Bộ bảo mật Bro là một hệ thống phát hiện xâm nhập mạng mạnh mẽ, có thể thích ứng dành cho Linux. Nó hoạt động bằng cách chạy trong nền, phân tích và ghi lại lưu lượng truy cập của bạn một cách thụ động.
Ứng dụng này có tính năng phong phú, nguồn mở và được nhiều người trong cộng đồng bảo mật khen ngợi về tính chất mở và hiệu suất của nó.
điều kiện tiên quyết
Để sử dụng công cụ bảo mật mạng Bro, bạn cần một máy chủ có hệ điều hành Linux có ít nhất 2 GB RAM vật lý.
Lưu ý: Bạn không có máy chủ chuyên dụng? Đừng lo! Máy tính để bàn Ubuntu truyền thống sẽ hoạt động với ít nhất 2 GB RAM và phần cứng phù hợp sẽ làm được! Chỉ cần chắc chắn rằng bạn luôn có thể có nó!
Trong phần cài đặt của hướng dẫn, chúng tôi sẽ thảo luận cách thiết lập bộ bảo mật Bro trên máy chủ Ubuntu vì hầu hết mọi người sử dụng bộ này cho nhu cầu của họ. Nói như vậy, hướng dẫn cài đặt không dành riêng cho Ubuntu và công cụ Bro có thể chạy trên hầu hết mọi hệ điều hành máy chủ Linux và nhà phát triển có hướng dẫn cho tất cả các bản phân phối chính.
Thiết lập cơ sở dữ liệu GeoIP
Công cụ bảo mật mạng Bro cần có cơ sở dữ liệu địa chỉ IP để quét vì mục đích bảo mật, vì vậy hãy tải xuống tệp cơ sở dữ liệu IPv4 và IPv6 GeoIP mới nhất trước khi thử cài đặt chính phần mềm Bro. Sử dụng wget, tải cả hai tệp cơ sở dữ liệu xuống hệ thống Ubuntu của bạn.
wget https://geolite.maxmind.com/download/geoip/database/GeoLiteCity.dat.gz wget https://geolite.maxmind.com/download/geoip/database/GeoLiteCityv6-beta/GeoLiteCityv6.dat.gz
Giải nén tệp lưu trữ GeoIP GZ bằng lệnh gzip.
gzip -d GeoLiteCity.dat.gz gzip -d GeoLiteCityv6.dat.gz
Đặt các tệp cơ sở dữ liệu GeoIP vào thư mục /usr/share/GeoIP/ trong Ubuntu bằng lệnh mv.
sudo mv GeoLiteCity.dat /usr/share/GeoIP/GeoIPCity.dat sudo mv GeoLiteCityv6.dat /usr/share/GeoIP/GeoIPCityv6.dat
Cài đặt anh bạn
Thiết lập công cụ bảo mật mạng Bro bắt đầu bằng việc tạo một thư mục nơi nó sẽ tồn tại trên hệ thống Ubuntu của bạn. Theo tài liệu chính thức, thư mục này là /opt/.
Quá trình cài đặt bắt đầu bằng cách bật kho phần mềm Ubuntu Universe.
sudo add-apt-repository universe
Sau đó cập nhật chỉ mục gói Ubuntu với bản cập nhật.
sudo apt update
Sử dụng trình quản lý gói Apt, cài đặt Bro và tất cả các gói liên quan từ kho Ubuntu Universe.
sudo apt install bro bro-aux bro-common bro-pkg broctl
cấu hình mạng
Để sử dụng công cụ bảo mật mạng Bro, bạn cần cấu hình card mạng mà ứng dụng sẽ sử dụng. Theo mặc định, ứng dụng sử dụng “Eth0”. Thiết bị này có thể sẽ không phải là thiết bị mạng phù hợp với hầu hết mọi người, vì vậy bạn sẽ cần thay đổi thiết bị này bằng cách chỉnh sửa tệp node.cfg.
Lưu ý: Nếu bạn không chắc giao diện mạng của mình là gì, bạn có thể dễ dàng tìm thấy nó bằng cách chạy lệnh ip link.
sudo nano /etc/bro/node.cfg
Sau đó nhấn Ctrl + W để bắt đầu chức năng tìm kiếm trong Nano. Khi hộp tìm kiếm mở ra, hãy nhập “interface=eth0″ và nhấn phím Enter trên bàn phím để chuyển ngay đến phần giao diện mạng trong tệp cấu hình của bạn.
Thay thế “eth0” bằng giao diện mạng của bạn và lưu tệp cấu hình bằng cách nhấn Ctrl + O.
Đặt dải địa chỉ IP
Bây giờ giao diện web đã được đặt thành Bro, bạn cần đặt dải IP cho chương trình giám sát. Mở tệp /etc/bro/networks.cfg trong trình soạn thảo văn bản Nano.
sudo nano /etc/bro/networks.cfg
Bạn sẽ thấy một số ví dụ mặc định khi tải tệp network.cfg. Xóa các giá trị mặc định này và thay thế chúng bằng địa chỉ IP từ card mạng mà bạn đã đặt trước đó.
Ví dụ:
10.196.1.131/24 2600:1702:3980:a258:6978:ebae:d8:20a1/64
Sau khi thiết lập thông tin IP, hãy lưu cấu hình trong Nano bằng cách nhấn Ctrl + O trên bàn phím.
Đặt địa chỉ email mặc định cho Bro
Ứng dụng Bro có một hệ thống email. Tuy nhiên, nó phải được thiết lập chính xác để nó hoạt động. Để thiết lập tính năng này, hãy mở /etc/bro/broctl.cfg bằng Nano.
sudo nano /etc/bro/broctl.cfg
Khi ở Nano, nhấn Ctrl + W và nhập “MailTo” để chuyển đến phần email của tệp. Sau đó thêm một địa chỉ email hợp lệ mà Bro có thể sử dụng.
chạy anh bạn
Người anh em cần phải được nâng cấp trước khi bạn có thể sử dụng nó. Khởi chạy một cửa sổ đầu cuối và chạy lệnh bên dưới để truy cập giao diện shell của chương trình.
sudo broctl
Khi đã ở trong trình bao, hãy sử dụng nó để thiết lập tệp cấu hình mặc định cho PC Ubuntu của bạn bằng cách chạy lệnh cài đặt.
install
Sau khi chạy lệnh cài đặt, hãy khởi động dịch vụ với:
deploy
Sau đó thoát khỏi trình bao bằng cách chạy lệnh thoát.
exit
dừng lại anh bạn
Cần phải tắt Bro? Đăng nhập vào trình bao broctl và chạy:
stop
Sử dụng anh bạn
Sau một quá trình thiết lập dài và tẻ nhạt, hệ thống bảo mật Bro đã hoạt động trên máy chủ Ubuntu của bạn. Hãy để nó chạy trong nền và nó sẽ tự động ghi lại tất cả các hoạt động xâm nhập mạng trong /var/log/bro.
Nếu bạn muốn theo dõi quá trình quét thời gian thực, hãy nhập lệnh đuôi sau.
tail -f /var/log/bro/current/conn.log
Ngoài ra, để xem các thông báo bảo mật, hãy làm như sau:
tail -f /var/log/bro/current/notice.log
