Bro IDS installimine Fedora 25-le

Sissejuhatus

Bro on avatud lähtekoodiga võrguliikluse analüsaator. See on peamiselt turvamonitor, mis kontrollib kogu lingi liiklust põhjalikult, et tuvastada kahtlase tegevuse märke. Üldisemalt toetab Bro aga laias valikus liiklusanalüüsi ülesandeid ka väljaspool turbevaldkonda, sealhulgas jõudluse mõõtmist ja abi tõrkeotsingul.

Eeltingimused

Enne Bro installimist peate tagama, et mõned sõltuvused on paigas.

Nõutavad sõltuvused

• Libpcap
• OpenSSL-i teegid
• BIND8 raamatukogu
• Libz
• Bash (BroControli jaoks)
• Python 2.6+ või uuem (BroControli jaoks)

See Sendmailei ole kohustuslik, kuid tungivalt soovitatav.

1. samm: värskendage süsteemi

Enne mis tahes pakettide installimist on soovitatav süsteemipakette värskendada. Käivitage käsk dnf --assumeyes update. See laadib alla ja installib süsteemipakettide uusimad versioonid. Paketihaldur vastab pakutavatele viipadele automaatselt jaatavalt. See võib veidi aega võtta.

2. samm: installige sõltuvused

Peate oma süsteemi installima vajalikud paketid. Käivitage järgmine käsk: dnf --assumeyes install libpcap openssl python zlib sendmail

3. samm: installige Bro IDS

Run käsk dnf install --assumeyes bro See käsk paigaldada broarvesse /binkataloogi. Ja nüüd konfigureerime selle.

4. samm: konfigureerige Bro IDS

Loo kaustad: mkdir -p /var/log/brojamkdir -p /var/spool

Faili node.cfg seadistamine

Kuna Fedora 2x liidese nimesid muudeti, siis uurime välja praegune iface'i nimi:
ls /sys/class/net. Väljund peaks olema sarnane sellele: ens3 lo, või sellele: eth0 lo. Esimesel juhul huvitab meid ens3liidese nimi, teisel juhul -- eth0. Oletame, et meil on ens3.

Nüüd uurige faili /etc/bro/node.cfg. Käivita käsk less /etc/bro/node.cfg. Real 11 on võrguliidese spetsifikatsioon:
interface=eth0. Kui teie iface'i nimi on eth0-- jätke faili muutmata ja jätkake järgmise sammuga. Vastasel juhul muutke seda ens3. Selleks käivitage käsk: sed -i 's/eth0/ens3'. Option -itähistab faili muutmist kohapeal. sasendab esimese ja teise kaldkriipsu vahele jääva väärtuse teise ja kolmanda kaldkriipsu vahel.

Faili broctl.cfg seadistamine

Lisage konfiguratsioonifaili muutujad:
echo "LibDirInternal = /usr/lib/python2.7/site-packages/BroControl/" >> /etc/bro/broctl.cfg
echo "SpoolDir = /var/spool" >> /etc/bro/broctl.cfg
echo "LogDir = /var/log/bro" >> /etc/bro/broctl.cfg
echo "CfgDir = /etc/bro" >> /etc/bro/broctl.cfg

5. samm: käivitage BroCtl

Nüüd saame oma konfigureeritud sõlme juurutada ja logimist alustada:

Käivita käsk broctl deploy. Näete sellist väljundit:

cannot get list of local IP addresses
checking configurations ...
installing ...
removing old policies in /var/spool/installed-scripts-do-not-touch/site ...
removing old policies in /var/spool/installed-scripts-do-not-touch/auto ...
creating policy directories ...
installing site policies ...
generating standalone-layout.bro ...
generating local-networks.bro ...
generating broctl-config.bro ...
generating broctl-config.sh ...
updating nodes ...
stopping ...
stopping bro ...
starting ...
starting bro ...

Kui te tõrkeid ei saanud, on vend kasutusele võetud.

5. samm: testige installimist

Nüüd vaatame logisid: ls -la /var/log/bro. Väljund peaks olema sarnane sellele:

total 12
drwxr-xr-x 3 root root 4096 Jun 13 10:11 .
drwxr-xr-x 1 root root 4096 Jun 13 10:04 ..
drwxr-xr-x 2 root root 4096 Jun 13 10:11 2017-06-13
lrwxrwxrwx 1 root root   14 Jun 13 10:11 current -> /var/spool/bro

Käivitage see käsk sabalogide jaoks: tail -f /var/log/bro/current/conn.logja küsige brauserist oma IP-d.
Kui kõik on õigesti konfigureeritud, näete logiteateid.

Nautige!