Setur upp Bro IDS á Fedora 25

Kynning

Bro er opinn uppspretta netumferðargreiningartæki. Það er fyrst og fremst öryggiseftirlit sem skoðar alla umferð á hlekk í dýpt með tilliti til merkja um grunsamlega starfsemi. Almennt séð styður Bro hins vegar fjölbreytt úrval af umferðargreiningarverkefnum jafnvel utan öryggissviðsins, þar á meðal árangursmælingar og aðstoð við bilanaleit.

Forkröfur

Áður en þú setur upp Bro þarftu að tryggja að einhver ósjálfstæði séu til staðar:

Nauðsynleg ósjálfstæði

• Libpcap
• OpenSSL bókasöfn
• BIND8 bókasafn
• Libz
• Bash (fyrir BroControl)
• Python 2.6+ eða nýrri (fyrir BroControl)

Það Sendmailer ekki krafist, en eindregið mælt með því.

Skref 1: Uppfærðu kerfið

Áður en einhver pakki er settur upp er mælt með því að uppfæra kerfispakkana. Keyra skipunina dnf --assumeyes update. Þetta mun hlaða niður og setja upp nýjustu útgáfur af kerfispökkunum. Pakkastjóri mun sjálfkrafa svara já við boðum sem boðið er upp á. Það getur tekið smá tíma.

Skref 2: Settu upp ósjálfstæði

Þú þarft að setja upp nauðsynlega pakka á kerfið þitt. Keyra eftirfarandi skipun: dnf --assumeyes install libpcap openssl python zlib sendmail

Skref 3: Settu upp Bro IDS

Keyra skipun dnf install --assumeyes bro Þessi skipun mun setja upp broí /binmöppu. Og nú skulum við stilla það.

Skref 4: Stilltu Bro IDS

Búðu til möppur: mkdir -p /var/log/broogmkdir -p /var/spool

Stillir node.cfg skrána

Þar sem nafngift Fedora 2x viðmóts var breytt, svo við skulum finna út núverandi nafn iface:
ls /sys/class/net. Úttak ætti að vera svipað og þessi: ens3 lo, eða þessi: eth0 lo. Í fyrra tilvikinu höfum við áhuga á ens3nafni viðmóts, í því síðara -- eth0. Gerum ráð fyrir að við höfum ens3.

Skoðaðu nú skrána /etc/bro/node.cfg. Keyra skipun less /etc/bro/node.cfg. Á línu 11 er netviðmótslýsing:
interface=eth0. Ef iface nafnið þitt er eth0-- láttu skrá án breytinga og haltu áfram í næsta skref. Annars -- breyttu því með ens3. Fyrir það keyrðu þessa skipun: sed -i 's/eth0/ens3'. Valkostur -istendur fyrir að breyta skránni á sínum stað. smun skipta út gildi sem er á milli fyrsta og annars skástriksins fyrir gildið á milli annars og þriðja.

Stillir broctl.cfg skrána

Bættu breytum við stillingarskrána:
echo "LibDirInternal = /usr/lib/python2.7/site-packages/BroControl/" >> /etc/bro/broctl.cfg
echo "SpoolDir = /var/spool" >> /etc/bro/broctl.cfg
echo "LogDir = /var/log/bro" >> /etc/bro/broctl.cfg
echo "CfgDir = /etc/bro" >> /etc/bro/broctl.cfg

Skref 5: Ræstu BroCtl

Nú getum við sett upp stillta hnútinn okkar og byrjað að skrá þig:

Keyra skipun broctl deploy. Þú munt sjá úttak eins og þetta:

cannot get list of local IP addresses
checking configurations ...
installing ...
removing old policies in /var/spool/installed-scripts-do-not-touch/site ...
removing old policies in /var/spool/installed-scripts-do-not-touch/auto ...
creating policy directories ...
installing site policies ...
generating standalone-layout.bro ...
generating local-networks.bro ...
generating broctl-config.bro ...
generating broctl-config.sh ...
updating nodes ...
stopping ...
stopping bro ...
starting ...
starting bro ...

Ef þú fékkst engar villur -- er bróðir settur upp.

Skref 5: Prófaðu uppsetninguna þína

Nú skulum við líta á logs: ls -la /var/log/bro. Framleiðsla ætti að vera svipuð og þessi:

total 12
drwxr-xr-x 3 root root 4096 Jun 13 10:11 .
drwxr-xr-x 1 root root 4096 Jun 13 10:04 ..
drwxr-xr-x 2 root root 4096 Jun 13 10:11 2017-06-13
lrwxrwxrwx 1 root root   14 Jun 13 10:11 current -> /var/spool/bro

Keyrðu þessa skipun til að loka logs: tail -f /var/log/bro/current/conn.logog spurðu ip-inn þinn úr vafranum.
Ef allt var rétt stillt muntu sjá logskilaboð.

Njóttu!