A Bro biztonsági csomag egy adaptálható, nagy teljesítményű hálózati behatolásérzékelő rendszer Linuxhoz. Úgy működik, hogy a háttérben fut, a forgalmat passzívan elemzi és naplózza.
Az alkalmazás számos funkcióval rendelkezik, nyílt forráskódú, és a biztonsági közösségből sokan dicsérik nyílt forráskódú jellegét és hatékonyságát.
Tartalomjegyzék
Előfeltételek
A Bro hálózati biztonsági eszköz használatához Linux operációs rendszert futtató szerverre lesz szüksége, amely legalább 2 GB fizikai RAM-mal rendelkezik.
Megjegyzés: nincs dedikált szervere? Ne aggódj! Egy hagyományos Ubuntut futtató asztali számítógép legalább 2 GB RAM-mal működik, és a megfelelő hardver is megteszi! Csak ügyeljen arra, hogy mindig bekapcsolva tudja tartani!
Az oktatóanyag telepítési része során áttekintjük, hogyan állítsa be a Bro biztonsági csomagot az Ubuntu kiszolgálón, mivel a legtöbb ember ezt használja a szerver igényeinek kielégítésére. Ezzel együtt a telepítési utasítások nem az Ubuntura vonatkoznak, és a Bro eszköz szinte bármilyen Linux szerver operációs rendszeren futhat, és a fejlesztőnek vannak utasításai az összes főbb disztribúcióhoz.
GeoIP adatbázis beállítása
A Bro hálózati biztonsági eszköznek szüksége van egy IP-címek adatbázisára, amellyel biztonsági okokból szkennelhet, ezért mielőtt megpróbálná telepíteni magát a Bro szoftvert, le kell töltenie a legújabb IPv4 és IPv6 GeoIP adatbázisfájlokat. A wget eszközzel töltse le mindkét adatbázisfájlt az Ubuntuba.
wget https://geolite.maxmind.com/download/geoip/database/GeoLiteCity.dat.gz wget https://geolite.maxmind.com/download/geoip/database/GeoLiteCityv6-beta/GeoLiteCityv6.dat.gz
Bontsa ki a GeoIP GZ archívumot a gzip paranccsal.
gzip -d GeoLiteCity.dat.gz gzip -d GeoLiteCityv6.dat.gz
Helyezze a GeoIP adatbázis fájlokat az Ubuntu /usr/share/GeoIP/ mappájába az mv paranccsal.
sudo mv GeoLiteCity.dat /usr/share/GeoIP/GeoIPCity.dat sudo mv GeoLiteCityv6.dat /usr/share/GeoIP/GeoIPCityv6.dat
Telepítse a Bro
A Bro hálózati biztonsági eszköz beállítása azzal kezdődik, hogy létrehozza azt a könyvtárat, amelyben az Ubuntuban fog élni. A hivatalos dokumentáció szerint ez a mappa /opt/.
A telepítés az Ubuntu Universe szoftvertár engedélyezésével kezdődik.
sudo add-apt-repository universe
Ezután frissítse az Ubuntu csomagindexét frissítéssel.
sudo apt update
Az Apt csomagkezelő használatával telepítse a Brot és az összes kapcsolódó csomagot az Ubuntu Universe tárhelyről.
sudo apt install bro bro-aux bro-common bro-pkg broctl
Hálózati konfiguráció
A Bro hálózati biztonsági eszköz használatához be kell állítania egy hálózati kártyát az alkalmazás számára. Alapértelmezés szerint az alkalmazás az „Eth0” használatára van beállítva. Ez az eszköz valószínűleg nem lesz a megfelelő hálózati eszköz a legtöbb ember számára, ezért meg kell változtatnia a node.cfg fájl szerkesztésével.
Megjegyzés: Ha nem biztos abban, hogy mi a hálózati interfész, könnyen megtalálhatja az ip link parancs futtatásával.
sudo nano /etc/bro/node.cfg
Ezután nyomja meg a Ctrl + W billentyűkombinációt a Nano keresési funkciójának elindításához. Miután megnyílt a keresőmező, írja be az „interface=eth0” kifejezést, és nyomja meg az Enter billentyűt a billentyűzeten, hogy azonnal a konfigurációs fájl hálózati interfész szakaszára ugorjon.
Cserélje le az „eth0”-t a hálózati interfészével, és mentse a konfigurációs fájlt a Ctrl + O billentyűkombinációval.
IP-tartomány beállítása
Most, hogy a hálózati interfész a Bro számára van beállítva, be kell állítania a program figyelni kívánt IP-tartományát. Nyissa meg az /etc/bro/networks.cfg fájlt a Nano szövegszerkesztőben.
sudo nano /etc/bro/networks.cfg
Ahogy betölti a networks.cfg fájlt, látni fog néhány alapértelmezett példát. Törölje ezeket az alapértelmezett értékeket, és cserélje ki őket a korábban beállított hálózati kártya IP-címére.
Például:
10.196.1.131/24 2600:1702:3980:a258:6978:ebae:d8:20a1/64
Ha az IP-információ be van állítva, mentse el a konfigurációt Nano-ban a billentyűzet Ctrl + O billentyűkombinációjának megnyomásával.
Állítsa be a Bro alapértelmezett e-mail címét
A Bro alkalmazás rendelkezik e-mail rendszerrel. A működéshez azonban megfelelően be kell állítani. A beállításhoz nyissa meg az /etc/bro/broctl.cfg fájlt Nano-ban.
sudo nano /etc/bro/broctl.cfg
A Nano alkalmazásban nyomja meg a Ctrl + W billentyűkombinációt, és írja be a „MailTo” kifejezést, hogy a fájl e-mail részéhez ugorjon. Ezután adjon meg egy érvényes e-mail címet, amelyet Bro használni szeretne.
Indítsa el, tesó
A tesót meg kell csípni, mielőtt használhatná. Indítson el egy terminálablakot, és futtassa az alábbi parancsot a program shell felületének eléréséhez.
sudo broctl
A rendszerhéjban az install parancs futtatásával állítsa be az Ubuntu gép alapértelmezett konfigurációs fájlját.
install
Az install parancs futtatása után indítsa el a szolgáltatást a következővel:
deploy
Ezután lépjen ki a rendszerhéjból az exit futtatásával.
exit
Állj tesó
Ki kell kapcsolni, tesó? Jelentkezzen be a broct shell-be, és futtassa:
stop
Használd Bro
Hosszú, fárasztó, telepítési folyamat után a Bro biztonsági rendszer elindult és fut az Ubuntu szerveren. Hagyja futni a háttérben, és automatikusan naplózza az összes hálózati behatolást a /var/log/bro mappában.
Ha valós időben szeretné figyelni a keresést, írja be a következő farok parancsot.
tail -f /var/log/bro/current/conn.log
Alternatív megoldásként a biztonsági figyelmeztetések megtekintéséhez tegye a következőket:
tail -f /var/log/bro/current/notice.log