La suite de seguridad Bro es un potente y adaptable sistema de detección de intrusiones en la red para Linux. Funciona ejecutándose en segundo plano, analizando y registrando el tráfico de forma pasiva.
La aplicación tiene muchas características, es de código abierto y es alabada por muchos en la comunidad de seguridad por su naturaleza de código abierto y su eficiencia.
Tabla de contenido
Prerrequisitos
Para utilizar la herramienta de seguridad de red Bro, necesitará un servidor que ejecute un sistema operativo Linux que tenga al menos 2 GB de RAM física.
Nota: ¿no tienes un servidor dedicado? ¡No te preocupes! Una computadora de escritorio tradicional con Ubuntu funcionará con al menos 2 GB de RAM, ¡y un hardware decente servirá! ¡Solo asegúrate de poder mantenerlo siempre puesto!
Durante la parte de instalación del tutorial, veremos cómo configurar la suite de seguridad Bro en Ubuntu Server, ya que eso es lo que la mayoría de la gente usa para las necesidades de su servidor. Dicho esto, las instrucciones de instalación no son específicas de Ubuntu, y la herramienta Bro puede ejecutarse en casi cualquier sistema operativo de servidor Linux, y el desarrollador tiene instrucciones para todas las distribuciones principales.
Configurar la base de datos GeoIP
La herramienta de seguridad de red Bro necesita una base de datos de direcciones IP para escanear con fines de seguridad, por lo que, antes de intentar instalar el software Bro, deberá descargar los archivos de base de datos GeoIP IPv4 e IPv6 más recientes. Con la herramienta wget, descargue ambos archivos de base de datos en Ubuntu.
wget https://geolite.maxmind.com/download/geoip/database/GeoLiteCity.dat.gz wget https://geolite.maxmind.com/download/geoip/database/GeoLiteCityv6-beta/GeoLiteCityv6.dat.gz
Extraiga los archivos de GeoIP GZ con el comando gzip.
gzip -d GeoLiteCity.dat.gz gzip -d GeoLiteCityv6.dat.gz
Coloque los archivos de la base de datos GeoIP en la carpeta / usr / share / GeoIP / en Ubuntu usando el comando mv.
sudo mv GeoLiteCity.dat /usr/share/GeoIP/GeoIPCity.dat sudo mv GeoLiteCityv6.dat /usr/share/GeoIP/GeoIPCityv6.dat
Instalar hermano
La configuración de la herramienta de seguridad de red Bro comienza creando el directorio en el que residirá en Ubuntu. Según la documentación oficial, esta carpeta es / opt /.
La instalación comienza habilitando el repositorio de software Ubuntu Universe.
sudo add-apt-repository universe
A continuación, actualice el índice de paquetes de Ubuntu con update.
sudo apt update
Con el administrador de paquetes Apt, instale Bro y todos sus paquetes relacionados desde el repositorio de Ubuntu Universe.
sudo apt install bro bro-aux bro-common bro-pkg broctl
configuración de la red
Para utilizar la herramienta de seguridad de red de Bro, deberá configurar una tarjeta de red para que la utilice la aplicación. De forma predeterminada, la aplicación está configurada para utilizar «Eth0». Es probable que este dispositivo no sea el dispositivo de red correcto para la mayoría de las personas, por lo que debe cambiarlo editando el archivo node.cfg.
Nota: Si no está seguro de cuál es su interfaz de red, es fácil de encontrar ejecutando el comando ip link.
sudo nano /etc/bro/node.cfg
Luego, presione Ctrl + W para iniciar la función de búsqueda en Nano. Una vez que el cuadro de búsqueda esté abierto, escriba «interface = eth0» y presione Enter en el teclado para saltar inmediatamente a la sección de interfaz de red del archivo de configuración.
Reemplace «eth0» con su interfaz de red y guarde el archivo de configuración presionando Ctrl + O.
Establecer rango de IP
Ahora que la interfaz de red está configurada para Bro, debe configurar el rango de IP para que el programa lo monitoree. Abra el archivo /etc/bro/networks.cfg en el editor de texto Nano.
sudo nano /etc/bro/networks.cfg
A medida que carga el archivo networks.cfg, verá algunos ejemplos predeterminados. Borre estos valores predeterminados y reemplácelos con la dirección IP de la tarjeta de red configurada anteriormente.
Por ejemplo:
10.196.1.131/24 2600:1702:3980:a258:6978:ebae:d8:20a1/64
Cuando se establece la información de IP, guarde la configuración en Nano presionando Ctrl + O en el teclado.
Establecer la dirección de correo electrónico predeterminada para Bro
La aplicación Bro tiene un sistema de correo electrónico. Sin embargo, debe configurarse correctamente para que funcione. Para configurarlo, abra /etc/bro/broctl.cfg en Nano.
sudo nano /etc/bro/broctl.cfg
Una vez en Nano, presione Ctrl + W e ingrese «MailTo» para saltar a la sección de correo electrónico del archivo. Luego, agregue una dirección de correo electrónico válida para que Bro la use.
Poner en marcha hermano
Bro necesita ser modificado antes de que puedas usarlo. Inicie una ventana de terminal y ejecute el siguiente comando para acceder a la interfaz de shell del programa.
sudo broctl
Una vez en el shell, utilícelo para configurar el archivo de configuración predeterminado para su máquina Ubuntu ejecutando el comando de instalación.
install
Después de ejecutar el comando de instalación, inicie el servicio con:
deploy
Luego, salga del shell ejecutando exit.
exit
Detener hermano
¿Necesitas apagar Bro? Inicie sesión en el shell broctl y ejecute:
stop
Utilice Bro
Después de un largo y tedioso proceso de configuración, el sistema de seguridad Bro está en funcionamiento en su servidor Ubuntu. Deje que se ejecute en segundo plano y automáticamente registrará todas las intrusiones de red en / var / log / bro.
Si desea monitorear su escaneo en tiempo real, ingrese el siguiente comando de cola.
tail -f /var/log/bro/current/conn.log
Alternativamente, para ver los avisos de seguridad, haga lo siguiente:
tail -f /var/log/bro/current/notice.log