„Bro IDS“ diegimas „Fedora 25“.

Įvadas

Bro yra atvirojo kodo tinklo srauto analizatorius. Tai visų pirma saugos monitorius, kuris nuodugniai tikrina visą srautą nuorodoje, ar nėra įtartinos veiklos požymių. Tačiau apskritai Bro palaiko daugybę srauto analizės užduočių, net ir už saugos srities ribų, įskaitant našumo matavimus ir trikčių šalinimo pagalbą.

Būtinos sąlygos

Prieš diegdami Bro, turėsite įsitikinti, kad yra tam tikrų priklausomybių:

Reikalingos priklausomybės

• Libpcap
• OpenSSL bibliotekos
• BIND8 biblioteka
• Libz
• Bash (skirta „BroControl“)
• Python 2.6 ar naujesnė versija (skirta „BroControl“)

Tai Sendmailnėra būtina, bet primygtinai rekomenduojama.

1 veiksmas: atnaujinkite sistemą

Prieš diegiant bet kokius paketus rekomenduojama atnaujinti sistemos paketus. Vykdykite komandą dnf --assumeyes update. Tai atsisiųs ir įdiegs naujausias sistemos paketų versijas. Paketo valdytojas automatiškai atsakys „taip“ į siūlomus raginimus. Tai gali užtrukti šiek tiek laiko.

2 veiksmas: įdiekite priklausomybes

Savo sistemoje turėsite įdiegti reikiamus paketus. Vykdykite šią komandą: dnf --assumeyes install libpcap openssl python zlib sendmail

3 veiksmas: įdiekite Bro IDS

"Paleisti komandą" dnf install --assumeyes bro Ši komanda bus įdiegti broį /binkatalogą. O dabar sukonfigūruokime.

4 veiksmas: sukonfigūruokite Bro IDS

Sukurti aplankus: mkdir -p /var/log/broirmkdir -p /var/spool

Konfigūruojamas failas node.cfg

Kadangi „Fedora 2x“ sąsajos pavadinimai buvo pakeisti, išsiaiškinkime dabartinį „iface“ pavadinimą:
ls /sys/class/net. Išvestis turėtų būti panaši į šią: ens3 lo, arba šią: eth0 lo. Pirmuoju atveju mus domina ens3sąsajos pavadinimas, antruoju - eth0. Tarkime, kad turime ens3.

Dabar patikrinkite failą /etc/bro/node.cfg. Vykdyti komandą less /etc/bro/node.cfg. 11 eilutėje yra tinklo sąsajos specifikacija:
interface=eth0. Jei jūsų „iface“ vardas yra eth0– leiskite failą nepakeisti ir pereikite prie kito veiksmo. Kitu atveju pakeiskite jį su ens3. Tam paleiskite šią komandą: sed -i 's/eth0/ens3'. Parinktis -ireiškia failo keitimą vietoje. spakeis reikšmę, esančią tarp pirmojo ir antrojo pasvirojo brūkšnio, į reikšmę tarp antrojo ir trečiojo.

Konfigūruojamas broctl.cfg failas

Pridėkite kintamuosius į konfigūracijos failą:
echo "LibDirInternal = /usr/lib/python2.7/site-packages/BroControl/" >> /etc/bro/broctl.cfg
echo "SpoolDir = /var/spool" >> /etc/bro/broctl.cfg
echo "LogDir = /var/log/bro" >> /etc/bro/broctl.cfg
echo "CfgDir = /etc/bro" >> /etc/bro/broctl.cfg

5 veiksmas: paleiskite BroCtl

Dabar galime įdiegti sukonfigūruotą mazgą ir pradėti registruoti:

Vykdyti komandą broctl deploy. Pamatysite tokią išvestį:

cannot get list of local IP addresses
checking configurations ...
installing ...
removing old policies in /var/spool/installed-scripts-do-not-touch/site ...
removing old policies in /var/spool/installed-scripts-do-not-touch/auto ...
creating policy directories ...
installing site policies ...
generating standalone-layout.bro ...
generating local-networks.bro ...
generating broctl-config.bro ...
generating broctl-config.sh ...
updating nodes ...
stopping ...
stopping bro ...
starting ...
starting bro ...

Jei negavote jokių klaidų, brokas yra įdiegtas.

5 veiksmas: patikrinkite diegimą

Dabar pažiūrėkime į žurnalus: ls -la /var/log/bro. Išvestis turėtų būti panaši į šią:

total 12
drwxr-xr-x 3 root root 4096 Jun 13 10:11 .
drwxr-xr-x 1 root root 4096 Jun 13 10:04 ..
drwxr-xr-x 2 root root 4096 Jun 13 10:11 2017-06-13
lrwxrwxrwx 1 root root   14 Jun 13 10:11 current -> /var/spool/bro

Paleiskite šią komandą uodegos žurnalams: tail -f /var/log/bro/current/conn.logir pateikite IP užklausą iš naršyklės.
Jei viskas sukonfigūruota teisingai, matysite žurnalo pranešimus.

Mėgautis!