O Bro é um sistema de segurança de rede altamente adaptável e robusto, desenvolvido para plataformas Linux. Sua operação se dá de forma discreta, analisando e registrando o tráfego de dados em tempo real.
Reconhecido pela comunidade de segurança por sua natureza de código aberto e alta performance, o Bro oferece uma vasta gama de funcionalidades.
Requisitos Prévios
Para utilizar o sistema de segurança de rede Bro, é necessário um servidor com sistema operacional Linux e, no mínimo, 2 GB de memória RAM física.
Nota: Não possui um servidor dedicado? Sem problemas! Um computador desktop com Ubuntu, também com pelo menos 2 GB de RAM, pode servir, desde que possa permanecer ligado continuamente.
Nas próximas etapas, demonstraremos a configuração do pacote de segurança Bro no Ubuntu Server, dada a sua popularidade em ambientes de servidor. No entanto, as instruções de instalação são aplicáveis a outras distribuições Linux, e o próprio desenvolvedor fornece orientações para diversas distribuições.
Configuração do Banco de Dados GeoIP
O Bro precisa de um banco de dados com informações de endereços IP para análises de segurança. Portanto, antes de instalar o software, é necessário baixar as versões mais recentes dos bancos de dados GeoIP IPv4 e IPv6. Utilize o comando ‘wget’ para baixar os arquivos no Ubuntu:
wget https://geolite.maxmind.com/download/geoip/database/GeoLiteCity.dat.gz wget https://geolite.maxmind.com/download/geoip/database/GeoLiteCityv6-beta/GeoLiteCityv6.dat.gz
Em seguida, descompacte os arquivos com o comando ‘gzip’:
gzip -d GeoLiteCity.dat.gz gzip -d GeoLiteCityv6.dat.gz
Mova os arquivos descompactados para o diretório ‘/usr/share/GeoIP/’ usando o comando ‘mv’:
sudo mv GeoLiteCity.dat /usr/share/GeoIP/GeoIPCity.dat sudo mv GeoLiteCityv6.dat /usr/share/GeoIP/GeoIPCityv6.dat
Instalação do Bro
A configuração do Bro começa com a criação do diretório onde ele será instalado. De acordo com a documentação oficial, esse diretório é ‘/opt/’.
Inicie ativando o repositório Ubuntu Universe:
sudo add-apt-repository universe
Atualize a lista de pacotes do Ubuntu:
sudo apt update
Utilize o gerenciador de pacotes Apt para instalar o Bro e todos os seus componentes a partir do repositório Universe:
sudo apt install bro bro-aux bro-common bro-pkg broctl
Configuração de Rede
Para o Bro funcionar corretamente, é necessário configurar uma interface de rede para monitoramento. Por padrão, o Bro utiliza ‘eth0’. Como essa interface pode não ser a correta em muitos casos, é importante alterá-la editando o arquivo ‘node.cfg’.
Nota: Para descobrir qual é sua interface de rede, utilize o comando ‘ip link’.
sudo nano /etc/bro/node.cfg
No editor Nano, pressione ‘Ctrl + W’ e procure por “interface=eth0”. Substitua ‘eth0’ pelo nome da sua interface de rede e salve o arquivo (‘Ctrl + O’).
Definição do Intervalo de IP
Além da interface, é preciso definir o intervalo de IPs que o Bro monitorará. Abra o arquivo ‘/etc/bro/networks.cfg’ no editor Nano:
sudo nano /etc/bro/networks.cfg
Apague os exemplos padrão e insira os endereços IP da sua rede:
10.196.1.131/24 2600:1702:3980:a258:6978:ebae:d8:20a1/64
Após inserir os IPs, salve as alterações (‘Ctrl + O’).
Configuração do Endereço de E-mail
O Bro possui um sistema de alertas por e-mail. Para configurá-lo, abra o arquivo ‘/etc/bro/broctl.cfg’ no Nano:
sudo nano /etc/bro/broctl.cfg
Procure por “MailTo” (‘Ctrl + W’) e adicione um endereço de e-mail válido.
Inicializando o Bro
Antes de usar o Bro, é preciso configurá-lo. Execute o comando ‘broctl’ para acessar o shell interativo:
sudo broctl
Dentro do shell, execute ‘install’ para configurar o arquivo padrão:
install
Em seguida, inicie o serviço com o comando:
deploy
Para sair do shell, use ‘exit’:
exit
Parando o Bro
Para desligar o Bro, acesse o shell ‘broctl’ e use o comando:
stop
Utilizando o Bro
Após o processo de configuração, o Bro estará funcionando em seu servidor Ubuntu, monitorando a rede em segundo plano e registrando as atividades suspeitas no diretório ‘/var/log/bro’.
Para monitorar o tráfego em tempo real, use o comando ‘tail’:
tail -f /var/log/bro/current/conn.log
Para verificar os avisos de segurança, use:
tail -f /var/log/bro/current/notice.log