
install
exit
ตอนนี้คุณสามารถเริ่ม Bro
sudo /nsm/bro/bin/broctl deploy
ต่อไปเราจะตั้ง Bro /etc/rc.local
วิ่งในการเริ่มต้นโดยการเพิ่มเข้าไป
sudo nano /etc /rc.local
เพิ่มบรรทัดต่อไปนี้จากนั้นปิดและบันทึกไฟล์
/nsm/bro/bin/broctl start
ต่อไปเราจะเพิ่มงาน cron
crontab -e
เพิ่มรายการต่อไปนี้เพื่อรักษา Bro
0-59/5 * * * * /nsm/bro/bin/broctl cron
ขั้นตอนที่ 6: การทดสอบ Bro
ในการทดสอบ Bro เราจะดูไฟล์ในเวลาจริงโดยใช้conn.log
tail
tail -f /nsm/bro/logs/current/conn.log
คุณจะสามารถเห็นผลลัพธ์จาก Bro ได้ตามที่พิมพ์ไปยังเครื่องของคุณ