Инсталирање Бро ИДС-а на Федора 25

Увод

Бро је анализатор мрежног саобраћаја отвореног кода. То је првенствено безбедносни монитор који детаљно проверава сав саобраћај на линку у потрази за знаковима сумњиве активности. Генерално, међутим, Бро подржава широк спектар задатака анализе саобраћаја чак и ван домена безбедности, укључујући мерење перформанси и помоћ при решавању проблема.

Предуслови

Пре инсталирања Бро, мораћете да се уверите да постоје неке зависности:

Обавезне зависности

• Либпцап
• ОпенССЛ библиотеке
• БИНД8 библиотека
• Либз
• Басх (за БроЦонтрол)
• Питхон 2.6+ или новији (за БроЦонтрол)

SendmailНије потребна, али препоручује.

Корак 1: Ажурирајте систем

Пре инсталирања било којег пакета препоручује се ажурирање си��темских пакета. Покрените команду dnf --assumeyes update. Ово ће преузети и инсталирати најновије верзије системских пакета. Менаџер пакета ће аутоматски одговорити да на понуђене упите. Може потрајати.

Корак 2: Инсталирајте зависности

Мораћете да инсталирате потребне пакете на свој систем. Покрените следећу команду: dnf --assumeyes install libpcap openssl python zlib sendmail

Корак 3: Инсталирајте Бро ИДС

Покрени команда dnf install --assumeyes bro Ова команда ће се инсталирати broу /binдиректоријум. А сада хајде да га конфигуришемо.

Корак 4: Конфигуришите Бро ИДС

Креирајте фасцикле: mkdir -p /var/log/broиmkdir -p /var/spool

Конфигурисање датотеке ноде.цфг

Пошто је име интерфејса Федора 2к промењено, хајде да сазнамо тренутно име ифаце-а:
ls /sys/class/net. Излаз би требао бити сличан овом: ens3 lo, или овом: eth0 lo. У првом случају нас занима ens3име интерфејса, у другом -- eth0. Претпоставимо да имамо ens3.

Сада, прегледајте датотеку /etc/bro/node.cfg. Покрени команду less /etc/bro/node.cfg. На линији 11 налази се спецификација мрежног интерфејса:
interface=eth0. Ако је ваше ифаце име eth0-- пустите датотеку без промена и наставите на следећи корак. У супротном – промените га са ens3. За то покрените ову команду: sed -i 's/eth0/ens3'. Опција -iозначава промену датотеке на месту. sће заменити вредност затворену између прве и друге косе црте вредношћу између друге и треће.

Конфигурисање датотеке броцтл.цфг

Додајте променљиве у конфигурациони фајл:
echo "LibDirInternal = /usr/lib/python2.7/site-packages/BroControl/" >> /etc/bro/broctl.cfg
echo "SpoolDir = /var/spool" >> /etc/bro/broctl.cfg
echo "LogDir = /var/log/bro" >> /etc/bro/broctl.cfg
echo "CfgDir = /etc/bro" >> /etc/bro/broctl.cfg

Корак 5: Покрените БроЦтл

Сада можемо да применимо наш конфигурисани чвор и почнемо да евидентирамо:

Покрени команду broctl deploy. Видећете излаз овако:

cannot get list of local IP addresses
checking configurations ...
installing ...
removing old policies in /var/spool/installed-scripts-do-not-touch/site ...
removing old policies in /var/spool/installed-scripts-do-not-touch/auto ...
creating policy directories ...
installing site policies ...
generating standalone-layout.bro ...
generating local-networks.bro ...
generating broctl-config.bro ...
generating broctl-config.sh ...
updating nodes ...
stopping ...
stopping bro ...
starting ...
starting bro ...

Ако нисте добили ниједну грешку -- брат је распоређен.

Корак 5: Тестирајте своју инсталацију

Сада погледајмо дневнике: ls -la /var/log/bro. Излаз би требао бити сличан овом:

total 12
drwxr-xr-x 3 root root 4096 Jun 13 10:11 .
drwxr-xr-x 1 root root 4096 Jun 13 10:04 ..
drwxr-xr-x 2 root root 4096 Jun 13 10:11 2017-06-13
lrwxrwxrwx 1 root root   14 Jun 13 10:11 current -> /var/spool/bro

Покрените ову наредбу за записе репа: tail -f /var/log/bro/current/conn.logи упитајте свој ИП из претраживача.
Ако је све исправно конфигурисано, видећете поруке дневника.

Уживати!