Inštalácia Bro IDS na Fedora 25

Úvod

Bro je open-source analyzátor sieťovej prevádzky. Ide predovšetkým o bezpečnostný monitor, ktorý do hĺbky kontroluje všetku prevádzku na odkaze, či neobsahuje známky podozrivej aktivity. Vo všeobecnosti však Bro podporuje širokú škálu úloh analýzy návštevnosti aj mimo bezpečnostnej domény, vrátane meraní výkonu a pomoci pri riešení problémov.

Predpoklady

Pred inštaláciou Bro sa musíte uistiť, že existujú určité závislosti:

Požadované závislosti

• Libpcap
• OpenSSL knižnice
• Knižnica BIND8
• Libž
• Bash (pre BroControl)
• Python 2.6+ alebo vyšší (pre BroControl)

SendmailSa nevyžaduje, ale odporúčané.

Krok 1: Aktualizujte systém

Pred inštaláciou akýchkoľvek balíkov sa odporúča aktualizovať systémové balíky. Spustite príkaz dnf --assumeyes update. Týmto sa stiahnu a nainštaluje najnovšie verzie systémových balíkov. Správca balíkov automaticky odpovie áno na ponúkané výzvy. Môže to chvíľu trvať.

Krok 2: Nainštalujte závislosti

Budete musieť nainštalovať požadované balíky do vášho systému. Spustite nasledujúci príkaz: dnf --assumeyes install libpcap openssl python zlib sendmail

Krok 3: Nainštalujte Bro IDS

Spustiť príkaz dnf install --assumeyes bro Tento príkaz sa nainštaluje brodo /binadresára. A teraz to poďme nakonfigurovať.

Krok 4: Nakonfigurujte Bro IDS

Vytvorte priečinky: mkdir -p /var/log/broamkdir -p /var/spool

Konfigurácia súboru node.cfg

Keďže bolo zmenené pomenovanie rozhrania Fedora 2x, poďme zistiť aktuálny názov iface:
ls /sys/class/net. Výstup by mal byť podobný tomuto: ens3 lo, alebo tomuto: eth0 lo. V prvom prípade nás zaujíma ens3názov rozhrania, v druhom -- eth0. Predpokladajme, že máme ens3.

Teraz preskúmajte súbor /etc/bro/node.cfg. Spustiť príkaz less /etc/bro/node.cfg. Na riadku 11 je špecifikácia sieťového rozhrania:
interface=eth0. Ak je váš názov iface eth0-- nechajte súbor bez zmien a pokračujte ďalším krokom. V opačnom prípade - zmeňte ho pomocou ens3. Za týmto účelom spustite tento príkaz: sed -i 's/eth0/ens3'. Možnosť -iznamená zmenu súboru na mieste. snahradí hodnotu medzi prvou a druhou lomkou hodnotou medzi druhou a treťou lomkou.

Konfigurácia súboru broctl.cfg

Pridajte premenné do konfiguračného súboru:
echo "LibDirInternal = /usr/lib/python2.7/site-packages/BroControl/" >> /etc/bro/broctl.cfg
echo "SpoolDir = /var/spool" >> /etc/bro/broctl.cfg
echo "LogDir = /var/log/bro" >> /etc/bro/broctl.cfg
echo "CfgDir = /etc/bro" >> /etc/bro/broctl.cfg

Krok 5: Spustite BroCtl

Teraz môžeme nasadiť náš nakonfigurovaný uzol a začať protokolovať:

Spustiť príkaz broctl deploy. Uvidíte výstup takto:

cannot get list of local IP addresses
checking configurations ...
installing ...
removing old policies in /var/spool/installed-scripts-do-not-touch/site ...
removing old policies in /var/spool/installed-scripts-do-not-touch/auto ...
creating policy directories ...
installing site policies ...
generating standalone-layout.bro ...
generating local-networks.bro ...
generating broctl-config.bro ...
generating broctl-config.sh ...
updating nodes ...
stopping ...
stopping bro ...
starting ...
starting bro ...

Ak sa vám nezobrazia žiadne chyby – brácho je nasadený.

Krok 5: Otestujte svoju inštaláciu

Teraz sa pozrime na protokoly: ls -la /var/log/bro. Výstup by mal byť podobný tomuto:

total 12
drwxr-xr-x 3 root root 4096 Jun 13 10:11 .
drwxr-xr-x 1 root root 4096 Jun 13 10:04 ..
drwxr-xr-x 2 root root 4096 Jun 13 10:11 2017-06-13
lrwxrwxrwx 1 root root   14 Jun 13 10:11 current -> /var/spool/bro

Spustite tento príkaz na sledovanie protokolov: tail -f /var/log/bro/current/conn.loga dotazujte sa na svoju IP z prehliadača.
Ak bolo všetko správne nakonfigurované, uvidíte správy denníka.

Užite si to!