Εγκατάσταση Bro IDS στο Fedora 25

Εισαγωγή

Το Bro είναι ένας αναλυτής κίνησης δικτύου ανοιχτού κώδικα. Είναι κυρίως μια οθόνη ασφαλείας που επιθεωρεί σε βάθος όλη την κίνηση σε μια σύνδεση για ενδείξεις ύποπτης δραστηριότητας. Γενικότερα, ωστόσο, το Bro υποστηρίζει ένα ευρύ φάσμα εργασιών ανάλυσης κυκλοφορίας ακόμη και εκτός του τομέα ασφάλειας, συμπεριλαμβανομένων μετρήσεων απόδοσης και βοήθειας για την αντιμετώπιση προβλημάτων.

Προαπαιτούμενα

Πριν εγκαταστήσετε το Bro, θα πρέπει να βεβαιωθείτε ότι υπάρχουν ορισμένες εξαρτήσεις:

Απαιτούμενες εξαρτήσεις

• Libpcap
• Βιβλιοθήκες OpenSSL
• Βιβλιοθήκη BIND8
• Libz
• Bash (για BroControl)
• Python 2.6+ ή μεταγενέστερη (για BroControl)

Η Sendmailδεν είναι απαραίτητη, αλλά συνιστάται.

Βήμα 1: Ενημερώστε το σύστημα

Πριν εγκαταστήσετε οποιοδήποτε πακέτο, συνιστάται να ενημερώσετε τα πακέτα συστήματος. Εκτελέστε την εντολή dnf --assumeyes update. Αυτό θα πραγματοποιήσει λήψη και εγκατάσταση των πιο πρόσφατων εκδόσεων των πακέτων συστήματος. Ο διαχειριστής πακέτων θα απαντήσει αυτόματα ναι στα προσφερόμενα μηνύματα. Μπορεί να πάρει λίγο χρόνο.

Βήμα 2: Εγκατάσταση εξαρτήσεων

Θα χρειαστεί να εγκαταστήσετε τα απαιτούμενα πακέτα στο σύστημά σας. Εκτελέστε την ακόλουθη εντολή: dnf --assumeyes install libpcap openssl python zlib sendmail

Βήμα 3: Εγκαταστήστε το Bro IDS

Εντολή εκτέλεσης dnf install --assumeyes bro Αυτή η εντολή θα εγκατασταθεί broστον /binκατάλογο. Και τώρα ας το διαμορφώσουμε.

Βήμα 4: Διαμόρφωση Bro IDS

Δημιουργία φακέλων: mkdir -p /var/log/broκαιmkdir -p /var/spool

Διαμόρφωση του αρχείου node.cfg

Δεδομένου ότι η ονομασία διεπαφής Fedora 2x άλλαξε, ας μάθουμε λοιπόν το τρέχον όνομα iface:
ls /sys/class/net. Η έξοδος θα πρέπει να είναι παρόμοια με αυτό: ens3 lo, ή με αυτό: eth0 lo. Στην πρώτη περίπτωση μας ενδιαφέρει το ens3όνομα διεπαφής, στη δεύτερη -- eth0. Ας υποθέσουμε ότι έχουμε ens3.

Τώρα, εξετάστε το αρχείο /etc/bro/node.cfg. Εκτέλεση εντολής less /etc/bro/node.cfg. Στη γραμμή 11 υπάρχει προδιαγραφή διεπαφής δικτύου:
interface=eth0. Εάν το όνομα του προσώπου σας είναι eth0-- αφήστε το αρχείο χωρίς αλλαγές και συνεχίστε στο επόμενο βήμα. Διαφορετικά -- αλλάξτε το με ens3. Για αυτό εκτελέστε αυτήν την εντολή: sed -i 's/eth0/ens3'. Η επιλογή -iσημαίνει αλλαγή του αρχείου επιτόπου. sθα αντικαταστήσει την τιμή που περικλείεται μεταξύ της πρώτης και της δεύτερης κάθετης στην τιμή μεταξύ της δεύτερης και της τρίτης.

Διαμόρφωση του αρχείου broctl.cfg

Προσθέστε μεταβλητές στο αρχείο διαμόρφωσης:
echo "LibDirInternal = /usr/lib/python2.7/site-packages/BroControl/" >> /etc/bro/broctl.cfg
echo "SpoolDir = /var/spool" >> /etc/bro/broctl.cfg
echo "LogDir = /var/log/bro" >> /etc/bro/broctl.cfg
echo "CfgDir = /etc/bro" >> /etc/bro/broctl.cfg

Βήμα 5: Εκκινήστε το BroCtl

Τώρα μπορούμε να αναπτύξουμε τον διαμορφωμένο κόμβο μας και να ξεκινήσουμε την καταγραφή:

Εκτέλεση εντολής broctl deploy. Θα δείτε την έξοδο ως εξής:

cannot get list of local IP addresses
checking configurations ...
installing ...
removing old policies in /var/spool/installed-scripts-do-not-touch/site ...
removing old policies in /var/spool/installed-scripts-do-not-touch/auto ...
creating policy directories ...
installing site policies ...
generating standalone-layout.bro ...
generating local-networks.bro ...
generating broctl-config.bro ...
generating broctl-config.sh ...
updating nodes ...
stopping ...
stopping bro ...
starting ...
starting bro ...

Εάν δεν λάβατε κανένα σφάλμα -- αδερφέ έχει αναπτυχθεί.

Βήμα 5: Δοκιμάστε την εγκατάστασή σας

Ας δούμε τώρα τα αρχεία καταγραφής: ls -la /var/log/bro. Η έξοδος πρέπει να είναι παρόμοια με αυτήν:

total 12
drwxr-xr-x 3 root root 4096 Jun 13 10:11 .
drwxr-xr-x 1 root root 4096 Jun 13 10:04 ..
drwxr-xr-x 2 root root 4096 Jun 13 10:11 2017-06-13
lrwxrwxrwx 1 root root   14 Jun 13 10:11 current -> /var/spool/bro

Εκτελέστε αυτήν την εντολή στα αρχεία καταγραφής ουράς: tail -f /var/log/bro/current/conn.logκαι ζητήστε την ip σας από το πρόγραμμα περιήγησης.
Εάν όλα έχουν ρυθμιστεί σωστά, θα δείτε μηνύματα καταγραφής.

Απολαμβάνω!