Die Bro-Sicherheitslösung ist ein flexibles und leistungsfähiges Instrument zur Erkennung von Cyberangriffen auf Linux-Systemen. Es arbeitet im Hintergrund, indem es den Netzwerkverkehr passiv analysiert und aufzeichnet.
Diese quelloffene Anwendung zeichnet sich durch eine Vielzahl von Funktionen aus und wird in der Sicherheitscommunity aufgrund ihrer Transparenz und Leistungsfähigkeit geschätzt.
Systemvoraussetzungen
Um die Bro-Netzwerksicherheitssoftware nutzen zu können, benötigen Sie einen Server, auf dem ein Linux-Betriebssystem läuft, sowie mindestens 2 GB Arbeitsspeicher.
Hinweis: Falls Sie keinen dedizierten Server besitzen, ist das kein Problem. Ein herkömmlicher Desktop-Computer mit Ubuntu und mindestens 2 GB RAM ist ausreichend. Stellen Sie lediglich sicher, dass das Gerät dauerhaft in Betrieb sein kann!
Im Verlauf der Installationsanleitung werden wir die Einrichtung der Bro-Sicherheitssuite auf einem Ubuntu-Server detailliert beschreiben, da dies die am weitesten verbreitete Konfiguration für Serveranwendungen ist. Die Installationsschritte sind jedoch nicht auf Ubuntu beschränkt, und Bro kann grundsätzlich auf jedem beliebigen Linux-Serversystem verwendet werden. Der Entwickler stellt Anleitungen für alle gängigen Distributionen zur Verfügung.
Einrichtung der GeoIP-Datenbank
Das Bro-Sicherheitstool benötigt für seine Funktion eine Datenbank mit IP-Adressen. Bevor Sie mit der Installation von Bro beginnen, müssen Sie die aktuellen GeoIP-Datenbankdateien für IPv4 und IPv6 herunterladen. Nutzen Sie dafür das Tool `wget`, um beide Dateien auf Ubuntu zu beziehen.
wget https://geolite.maxmind.com/download/geoip/database/GeoLiteCity.dat.gz wget https://geolite.maxmind.com/download/geoip/database/GeoLiteCityv6-beta/GeoLiteCityv6.dat.gz
Extrahieren Sie die komprimierten GeoIP-Archive mithilfe des `gzip`-Befehls:
gzip -d GeoLiteCity.dat.gz gzip -d GeoLiteCityv6.dat.gz
Verschieben Sie anschließend die extrahierten Datenbankdateien mit dem `mv`-Befehl in den Ordner `/usr/share/GeoIP/`:
sudo mv GeoLiteCity.dat /usr/share/GeoIP/GeoIPCity.dat sudo mv GeoLiteCityv6.dat /usr/share/GeoIP/GeoIPCityv6.dat
Installation von Bro
Die Einrichtung von Bro beginnt mit der Erstellung des Installationsverzeichnisses unter Ubuntu. Gemäß der offiziellen Dokumentation wird das Verzeichnis `/opt/` verwendet.
Im ersten Schritt der Installation aktivieren wir das Ubuntu „Universe“ Software-Repository:
sudo add-apt-repository universe
Als Nächstes aktualisieren Sie den Paketindex von Ubuntu mit dem Befehl `update`:
sudo apt update
Installieren Sie nun Bro und alle erforderlichen Zusatzpakete aus dem Ubuntu Universe-Repository über den Paketmanager `apt`:
sudo apt install bro bro-aux bro-common bro-pkg broctl
Netzwerkkonfiguration
Für die Verwendung von Bro muss eine Netzwerkschnittstelle für die Überwachung konfiguriert werden. Standardmäßig ist die Anwendung auf die Schnittstelle „eth0“ eingestellt. Da dies in den meisten Fällen nicht die korrekte Schnittstelle sein wird, ist eine Anpassung in der Datei `node.cfg` erforderlich.
Hinweis: Wenn Sie Ihre Netzwerkschnittstelle nicht kennen, können Sie diese leicht mit dem Befehl `ip link` herausfinden.
sudo nano /etc/bro/node.cfg
Drücken Sie Strg + W, um die Suchfunktion im Texteditor Nano zu aktivieren. Suchen Sie nach dem Begriff „interface=eth0“ und drücken Sie Enter, um direkt zum Abschnitt für die Netzwerkschnittstelle in der Konfigurationsdatei zu gelangen.
Ersetzen Sie den Wert „eth0“ durch den Namen Ihrer Netzwerkschnittstelle und speichern Sie die Konfigurationsdatei mit Strg + O.
Festlegen des IP-Bereichs
Nachdem die Netzwerkschnittstelle für Bro definiert wurde, müssen Sie den zu überwachenden IP-Bereich festlegen. Öffnen Sie dazu die Datei `/etc/bro/networks.cfg` mit dem Texteditor Nano.
sudo nano /etc/bro/networks.cfg
Sie sehen dort einige Beispiel-Konfigurationen. Löschen Sie diese Beispiele und ersetzen Sie sie durch die IP-Adressen Ihres Netzwerks.
Beispiel:
10.196.1.131/24 2600:1702:3980:a258:6978:ebae:d8:20a1/64
Sobald die IP-Informationen eingestellt sind, speichern Sie die Konfiguration in Nano mit Strg + O.
Konfiguration der E-Mail-Adresse für Benachrichtigungen
Bro verfügt über ein E-Mail-Benachrichtigungssystem. Dieses muss jedoch korrekt eingerichtet werden, damit es funktioniert. Bearbeiten Sie dazu die Datei `/etc/bro/broctl.cfg` mit Nano.
sudo nano /etc/bro/broctl.cfg
Drücken Sie Strg + W in Nano und geben Sie „MailTo“ ein, um zum E-Mail-Abschnitt der Datei zu springen. Tragen Sie hier eine gültige E-Mail-Adresse ein, die Bro für Benachrichtigungen verwenden soll.
Starten von Bro
Bevor Bro verwendet werden kann, muss es noch optimiert werden. Starten Sie ein Terminal und geben Sie den folgenden Befehl ein, um die Shell-Oberfläche des Programms aufzurufen:
sudo broctl
In der Shell angekommen, konfigurieren Sie die Standardeinstellungen mit dem Befehl `install`:
install
Starten Sie anschließend den Dienst mit:
deploy
Verlassen Sie die Shell mit:
exit
Anhalten von Bro
Um Bro anzuhalten, melden Sie sich in der Broctl-Shell an und geben Sie Folgendes ein:
stop
Nutzung von Bro
Nach der ausführlichen Konfiguration ist Bro auf Ihrem Ubuntu-Server eingerichtet und aktiv. Lassen Sie das Programm im Hintergrund laufen, es protokolliert automatisch alle Netzwerkaktivitäten in `/var/log/bro`.
Um das Scannen in Echtzeit zu beobachten, verwenden Sie den `tail`-Befehl:
tail -f /var/log/bro/current/conn.log
Alternativ können Sie sich Sicherheitswarnungen anzeigen lassen mit:
tail -f /var/log/bro/current/notice.log