การติดตั้ง Bro IDS บน Ubuntu 16.04

• บทนำ
• ข้อกำหนดเบื้องต้น
• ขั้นตอนที่ 1: อัปเดตระบบ
• ขั้นตอนที่ 2: ติดตั้งอ้างอิง
• ขั้นตอนที่ 3: ติดตั้ง Bro
• ขั้นตอนที่ 4: กำหนดค่า Bro
• ขั้นตอนที่ 5: เปิดตัว Bro
• ขั้นตอนที่ 6: การทดสอบ Bro

บทนำ

Bro เป็นกรอบการวิเคราะห์เครือข่ายโอเพ่นซอร์สที่ทรงพลัง เป้าหมายหลักของ Bro คือการตรวจสอบความปลอดภัยเครือข่าย Bro ยังเป็นเวทีสำหรับการวิเคราะห์การจราจรทั่วไปรวมถึงความช่วยเหลือในการแก้ไขปัญหาและการวัดประสิทธิภาพ มันมีไฟล์บันทึกที่กว้างขวางซึ่งรวมถึงข้อมูลมากมายในไฟล์บันทึกที่มีโครงสร้างที่เหมาะสมสำหรับการโพสต์ด้วยโปรแกรมภายนอก บันทึกเหล่านี้รวมถึง:

• เซสชัน HTTP ทั้งหมดพร้อม URL ที่ร้องขอส่วนหัวคีย์ประเภท MIME และการตอบกลับของเซิร์ฟเวอร์
• คำขอ DNS พร้อมคำตอบ
• เนื้อหาหลักของเซสชัน SMTP
• ใบรับรอง SSL

Bro ยังมีช่วงของการวิเคราะห์และการตรวจจับงานเช่น:

• แตกไฟล์จากเซสชัน HTTP
• ตรวจจับการโจมตีด้วยกำลังดุร้ายของ SSH
• ตรวจจับมัลแวร์โดยเชื่อมต่อกับการลงทะเบียนภายนอก
• การรายงานซอฟต์แวร์ที่มีช่องโหว่ที่เห็นบนเครือข่าย
• ตรวจจับการโจมตี SQL injection

Bro สามารถติดตั้งเป็นระบบแบบสแตนด์อโลนหรือเป็นส่วนหนึ่งของBro Clusterที่เชื่อมโยงชุดของระบบเพื่อวิเคราะห์การรับส่งข้อมูลของเครือข่ายร่วมกัน ในบทช่วยสอนนี้เราจะติดตั้ง Bro จากซอร์สในโหมดสแตนด์อะโลน

ข้อกำหนดเบื้องต้น

• อินสแตนซ์ของ Ubuntu 16.04 ที่มีหน่วยความจำอย่างน้อย 1 GB
• ผู้ใช้ sudo ที่ไม่ใช่รูท

ขั้นตอนที่ 1: อัปเดตระบบ

ก่อนที่จะเริ่มการติดตั้งของเราขอแนะนำให้คุณอัปเดตระบบของคุณ

sudo apt-get update
sudo apt-get upgrade

ขั้นตอนที่ 2: ติดตั้งอ้างอิง

ต่อไปเราจะต้องติดตั้งแพ็คเกจทั้งหมดที่จำเป็นลงบนเซิร์ฟเวอร์ของคุณ

sudo apt-get install cmake make gcc g++ flex bison libpcap-dev libssl-dev python-dev swig zlib1g-dev sendmail sendmail-bin

ขั้นตอนที่ 3: ติดตั้ง Bro

ต่อไปเราจะติดตั้ง Bro 2.5.2 จากแหล่งที่มา เยี่ยมชมหน้าดาวน์โหลดของ Broเพื่อให้แน่ใจว่าคุณกำลังใช้งานบิลด์ล่าสุด

sudo mkdir -p /nsm/bro
cd ~
wget https://www.bro.org/downloads/bro-2.5.2.tar.gz
tar -xvzf bro-2.5.2.tar.gz
cd bro-2.5.2
./configure --prefix=/nsm/bro
make
sudo make install
export PATH=/nsm/bro/bin:$PATH

ขั้นตอนที่ 4: กำหนดค่า Bro

ก่อนอื่นเราจะบอก Bro ว่าอินเทอร์เฟซใดที่เราต้องการตรวจสอบ /nsm/bro/etc/node.cfgนี้จะกระทำได้รับการแก้ไขแฟ้มการกำหนดค่า

sudo nano /nsm/bro/etc/node.cfg

ค้นหาบรรทัดinterface=eth0และเปลี่ยนเป็นอินเทอร์เฟซของคุณ

interface=ens3

คุณสามารถค้นหาอินเทอร์เฟซที่คุณใช้ด้วยสิ่งต่อไปนี้

ifconfig

/nsm/bro/etc/broctl.cfgต่อไปเราจะต้องบอกน้องชายว่าจะส่งอีเมลเข้าสู่ระบบโดยการเพิ่มที่อยู่อีเมลของคุณเพื่อ

sudo nano /nsm/bro/etc/broctl.cfg

ค้นหาMailToบรรทัดและเพิ่มที่อยู่อีเมลของคุณ

MailTo = sammy@example.com

ขั้นตอนที่ 5: เปิดตัว Bro

Bro เริ่มใช้BroControlงานซึ่งเราจะต้องติดตั้ง

sudo /nsm/bro/bin/broctl
install
exit

ตอนนี้คุณสามารถเริ่ม Bro

sudo /nsm/bro/bin/broctl deploy

ต่อไปเราจะตั้ง Bro /etc/rc.localวิ่งในการเริ่มต้นโดยการเพิ่มเข้าไป

sudo nano /etc /rc.local

เพิ่มบรรทัดต่อไปนี้จากนั้นปิดและบันทึกไฟล์

/nsm/bro/bin/broctl start

ต่อไปเราจะเพิ่มงาน cron

crontab -e

เพิ่มรายการต่อไปนี้เพื่อรักษา Bro

0-59/5 * * * * /nsm/bro/bin/broctl cron

ขั้นตอนที่ 6: การทดสอบ Bro

ในการทดสอบ Bro เราจะดูไฟล์ในเวลาจริงโดยใช้conn.logtail

tail -f /nsm/bro/logs/current/conn.log

คุณจะสามารถเห็นผลลัพธ์จาก Bro ได้ตามที่พิมพ์ไปยังเครื่องของคุณ