A Bro IDS telepítése Ubuntu 16.04-re

Bevezetés

A Bro egy hatékony nyílt forráskódú hálózatelemző keretrendszer. A Bro elsődleges célja a hálózatbiztonság figyelése. A Bro platformot biztosít általános forgalomelemzéshez, valamint hibaelhárítási segítségnyújtáshoz és teljesítményméréshez. Kiterjedt naplófájlokat kínál, amelyek számos adatot tartalmaznak jól strukturált naplófájlokban, amelyek alkalmasak külső alkalmazásokkal történő utófeldolgozásra. Ezek a naplók a következőket tartalmazzák:

• Minden HTTP-munkamenet a kért URL-címekkel, kulcsfejlécekkel, MIME-típusokkal és szerverválaszokkal.
• DNS kérések válaszokkal.
• Az SMTP-munkamenetek kulcstartalma.
• SSL tanúsítványok.

A Bro egy sor elemzési és észlelési feladatot is kínál, mint például:

• Fájlok kibontása HTTP-munkamenetekből.
• SSH brute force támadások észlelése.
• Rosszindulatú programok észlelése külső nyilvántartásokkal való interfész révén.
• A hálózaton látható szoftverek sebezhető verzióinak jelentése.
• SQL injekciós támadások észlelése.

A Bro telepíthető önálló rendszerként vagy egy Bro Cluster részeként, amely összekapcsolja a rendszereket a hálózat forgalmának közös elemzéséhez. Ebben az oktatóanyagban a Brot forrásból telepítjük önálló módban.

Előfeltételek

• Ubuntu 16.04 példány legalább 1 GB memóriával.
• Nem root sudo felhasználó.

1. lépés: Frissítse a rendszert

A telepítés megkezdése előtt javasoljuk, hogy frissítse rendszerét.

sudo apt-get update
sudo apt-get upgrade

2. lépés: Függőségek telepítése

Ezután telepítenünk kell az összes szükséges csomagot a szerverére.

sudo apt-get install cmake make gcc g++ flex bison libpcap-dev libssl-dev python-dev swig zlib1g-dev sendmail sendmail-bin

3. lépés: Telepítse a Bro

Ezután a Bro 2.5.2-t telepítjük a forrásból. Látogassa meg a Bro letöltési oldalát, hogy megbizonyosodjon arról, hogy a legújabb verziót használja.

sudo mkdir -p /nsm/bro
cd ~
wget https://www.bro.org/downloads/bro-2.5.2.tar.gz
tar -xvzf bro-2.5.2.tar.gz
cd bro-2.5.2
./configure --prefix=/nsm/bro
make
sudo make install
export PATH=/nsm/bro/bin:$PATH

4. lépés: Konfigurálja a Bro

Először elmondjuk Bro, melyik felületet szeretnénk figyelni. Ez a konfigurációs fájl szerkesztésével történik /nsm/bro/etc/node.cfg.

sudo nano /nsm/bro/etc/node.cfg

Keresse meg a sort, interface=eth0és módosítsa azt a felületre.

interface=ens3

Az alábbiakban megtudhatja, hogy melyik felületet használja.

ifconfig

Ezt követően meg kell mondanunk a tesónak, hogy hova küldje a napló e-mailt az e-mail cím hozzáadásával a következőhöz /nsm/bro/etc/broctl.cfg.

sudo nano /nsm/bro/etc/broctl.cfg

Keresse meg a MailTosort, és adja meg e-mail címét.

MailTo = sammy@example.com

5. lépés: Indítsa el a Bro

A Bro elkezdi használni a alkalmazást BroControl, amelyet telepítenünk kell.

sudo /nsm/bro/bin/broctl
install
exit

Most már elkezdheti, tesó.

sudo /nsm/bro/bin/broctl deploy

Ezután a Brot úgy állítjuk be, hogy indításkor fusson, hozzáadva a -hoz /etc/rc.local.

sudo nano /etc /rc.local

Adja hozzá a következő sort, majd zárja be és mentse a fájlt.

/nsm/bro/bin/broctl start

Ezután hozzáadunk egy cron feladatot.

crontab -e

Adja hozzá a következőket a Bro.

0-59/5 * * * * /nsm/bro/bin/broctl cron

6. lépés: Tesztelés Bro

A Bro teszteléséhez conn.logvalós időben nézzük meg a fájlt a segítségével tail.

tail -f /nsm/bro/logs/current/conn.log

Láthatja majd a Bro kimenetét, ahogy kinyomtatja a termináljára.