O conjunto de segurança Bro é um sistema de detecção de intrusão de rede adaptável e poderoso para Linux. Ele funciona executando em segundo plano, analisando e registrando o tráfego passivamente.
O aplicativo tem muitos recursos, é de código aberto e é elogiado por muitos na comunidade de segurança por sua natureza de código aberto e eficiência.
últimas postagens
Pré-requisitos
Para usar a ferramenta de segurança de rede Bro, você precisará de um servidor executando um sistema operacional Linux que tenha pelo menos 2 GB de RAM física.
Nota: não tem um servidor dedicado? Não se preocupe! Um computador desktop tradicional rodando Ubuntu funcionará com pelo menos 2 GB de RAM, e um hardware decente servirá! Apenas certifique-se de que você sempre pode mantê-lo!
Durante a parte de instalação do tutorial, veremos como configurar o pacote de segurança Bro no Ubuntu Server, pois é o que a maioria das pessoas usa para suas necessidades de servidor. Com isso dito, as instruções de instalação não são específicas do Ubuntu, e a ferramenta Bro pode ser executada em praticamente qualquer sistema operacional de servidor Linux e o desenvolvedor tem instruções para todas as principais distribuições.
Configurar banco de dados GeoIP
A ferramenta de segurança de rede Bro precisa de um banco de dados de endereços IP para verificar para fins de segurança, portanto, antes de tentar instalar o software Bro, você precisará baixar os arquivos de banco de dados GeoIP IPv4 e IPv6 mais recentes. Usando a ferramenta wget, baixe os dois arquivos de banco de dados para o Ubuntu.
wget https://geolite.maxmind.com/download/geoip/database/GeoLiteCity.dat.gz wget https://geolite.maxmind.com/download/geoip/database/GeoLiteCityv6-beta/GeoLiteCityv6.dat.gz
Extraia os arquivos GeoIP GZ com o comando gzip.
gzip -d GeoLiteCity.dat.gz gzip -d GeoLiteCityv6.dat.gz
Coloque os arquivos do banco de dados GeoIP na pasta /usr/share/GeoIP/ no Ubuntu usando o comando mv.
sudo mv GeoLiteCity.dat /usr/share/GeoIP/GeoIPCity.dat sudo mv GeoLiteCityv6.dat /usr/share/GeoIP/GeoIPCityv6.dat
Instalar Bro
A configuração da ferramenta de segurança de rede Bro começa com a criação do diretório em que ela ficará no Ubuntu. De acordo com a documentação oficial, esta pasta é /opt/.
A instalação começa ativando o repositório de software Ubuntu Universe.
sudo add-apt-repository universe
Em seguida, atualize o índice de pacotes do Ubuntu com update.
sudo apt update
Usando o gerenciador de pacotes Apt, instale o Bro e todos os seus pacotes relacionados do repositório Ubuntu Universe.
sudo apt install bro bro-aux bro-common bro-pkg broctl
configuração de rede
Para usar a ferramenta de segurança de rede Bro, você precisará configurar uma placa de rede para o aplicativo usar. Por padrão, o aplicativo está configurado para usar “Eth0”. Este dispositivo provavelmente não será o dispositivo de rede correto para a maioria das pessoas, então você deve alterá-lo editando o arquivo node.cfg.
Nota: Se você não tiver certeza de qual é sua interface de rede, é fácil encontrá-la executando o comando ip link.
sudo nano /etc/bro/node.cfg
Em seguida, pressione Ctrl + W para iniciar a função de pesquisa no Nano. Quando a caixa de pesquisa estiver aberta, escreva “interface=eth0″ e pressione Enter no teclado para pular imediatamente para a seção de interface de rede do arquivo de configuração.
Substitua “eth0” pela sua interface de rede e salve o arquivo de configuração pressionando Ctrl + O.
Definir intervalo de IP
Agora que a interface de rede está definida para Bro, você deve definir o intervalo de IP para o programa monitorar. Abra o arquivo /etc/bro/networks.cfg no editor de texto Nano.
sudo nano /etc/bro/networks.cfg
Ao carregar o arquivo networks.cfg, você verá alguns exemplos padrão. Apague esses padrões e substitua-os pelo endereço IP da placa de rede definida anteriormente.
Por exemplo:
10.196.1.131/24 2600:1702:3980:a258:6978:ebae:d8:20a1/64
Quando as informações de IP estiverem definidas, salve a configuração no Nano pressionando Ctrl + O no teclado.
Definir endereço de e-mail padrão para Bro
O aplicativo Bro possui um sistema de e-mail. No entanto, ele deve ser configurado corretamente para funcionar. Para configurá-lo, abra /etc/bro/broctl.cfg no Nano.
sudo nano /etc/bro/broctl.cfg
Uma vez no Nano, pressione Ctrl + W e digite “MailTo” para ir para a seção de e-mail do arquivo. Em seguida, adicione um endereço de e-mail válido para o Bro usar.
Inicia irmão
Bro precisa ser ajustado antes que você possa usá-lo. Inicie uma janela de terminal e execute o comando abaixo para acessar a interface do shell do programa.
sudo broctl
Uma vez no shell, use-o para configurar o arquivo de configuração padrão para sua máquina Ubuntu executando o comando install.
install
Depois de executar o comando de instalação, inicie o serviço com:
deploy
Em seguida, saia do shell executando exit.
exit
Pare irmão
Precisa desligar Bro? Faça login no shell broctl e execute:
stop
Usar irmão
Após um longo e tedioso processo de configuração, o sistema de segurança Bro está funcionando em seu servidor Ubuntu. Deixe-o rodar em segundo plano e ele registrará automaticamente todas as intrusões de rede em /var/log/bro.
Se você quiser monitorar a varredura em tempo real, digite o seguinte comando tail.
tail -f /var/log/bro/current/conn.log
Como alternativa, para visualizar os avisos de segurança, faça:
tail -f /var/log/bro/current/notice.log