A Bro Security Suite egy erőteljes és adaptálható hálózati behatolás-észlelő rendszer a Linux számára. Úgy működik, hogy a háttérben fut, passzívan elemzi és naplózza a forgalmat.
Bro ez egy hatalmas rendszer amely a dobozon kívüli funkcionalitás mellett rugalmasságot kínál az elemzés elég önkényes testreszabására is.
A hálózatbiztonsági megfigyelésre összpontosítva Bro átfogó platformot is kínál a hálózati forgalom általánosabb elemzéséhez.
Az alkalmazás funkciógazdag, nyílt forráskódú, és a biztonsági közösségben sokan dicsérik nyílt forráskódú jellege és hatékonysága miatt.
A Bro hálózati biztonsági eszköz használatához legalább 2 GB RAM-mal rendelkező számítógépre van szükség.
Az oktatóanyag telepítési része során meglátjuk, hogyan kell konfigurálni a Bro biztonsági csomagot az Ubuntuban, mivel a legtöbb ember ezt használja az igényeinek.
Ez azt jelenti, hogy a telepítési utasítások nem specifikusak az Ubuntu számára, és a Bro eszköz szinte minden Linux szerver operációs rendszeren futtatható, és a fejlesztő minden nagyobb disztribúcióhoz útmutatást ad.
GeoIP konfiguráció
A hálózati biztonsági eszköz Bro biztonsági okokból böngészéshez szüksége van egy IP-címek adatbázisára, ezért a Bro szoftver telepítése előtt töltse le a legfrissebb IPv4 és IPv6 GeoIP adatbázis fájlokat.
Tehát ehhez meg fogunk nyitni egy terminált a Ctrl + Alt + T billentyűkombinációval, és a következő parancsokat fogjuk végrehajtani:
wget http://geolite.maxmind.com/download/geoip/database/GeoLiteCity.dat.gz wget http://geolite.maxmind.com/download/geoip/database/GeoLiteCityv6-beta/GeoLiteCityv6.dat.gz
Most, hogy a letöltés megtörtént, folytatjuk az adatok kinyerését ezekből a fájlokból:
gzip -d GeoLiteCity.dat.gz gzip -d GeoLiteCityv6.dat.gz
Ezt követően Helyeznünk kell a GeoIP adatbázist a / usr / share / GeoIP / mappába. Ezt a következő parancs végrehajtásával tehetjük meg:
sudo mv GeoLiteCity.dat /usr/share/GeoIP/GeoIPCity.dat sudo mv GeoLiteCityv6.dat /usr/share/GeoIP/GeoIPCityv6.dat
A Bro biztonsági eszköz telepítése az Ubuntu és a derivatívákra
A Bro telepítése a rendszerre alapértelmezés szerint a rendszer / opt könyvtárában és ezen felül történik engedélyeznünk kell a rendszer Universe tárházát.
Először a következő paranccsal engedélyezzük az adattárat:
sudo add-apt-repository universe
Frissítjük a csomagok listáját:
sudo apt update
Ezután folytatjuk a Bro csomag telepítését a rendszerünkbe a következő paranccsal:
sudo apt install bro bro-aux bro-common bro-pkg broctl
Bro konfiguráció
Bro hálózati biztonsági eszközének használatához be kell állítania egy hálózati kártyát az alkalmazás számára.
Alapértelmezés szerint az alkalmazás az "Eth0" használatára van konfigurálva.
Bár ez az eszköz valószínűleg nem a legtöbb hálózati eszköz, a node.cfg fájl szerkesztésével módosítania kell.
A hálózati eszköz megismeréséhez futtassa a parancsot:
ifconfig
Az én esetemben és sokan közületek, a hálózati interfész, ami hasonló, ehhez hasonló:
enp2s0**
Bár ez változhat, ennek azonosításához, amint az a képen is látszik, ez így jelenik meg:
A hálózati interfész azonosítása után folytassa a következő paranccsal:
sudo nano /etc/bro/node.cfg
A fájlban meg kell találniuk az »interface = eth0 ″ mondatot, és meg kell tenniük a megfelelő változtatást a kezelőfelület által.
Ezután a Ctrl + O billentyű lenyomásával el kell menteniük a konfigurációs fájlt.
Állítsa be az IP-tartományt
Most, hogy a hálózati interfész Bro-ra van konfigurálva, Be kell állítaniuk az IP-tartományt a program figyelemmel kíséréséhez.
sudo nano /etc/bro/networks.cfg
A networks.cfg fájl betöltésekor néhány alapértelmezett példa látható. Törölje ezeket az alapértelmezéseket, és cserélje ki a korábban beállított hálózati kártya IP-címére.
Az én esetemben ez olyasmi, mint 192.168.xxx.x / 24 az IPv4-ben és az IPv6-ban xxxx: xxxx: xxxx: xxxx: xxxx: xxxx: xx: xxxx / 64
Opcionális lépés az konfiguráljon egy e-mail címet, ahová Bro figyelmeztetéseit kapják, ehhez szerkeszteniük kell a fájlt:
sudo nano /etc/bro/broctl.cfg
És meg kell keresniük a "MailTo" részt, és itt létrehozzák a kívánt levelet. Kész, hogy ki kell nyitnunk egy Bro Shell-t:
sudo broctl
A héjba kerülve használja az alapértelmezett konfigurációs fájl konfigurálásához:
install
A telepítési parancs futtatása után indítsa el a szolgáltatást:
deploy
A héjból való kilépéshez írja be:
exit
A szolgáltatás leállításához írja be:
stop