Die Bro-Sicherheitssuite ist ein anpassungsfähiges, leistungsstarkes System zur Erkennung von Netzwerkangriffen für Linux. Es funktioniert, indem es im Hintergrund läuft, den Datenverkehr passiv analysiert und protokolliert.
Die App hat viele Funktionen, ist Open Source und wird von vielen in der Sicherheits-Community für ihren Open-Source-Charakter und ihre Effizienz gelobt.
Inhaltsverzeichnis
Voraussetzungen
Um das Bro-Netzwerksicherheitstool verwenden zu können, benötigen Sie einen Server mit einem Linux-Betriebssystem und mindestens 2 GB physischem RAM.
Hinweis: Sie haben keinen dedizierten Server? Mach dir keine Sorge! Ein herkömmlicher Desktop-Computer mit Ubuntu funktioniert mit mindestens 2 GB RAM, und anständige Hardware reicht aus! Stellen Sie einfach sicher, dass Sie es immer anbehalten können!
Während des Installationsteils des Tutorials gehen wir darauf ein, wie die Bro-Sicherheitssuite auf Ubuntu Server eingerichtet wird, da dies die meisten Benutzer für ihre Serveranforderungen verwenden. Abgesehen davon sind die Installationsanweisungen nicht spezifisch für Ubuntu, und das Bro-Tool kann auf fast jedem Linux-Server-Betriebssystem ausgeführt werden Der Entwickler hat Anweisungen für alle wichtigen Distributionen.
Richten Sie die GeoIP-Datenbank ein
Das Bro-Netzwerksicherheitstool benötigt aus Sicherheitsgründen eine Datenbank mit IP-Adressen zum Scannen. Bevor Sie also versuchen, die Bro-Software selbst zu installieren, müssen Sie die neuesten IPv4- und IPv6-GeoIP-Datenbankdateien herunterladen. Laden Sie mit dem wget-Tool beide Datenbankdateien auf Ubuntu herunter.
wget https://geolite.maxmind.com/download/geoip/database/GeoLiteCity.dat.gz wget https://geolite.maxmind.com/download/geoip/database/GeoLiteCityv6-beta/GeoLiteCityv6.dat.gz
Extrahieren Sie die GeoIP GZ-Archive mit dem gzip-Befehl.
gzip -d GeoLiteCity.dat.gz gzip -d GeoLiteCityv6.dat.gz
Legen Sie die GeoIP-Datenbankdateien mit dem Befehl mv im Ordner /usr/share/GeoIP/ auf Ubuntu ab.
sudo mv GeoLiteCity.dat /usr/share/GeoIP/GeoIPCity.dat sudo mv GeoLiteCityv6.dat /usr/share/GeoIP/GeoIPCityv6.dat
Bro installieren
Das Einrichten des Bro-Netzwerksicherheitstools beginnt mit der Erstellung des Verzeichnisses, in dem es auf Ubuntu leben wird. Laut offizieller Dokumentation ist dieser Ordner /opt/.
Die Installation beginnt mit der Aktivierung des Ubuntu Universe-Software-Repositorys.
sudo add-apt-repository universe
Aktualisieren Sie als Nächstes den Paketindex von Ubuntu mit update.
sudo apt update
Installieren Sie mit dem Apt-Paketmanager Bro und alle zugehörigen Pakete aus dem Ubuntu Universe-Repo.
sudo apt install bro bro-aux bro-common bro-pkg broctl
Netzwerkkonfiguration
Um das Bro-Netzwerksicherheitstool zu verwenden, müssen Sie eine Netzwerkkarte für die zu verwendende Anwendung einrichten. Standardmäßig ist die App so eingestellt, dass sie „Eth0“ verwendet. Dieses Gerät ist wahrscheinlich nicht das richtige Netzwerkgerät für die meisten Leute, also müssen Sie es ändern, indem Sie die Datei node.cfg bearbeiten.
Hinweis: Wenn Sie sich nicht sicher sind, was Ihre Netzwerkschnittstelle ist, können Sie sie leicht finden, indem Sie den Befehl ip link ausführen.
sudo nano /etc/bro/node.cfg
Drücken Sie dann Strg + W, um die Suchfunktion in Nano zu starten. Sobald das Suchfeld geöffnet ist, schreiben Sie „interface=eth0“ und drücken Sie die Eingabetaste auf der Tastatur, um sofort zum Netzwerkschnittstellenabschnitt der Konfigurationsdatei zu springen.
Ersetzen Sie „eth0“ durch Ihre Netzwerkschnittstelle und speichern Sie die Konfigurationsdatei, indem Sie Strg + O drücken.
IP-Bereich festlegen
Nachdem die Netzwerkschnittstelle für Bro eingestellt ist, müssen Sie den IP-Bereich festlegen, den das Programm überwachen soll. Öffnen Sie die Datei /etc/bro/networks.cfg im Nano-Texteditor.
sudo nano /etc/bro/networks.cfg
Wenn Sie die Datei networks.cfg laden, sehen Sie einige Standardbeispiele. Löschen Sie diese Standardeinstellungen und ersetzen Sie sie durch die zuvor festgelegte IP-Adresse der Netzwerkkarte.
Beispielsweise:
10.196.1.131/24 2600:1702:3980:a258:6978:ebae:d8:20a1/64
Wenn die IP-Informationen eingestellt sind, speichern Sie die Konfiguration in Nano, indem Sie Strg + O auf der Tastatur drücken.
Legen Sie die Standard-E-Mail-Adresse für Bro fest
Die Bro-Anwendung verfügt über ein E-Mail-System. Es muss jedoch korrekt eingestellt werden, damit es funktioniert. Um es einzustellen, öffnen Sie /etc/bro/broctl.cfg in Nano.
sudo nano /etc/bro/broctl.cfg
Drücken Sie in Nano Strg + W und geben Sie „MailTo“ ein, um zum E-Mail-Abschnitt der Datei zu springen. Fügen Sie dann eine gültige E-Mail-Adresse hinzu, die Bro verwenden kann.
Starten Sie Bro
Bro muss optimiert werden, bevor Sie es verwenden können. Starten Sie ein Terminalfenster und führen Sie den folgenden Befehl aus, um auf die Shell-Oberfläche des Programms zuzugreifen.
sudo broctl
Sobald Sie sich in der Shell befinden, verwenden Sie sie, um die Standardkonfigurationsdatei für Ihren Ubuntu-Computer einzurichten, indem Sie den Befehl install ausführen.
install
Nachdem Sie den Installationsbefehl ausgeführt haben, starten Sie den Dienst mit:
deploy
Beenden Sie dann die Shell, indem Sie exit ausführen.
exit
Hör auf, Bruder
Müssen Sie Bro ausschalten? Melden Sie sich bei der Broctl-Shell an und führen Sie Folgendes aus:
stop
Benutze Bro
Nach einem langen, mühsamen Einrichtungsprozess ist das Bro-Sicherheitssystem auf Ihrem Ubuntu-Server eingerichtet und läuft. Lassen Sie es im Hintergrund laufen, und es protokolliert automatisch alle Netzwerkangriffe in /var/log/bro.
Wenn Sie das Scannen in Echtzeit überwachen möchten, geben Sie den folgenden tail-Befehl ein.
tail -f /var/log/bro/current/conn.log
Alternativ können Sie zum Anzeigen von Sicherheitshinweisen Folgendes tun:
tail -f /var/log/bro/current/notice.log