Когато работите с Linux среди, е важно да сте наясно с новините, които могат да възникнат на ниво мрежа и сигурност, тъй като цялата информация на потребителите, услугите и процесите, които се изпълняват ежедневно, и множество сървърни роли, които са заложени. ако се появят пропуски в сигурността, ще изложи на риск цялата ИТ архитектура.
Един от най -добрите безплатни инструменти, които ни помагат да наблюдаваме напълно мрежата и да анализираме пропуските в сигурността, е Bro и днес този урок ще анализира подробно как да го използваме в Ubuntu 17.04.
Какво е BROBro е инструмент, който е разработен с цел извършване на пълен мониторинг на локалната мрежа, имаща различни функционалности.
Bro е част от Software Freedom Conservancy, която е асоциация, фокусирана върху безплатни проекти, която гарантира, че Bro е с отворен код, достъпен за всички.
BRO функцииBro извършва по -голямата част от анализа си въз основа на поведението на мрежата и ни предлага следните функции:
- Извършвайте постоянен анализ и наблюдение на HTTP трафика.
- Той е в състояние да открива груби атаки срещу мрежови услуги като SSH и FTP.
- Изпълнете валидации на SSL / TLS сертификати.
- Анализирайте и открийте промени в софтуера, инсталиран на машината.
- Генерирайте отчети с помощта на имейл.
- Той е в способността да се извършват IP геолокации по градове.
- Открива SQL атаки.
- Различни опции за конфигуриране.
- Той е гъвкав.
1. Инсталирайте зависимости в Ubuntu 17
Етап 1
Преди да започнем, трябва да актуализираме пакетите на операционната система, като изпълним следния ред:
sudo apt-get updateСтъпка 2
Bro изисква използването на различни зависимости като Libpcap, OpenSSL и допълнителен BIND8 на Python 2.6 или по -нова версия и тъй като тази инсталация на Bro се извършва от източника на разработчика, ще е необходимо да се добавят зависимости като CMake, SWIG, Bison и a компилатор на C / C ++ за изпълнение.
Тези зависимости ще бъдат инсталирани чрез изпълнение на следния ред. Там ще приемем изтеглянето и съответната инсталация.
sudo apt-get install bison cmake flex g ++ gdb make libmagic-dev libpcap-dev libgeoip-dev libssl-dev python-dev swig2.0 zlib1g-dev
2. Изтеглете база данни GeoIP на Ubuntu 17
В тази стъпка ще изтеглим базата данни Bro GeoIP, с която ще се извършва IPv4 и IPv6 адресирането.
Етап 1
Със следните редове ще изтеглим IPv4 и IPv6 GeoIP бази данни:
wget http://geolite.maxmind.com/download/geoip/database/GeoLiteCity.dat.gz wget http://geolite.maxmind.com/download/geoip/database/GeoLiteCityv6-beta/GeoLiteCityv6.dat.gz
Стъпка 2
Пристъпваме към декомпресиране на тези файлове:
gzip -d GeoLiteCity.dat.gz gzip -d GeoLiteCityv6.dat.gz
Стъпка 3
Сега ще е необходимо да преместите тези файлове в директорията / usr / share / GeoIP, като използвате следните редове:
sudo mv GeoLiteCity.dat /usr/share/GeoIP/GeoIPCity.dat sudo mv GeoLiteCityv6.dat /usr/share/GeoIP/GeoIPCityv6.dat
Увеличете
3. Инсталирайте Bro от ресурс на Ubuntu 17
Етап 1
За тази инсталация ще използваме параметъра Git за изтегляне от GitHub ще изпълним следния ред:
git clone -рекурсивен git: //git.bro.org/broЗабележкаВ случай, че нямате инсталиран Git, ще е необходимо да изпълните командата
sudo apt install git
Увеличете
Стъпка 2
Там ще видим, че процесът на клониране на инсталационните файлове Bro започва. След като процесът приключи, ще влезем в новата директория на Bro, като използваме реда
cd братСлед като влезем в директорията, ще изпълним следния ред, за да стартираме процеса на конфигуриране на Bro:
./конфигуриране
Увеличете
Стъпка 3
Това ще отнеме около минута и след това трябва да изпълним командата направете за изграждането на програмата:
Увеличете
Стъпка 4
Това ще отнеме между 15 и 20 минути и след като приключим, ще видим следното:
Увеличете
Стъпка 5
Сега ще инсталираме Bro, като изпълним следния ред:
sudo make install
Увеличете
Стъпка 6
Bro ще бъде инсталиран в директорията / usr / local / bro. Сега тази директория трябва да е налична в PATH и за това ще я добавим към пътя /etc/profile.d, така че да е достъпна за всички. Ще изпълним следния ред с желания редактор, за да създадем файла 3rd-party.sh:
sudo nano /etc/profile.d/3rd-party.shСтъпка 7
Там ще въведем следния ред:
експортиране PATH = $ PATH: / usr / local / bro / bin
Увеличете
Стъпка 8
След като тези стойности бъдат дефинирани, ние запазваме промените с помощта на комбинацията от клавиши
Ctrl + O
и оставяме редактора да използва
Ctrl + X
Стъпка 9
Този файл трябва да бъде активиран чрез следния ред:
източник /etc/profile.d/3rd-party.sh
4. Конфигурирайте Bro на Ubuntu 17
Етап 1
Всички конфигурационни файлове на Bro се намират в директорията / usr / local / bro / etc и са следващите:
node.cfg: Позволява дефиниране на възли за анализ на мрежи.cfg: Включва списъка с мрежови интерфейси в локална CIDR нотация. broctl.cfg: Там откриваме конфигурационния файл на пощата на Bro за регистрация и някои допълнителни настройки.Стъпка 2
Сега ще редактираме всеки от тях, както следва:
Първо ще получим достъп до конфигурацията на възела, като използваме следния ред:
sudo nano /usr/local/bro/etc/node.cfg
Увеличете
Стъпка 3
Там трябва да посочим мрежовия интерфейс на Ubuntu на реда интерфейс. Запазваме промените и излизаме от файла.
Сега ще получим достъп до конфигурацията на частните възли, като използваме следния ред:
sudo nano /usr/local/bro/etc/networks.cfgСтъпка 4
Там трябва да посочим IP адреса на сървъра:
Увеличете
Стъпка 5
За достъп до споменатия IP можем да използваме командата
ip addr шоуСтъпка 6
Накрая ще конфигурираме имейл акаунта, свързан с Bro със следния ред. Там ще добавим имейл адреса в полето MailTo. Запазваме промените и излизаме от файла.
sudo nano /usr/local/bro/etc/broctl.cfg
Увеличете
5. Управлявайте Bro с BroControl на Ubuntu 17
С BroControl можем да изпълняваме различни административни задачи на Bro, като инсталиране, спиране на услуги и др.
Етап 1
BroControl е инструмент за командния ред и интерактивен Shell. За да извикаме BroControl, ще изпълним следния ред:
sudo / usr / local / bro / bin / broctlСтъпка 2
Това ще бъде резултатът:
Увеличете
Стъпка 3
Там имаме възможност за изпълнение на множество команди, свързани с Bro. За да излезем от тази конзола ще използваме командата
изход.Стъпка 4
За да стартираме Bro, ще използваме следното:
sudo / usr / local / bro / bin / broctl deployСтъпка 5
Резултатът ще бъде следният:
Увеличете
Стъпка 6
Ако искаме да проверим състоянието на Bro, ще изпълним следното. Виждаме, че състоянието му е такова Бягане - Бягане.
sudo / usr / local / bro / bin / broctl статус
Увеличете
6. Конфигурирайте Cron за Bro на Ubuntu 17
Нека си припомним, че с Cron е възможно да се програмират различни задачи и тъй като Bro няма параметри на Systemd, Cron става най -добрият вариант за поддържане на множество задачи на Bro, например в случай на срив на приложение, проверка на място на диска и т.н.
Етап 1
Ще създадем файла Cron, като изпълним следното:
sudo nano /etc/cron.d/broСтъпка 2
Там ще въведем следното:
* / 5 * * * * root / usr / local / bro / bin / broctl cron
Увеличете
ЗабележкаСтойността 5 може да бъде редактирана от друга стойност, ако желаем.
Стъпка 3
Запазваме промените с помощта на клавишната комбинация
Ctrl + O
и оставяме редактора да използва
Ctrl + X
Стъпка 4
При активиране на тази задача ще получим имейл, показващ, че е създаден файл в директорията / usr / local / bro / logs / stats.
Ще използваме следния ред, за да проверим дали всичко работи добре:
ps aux | Грей брато
Увеличете
Стъпка 5
Сега ще убием някои от процесите, използвайки следния синтаксис:
sudo kill -9 process_idСтъпка 6
След като извършим този процес, ще изпълним следния ред отново, за да проверим състоянието на Bro и ще видим, че резултатът му е сринат;
sudo / usr / local / bro / bin / broctl статус
Увеличете
Можем да изчакаме известно време, да изпълним командата отново и всичко ще се нулира отново. По този начин имаме Bro за анализ на мрежата и сигурността в Ubuntu.
