Fed ID 25e Bro IDS Kurulumu

• Giriş
• Ön şartlar
• 1. Adım: Sistemi güncelleyin
• 2. Adım: Bağımlılıkları yükleyin
• 3. Adım: Bro IDS'yi yükleyin
• 4. Adım: Bro IDS'yi yapılandırma
• 5. Adım: BroCtl'yi başlatın
• 5. Adım: Kurulumunuzu test edin

Giriş

Bro, açık kaynaklı bir ağ trafik analizörüdür. Öncelikle bir bağlantıdaki tüm trafiği şüpheli etkinlik belirtileri açısından inceleyen bir güvenlik izleyicisidir. Bununla birlikte, daha genel olarak Bro, performans ölçümleri ve sorun giderme ile ilgili yardım da dahil olmak üzere güvenlik alanının dışında bile çok çeşitli trafik analizi görevlerini destekler.

Ön şartlar

Bro'yu kurmadan önce, bazı bağımlılıkların mevcut olduğundan emin olmanız gerekir:

Gerekli Bağımlılıklar

• libpcap
• OpenSSL kütüphaneleri
• BIND8 kütüphanesi
• Libz
• Bash (BroControl için)
• Python 2.6+ veya üstü (BroControl için)

SendmailZorunlu değildir, ancak şiddetle tavsiye edilmez.

1. Adım: Sistemi güncelleyin

Herhangi bir paket kurmadan önce sistem paketlerini güncellemeniz önerilir. Komutu çalıştırın dnf --assumeyes update. Bu, sistem paketlerinin en son sürümlerini indirecek ve yükleyecektir. Paket yöneticisi sunulan istemlere otomatik olarak evet yanıtı verecektir. Biraz zaman alabilir.

2. Adım: Bağımlılıkları yükleyin

Sisteminize gerekli paketleri yüklemeniz gerekir. Aşağıdaki komutu çalıştırın: dnf --assumeyes install libpcap openssl python zlib sendmail

3. Adım: Bro IDS'yi yükleyin

Çalıştır komutunu dnf install --assumeyes bro Bu komut kuracak broiçine /bindizine. Ve şimdi yapılandıralım.

4. Adım: Bro IDS'yi yapılandırma

Klasörler oluşturun: mkdir -p /var/log/brovemkdir -p /var/spool

Node.cfg dosyasını yapılandırma

Fedora 2x arayüzü adlandırma değiştirildi beri bu yüzden mevcut iface adını bulalım:
ls /sys/class/net. : Çıktı buna benzer olmalıdır ens3 lo, yoksa bu bir: eth0 lo. İlk durumda, ens3arayüz adıyla ilgileniyoruz , ikincisinde - eth0. Varsayalım ens3.

Şimdi dosyayı inceleyin /etc/bro/node.cfg. Komutu çalıştır less /etc/bro/node.cfg. Hat 11 'de, ağ arayüzü özellikleri vardır:
interface=eth0. İface adınız eth0- değiştirmeden dosya bırakın ve bir sonraki adıma geçin. Aksi takdirde - ile değiştirin ens3. Bunun için bu komutu çalıştırın: sed -i 's/eth0/ens3'. Seçenek -i, dosyayı yerinde değiştirmek anlamına gelir. sbirinci ve ikinci eğik çizgiler arasındaki değeri, ikinci ve üçüncü eğik değerler arasındaki değerin yerine koyacaktır.

Broctl.cfg dosyasını yapılandırma

Yapılandırma dosyasına değişkenler ekleyin:
echo "LibDirInternal = /usr/lib/python2.7/site-packages/BroControl/" >> /etc/bro/broctl.cfg
echo "SpoolDir = /var/spool" >> /etc/bro/broctl.cfg
echo "LogDir = /var/log/bro" >> /etc/bro/broctl.cfg
echo "CfgDir = /etc/bro" >> /etc/bro/broctl.cfg

5. Adım: BroCtl'yi başlatın

Şimdi yapılandırılmış düğümümüzü konuşlandırıp günlüğe kaydetmeye başlayabiliriz:

Komutu çalıştır broctl deploy. Bunun gibi çıktılar göreceksiniz:

cannot get list of local IP addresses
checking configurations ...
installing ...
removing old policies in /var/spool/installed-scripts-do-not-touch/site ...
removing old policies in /var/spool/installed-scripts-do-not-touch/auto ...
creating policy directories ...
installing site policies ...
generating standalone-layout.bro ...
generating local-networks.bro ...
generating broctl-config.bro ...
generating broctl-config.sh ...
updating nodes ...
stopping ...
stopping bro ...
starting ...
starting bro ...

Herhangi bir hata almadıysanız - bro konuşlandırıldı.

5. Adım: Kurulumunuzu test edin

Şimdi gelelim günlükleri bakmak: ls -la /var/log/bro. Çıktı buna benzer olmalıdır:

total 12
drwxr-xr-x 3 root root 4096 Jun 13 10:11 .
drwxr-xr-x 1 root root 4096 Jun 13 10:04 ..
drwxr-xr-x 2 root root 4096 Jun 13 10:11 2017-06-13
lrwxrwxrwx 1 root root   14 Jun 13 10:11 current -> /var/spool/bro

Günlükleri kuyruğa almak için bu komutu çalıştırın: tail -f /var/log/bro/current/conn.logve ip'inizi tarayıcıdan sorgulayın.
Her şey doğru yapılandırıldıysa, günlük mesajlarını görürsünüz.

Zevk almak!