Instalacija Bro IDS-a na Fedora 25

Uvod

Bro je open-source analizator mrežnog prometa. To je prvenstveno sigurnosni monitor koji detaljno provjerava sav promet na poveznici u potrazi za znakovima sumnjive aktivnosti. Općenito, međutim, Bro podržava širok raspon zadataka analize prometa čak i izvan sigurnosne domene, uključujući mjerenja performansi i pomoć pri rješavanju problema.

Preduvjeti

Prije instaliranja Bro, morat ćete osigurati da postoje neke ovisnosti:

Potrebne ovisnosti

• Libpcap
• OpenSSL knjižnice
• Knjižnica BIND8
• Libz
• Bash (za BroControl)
• Python 2.6+ ili noviji (za BroControl)

SendmailNije potrebno, ali preporuča.

Korak 1: Ažurirajte sustav

Prije instaliranja bilo kojeg paketa preporučuje se ažuriranje paketa sustava. Pokrenite naredbu dnf --assumeyes update. Ovo će preuzeti i instalirati najnovije verzije paketa sustava. Upravitelj paketa automatski će odgovoriti potvrdno na ponuđene upite. Može potrajati neko vrijeme.

Korak 2: Instalirajte ovisnosti

Morat ćete instalirati potrebne pakete na svoj sustav. Pokrenite sljedeću naredbu: dnf --assumeyes install libpcap openssl python zlib sendmail

Korak 3: Instalirajte Bro IDS

Naredba Pokreni dnf install --assumeyes bro Ova naredba će se instalirati brou /bindirektorij. A sada ga konfigurirajmo.

Korak 4: Konfigurirajte Bro IDS

Napravite mape: mkdir -p /var/log/broimkdir -p /var/spool

Konfiguriranje datoteke node.cfg

Budući da je ime Fedora 2x sučelja promijenjeno, pa doznajmo trenutno ime ifacea:
ls /sys/class/net. Izlaz bi trebao biti sličan ovom: ens3 lo, ili ovome: eth0 lo. U prvom slučaju nas zanima ens3naziv sučelja, u drugom -- eth0. Pretpostavimo da imamo ens3.

Sada pregledajte datoteku /etc/bro/node.cfg. Pokreni naredbu less /etc/bro/node.cfg. Na liniji 11 nalazi se specifikacija mrežnog sučelja:
interface=eth0. Ako je vaše iface ime eth0-- pustite datoteku bez promjena i nastavite na sljedeći korak. Inače - promijenite ga sa ens3. Za to pokrenite ovu naredbu: sed -i 's/eth0/ens3'. Opcija -ioznačava promjenu datoteke na mjestu. szamijenit će vrijednost zatvorenu između prve i druge kose crte vrijednosti između druge i treće.

Konfiguriranje datoteke broctl.cfg

Dodajte varijable u konfiguracijsku datoteku:
echo "LibDirInternal = /usr/lib/python2.7/site-packages/BroControl/" >> /etc/bro/broctl.cfg
echo "SpoolDir = /var/spool" >> /etc/bro/broctl.cfg
echo "LogDir = /var/log/bro" >> /etc/bro/broctl.cfg
echo "CfgDir = /etc/bro" >> /etc/bro/broctl.cfg

Korak 5: Pokrenite BroCtl

Sada možemo implementirati naš konfigurirani čvor i početi zapisivati:

Pokreni naredbu broctl deploy. Vidjet ćete ovakav izlaz:

cannot get list of local IP addresses
checking configurations ...
installing ...
removing old policies in /var/spool/installed-scripts-do-not-touch/site ...
removing old policies in /var/spool/installed-scripts-do-not-touch/auto ...
creating policy directories ...
installing site policies ...
generating standalone-layout.bro ...
generating local-networks.bro ...
generating broctl-config.bro ...
generating broctl-config.sh ...
updating nodes ...
stopping ...
stopping bro ...
starting ...
starting bro ...

Ako niste dobili nijednu pogrešku - brat je raspoređen.

Korak 5: Testirajte svoju instalaciju

Pogledajmo sada dnevnike: ls -la /var/log/bro. Izlaz bi trebao biti sličan ovom:

total 12
drwxr-xr-x 3 root root 4096 Jun 13 10:11 .
drwxr-xr-x 1 root root 4096 Jun 13 10:04 ..
drwxr-xr-x 2 root root 4096 Jun 13 10:11 2017-06-13
lrwxrwxrwx 1 root root   14 Jun 13 10:11 current -> /var/spool/bro

Pokrenite ovu naredbu za tail logs: tail -f /var/log/bro/current/conn.logi upitajte svoj IP iz preglednika.
Ako je sve bilo ispravno konfigurirano, vidjet ćete poruke dnevnika.

Uživati!