Instalace Bro IDS na Fedoru 25

Úvod

Bro je open-source analyzátor síťového provozu. Jde především o bezpečnostní monitor, který do hloubky prověřuje veškerý provoz na lince, zda nevykazuje známky podezřelé aktivity. Obecněji však Bro podporuje širokou škálu úloh analýzy provozu i mimo bezpečnostní doménu, včetně měření výkonu a pomoci s řešením problémů.

Předpoklady

Před instalací Bro se musíte ujistit, že jsou na místě některé závislosti:

Požadované závislosti

• Libpcap
• OpenSSL knihovny
• Knihovna BIND8
• Libž
• Bash (pro BroControl)
• Python 2.6+ nebo vyšší (pro BroControl)

SendmailNení vyžadováno, ale doporučeno.

Krok 1: Aktualizujte systém

Před instalací jakýchkoli balíčků se doporučuje aktualizovat systémové balíčky. Spusťte příkaz dnf --assumeyes update. Tím se stáhne a nainstaluje nejnovější verze systémových balíčků. Správce balíčků automaticky odpoví ano na nabízené výzvy. Může to chvíli trvat.

Krok 2: Nainstalujte závislosti

Budete muset nainstalovat požadované balíčky do vašeho systému. Spusťte následující příkaz: dnf --assumeyes install libpcap openssl python zlib sendmail

Krok 3: Nainstalujte Bro IDS

Spustit příkaz dnf install --assumeyes bro Tento příkaz se nainstaluje brodo /binadresáře. A teď to nakonfigurujeme.

Krok 4: Nakonfigurujte Bro IDS

Vytvořte složky: mkdir -p /var/log/broamkdir -p /var/spool

Konfigurace souboru node.cfg

Protože bylo změněno pojmenování rozhraní Fedory 2x, pojďme tedy zjistit aktuální název iface:
ls /sys/class/net. Výstup by měl být podobný tomuto: ens3 lo, nebo tomuto: eth0 lo. V prvním případě nás zajímá ens3název rozhraní, ve druhém -- eth0. Předpokládejme, že máme ens3.

Nyní prozkoumejte soubor /etc/bro/node.cfg. Spustit příkaz less /etc/bro/node.cfg. Na řádku 11 je specifikace síťového rozhraní:
interface=eth0. Pokud je váš název iface eth0-- nechte soubor beze změn a pokračujte dalším krokem. Jinak -- změňte jej pomocí ens3. K tomu spusťte tento příkaz: sed -i 's/eth0/ens3'. Možnost -iznamená změnu souboru na místě. snahradí hodnotu uzavřenou mezi prvním a druhým lomítkem hodnotou mezi druhým a třetím.

Konfigurace souboru broctl.cfg

Přidejte proměnné do konfiguračního souboru:
echo "LibDirInternal = /usr/lib/python2.7/site-packages/BroControl/" >> /etc/bro/broctl.cfg
echo "SpoolDir = /var/spool" >> /etc/bro/broctl.cfg
echo "LogDir = /var/log/bro" >> /etc/bro/broctl.cfg
echo "CfgDir = /etc/bro" >> /etc/bro/broctl.cfg

Krok 5: Spusťte BroCtl

Nyní můžeme nasadit náš nakonfigurovaný uzel a začít protokolovat:

Spustit příkaz broctl deploy. Uvidíte výstup takto:

cannot get list of local IP addresses
checking configurations ...
installing ...
removing old policies in /var/spool/installed-scripts-do-not-touch/site ...
removing old policies in /var/spool/installed-scripts-do-not-touch/auto ...
creating policy directories ...
installing site policies ...
generating standalone-layout.bro ...
generating local-networks.bro ...
generating broctl-config.bro ...
generating broctl-config.sh ...
updating nodes ...
stopping ...
stopping bro ...
starting ...
starting bro ...

Pokud jste neobdrželi žádné chyby - brácho je nasazeno.

Krok 5: Otestujte svou instalaci

Nyní se podíváme na protokoly: ls -la /var/log/bro. Výstup by měl být podobný tomuto:

total 12
drwxr-xr-x 3 root root 4096 Jun 13 10:11 .
drwxr-xr-x 1 root root 4096 Jun 13 10:04 ..
drwxr-xr-x 2 root root 4096 Jun 13 10:11 2017-06-13
lrwxrwxrwx 1 root root   14 Jun 13 10:11 current -> /var/spool/bro

Spusťte tento příkaz pro tail logs: tail -f /var/log/bro/current/conn.loga dotazujte se na svou IP z prohlížeče.
Pokud bylo vše správně nakonfigurováno, zobrazí se zprávy protokolu.

Užívat si!