Пакетът за сигурност Bro е адаптивна, мощна система за откриване на проникване в мрежа за Linux. Той работи, като работи във фонов режим, анализира и регистрира трафика пасивно.
Приложението има много функции, е с отворен код и е възхвалявано от мнозина в общността за сигурност заради естеството си с отворен код и ефективност.
Съдържание
Предпоставки
За да използвате инструмента за мрежова сигурност Bro, ще ви е необходим сървър, работещ под Linux OS, който има поне 2 GB физическа RAM памет.
Забележка: нямате специален сървър? Не се тревожи! Традиционният настолен компютър с Ubuntu ще работи с поне 2 GB RAM, а приличен хардуер ще свърши работа! Просто се уверете, че винаги можете да го поддържате!
По време на инсталационната част на урока ще разгледаме как да настроим пакета за сигурност Bro на Ubuntu Server, тъй като това е, което повечето хора използват за нуждите на сървъра си. С това казано, инструкциите за инсталиране не са специфични за Ubuntu и инструментът Bro може да работи на почти всяка Linux сървърна ОС и разработчикът има инструкции за всички основни дистрибуции.
Настройте GeoIP база данни
Инструментът за мрежова сигурност на Bro се нуждае от база данни с IP адреси, срещу които да сканира за целите на сигурността, така че преди да се опитате да инсталирате самия софтуер Bro, ще трябва да изтеглите най-новите файлове с база данни за IPv4 и IPv6 GeoIP. С помощта на инструмента wget изтеглете и двата файла на базата данни в Ubuntu.
wget https://geolite.maxmind.com/download/geoip/database/GeoLiteCity.dat.gz wget https://geolite.maxmind.com/download/geoip/database/GeoLiteCityv6-beta/GeoLiteCityv6.dat.gz
Разархивирайте GeoIP GZ архивите с командата gzip.
gzip -d GeoLiteCity.dat.gz gzip -d GeoLiteCityv6.dat.gz
Поставете файловете на базата данни GeoIP в папката /usr/share/GeoIP/ на Ubuntu с помощта на командата mv.
sudo mv GeoLiteCity.dat /usr/share/GeoIP/GeoIPCity.dat sudo mv GeoLiteCityv6.dat /usr/share/GeoIP/GeoIPCityv6.dat
Инсталирайте Bro
Настройката на инструмента за мрежова сигурност Bro започва с създаване на директорията, в която ще живее в Ubuntu. Според официалната документация тази папка е /opt/.
Инсталацията започва с активиране на софтуерното хранилище на Ubuntu Universe.
sudo add-apt-repository universe
След това актуализирайте индекса на пакетите на Ubuntu с актуализация.
sudo apt update
Използвайки мениджъра на пакети Apt, инсталирайте Bro и всички свързани с него пакети от репозито на Ubuntu Universe.
sudo apt install bro bro-aux bro-common bro-pkg broctl
Мрежова конфигурация
За да използвате инструмента за мрежова сигурност Bro, ще трябва да настроите мрежова карта, която приложението да използва. По подразбиране приложението е настроено да използва „Eth0“. Това устройство вероятно няма да е правилното мрежово устройство за повечето хора, така че трябва да го промените, като редактирате файла node.cfg.
Забележка: Ако не сте сигурни какъв е вашият мрежов интерфейс, е лесно да го намерите, като изпълните командата ip link.
sudo nano /etc/bro/node.cfg
След това натиснете Ctrl + W, за да стартирате функцията за търсене в Nano. След като полето за търсене се отвори, напишете „interface=eth0″ и натиснете Enter на клавиатурата, за да преминете незабавно към раздела за мрежов интерфейс на конфигурационния файл.
Заменете „eth0“ с вашия мрежов интерфейс и запазете конфигурационния файл, като натиснете Ctrl + O.
Задайте IP диапазон
Сега, когато мрежовият интерфейс е настроен за Bro, трябва да зададете IP диапазона, който програмата да наблюдава. Отворете файла /etc/bro/networks.cfg в текстовия редактор Nano.
sudo nano /etc/bro/networks.cfg
Докато зареждате файла networks.cfg, ще видите някои примери по подразбиране. Изтрийте тези настройки по подразбиране и ги заменете с IP адреса от мрежовата карта, зададена по-рано.
Например:
10.196.1.131/24 2600:1702:3980:a258:6978:ebae:d8:20a1/64
Когато IP информацията е зададена, запазете конфигурацията в Nano, като натиснете Ctrl + O на клавиатурата.
Задайте имейл адрес по подразбиране за Bro
Приложението Bro има система за електронна поща. Въпреки това, той трябва да бъде настроен правилно, за да работи. За да го настроите, отворете /etc/bro/broctl.cfg в Nano.
sudo nano /etc/bro/broctl.cfg
Веднъж в Nano, натиснете Ctrl + W и въведете „MailTo“, за да преминете към секцията за имейл на файла. След това добавете валиден имейл адрес, който Bro да използва.
Стартирайте брато
Bro трябва да бъде настроен, преди да можете да го използвате. Стартирайте терминален прозорец и изпълнете командата по-долу за достъп до интерфейса на обвивката на програмата.
sudo broctl
Веднъж в обвивката, използвайте го, за да настроите конфигурационния файл по подразбиране за вашата Ubuntu машина, като изпълните командата за инсталиране.
install
След като изпълните командата за инсталиране, стартирайте услугата с:
deploy
След това излезте от обвивката, като стартирате exit.
exit
Спри брато
Трябва ли да изключите Bro? Влезте в обвивката на broctl и стартирайте:
stop
Използвайте Bro
След дълъг, досаден процес на настройка, системата за сигурност Bro е готова и работи на вашия сървър на Ubuntu. Оставете го да работи във фонов режим и той автоматично ще регистрира всички мрежови прониквания в /var/log/bro.
Ако искате да наблюдавате сканирането му в реално време, въведете следната команда tail.
tail -f /var/log/bro/current/conn.log
Като алтернатива, за да видите известията за сигурност, направете:
tail -f /var/log/bro/current/notice.log