Bro IDS:n asentaminen Ubuntu 16.04:ään

Johdanto

Bro on tehokas avoimen lähdekoodin verkkoanalyysikehys. Bro keskittyy ensisijaisesti verkkoturvallisuuden valvontaan. Bro tarjoaa myös alustan yleiselle liikenneanalyysille sekä vianmääritysavulle ja suorituskyvyn mittauksille. Se tarjoaa laajoja lokitiedostoja, jotka sisältävät laajan joukon tietoja hyvin jäsennellyissä lokitiedostoissa, jotka soveltuvat jälkikäsittelyyn ulkoisten sovellusten kanssa. Nämä lokit sisältävät:

• Kaikki HTTP-istunnot ja niiden pyydetyt URL-osoitteet, avainotsikot, MIME-tyypit ja palvelinvastaukset.
• DNS-pyynnöt ja vastaukset.
• SMTP-istuntojen avainsisältö.
• SSL-sertifikaatit.

Bro tarjoaa myös erilaisia ​​analysointi- ja tunnistustehtäviä, kuten:

• Tiedostojen purkaminen HTTP-istunnoista.
• Havaitsee SSH:n raa'an voiman hyökkäyksiä.
• Haittaohjelmien havaitseminen liittämällä ulkoisiin rekistereihin.
• Verkossa havaittujen haavoittuvien ohjelmistoversioiden ilmoittaminen.
• Tunnista SQL-injektiohyökkäykset.

Bro voidaan asentaa erillisenä järjestelmänä tai osana Bro Clusteria, joka linkittää joukon järjestelmiä analysoimaan yhdessä verkon liikennettä. Tässä opetusohjelmassa asennamme Bro lähteestä erillisessä tilassa.

Edellytykset

• Ubuntu 16.04 -esiintymä, jossa on vähintään 1 Gt muistia.
• Ei-root-sudo-käyttäjä.

Vaihe 1: Päivitä järjestelmä

Ennen asennuksen aloittamista on suositeltavaa päivittää järjestelmäsi.

sudo apt-get update
sudo apt-get upgrade

Vaihe 2: Asenna riippuvuudet

Seuraavaksi meidän on asennettava kaikki tarvittavat paketit palvelimellesi.

sudo apt-get install cmake make gcc g++ flex bison libpcap-dev libssl-dev python-dev swig zlib1g-dev sendmail sendmail-bin

Vaihe 3: Asenna Bro

Seuraavaksi asennamme Bro 2.5.2:n lähdekoodista. Käy Broin lataussivulla varmistaaksesi, että käytät uusinta koontiversiota.

sudo mkdir -p /nsm/bro
cd ~
wget https://www.bro.org/downloads/bro-2.5.2.tar.gz
tar -xvzf bro-2.5.2.tar.gz
cd bro-2.5.2
./configure --prefix=/nsm/bro
make
sudo make install
export PATH=/nsm/bro/bin:$PATH

Vaihe 4: Määritä Bro

Ensin kerromme Brolle, mitä käyttöliittymää haluamme seurata. Tämä tehdään asetustiedostoa muokkaamalla /nsm/bro/etc/node.cfg.

sudo nano /nsm/bro/etc/node.cfg

Etsi rivi interface=eth0ja muuta se käyttöliittymään.

interface=ens3

Löydät käyttämäsi käyttöliittymän seuraavista.

ifconfig

Seuraavaksi meidän on kerrottava Brolle, mihin lokisähköposti lähetetään, lisäämällä sähköpostiosoitteesi osoitteeseen /nsm/bro/etc/broctl.cfg.

sudo nano /nsm/bro/etc/broctl.cfg

Etsi MailTorivi ja lisää sähköpostiosoitteesi.

MailTo = sammy@example.com

Vaihe 5: Käynnistä Bro

Bro on alkanut käyttää BroControl, joka meidän on asennettava.

sudo /nsm/bro/bin/broctl
install
exit

Nyt voit aloittaa Bro.

sudo /nsm/bro/bin/broctl deploy

Seuraavaksi asetamme Bron toimimaan käynnistyksen yhteydessä lisäämällä sen kohtaan /etc/rc.local.

sudo nano /etc /rc.local

Lisää seuraava rivi, sulje ja tallenna tiedosto.

/nsm/bro/bin/broctl start

Seuraavaksi lisäämme cron-työn.

crontab -e

Lisää seuraavat säilyttääksesi Bro.

0-59/5 * * * * /nsm/bro/bin/broctl cron

Vaihe 6: Testaus Bro

Testaaksemme Bro, katsomme conn.logtiedostoa reaaliajassa käyttämällä tail.

tail -f /nsm/bro/logs/current/conn.log

Näet Bro tulosteen, kun se tulostetaan päätteeseesi.