Installation af Bro IDS på Ubuntu 16.04

Introduktion

Bro er en kraftfuld open source netværksanalyseramme. Bros primære fokus er på netværkssikkerhedsovervågning. Bro giver også en platform for generel trafikanalyse samt fejlfindingsassistance og præstationsmålinger. Det tilbyder omfattende logfiler, der inkluderer en bred vifte af data i velstrukturerede logfiler, der er egnede til efterbehandling med eksterne applikationer. Disse logfiler inkluderer:

• Alle HTTP-sessioner med deres anmodede URL'er, nøgleoverskrifter, MIME-typer og serversvar.
• DNS-anmodninger med svar.
• Nøgleindhold af SMTP-sessioner.
• SSL certifikater.

Bro tilbyder også en række analyse- og detektionsopgaver såsom:

• Udpakning af filer fra HTTP-sessioner.
• Registrerer SSH brute-force angreb.
• Detektering af malware ved at interface med eksterne registre.
• Rapportering af sårbare versioner af software set på netværket.
• Opdag SQL-injektionsangreb.

Bro kan installeres som et selvstændigt system eller som en del af en Bro Cluster, der forbinder et sæt systemer for i fællesskab at analysere trafikken på et netværk. I denne øvelse vil vi installere Bro fra kilden i selvstændig tilstand.

Forudsætninger

• En Ubuntu 16.04-instans med mindst 1 GB hukommelse.
• En ikke-root sudo-bruger.

Trin 1: Opdater systemet

Før du begynder vores installation, anbefales det, at du opdaterer dit system.

sudo apt-get update
sudo apt-get upgrade

Trin 2: Installer afhængigheder

Dernæst skal vi installere alle de nødvendige pakker på din server.

sudo apt-get install cmake make gcc g++ flex bison libpcap-dev libssl-dev python-dev swig zlib1g-dev sendmail sendmail-bin

Trin 3: Installer Bro

Dernæst vil vi installere Bro 2.5.2 fra kilden. Besøg Bros downloadside for at sikre, at du bruger den seneste build.

sudo mkdir -p /nsm/bro
cd ~
wget https://www.bro.org/downloads/bro-2.5.2.tar.gz
tar -xvzf bro-2.5.2.tar.gz
cd bro-2.5.2
./configure --prefix=/nsm/bro
make
sudo make install
export PATH=/nsm/bro/bin:$PATH

Trin 4: Konfigurer Bro

Først vil vi fortælle Bro, hvilken grænseflade vi gerne vil overvåge. Dette gøres ved at redigere konfigurationsfilen /nsm/bro/etc/node.cfg.

sudo nano /nsm/bro/etc/node.cfg

Find linjen interface=eth0og skift den til din grænseflade.

interface=ens3

Du kan finde hvilken grænseflade du bruger med følgende.

ifconfig

Dernæst bliver vi nødt til at fortælle Bro, hvor log-e-mailen skal sendes ved at tilføje din e-mailadresse til /nsm/bro/etc/broctl.cfg.

sudo nano /nsm/bro/etc/broctl.cfg

Find MailTolinjen og tilføj din e-mailadresse.

MailTo = sammy@example.com

Trin 5: Start Bro

Bro er begyndt at bruge BroControl, som vi skal installere.

sudo /nsm/bro/bin/broctl
install
exit

Nu kan du starte Bro.

sudo /nsm/bro/bin/broctl deploy

Dernæst indstiller vi Bro til at køre ved opstart ved at tilføje det til /etc/rc.local.

sudo nano /etc /rc.local

Tilføj følgende linje, luk og gem filen.

/nsm/bro/bin/broctl start

Dernæst tilføjer vi et cron-job.

crontab -e

Tilføj følgende for at vedligeholde Bro.

0-59/5 * * * * /nsm/bro/bin/broctl cron

Trin 6: Test Bro

For at teste Bro, vil vi se conn.logfilen i realtid ved hjælp af tail.

tail -f /nsm/bro/logs/current/conn.log

Du vil være i stand til at se outputtet fra Bro, når det udskrives til din terminal.