Bro IDS:n asentaminen Fedora 25:een

Johdanto

Bro on avoimen lähdekoodin verkkoliikenteen analysaattori. Se on ensisijaisesti turvamonitori, joka tarkastaa kaiken linkin liikenteen perusteellisesti epäilyttävän toiminnan merkkien varalta. Yleisemmin kuitenkin Bro tukee laajaa valikoimaa liikenteen analysointitehtäviä myös suojausalueen ulkopuolella, mukaan lukien suorituskykymittaukset ja vianmäärityksen apu.

Edellytykset

Ennen Bron asentamista sinun on varmistettava, että joitain riippuvuuksia on olemassa:

Vaaditut riippuvuudet

• Libpcap
• OpenSSL-kirjastot
• BIND8 kirjasto
• Libz
• Bash (BroControlille)
• Python 2.6+ tai uudempi (BroControlille)

SendmailEi tarvita, mutta erittäin suositeltavaa.

Vaihe 1: Päivitä järjestelmä

Ennen pakettien asentamista on suositeltavaa päivittää järjestelmäpaketit. Suorita komento dnf --assumeyes update. Tämä lataa ja asentaa järjestelmäpakettien uusimmat versiot. Paketinhallinta vastaa automaattisesti kyllä ​​tarjottuihin kehotteisiin. Se voi kestää jonkin aikaa.

Vaihe 2: Asenna riippuvuudet

Sinun on asennettava tarvittavat paketit järjestelmääsi. Suorita seuraava komento: dnf --assumeyes install libpcap openssl python zlib sendmail

Vaihe 3: Asenna Bro IDS

Suorita komento dnf install --assumeyes bro Tämä komento asentaa broosaksi /binhakemistoon. Ja nyt konfiguroidaan se.

Vaihe 4: Määritä Bro IDS

Luo kansiot: mkdir -p /var/log/brojamkdir -p /var/spool

Node.cfg-tiedoston määrittäminen

Koska Fedora 2x -käyttöliittymän nimeäminen muuttui, selvitetään nykyinen ifacen nimi:
ls /sys/class/net. Tulosteen tulee olla samanlainen kuin tämä: ens3 lo, tai tämä: eth0 lo. Ensimmäisessä tapauksessa olemme kiinnostuneita ens3käyttöliittymän nimestä, toisessa -- eth0. Oletetaan, että meillä on ens3.

Tutki nyt tiedostoa /etc/bro/node.cfg. Suorita komento less /etc/bro/node.cfg. Linjalla 11 on verkkoliitännän määritys:
interface=eth0. Jos iface-nimesi on eth0-- anna tiedosto ilman muutoksia ja jatka seuraavaan vaiheeseen. Muuten - vaihda se ens3. Suorita tätä varten tämä komento: sed -i 's/eth0/ens3'. Optio -itarkoittaa tiedoston vaihtamista paikan päällä. skorvaa ensimmäisen ja toisen vinoviivan välissä olevan arvon toisen ja kolmannen kauttaviivalla olevalla arvolla.

Broctl.cfg-tiedoston määrittäminen

Lisää muuttujia asetustiedostoon:
echo "LibDirInternal = /usr/lib/python2.7/site-packages/BroControl/" >> /etc/bro/broctl.cfg
echo "SpoolDir = /var/spool" >> /etc/bro/broctl.cfg
echo "LogDir = /var/log/bro" >> /etc/bro/broctl.cfg
echo "CfgDir = /etc/bro" >> /etc/bro/broctl.cfg

Vaihe 5: Käynnistä BroCtl

Nyt voimme ottaa käyttöön määritetyn solmumme ja aloittaa kirjaamisen:

Suorita komento broctl deploy. Näet seuraavanlaisen tulosteen:

cannot get list of local IP addresses
checking configurations ...
installing ...
removing old policies in /var/spool/installed-scripts-do-not-touch/site ...
removing old policies in /var/spool/installed-scripts-do-not-touch/auto ...
creating policy directories ...
installing site policies ...
generating standalone-layout.bro ...
generating local-networks.bro ...
generating broctl-config.bro ...
generating broctl-config.sh ...
updating nodes ...
stopping ...
stopping bro ...
starting ...
starting bro ...

Jos et saa virheitä, bro otetaan käyttöön.

Vaihe 5: Testaa asennus

Katsotaanpa nyt lokeja: ls -la /var/log/bro. Tulostuksen pitäisi olla samanlainen kuin tämä:

total 12
drwxr-xr-x 3 root root 4096 Jun 13 10:11 .
drwxr-xr-x 1 root root 4096 Jun 13 10:04 ..
drwxr-xr-x 2 root root 4096 Jun 13 10:11 2017-06-13
lrwxrwxrwx 1 root root   14 Jun 13 10:11 current -> /var/spool/bro

Suorita tämä komento hännän lokeihin: tail -f /var/log/bro/current/conn.logja kysy IP-osoitetta selaimesta.
Jos kaikki on määritetty oikein, näet lokiviestejä.

Nauttia!