Як встановити пакет безпеки Bro на Ubuntu Server

| | 0 Comments| 8:03 AM
Categories:

Набір безпеки Bro — це адаптивна, потужна система виявлення мережевих вторгнень для Linux. Він працює, працюючи у фоновому режимі, пасивно аналізуючи та реєструючи трафік.

Додаток має багато функцій, відкритий вихідний код, і багато хто в спільноті безпеки його хвалять за його природу з відкритим кодом та ефективність.

Передумови

Щоб скористатися інструментом безпеки мережі Bro, вам потрібен сервер під керуванням ОС Linux, який має принаймні 2 ГБ фізичної оперативної пам’яті.

Примітка: у вас немає виділеного сервера? Не хвилюйся! Традиційний настільний комп’ютер під керуванням Ubuntu буде працювати з принаймні 2 ГБ оперативної пам’яті, а також підійде пристойне обладнання! Просто переконайтеся, що ви завжди можете тримати його ввімкненим!

Під час інсталяційної частини підручника ми розповімо, як налаштувати пакет безпеки Bro на Ubuntu Server, оскільки більшість людей використовує його для потреб свого сервера. З огляду на це, інструкції з встановлення не стосуються Ubuntu, а інструмент Bro може працювати майже на будь-якій серверній операційній системі Linux, і у розробника є інструкції для всіх основних дистрибутивів.

  Як відкрити файл Numbers в Excel

Налаштуйте базу даних GeoIP

Інструменту мережевої безпеки Bro потрібна база даних IP-адрес для сканування з метою безпеки, тому перш ніж спробувати інсталювати саме програмне забезпечення Bro, вам потрібно буде завантажити останні файли бази даних IPv4 та IPv6 GeoIP. Використовуючи інструмент wget, завантажте обидва файли бази даних в Ubuntu.

wget https://geolite.maxmind.com/download/geoip/database/GeoLiteCity.dat.gz
wget https://geolite.maxmind.com/download/geoip/database/GeoLiteCityv6-beta/GeoLiteCityv6.dat.gz

Розпакуйте архіви GeoIP GZ за допомогою команди gzip.

gzip -d GeoLiteCity.dat.gz

gzip -d GeoLiteCityv6.dat.gz

Помістіть файли бази даних GeoIP в папку /usr/share/GeoIP/ на Ubuntu за допомогою команди mv.

sudo mv GeoLiteCity.dat /usr/share/GeoIP/GeoIPCity.dat

sudo mv GeoLiteCityv6.dat /usr/share/GeoIP/GeoIPCityv6.dat

Встановити Bro

Налаштування інструменту безпеки мережі Bro починається з створення каталогу, в якому він буде жити в Ubuntu. Згідно з офіційною документацією, ця папка є /opt/.

Інсталяція починається з ввімкнення сховища програмного забезпечення Ubuntu Universe.

sudo add-apt-repository universe

Далі оновіть індекс пакетів Ubuntu за допомогою оновлення.

sudo apt update

За допомогою менеджера пакетів Apt встановіть Bro та всі пов’язані з ним пакунки з репозиторії Ubuntu Universe.

sudo apt install bro bro-aux bro-common bro-pkg broctl

Конфігурація мережі

Щоб використовувати інструмент безпеки мережі Bro, вам потрібно налаштувати мережеву карту для використання програми. За замовчуванням програма налаштована на використання «Eth0». Цей пристрій, швидше за все, не буде правильним мережевим пристроєм для більшості людей, тому ви повинні змінити його, відредагувавши файл node.cfg.

  Як увімкнути 120 Гц на Xbox Series X і S

Примітка. Якщо ви не впевнені, який ваш мережевий інтерфейс, це легко знайти, запустивши команду ip link.

sudo nano /etc/bro/node.cfg

Потім натисніть Ctrl + W, щоб запустити функцію пошуку в Nano. Коли вікно пошуку відкриється, напишіть “interface=eth0″ і натисніть Enter на клавіатурі, щоб негайно перейти до розділу мережевого інтерфейсу файлу конфігурації.

Замініть «eth0» своїм мережевим інтерфейсом і збережіть файл конфігурації, натиснувши Ctrl + O.

Встановити діапазон IP

Тепер, коли мережевий інтерфейс налаштовано для Bro, ви повинні встановити діапазон IP для моніторингу програми. Відкрийте файл /etc/bro/networks.cfg у текстовому редакторі Nano.

sudo nano /etc/bro/networks.cfg

Коли ви завантажите файл networks.cfg, ви побачите кілька прикладів за замовчуванням. Видаліть ці параметри за замовчуванням і замініть їх IP-адресою з мережевої карти, встановленої раніше.

Наприклад:

10.196.1.131/24

2600:1702:3980:a258:6978:ebae:d8:20a1/64

Коли IP-адресу встановлено, збережіть конфігурацію в Nano, натиснувши Ctrl + O на клавіатурі.

Встановити адресу електронної пошти за замовчуванням для Bro

Додаток Bro має систему електронної пошти. Однак для роботи його потрібно правильно налаштувати. Щоб встановити його, відкрийте /etc/bro/broctl.cfg у Nano.

  Як робити якісні RAW фотографії

sudo nano /etc/bro/broctl.cfg

Опинившись у Nano, натисніть Ctrl + W і введіть «MailTo», щоб перейти до розділу електронної пошти файлу. Потім додайте дійсну адресу електронної пошти для використання Bro.

Запускай, брате

Bro потрібно налаштувати, перш ніж ви зможете його використовувати. Запустіть вікно терміналу та виконайте наведену нижче команду, щоб отримати доступ до інтерфейсу оболонки програми.

sudo broctl

Потрапивши в оболонку, використовуйте її, щоб налаштувати файл конфігурації за замовчуванням для вашої машини Ubuntu, запустивши команду install.

install

Після виконання команди встановлення запустіть службу за допомогою:

deploy

Потім вийдіть з оболонки, запустивши exit.

exit

Зупинись брате

Потрібно вимкнути Bro? Увійдіть в оболонку broctl і запустіть:

stop

Використовуйте Bro

Після довгого, виснажливого процесу налаштування, система безпеки Bro запрацювала на вашому сервері Ubuntu. Нехай він працює у фоновому режимі, і він автоматично реєструватиме всі вторгнення в мережу в /var/log/bro.

Якщо ви хочете контролювати його сканування в режимі реального часу, введіть наступну команду хвоста.

tail -f /var/log/bro/current/conn.log

Крім того, щоб переглянути сповіщення про безпеку, виконайте:

tail -f /var/log/bro/current/notice.log