Инсталиране на Bro IDS на Ubuntu 16.04

Въведение

Bro е мощна рамка за мрежов анализ с отворен код. Основният фокус на Bro е върху наблюдението на мрежовата сигурност. Bro също така предоставя платформа за общ анализ на трафика, както и помощ при отстраняване на проблеми и измервания на производителността. Той предлага обширни лог файлове, които включват огромен набор от данни в добре структурирани лог файлове, подходящи за последваща обработка с външни приложения. Тези дневници включват:

• Всички HTTP сесии с техните заявени URL адреси, ключови заглавки, MIME типове и отговори на сървъра.
• DNS заявки с отговори.
• Ключово съдържание на SMTP сесиите.
• SSL сертификати.

Bro също така предлага набор от задачи за анализ и откриване като:

• Извличане на файлове от HTTP сесии.
• Откриване на SSH атаки с груба сила.
• Откриване на зловреден софтуер чрез взаимодействие с външни регистри.
• Отчитане на уязвими версии на софтуера, виждани в мрежата.
• Откриване на атаки с инжектиране на SQL.

Bro може да бъде инсталиран като самостоятелна система или като част от Bro Cluster, който свързва набор от системи за съвместен анализ на трафика на мрежата. В този урок ще инсталираме Bro от източник в самостоятелен режим.

Предпоставки

• Инстанция на Ubuntu 16.04 с поне 1 GB памет.
• Потребител на sudo, който не е root.

Стъпка 1: Актуализирайте системата

Преди да започнете нашата инсталация, се препоръчва да актуализирате вашата система.

sudo apt-get update
sudo apt-get upgrade

Стъпка 2: Инсталирайте зависимости

След това ще трябва да инсталираме всички необходими пакети на вашия сървър.

sudo apt-get install cmake make gcc g++ flex bison libpcap-dev libssl-dev python-dev swig zlib1g-dev sendmail sendmail-bin

Стъпка 3: Инсталирайте Bro

След това ще инсталираме Bro 2.5.2 от източника. Посетете страницата за изтегляне на Bro, за да се уверите, че използвате най-новата версия.

sudo mkdir -p /nsm/bro
cd ~
wget https://www.bro.org/downloads/bro-2.5.2.tar.gz
tar -xvzf bro-2.5.2.tar.gz
cd bro-2.5.2
./configure --prefix=/nsm/bro
make
sudo make install
export PATH=/nsm/bro/bin:$PATH

Стъпка 4: Конфигурирайте Bro

Първо ще кажем на Bro кой интерфейс бихме искали да наблюдаваме. Това се прави за редактиране на конфигурационния файл /nsm/bro/etc/node.cfg.

sudo nano /nsm/bro/etc/node.cfg

Намерете реда interface=eth0и го променете към вашия интерфейс.

interface=ens3

Можете да намерите кой интерфейс използвате със следното.

ifconfig

След това ще трябва да кажем на Bro къде да изпрати имейла на дневника, като добавим вашия имейл адрес към /nsm/bro/etc/broctl.cfg.

sudo nano /nsm/bro/etc/broctl.cfg

Намерете MailToреда и добавете своя имейл адрес.

MailTo = sammy@example.com

Стъпка 5: Стартирайте Bro

Bro започва да използва BroControl, който ще трябва да инсталираме.

sudo /nsm/bro/bin/broctl
install
exit

Сега можете да започнете Bro.

sudo /nsm/bro/bin/broctl deploy

След това ще настроим Bro да работи при стартиране, като го добавим към /etc/rc.local.

sudo nano /etc /rc.local

Добавете следния ред, след което затворете и запазете файла.

/nsm/bro/bin/broctl start

След това ще добавим задача за cron.

crontab -e

Добавете следното, за да поддържате Bro.

0-59/5 * * * * /nsm/bro/bin/broctl cron

Стъпка 6: Тестване Bro

За да тестваме Bro, ще прегледаме conn.logфайла в реално време с помощта на tail.

tail -f /nsm/bro/logs/current/conn.log

Ще можете да видите изхода от Bro, докато се отпечатва на вашия терминал.