Как установить Bro security suite IDS на сервере Ubuntu

Bro security suite это адаптивная, мощная система обнаружения вторжений в сети для Linux.

Он работает в фоновом режиме, анализируя и регистрируя трафик пассивно.

Приложение имеет множество функций, является инструментом с открытым исходным кодом и похвалено многими в сообществе безопасности за эффективность.

Предпосылки

Чтобы использовать средство защиты сети Bro, вам понадобится сервер под управлением ОС Linux, который имеет не менее 2 ГБ физической памяти.

Примечание: у вас нет выделенного сервера? Не волнуйтесь! Традиционный десктоп под управлением Ubuntu с как минимум с 2 ГБ оперативной памяти,будет работать и подойдет

Во время установки мы рассмотрим, как настроить пакет защиты Bro на сервере Ubuntu, и средство Bro может работать практически на любой ОС Linux, а разработчик имеет инструкции для всех основных дистрибутивов.

Настройка базы данных GeoIP

Средство сетевой защиты Bro нуждается в базе данных IP-адресов для сканирования в целях безопасности, поэтому перед попыткой установить программное обеспечение Bro вы должны будете загрузить последние файлы базы данных IPv4 и IPv6 GeoIP.

Используя инструмент wget, загрузите оба файла базы данных в Ubuntu.

wget http://geolite.maxmind.com/download/geoip/database/GeoLiteCity.dat.gz
wget http://geolite.maxmind.com/download/geoip/database/GeoLiteCityv6-beta/GeoLiteCityv6.dat.gz

Извлеките архивы GeoIP GZ командой gzip.

gzip -d GeoLiteCity.dat.gz

gzip -d GeoLiteCityv6.dat.gz

Поместите файлы базы данных GeoIP в папку /usr/share/GeoIP/ на Ubuntu, используя команду mv.

sudo mv GeoLiteCity.dat /usr/share/GeoIP/GeoIPCity.dat

sudo mv GeoLiteCityv6.dat /usr/share/GeoIP/GeoIPCityv6.dat

Установка Bro

Настройка сетевого средства защиты сети Bro начинается с создания каталога, в котором он будет работать на Ubuntu.

Согласно официальной документации, эта папка /opt/.

Установка начинается с включения репозитория программного обеспечения Ubuntu Universe.

sudo add-apt-repository universe

Затем обновите систему

sudo apt update

Используя диспетчер пакетов Apt, установите Bro и все связанные с ним пакеты из репо Ubuntu Universe.

sudo apt install bro bro-aux bro-common bro-pkg broctl

Конфигурация сети

Чтобы использовать средство защиты сети Bro, вам необходимо настроить сетевую карту для использования приложения.

По умолчанию приложение настроено на использование «Eth0».

Это устройство, скорее всего, не будет правильным сетевым устройством для большинства, поэтому вы должны изменить его, отредактировав файл node.cfg.

Примечание. Если вы не знаете, что такое сетевой интерфейс, его легко найти, запустив команду ip link.

sudo nano /etc/bro/node.cfg

Затем нажмите Ctrl + W, чтобы запустить функцию поиска в Nano.

После того, как окно поиска открыто, напишите «interface = eth0» и нажмите «Enter» на клавиатуре, чтобы сразу перейти в раздел сетевого интерфейса конфигурационного файла.

Замените «eth0» на свой сетевой интерфейс и сохраните файл конфигурации, нажав Ctrl + O.

Запуск Bro

Перед тем, как вы сможете использовать его, нужно настроить его.

Запустите окно терминала и выполните приведенную ниже команду для доступа к интерфейсу оболочки программы.

sudo broctl

После этого в командной оболочке, чтобы настроить файл конфигурации по умолчанию для вашей машины Ubuntu, выполнив команду install.

install

После запуска команды install запустите службу:

deploy

Затем выйдите из оболочки, запустив exit.

exit

Остановить Bro

Нужно отключить bro? Войдите в оболочку broctl и запустите:

stop

Использовать Bro

После долгого, утомительного процесса настройки система безопасности Bro запущена  на вашем сервере Ubuntu.

Пусть он работает в фоновом режиме, и он автоматически регистрирует все сетевые вторжения в /var/log/bro.

Если вы хотите отслеживать его сканирование в реальном времени, введите следующую команду tail

tail -f /var/log/bro/current/conn.log

Кроме того, чтобы просмотреть уведомления о безопасности, выполните следующие действия:

tail -f /var/log/bro/current/notice.log

 

cryptoparty

Cryptography is typically bypassed, not penetrated.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

5e7fa976b0640d40