Instalimi i Bro IDS në Ubuntu 16.04

Prezantimi

Bro është një kornizë e fuqishme e analizës së rrjetit me burim të hapur. Fokusi kryesor i Bro është në monitorimin e sigurisë së rrjetit. Bro ofron gjithashtu një platformë për analizën e përgjithshme të trafikut, si dhe ndihmë për zgjidhjen e problemeve dhe matje të performancës. Ai ofron skedarë të gjerë regjistri që përfshijnë një gamë të gjerë të dhënash në skedarë regjistri të strukturuar mirë të përshtatshëm për përpunim pas me aplikacione të jashtme. Këto regjistra përfshijnë:

• Të gjitha seancat HTTP me URL-të e tyre të kërkuara, titujt kryesorë, llojet MIME dhe përgjigjet e serverit.
• Kërkesat DNS me përgjigje.
• Përmbajtja kryesore e sesioneve SMTP.
• Certifikatat SSL.

Bro ofron gjithashtu një sërë detyrash analize dhe zbulimi si:

• Nxjerrja e skedarëve nga seancat HTTP.
• Zbulimi i sulmeve me forcë brutale SSH.
• Zbulimi i malware duke u ndërlidhur me regjistrat e jashtëm.
• Raportimi i versioneve të cenueshme të softuerit të parë në rrjet.
• Zbuloni sulmet e injektimit SQL.

Bro mund të instalohet si një sistem i pavarur ose si pjesë e një Bro Cluster i cili lidh një grup sistemesh për të analizuar së bashku trafikun e një rrjeti. Në këtë tutorial ne do të instalojmë Bro nga burimi në modalitetin e pavarur.

Parakushtet

• Një shembull i Ubuntu 16.04 me të paktën 1 GB memorie.
• Një përdorues sudo pa rrënjë.

Hapi 1: Përditësoni sistemin

Përpara fillimit të instalimit tonë, rekomandohet që të përditësoni sistemin tuaj.

sudo apt-get update
sudo apt-get upgrade

Hapi 2: Instaloni Dependencies

Më pas do të na duhet të instalojmë të gjitha paketat e kërkuara në serverin tuaj.

sudo apt-get install cmake make gcc g++ flex bison libpcap-dev libssl-dev python-dev swig zlib1g-dev sendmail sendmail-bin

Hapi 3: Instaloni Bro

Më pas do të instalojmë Bro 2.5.2 nga burimi. Vizitoni faqen e shkarkimit të Bro për t'u siguruar që po përdorni versionin më të fundit.

sudo mkdir -p /nsm/bro
cd ~
wget https://www.bro.org/downloads/bro-2.5.2.tar.gz
tar -xvzf bro-2.5.2.tar.gz
cd bro-2.5.2
./configure --prefix=/nsm/bro
make
sudo make install
export PATH=/nsm/bro/bin:$PATH

Hapi 4: Konfiguro Bro

Së pari do t'i tregojmë Bros se cilën ndërfaqe do të dëshironim të monitoronim. Kjo bëhet duke redaktuar skedarin e konfigurimit /nsm/bro/etc/node.cfg.

sudo nano /nsm/bro/etc/node.cfg

Gjeni rreshtin interface=eth0dhe ndryshoni atë në ndërfaqen tuaj.

interface=ens3

Ju mund të gjeni se cilën ndërfaqe po përdorni me sa vijon.

ifconfig

Më pas do të na duhet t'i tregojmë Bros se ku të dërgojë emailin e regjistrit duke shtuar adresën tuaj të emailit në /nsm/bro/etc/broctl.cfg.

sudo nano /nsm/bro/etc/broctl.cfg

Gjeni MailTolinjën dhe shtoni adresën tuaj të emailit.

MailTo = sammy@example.com

Hapi 5: Nis Bro

Bro ka filluar të përdorë BroControl, të cilin do të na duhet ta instalojmë.

sudo /nsm/bro/bin/broctl
install
exit

Tani mund të filloni Bro.

sudo /nsm/bro/bin/broctl deploy

Më pas do ta vendosim Bro që të funksionojë gjatë fillimit duke e shtuar atë në /etc/rc.local.

sudo nano /etc /rc.local

Shtoni rreshtin e mëposhtëm, më pas mbylleni dhe ruani skedarin.

/nsm/bro/bin/broctl start

Më pas do të shtojmë një punë cron.

crontab -e

Shtoni sa vijon për të ruajtur Bro.

0-59/5 * * * * /nsm/bro/bin/broctl cron

Hapi 6: Testimi Bro

Për të testuar Bro, ne do ta shikojmë conn.logskedarin në kohë reale duke përdorur tail.

tail -f /nsm/bro/logs/current/conn.log

Ju do të jeni në gjendje të shihni daljen nga Bro ndërsa printohet në terminalin tuaj.