Instal·lant Bro IDS a Fedora 25

Introducció

Bro és un analitzador de trànsit de xarxa de codi obert. Es tracta principalment d'un monitor de seguretat que inspecciona en profunditat tot el trànsit d'un enllaç per detectar signes d'activitat sospitosa. De manera més general, però, Bro admet una àmplia gamma de tasques d'anàlisi de trànsit fins i tot fora del domini de seguretat, incloses mesures de rendiment i ajuda amb la resolució de problemes.

Requisits previs

Abans d'instal·lar Bro, haureu d'assegurar-vos que hi ha algunes dependències:

Dependències requerides

• Libpcap
• Biblioteques OpenSSL
• Biblioteca BIND8
• Libz
• Bash (per a BroControl)
• Python 2.6+ o superior (per a BroControl)

No Sendmailés obligatori, però molt recomanable.

Pas 1: actualitzeu el sistema

Abans d'instal·lar qualsevol paquet, es recomana actualitzar els paquets del sistema. Executeu l'ordre dnf --assumeyes update. Això baixarà i instal·larà les últimes versions dels paquets del sistema. El gestor de paquets respondrà automàticament que sí a les sol·licituds que s'ofereixen. Pot trigar una mica.

Pas 2: instal·leu dependències

Haureu d'instal·lar els paquets necessaris al vostre sistema. Executeu l'ordre següent: dnf --assumeyes install libpcap openssl python zlib sendmail

Pas 3: instal·leu Bro IDS

Executar comanda dnf install --assumeyes bro Aquesta comanda s'instal·larà broal /bindirectori. I ara configurem-ho.

Pas 4: configureu Bro IDS

Crea carpetes: mkdir -p /var/log/broimkdir -p /var/spool

Configuració del fitxer node.cfg

Com que es va canviar el nom de la interfície Fedora 2x, esbrinem el nom actual de l'iface:
ls /sys/class/net. La sortida hauria de ser similar a aquesta: ens3 lo, o aquesta: eth0 lo. En el primer cas ens interessa el ens3nom de la interfície, en el segon -- eth0. Suposem que tenim ens3.

Ara, examineu el fitxer /etc/bro/node.cfg. Executeu l'ordre less /etc/bro/node.cfg. A la línia 11 hi ha l'especificació de la interfície de xarxa:
interface=eth0. Si el vostre nom d'iface és eth0: deixeu el fitxer sense canvis i continueu amb el pas següent. En cas contrari, canvieu-lo amb ens3. Per a això executeu aquesta comanda: sed -i 's/eth0/ens3'. Opció -isignifica canviar el fitxer al seu lloc. ssubstituirà el valor inclòs entre la primera i la segona barres inclinades pel valor entre la segona i la tercera.

Configuració del fitxer broctl.cfg

Afegiu variables al fitxer de configuració:
echo "LibDirInternal = /usr/lib/python2.7/site-packages/BroControl/" >> /etc/bro/broctl.cfg
echo "SpoolDir = /var/spool" >> /etc/bro/broctl.cfg
echo "LogDir = /var/log/bro" >> /etc/bro/broctl.cfg
echo "CfgDir = /etc/bro" >> /etc/bro/broctl.cfg

Pas 5: inicieu BroCtl

Ara podem desplegar el nostre node configurat i començar a registrar:

Executeu l'ordre broctl deploy. Veureu una sortida com aquesta:

cannot get list of local IP addresses
checking configurations ...
installing ...
removing old policies in /var/spool/installed-scripts-do-not-touch/site ...
removing old policies in /var/spool/installed-scripts-do-not-touch/auto ...
creating policy directories ...
installing site policies ...
generating standalone-layout.bro ...
generating local-networks.bro ...
generating broctl-config.bro ...
generating broctl-config.sh ...
updating nodes ...
stopping ...
stopping bro ...
starting ...
starting bro ...

Si no heu rebut cap error, el bro està desplegat.

Pas 5: prova la teva instal·lació

Ara mirem els registres: ls -la /var/log/bro. La sortida hauria de ser similar a aquesta:

total 12
drwxr-xr-x 3 root root 4096 Jun 13 10:11 .
drwxr-xr-x 1 root root 4096 Jun 13 10:04 ..
drwxr-xr-x 2 root root 4096 Jun 13 10:11 2017-06-13
lrwxrwxrwx 1 root root   14 Jun 13 10:11 current -> /var/spool/bro

Executeu aquesta ordre per seguir els registres: tail -f /var/log/bro/current/conn.logi consulteu la vostra ip des del navegador.
Si tot s'ha configurat correctament, veureu missatges de registre.

Gaudeix!