Bro Security Suite – це гнучка та потужна система виявлення мережевих вторгнень, розроблена для операційних систем Linux. Вона працює у фоновому режимі, автоматично аналізуючи та записуючи дані про мережевий трафік.
Ця програма відрізняється широким набором функцій, є продуктом з відкритим вихідним кодом і високо оцінюється спеціалістами з питань безпеки за свою прозорість та ефективність.
Необхідні умови
Для використання Bro Security Suite вам знадобиться сервер на базі Linux з оперативною пам’яттю не менше 2 ГБ.
Примітка: Якщо у вас немає виділеного сервера, не хвилюйтеся! Звичайний настільний комп’ютер з Ubuntu і мінімум 2 ГБ оперативної пам’яті також підійде. Головне, щоб він був постійно увімкнений!
У цій інструкції ми покажемо, як налаштувати Bro Security Suite на Ubuntu Server, оскільки це популярний вибір для серверів. Хоча інструкції орієнтовані на Ubuntu, Bro може працювати майже на будь-якій серверній ОС Linux. Розробники надають інструкції для багатьох дистрибутивів.
Налаштування бази даних GeoIP
Для сканування в цілях безпеки Bro потребує базу даних IP-адрес. Перш ніж інсталювати Bro, потрібно завантажити актуальні файли баз даних IPv4 та IPv6 GeoIP. Скористайтеся утилітою wget для завантаження обох файлів на ваш Ubuntu сервер.
wget https://geolite.maxmind.com/download/geoip/database/GeoLiteCity.dat.gz wget https://geolite.maxmind.com/download/geoip/database/GeoLiteCityv6-beta/GeoLiteCityv6.dat.gz
Розпакуйте завантажені архіви GeoIP GZ командою gzip.
gzip -d GeoLiteCity.dat.gz gzip -d GeoLiteCityv6.dat.gz
Перемістіть файли бази даних GeoIP у папку /usr/share/GeoIP/ за допомогою команди mv.
sudo mv GeoLiteCity.dat /usr/share/GeoIP/GeoIPCity.dat sudo mv GeoLiteCityv6.dat /usr/share/GeoIP/GeoIPCityv6.dat
Інсталяція Bro
Інсталяція Bro починається зі створення каталогу, де він буде розміщений. Згідно з офіційною документацією, ця папка повинна бути /opt/.
Першим кроком є активація сховища програмного забезпечення Ubuntu Universe.
sudo add-apt-repository universe
Потім оновіть індекс пакетів Ubuntu.
sudo apt update
Використайте менеджер пакетів Apt для встановлення Bro та всіх необхідних пакетів зі сховища Ubuntu Universe.
sudo apt install bro bro-aux bro-common bro-pkg broctl
Конфігурація мережі
Щоб використовувати Bro, необхідно налаштувати мережеву карту для роботи з програмою. За замовчуванням програма використовує “eth0”. Скоріш за все, це не ваш мережевий пристрій, тому його потрібно змінити, відредагувавши файл node.cfg.
Примітка: Якщо ви не впевнені, який ваш мережевий інтерфейс, скористайтеся командою ip link.
sudo nano /etc/bro/node.cfg
Натисніть Ctrl + W, щоб відкрити пошук в Nano. Введіть “interface=eth0” і натисніть Enter, щоб перейти до розділу мережевого інтерфейсу.
Замініть “eth0” на ваш мережевий інтерфейс та збережіть зміни натиснувши Ctrl + O.
Встановлення діапазону IP
Після налаштування мережевого інтерфейсу, необхідно визначити діапазон IP для моніторингу. Відкрийте файл /etc/bro/networks.cfg в редакторі Nano.
sudo nano /etc/bro/networks.cfg
У файлі networks.cfg ви побачите кілька прикладів. Видаліть їх і введіть IP-адресу вашої мережевої карти.
Наприклад:
10.196.1.131/24 2600:1702:3980:a258:6978:ebae:d8:20a1/64
Після внесення змін, збережіть їх натиснувши Ctrl + O.
Налаштування електронної пошти
Bro має систему сповіщень електронною поштою. Щоб вона працювала, потрібно її налаштувати. Для цього відкрийте /etc/bro/broctl.cfg в Nano.
sudo nano /etc/bro/broctl.cfg
Натисніть Ctrl + W і введіть “MailTo”, щоб перейти до розділу електронної пошти. Додайте дійсну адресу електронної пошти, яку буде використовувати Bro.
Запуск Bro
Перед початком роботи Bro потрібно налаштувати. Відкрийте термінал і скористайтеся наступною командою для доступу до інтерфейсу оболонки програми.
sudo broctl
В оболонці введіть команду install для створення конфігураційного файлу для вашої Ubuntu.
install
Після цього запустіть службу командою:
deploy
Вийдіть з оболонки командою exit.
exit
Зупинка Bro
Щоб зупинити Bro, зайдіть в оболонку broctl і введіть:
stop
Використання Bro
Після налаштування, Bro Security Suite працює на вашому Ubuntu сервері. Він автоматично записує всі мережеві вторгнення у файли в директорії /var/log/bro.
Якщо ви бажаєте спостерігати за скануванням в режимі реального часу, використайте команду tail.
tail -f /var/log/bro/current/conn.log
Для перегляду сповіщень про безпеку виконайте команду:
tail -f /var/log/bro/current/notice.log