Набір безпеки Bro — це адаптивна, потужна система виявлення мережевих вторгнень для Linux. Він працює, працюючи у фоновому режимі, пасивно аналізуючи та реєструючи трафік.
Додаток має багато функцій, відкритий вихідний код, і багато хто в спільноті безпеки його хвалять за його природу з відкритим кодом та ефективність.
Передумови
Щоб скористатися інструментом безпеки мережі Bro, вам потрібен сервер під керуванням ОС Linux, який має принаймні 2 ГБ фізичної оперативної пам’яті.
Примітка: у вас немає виділеного сервера? Не хвилюйся! Традиційний настільний комп’ютер під керуванням Ubuntu буде працювати з принаймні 2 ГБ оперативної пам’яті, а також підійде пристойне обладнання! Просто переконайтеся, що ви завжди можете тримати його ввімкненим!
Під час інсталяційної частини підручника ми розповімо, як налаштувати пакет безпеки Bro на Ubuntu Server, оскільки більшість людей використовує його для потреб свого сервера. З огляду на це, інструкції з встановлення не стосуються Ubuntu, а інструмент Bro може працювати майже на будь-якій серверній операційній системі Linux, і у розробника є інструкції для всіх основних дистрибутивів.
Налаштуйте базу даних GeoIP
Інструменту мережевої безпеки Bro потрібна база даних IP-адрес для сканування з метою безпеки, тому перш ніж спробувати інсталювати саме програмне забезпечення Bro, вам потрібно буде завантажити останні файли бази даних IPv4 та IPv6 GeoIP. Використовуючи інструмент wget, завантажте обидва файли бази даних в Ubuntu.
wget https://geolite.maxmind.com/download/geoip/database/GeoLiteCity.dat.gz wget https://geolite.maxmind.com/download/geoip/database/GeoLiteCityv6-beta/GeoLiteCityv6.dat.gz
Розпакуйте архіви GeoIP GZ за допомогою команди gzip.
gzip -d GeoLiteCity.dat.gz gzip -d GeoLiteCityv6.dat.gz
Помістіть файли бази даних GeoIP в папку /usr/share/GeoIP/ на Ubuntu за допомогою команди mv.
sudo mv GeoLiteCity.dat /usr/share/GeoIP/GeoIPCity.dat sudo mv GeoLiteCityv6.dat /usr/share/GeoIP/GeoIPCityv6.dat
Встановити Bro
Налаштування інструменту безпеки мережі Bro починається з створення каталогу, в якому він буде жити в Ubuntu. Згідно з офіційною документацією, ця папка є /opt/.
Інсталяція починається з ввімкнення сховища програмного забезпечення Ubuntu Universe.
sudo add-apt-repository universe
Далі оновіть індекс пакетів Ubuntu за допомогою оновлення.
sudo apt update
За допомогою менеджера пакетів Apt встановіть Bro та всі пов’язані з ним пакунки з репозиторії Ubuntu Universe.
sudo apt install bro bro-aux bro-common bro-pkg broctl
Конфігурація мережі
Щоб використовувати інструмент безпеки мережі Bro, вам потрібно налаштувати мережеву карту для використання програми. За замовчуванням програма налаштована на використання «Eth0». Цей пристрій, швидше за все, не буде правильним мережевим пристроєм для більшості людей, тому ви повинні змінити його, відредагувавши файл node.cfg.
Примітка. Якщо ви не впевнені, який ваш мережевий інтерфейс, це легко знайти, запустивши команду ip link.
sudo nano /etc/bro/node.cfg
Потім натисніть Ctrl + W, щоб запустити функцію пошуку в Nano. Коли вікно пошуку відкриється, напишіть “interface=eth0″ і натисніть Enter на клавіатурі, щоб негайно перейти до розділу мережевого інтерфейсу файлу конфігурації.
Замініть «eth0» своїм мережевим інтерфейсом і збережіть файл конфігурації, натиснувши Ctrl + O.
Встановити діапазон IP
Тепер, коли мережевий інтерфейс налаштовано для Bro, ви повинні встановити діапазон IP для моніторингу програми. Відкрийте файл /etc/bro/networks.cfg у текстовому редакторі Nano.
sudo nano /etc/bro/networks.cfg
Коли ви завантажите файл networks.cfg, ви побачите кілька прикладів за замовчуванням. Видаліть ці параметри за замовчуванням і замініть їх IP-адресою з мережевої карти, встановленої раніше.
Наприклад:
10.196.1.131/24 2600:1702:3980:a258:6978:ebae:d8:20a1/64
Коли IP-адресу встановлено, збережіть конфігурацію в Nano, натиснувши Ctrl + O на клавіатурі.
Встановити адресу електронної пошти за замовчуванням для Bro
Додаток Bro має систему електронної пошти. Однак для роботи його потрібно правильно налаштувати. Щоб встановити його, відкрийте /etc/bro/broctl.cfg у Nano.
sudo nano /etc/bro/broctl.cfg
Опинившись у Nano, натисніть Ctrl + W і введіть «MailTo», щоб перейти до розділу електронної пошти файлу. Потім додайте дійсну адресу електронної пошти для використання Bro.
Запускай, брате
Bro потрібно налаштувати, перш ніж ви зможете його використовувати. Запустіть вікно терміналу та виконайте наведену нижче команду, щоб отримати доступ до інтерфейсу оболонки програми.
sudo broctl
Потрапивши в оболонку, використовуйте її, щоб налаштувати файл конфігурації за замовчуванням для вашої машини Ubuntu, запустивши команду install.
install
Після виконання команди встановлення запустіть службу за допомогою:
deploy
Потім вийдіть з оболонки, запустивши exit.
exit
Зупинись брате
Потрібно вимкнути Bro? Увійдіть в оболонку broctl і запустіть:
stop
Використовуйте Bro
Після довгого, виснажливого процесу налаштування, система безпеки Bro запрацювала на вашому сервері Ubuntu. Нехай він працює у фоновому режимі, і він автоматично реєструватиме всі вторгнення в мережу в /var/log/bro.
Якщо ви хочете контролювати його сканування в режимі реального часу, введіть наступну команду хвоста.
tail -f /var/log/bro/current/conn.log
Крім того, щоб переглянути сповіщення про безпеку, виконайте:
tail -f /var/log/bro/current/notice.log