Installerar Bro IDS på Fedora 25

Introduktion

Bro är en nätverkstrafikanalysator med öppen källkod. Det är i första hand en säkerhetsmonitor som inspekterar all trafik på en länk på djupet efter tecken på misstänkt aktivitet. Mer generellt stöder Bro dock ett brett utbud av trafikanalysuppgifter även utanför säkerhetsdomänen, inklusive prestandamätningar och hjälp med felsökning.

Förutsättningar

Innan du installerar Bro måste du se till att vissa beroenden är på plats:

Nödvändiga beroenden

• Libpcap
• OpenSSL-bibliotek
• BIND8 bibliotek
• Libz
• Bash (för BroControl)
• Python 2.6+ eller senare (för BroControl)

Det Sendmailkrävs inte, men rekommenderas starkt.

Steg 1: Uppdatera systemet

Innan du installerar några paket rekommenderar vi att du uppdaterar systempaketen. Kör kommandot dnf --assumeyes update. Detta kommer att ladda ner och installera de senaste versionerna av systempaketen. Pakethanteraren kommer automatiskt att svara ja på uppmaningar som erbjuds. Det kan ta lite tid.

Steg 2: Installera beroenden

Du måste installera nödvändiga paket på ditt system. Kör följande kommando: dnf --assumeyes install libpcap openssl python zlib sendmail

Steg 3: Installera Bro IDS

Kör kommando dnf install --assumeyes bro Detta kommando kommer att installeras broi /binkatalogen. Och låt oss nu konfigurera det.

Steg 4: Konfigurera Bro IDS

Skapa mappar: mkdir -p /var/log/broochmkdir -p /var/spool

Konfigurera filen node.cfg

Eftersom namngivningen av Fedora 2x-gränssnittet ändrades, så låt oss ta reda på nuvarande iface-namn:
ls /sys/class/net. Utdata bör vara liknande den här: ens3 lo, eller den här: eth0 lo. I det första fallet är vi intresserade av ens3gränssnittsnamn, i det andra -- eth0. Låt oss anta att vi har ens3.

Granska filen nu /etc/bro/node.cfg. Kör kommando less /etc/bro/node.cfg. På linje 11 finns nätverksgränssnittsspecifikation:
interface=eth0. Om ditt iface-namn är eth0-- låt filen utan ändringar och fortsätt till nästa steg. Annars – ändra det med ens3. Kör detta kommando för det: sed -i 's/eth0/ens3'. Option -istår för att ändra filen på plats. skommer att ersätta värdet mellan första och andra snedstreck med värdet mellan andra och tredje.

Konfigurera filen broctl.cfg

Lägg till variabler i konfigurationsfilen:
echo "LibDirInternal = /usr/lib/python2.7/site-packages/BroControl/" >> /etc/bro/broctl.cfg
echo "SpoolDir = /var/spool" >> /etc/bro/broctl.cfg
echo "LogDir = /var/log/bro" >> /etc/bro/broctl.cfg
echo "CfgDir = /etc/bro" >> /etc/bro/broctl.cfg

Steg 5: Starta BroCtl

Nu kan vi distribuera vår konfigurerade nod och börja logga:

Kör kommando broctl deploy. Du kommer att se utdata så här:

cannot get list of local IP addresses
checking configurations ...
installing ...
removing old policies in /var/spool/installed-scripts-do-not-touch/site ...
removing old policies in /var/spool/installed-scripts-do-not-touch/auto ...
creating policy directories ...
installing site policies ...
generating standalone-layout.bro ...
generating local-networks.bro ...
generating broctl-config.bro ...
generating broctl-config.sh ...
updating nodes ...
stopping ...
stopping bro ...
starting ...
starting bro ...

Om du inte fick några fel -- bro är utplacerad.

Steg 5: Testa din installation

Låt oss nu titta på loggarna: ls -la /var/log/bro. Utdata bör vara liknande den här:

total 12
drwxr-xr-x 3 root root 4096 Jun 13 10:11 .
drwxr-xr-x 1 root root 4096 Jun 13 10:04 ..
drwxr-xr-x 2 root root 4096 Jun 13 10:11 2017-06-13
lrwxrwxrwx 1 root root   14 Jun 13 10:11 current -> /var/spool/bro

Kör detta kommando för att avsluta loggar: tail -f /var/log/bro/current/conn.logoch fråga din ip från webbläsaren.
Om allt var korrekt konfigurerat kommer du att se loggmeddelanden.

Njut av!