Installere Bro IDS på Ubuntu 16.04

Introduksjon

Bro er et kraftig åpen kildekode-nettverksanalyserammeverk. Bros primære fokus er på overvåking av nettverkssikkerhet. Bro gir også en plattform for generell trafikkanalyse samt feilsøkingshjelp og ytelsesmålinger. Den tilbyr omfattende loggfiler som inkluderer et stort utvalg data i godt strukturerte loggfiler som egner seg for etterbehandling med eksterne applikasjoner. Disse loggene inkluderer:

• Alle HTTP-økter med forespurte URL-er, nøkkelhoder, MIME-typer og serversvar.
• DNS-forespørsler med svar.
• Nøkkelinnhold i SMTP-økter.
• SSL-sertifikater.

Bro tilbyr også en rekke analyse- og deteksjonsoppgaver som:

• Trekker ut filer fra HTTP-økter.
• Oppdager SSH brute-force angrep.
• Oppdage skadelig programvare ved å kommunisere med eksterne registre.
• Rapportering av sårbare versjoner av programvare sett på nettverket.
• Oppdag SQL-injeksjonsangrep.

Bro kan installeres som et frittstående system eller som en del av en Bro Cluster som kobler sammen et sett med systemer for i fellesskap å analysere trafikken til et nettverk. I denne opplæringen skal vi installere Bro fra kilden i frittstående modus.

Forutsetninger

• En Ubuntu 16.04-forekomst med minst 1 GB minne.
• En ikke-root sudo-bruker.

Trinn 1: Oppdater systemet

Før du begynner installasjonen, anbefales det at du oppdaterer systemet.

sudo apt-get update
sudo apt-get upgrade

Trinn 2: Installer avhengigheter

Deretter må vi installere alle nødvendige pakker på serveren din.

sudo apt-get install cmake make gcc g++ flex bison libpcap-dev libssl-dev python-dev swig zlib1g-dev sendmail sendmail-bin

Trinn 3: Installer Bro

Deretter vil vi installere Bro 2.5.2 fra kilden. Besøk Bros nedlastingsside for å sikre at du bruker den nyeste versjonen.

sudo mkdir -p /nsm/bro
cd ~
wget https://www.bro.org/downloads/bro-2.5.2.tar.gz
tar -xvzf bro-2.5.2.tar.gz
cd bro-2.5.2
./configure --prefix=/nsm/bro
make
sudo make install
export PATH=/nsm/bro/bin:$PATH

Trinn 4: Konfigurer Bro

Først vil vi fortelle Bro hvilket grensesnitt vi ønsker å overvåke. Dette gjøres ved å redigere konfigurasjonsfilen /nsm/bro/etc/node.cfg.

sudo nano /nsm/bro/etc/node.cfg

Finn linjen interface=eth0og endre den til grensesnittet ditt.

interface=ens3

Du kan finne hvilket grensesnitt du bruker med følgende.

ifconfig

Deretter må vi fortelle Bro hvor logg-e-posten skal sendes ved å legge til e-postadressen din til /nsm/bro/etc/broctl.cfg.

sudo nano /nsm/bro/etc/broctl.cfg

Finn MailTolinjen og legg til e-postadressen din.

MailTo = sammy@example.com

Trinn 5: Start Bro

Bro begynner å bruke BroControl, som vi må installere.

sudo /nsm/bro/bin/broctl
install
exit

Nå kan du starte Bro.

sudo /nsm/bro/bin/broctl deploy

Deretter vil vi sette Bro til å kjøre ved oppstart ved å legge den til /etc/rc.local.

sudo nano /etc /rc.local

Legg til følgende linje, lukk og lagre filen.

/nsm/bro/bin/broctl start

Deretter legger vi til en cron-jobb.

crontab -e

Legg til følgende for å vedlikeholde Bro.

0-59/5 * * * * /nsm/bro/bin/broctl cron

Trinn 6: Testing Bro

For å teste Bro, vil vi se conn.logfilen i sanntid ved å bruke tail.

tail -f /nsm/bro/logs/current/conn.log

Du vil kunne se utdataene fra Bro når de skrives ut til terminalen din.