Instaliranje Bro IDS-a na Ubuntu 16.04

Uvod

Bro je moćan okvir za analizu mreže otvorenog koda. Broov primarni fokus je na nadzoru mrežne sigurnosti. Bro također pruža platformu za opću analizu prometa, kao i pomoć pri rješavanju problema i mjerenja performansi. Nudi opsežne datoteke dnevnika koje uključuju široku lepezu podataka u dobro strukturiranim datotekama zapisnika prikladnih za naknadnu obradu s vanjskim aplikacijama. Ovi zapisnici uključuju:

• Sve HTTP sesije s njihovim traženim URL-ovima, zaglavljima ključeva, MIME vrstama i odgovorima poslužitelja.
• DNS zahtjevi s odgovorima.
• Ključni sadržaj SMTP sesija.
• SSL certifikati.

Bro također nudi niz zadataka analize i otkrivanja kao što su:

• Ekstrahiranje datoteka iz HTTP sesija.
• Otkrivanje SSH brute-force napada.
• Otkrivanje zlonamjernog softvera povezivanjem s vanjskim registrima.
• Prijava ranjivih verzija softvera viđenih na mreži.
• Otkrijte napade SQL injekcije.

Bro se može instalirati kao samostalni sustav ili kao dio Bro Clustera koji povezuje skup sustava za zajedničku analizu prometa mreže. U ovom vodiču ćemo instalirati Bro iz izvora u samostalnom načinu rada.

Preduvjeti

• Instanca Ubuntu 16.04 s najmanje 1 GB memorije.
• Ne-root sudo korisnik.

Korak 1: Ažurirajte sustav

Prije početka naše instalacije, preporučujemo da ažurirate svoj sustav.

sudo apt-get update
sudo apt-get upgrade

Korak 2: Instalirajte ovisnosti

Zatim ćemo morati instalirati sve potrebne pakete na vaš poslužitelj.

sudo apt-get install cmake make gcc g++ flex bison libpcap-dev libssl-dev python-dev swig zlib1g-dev sendmail sendmail-bin

Korak 3: Instalirajte Bro

Zatim ćemo instalirati Bro 2.5.2 iz izvora. Posjetite Broovu stranicu za preuzimanje kako biste bili sigurni da koristite najnoviju verziju.

sudo mkdir -p /nsm/bro
cd ~
wget https://www.bro.org/downloads/bro-2.5.2.tar.gz
tar -xvzf bro-2.5.2.tar.gz
cd bro-2.5.2
./configure --prefix=/nsm/bro
make
sudo make install
export PATH=/nsm/bro/bin:$PATH

Korak 4: Konfigurirajte Bro

Prvo ćemo reći Bro koje sučelje želimo pratiti. Ovo je učinjeno radi uređivanja konfiguracijske datoteke /nsm/bro/etc/node.cfg.

sudo nano /nsm/bro/etc/node.cfg

Pronađite liniju interface=eth0i promijenite je u svoje sučelje.

interface=ens3

Možete pronaći koje sučelje koristite pomoću sljedećeg.

ifconfig

Zatim ćemo morati reći Bro gdje da pošalje e-poštu dnevnika dodavanjem vaše adrese e-pošte na /nsm/bro/etc/broctl.cfg.

sudo nano /nsm/bro/etc/broctl.cfg

Pronađite MailToredak i dodajte svoju adresu e-pošte.

MailTo = sammy@example.com

Korak 5: Pokrenite Bro

Bro je počeo koristiti BroControl, koji ćemo morati instalirati.

sudo /nsm/bro/bin/broctl
install
exit

Sada možeš početi brate.

sudo /nsm/bro/bin/broctl deploy

Zatim ćemo postaviti Bro da se pokreće pri pokretanju tako što ćemo ga dodati u /etc/rc.local.

sudo nano /etc /rc.local

Dodajte sljedeći redak, zatim zatvorite i spremite datoteku.

/nsm/bro/bin/broctl start

Zatim ćemo dodati cron posao.

crontab -e

Dodajte sljedeće za održavanje Bro.

0-59/5 * * * * /nsm/bro/bin/broctl cron

Korak 6: Testiranje Bro

Za testiranje Bro, pregledat ćemo conn.logdatoteku u stvarnom vremenu koristeći tail.

tail -f /nsm/bro/logs/current/conn.log

Moći ćete vidjeti izlaz iz Bro dok se ispisuje na vaš terminal.