Installerer Bro IDS på Fedora 25

Introduksjon

Bro er en åpen kildekode-nettverkstrafikkanalysator. Det er først og fremst en sikkerhetsmonitor som inspiserer all trafikk på en link i dybden for tegn på mistenkelig aktivitet. Mer generelt støtter Bro imidlertid et bredt spekter av trafikkanalyseoppgaver selv utenfor sikkerhetsdomenet, inkludert ytelsesmålinger og hjelp med feilsøking.

Forutsetninger

Før du installerer Bro, må du sørge for at noen avhengigheter er på plass:

Nødvendige avhengigheter

• Libpcap
• OpenSSL-biblioteker
• BIND8 bibliotek
• Libz
• Bash (for BroControl)
• Python 2.6+ eller høyere (for BroControl)

Det Sendmailer ikke nødvendig, men anbefales på det sterkeste.

Trinn 1: Oppdater systemet

Før du installerer noen pakker, anbefales det å oppdatere systempakkene. Kjør kommandoen dnf --assumeyes update. Dette vil laste ned og installere de nyeste versjonene av systempakkene. Pakkebehandler vil automatisk svare ja på forespørsler som tilbys. Det kan ta litt tid.

Trinn 2: Installer avhengigheter

Du må installere nødvendige pakker på systemet ditt. Kjør følgende kommando: dnf --assumeyes install libpcap openssl python zlib sendmail

Trinn 3: Installer Bro IDS

Kjør kommando dnf install --assumeyes bro Denne kommandoen installeres broi /binkatalogen. Og la oss nå konfigurere det.

Trinn 4: Konfigurer Bro IDS

Opprett mapper: mkdir -p /var/log/broogmkdir -p /var/spool

Konfigurering av node.cfg-filen

Siden Fedora 2x-grensesnittnavnet ble endret, så la oss finne ut gjeldende iface-navn:
ls /sys/class/net. Utdata skal være lik denne: ens3 lo, eller denne: eth0 lo. I det første tilfellet er vi interessert i ens3grensesnittnavn, i det andre -- eth0. La oss anta at vi har ens3.

Nå, undersøk filen /etc/bro/node.cfg. Kjør kommando less /etc/bro/node.cfg. På linje 11 er det nettverksgrensesnittspesifikasjon:
interface=eth0. Hvis iface-navnet ditt er eth0-- la filene uten endringer og fortsett til neste trinn. Ellers – endre den med ens3. For det, kjør denne kommandoen: sed -i 's/eth0/ens3'. Option -istår for å endre filen på plass. svil erstatte verdien mellom første og andre skråstrek med verdien mellom andre og tredje.

Konfigurering av broctl.cfg-filen

Legg til variabler i konfigurasjonsfilen:
echo "LibDirInternal = /usr/lib/python2.7/site-packages/BroControl/" >> /etc/bro/broctl.cfg
echo "SpoolDir = /var/spool" >> /etc/bro/broctl.cfg
echo "LogDir = /var/log/bro" >> /etc/bro/broctl.cfg
echo "CfgDir = /etc/bro" >> /etc/bro/broctl.cfg

Trinn 5: Start BroCtl

Nå kan vi distribuere vår konfigurerte node og begynne å logge:

Kjør kommando broctl deploy. Du vil se utdata som dette:

cannot get list of local IP addresses
checking configurations ...
installing ...
removing old policies in /var/spool/installed-scripts-do-not-touch/site ...
removing old policies in /var/spool/installed-scripts-do-not-touch/auto ...
creating policy directories ...
installing site policies ...
generating standalone-layout.bro ...
generating local-networks.bro ...
generating broctl-config.bro ...
generating broctl-config.sh ...
updating nodes ...
stopping ...
stopping bro ...
starting ...
starting bro ...

Hvis du ikke fikk noen feil -- bro er distribuert.

Trinn 5: Test installasjonen

La oss nå se på loggene: ls -la /var/log/bro. Utgangen skal være lik denne:

total 12
drwxr-xr-x 3 root root 4096 Jun 13 10:11 .
drwxr-xr-x 1 root root 4096 Jun 13 10:04 ..
drwxr-xr-x 2 root root 4096 Jun 13 10:11 2017-06-13
lrwxrwxrwx 1 root root   14 Jun 13 10:11 current -> /var/spool/bro

Kjør denne kommandoen for å hale logger: tail -f /var/log/bro/current/conn.logog spør ip-en din fra nettleseren.
Hvis alt var riktig konfigurert, vil du se loggmeldinger.

Nyt!