Bro Security Suite je výkonný a prispôsobiteľný systém detekcie narušenia siete pre Linux. Funguje to tak, že bežíte na pozadí, pasívne analyzujete a zaznamenávate prenos.
Bro je to výkonný systém ktorý okrem funkcií, ktoré poskytuje ihneď po vybalení, ponúka tiež flexibilitu na prispôsobenie analýzy celkom svojvoľne.
Zameraním na monitorovanie bezpečnosti siete Bro tiež poskytuje komplexnú platformu pre všeobecnejšiu analýzu sieťového prenosu.
Táto aplikácia je bohatá na funkcie, je otvorená a je ocenená mnohými používateľmi bezpečnostnej komunity za jej povahu a efektivitu otvoreného zdroja.
Ak chcete používať sieťový bezpečnostný nástroj Bro, budete potrebovať počítač s minimálne 2 GB RAM.
Počas inštalačnej časti tutoriálu uvidíme, ako nakonfigurovať bezpečnostnú sadu Bro v Ubuntu, pretože to väčšina ľudí používa pre svoje potreby.
To znamená, že pokyny na inštaláciu nie sú špecifické pre Ubuntu a nástroj Bro môže bežať na takmer akomkoľvek operačnom systéme so serverom Linux a vývojár poskytuje pokyny pre všetky hlavné distribúcie.
Konfigurácia GeoIP
Nástroj zabezpečenia siete Bro potrebuje z bezpečnostných dôvodov databázu adries IP na prehliadanie, Preto si pred pokusom o inštaláciu softvéru Bro stiahnite najnovšie databázové súbory IPv4 a IPv6 GeoIP.
Takže za týmto účelom otvoríme terminál pomocou Ctrl + Alt + T a v ňom vykonáme nasledujúce príkazy:
wget http://geolite.maxmind.com/download/geoip/database/GeoLiteCity.dat.gz wget http://geolite.maxmind.com/download/geoip/database/GeoLiteCityv6-beta/GeoLiteCityv6.dat.gz
Teraz, keď je sťahovanie dokončené, pristúpime k extrakcii údajov z týchto súborov pomocou:
gzip -d GeoLiteCity.dat.gz gzip -d GeoLiteCityv6.dat.gz
Po tomto Databázu GeoIP musíme umiestniť do priečinka / usr / share / GeoIP /. Môžeme to urobiť vykonaním nasledujúceho príkazu:
sudo mv GeoLiteCity.dat /usr/share/GeoIP/GeoIPCity.dat sudo mv GeoLiteCityv6.dat /usr/share/GeoIP/GeoIPCityv6.dat
Inštalácia bezpečnostného nástroja Bro na Ubuntu a deriváty
Ak chcete nainštalovať Bro do systému, štandardne sa to vykoná v adresári / opt systému a navyše Musíme povoliť úložisko systému systému.
Najskôr povolíme úložisko nasledujúcim príkazom:
sudo add-apt-repository universe
Náš zoznam balíkov aktualizujeme o:
sudo apt update
A potom pokračujeme v inštalácii balíka Bro do nášho systému pomocou nasledujúceho príkazu:
sudo apt install bro bro-aux bro-common bro-pkg broctl
Konfigurácia Bro
Ak chcete použiť Broov sieťový bezpečnostný nástroj, budete musieť nakonfigurovať sieťovú kartu pre aplikáciu, ktorá sa má použiť.
Aplikácia je predvolene nakonfigurovaná na používanie „Eth0“.
Aj keď toto zariadenie s najväčšou pravdepodobnosťou nie je správnym sieťovým zariadením pre väčšinu z vás, mali by ste ho zmeniť úpravou súboru node.cfg.
Ak chcete zistiť svoje sieťové zariadenie, stačí spustiť príkaz:
ifconfig
V mojom prípade a v prípade mnohých z vás je sieťové rozhranie podobné tomuto:
enp2s0**
Aj keď sa to môže líšiť, identifikujte to, ako vidíte na obrázku, ale vyzerá to takto:
Po identifikácii sieťového rozhrania ho teraz zmeňte pomocou nasledujúceho príkazu:
sudo nano /etc/bro/node.cfg
Vo vnútri súboru mali by nájsť riadok, ktorý hovorí »interface = eth0 ″, a vykonať príslušnú zmenu rozhraním, ktoré máte.
Potom musia uložiť konfiguračný súbor stlačením klávesov Ctrl + O.
Nastaviť rozsah IP
Teraz, keď je sieťové rozhranie nakonfigurované pre Bro, Musí nakonfigurovať rozsah adries IP, aby ich mohol program monitorovať.
sudo nano /etc/bro/networks.cfg
Po načítaní súboru networks.cfg uvidíte niekoľko predvolených príkladov. Vymažte tieto predvolené hodnoty a nahraďte ich skôr nastavenou adresou IP sieťovej karty.
V mojom prípade je to niečo ako 192.168.xxx.x / 24 v IPv4 a v IPv6 xxxx: xxxx: xxxx: xxxx: xxxx: xxxx: xx: xxxx / 64
Voliteľný krok je nakonfigurujte e-mailovú adresu, na ktorú budú dostávať Broove výstrahy, aby mohli upravovať súbor:
sudo nano /etc/bro/broctl.cfg
A musia vyhľadať sekciu „MailTo“ a tu založia požadovanú poštu. Hotovo, že musíme otvoriť Bro Shell s:
sudo broctl
Keď sa nachádzate v shelli, použite ho na konfiguráciu predvoleného konfiguračného súboru:
install
Po spustení príkazu install spustite službu pomocou:
deploy
Ak chcete shell opustiť, zadajte:
exit
Zatiaľ čo chcete službu zastaviť, stačí napísať:
stop