A Bro IDS telepítése Fedora 25-re

Bevezetés

A Bro egy nyílt forráskódú hálózati forgalomelemző. Ez elsősorban egy biztonsági figyelő, amely a linken lévő összes forgalmat alaposan megvizsgálja gyanús tevékenység jeleit keresve. Általánosabban azonban a Bro a forgalomelemzési feladatok széles skáláját támogatja a biztonsági tartományon kívül is, beleértve a teljesítménymérést és a hibaelhárítási segítséget.

Előfeltételek

A Bro telepítése előtt meg kell győződnie arról, hogy bizonyos függőségek a helyükön vannak:

Kötelező függőségek

• Libpcap
• OpenSSL könyvtárak
• BIND8 könyvtár
• Libz
• Bash (a BroControlhoz)
• Python 2.6+ vagy újabb (BroControlhoz)

A Sendmailnem kötelező, de erősen ajánlott.

1. lépés: Frissítse a rendszert

Csomagok telepítése előtt ajánlott frissíteni a rendszercsomagokat. Futtassa a parancsot dnf --assumeyes update. Ezzel letölti és telepíti a rendszercsomagok legújabb verzióit. A csomagkezelő automatikusan igennel válaszol a felkínált kérdésekre. Eltarthat egy ideig.

2. lépés: Függőségek telepítése

A szükséges csomagokat telepítenie kell a rendszerére. Futtassa a következő parancsot: dnf --assumeyes install libpcap openssl python zlib sendmail

3. lépés: Telepítse a Bro IDS-t

Parancs futtatása dnf install --assumeyes bro Ez a parancs broa /binkönyvtárba települ . És most konfiguráljuk.

4. lépés: Konfigurálja a Bro IDS-t

Hozzon létre mappákat: mkdir -p /var/log/broésmkdir -p /var/spool

A node.cfg fájl konfigurálása

Mivel a Fedora 2x felület elnevezése megváltozott, nézzük meg az aktuális iface nevet:
ls /sys/class/net. A kimenetnek ehhez hasonlónak kell lennie: ens3 lo, vagy ehhez: eth0 lo. Az első esetben az ens3interfésznévre vagyunk kíváncsiak , a másodiknál ​​a -- eth0. Tegyük fel, hogy van ens3.

Most vizsgálja meg a fájlt /etc/bro/node.cfg. Futtassa a parancsot less /etc/bro/node.cfg. A 11-es vonalon található a hálózati interfész specifikációja:
interface=eth0. Ha az iface neve eth0-- hagyja a fájlt változtatások nélkül, és folytassa a következő lépéssel. Ellenkező esetben -- módosítsa a következővel ens3. Ehhez futtassa ezt a parancsot: sed -i 's/eth0/ens3'. Az Option -ia fájl helyben történő megváltoztatását jelenti. saz első és a második perjel közé zárt értéket a második és harmadik perjel közötti értékre cseréli.

A broctl.cfg fájl konfigurálása

Adjon hozzá változókat a konfigurációs fájlhoz:
echo "LibDirInternal = /usr/lib/python2.7/site-packages/BroControl/" >> /etc/bro/broctl.cfg
echo "SpoolDir = /var/spool" >> /etc/bro/broctl.cfg
echo "LogDir = /var/log/bro" >> /etc/bro/broctl.cfg
echo "CfgDir = /etc/bro" >> /etc/bro/broctl.cfg

5. lépés: Indítsa el a BroCtl

Most telepíthetjük a konfigurált csomópontunkat, és elkezdhetjük a naplózást:

Futtassa a parancsot broctl deploy. Ilyen kimenetet fog látni:

cannot get list of local IP addresses
checking configurations ...
installing ...
removing old policies in /var/spool/installed-scripts-do-not-touch/site ...
removing old policies in /var/spool/installed-scripts-do-not-touch/auto ...
creating policy directories ...
installing site policies ...
generating standalone-layout.bro ...
generating local-networks.bro ...
generating broctl-config.bro ...
generating broctl-config.sh ...
updating nodes ...
stopping ...
stopping bro ...
starting ...
starting bro ...

Ha nem kap hibaüzenetet, a tesó telepítve van.

5. lépés: Tesztelje a telepítést

Most nézzük a naplókat: ls -la /var/log/bro. A kimenetnek ehhez hasonlónak kell lennie:

total 12
drwxr-xr-x 3 root root 4096 Jun 13 10:11 .
drwxr-xr-x 1 root root 4096 Jun 13 10:04 ..
drwxr-xr-x 2 root root 4096 Jun 13 10:11 2017-06-13
lrwxrwxrwx 1 root root   14 Jun 13 10:11 current -> /var/spool/bro

Futtassa ezt a parancsot a faroknaplókhoz: tail -f /var/log/bro/current/conn.logés kérdezze le az ip-t a böngészőből.
Ha mindent megfelelően konfigurált, naplóüzeneteket fog látni.

Élvezd!