Network-Analysis;-How-To-Install-Bro-On-Ubuntu-16.04

Анализ сети: как установить Bro на Ubuntu 16.04

Новости

Bro — это система анализа сетевого трафика с открытым исходным кодом, ориентированная на мониторинг сетевой безопасности. Это результат 15-летних исследований, крупными университетами, исследовательскими лабораториями, суперкомпьютерными центрами и многими наукоемкими сообществами. Она разработана в основном в Международном институте компьютерных наук, в Беркли и Национальном центре суперкомпьютерных приложений в Урбана-Шампейн.

Bro имеет различные функции, в том числе:

  • Язык сценариев Bro позволяет использовать политики мониторинга сайтов.
  • Ориентация на высокопроизводительные сети.
  • Встроенные анализаторы для многих протоколов, позволяющие высокоуровневый семантический анализ на уровне приложений.
  • Хранение обширной статистики о сети, которую он контролирует на уровне приложений.
  • Bro взаимодействует с другими приложениями для обмена информацией в режиме реального времени.
  • Всесторонняя регистрация обеспечивает высокоуровневый архив активности сети.

В этом руководстве объясняется, как создать исходный код и установить Bro на сервере Ubuntu 16.04.

 

Характеристики

Bro имеет много зависимостей:

 

Установка из исходных кодов требует также:

  • CMake 2.8+
  • Make
  • GCC 4.8+ или Clang 3.3+
  • SWIG
  • GNU Bison
  • Flex
  • Заголовки Libpcap
  • Заголовки OpenSSL
  • Заголовки zlib

 

Установка зависимостей

Прежде всего, установите все необходимые зависимости, выполнив следующую команду:

# apt-get install cmake make gcc g ++ flex bison libpcap-dev libssl-dev python-dev swig zlib1g-dev

 

Установка базы данных GeoIP для IP-геолокации

Bro зависит от GeoIP для адресной геолокации. Установите обе версии IPv4 и IPv6:

$ wget http://geolite.maxmind.com/download/geoip/database/GeoLiteCity.dat.gz
$ wget http://geolite.maxmind.com/download/geoip/database/GeoLiteCityv6-beta/GeoLiteCityv6.dat.gz

 

Распакуйте оба архива:

$ gzip -d GeoLiteCity.dat.gz
$ gzip -d GeoLiteCityv6.dat.gz

 

Переместите распакованные файлы в каталог /usr/share/GeoIP:

# mvGeoLiteCity.dat /usr/share/GeoIP/GeoIPCity.dat
# mv GeoLiteCityv6.dat /usr/share/GeoIP/GeoIPCityv6.dat

 

Теперь можно скомпилировать Bro из исходных кодов.

 

Компиляция Bro

Последняя версия Bro может быть получена через репозитории git. Выполните следующую команду:

$ git clone <span class="st">--recursive</span> git://git.bro.org/bro

 

Перейдите в клонированную директорию и просто скомпилируйте Bro используя следующую команду:

$ cd bro
$ ./configure
$ make

 

Команде make потребуется некоторое время на свое выполнение. Точное количество времени, конечно, зависит от производительности сервера.

Сценарий configure может быть выполнен с некоторым аргументом, чтобы указать, какие зависимости вы хотите построить, в частности параметры —with-*.

 

Установка Bro

Внутри клонированного каталога bro выполните:

# make install

 

Путь установки по умолчанию — /usr/local/bro.

 

Настройка Bro

Файлы конфигурации Bro находятся в каталоге /usr/local/bro/etc. Существует три файла:

  • Node.cfg, используется для настройки узла (или узлов) контроля.
  • Broctl.cfg, файл конфигурации BroControl.
  • Network.cgf, содержит список сетей в нотации CIDR.

 

Настройка параметров почты. Откройте файл конфигурации broctl.cfg:

# $ EDITOR /usr/local/bro/etc/broctl.cfg

 

Найдите раздел «Параметры почты» и отредактируйте строку MailTo следующим образом:

# Recipient address for emails sent out by Bro and BroControl
MailTo = [email protected]

 

Теперь сохраните и закройте broctl.cfg.

 

Выбор узлов для мониторинга

Из «коробки» Bro сконфигурирован для работы в автономном режиме. В этой статье мы делаем автономную установку, поэтому нет необходимости менять файл конфигурации. Однако рассмотрим node.cfg:

# $ EDITOR /usr/local/bro/etc/node.cfg

 

В разделе [bro] вы должны увидеть что-то вроде этого:

[bro]
type=standalone
host=localhost
interface=eth0

 

Убедитесь, что интерфейс соответствует общедоступному интерфейсу сервера Ubuntu 16.04.

После просмотра / конфигурации сохраните и выйдите.

 

Настройка сетевых узлов

Последним редактируемым файлом является network.cfg. Откройте его с помощью текстового редактора:

# $ EDITOR /usr/local/bro/etc/networks.cfg

 

По умолчанию вы должны увидеть следующий контент:

# List of local networks in CIDR notation, optionally followed by a
# descriptive tag.
# For example, "10.0.0.0/8" or "fe80::/64" are valid prefixes.

10.0.0.0/8 Private IP space
172.16.0.0/12 Private IP space
192.168.0.0/16 Private IP space

 

Удалите три записи (которые являются примером использования этого файла) и введите публичное и частное IP-пространство вашего сервера в формате:

X.X.X.X/X Public IP space
X.X.X.X/X Private IP space

 

Сохраните и выйдите из network.cfg.

 

Управление установкой Bro с помощью BroControl

Для управления Bro требуется использование BroControl, который поставляется в виде интерактивной оболочки и инструмента командной строки. Запустите оболочку с помощью:

# /usr/local/bro/bin/broctl

 

Чтобы использовать BroControl в качестве инструмента командной строки, просто передайте аргумент предыдущей команде, например:

# /usr/local/bro/bin/broctl status

 

Это проверяет статус Bro, показывая вывод, например:

Name Type Host Status Pid Started
bro standalone localhost running 6807 20 Jul 12:30:50

 

Итоги

На этом все с базовой настройкой Bro. Мы использовали установку из исходных кодов, потому что это самый эффективный способ получить самую последнюю версию, однако эта структура анализа сети также может быть загружена в предварительно построенном двоичном формате.

 

 

 

Спасибо за уделенное время на прочтение статьи!

Если возникли вопросы, задавайте их в комментариях.

Подписывайтесь на обновления нашего блога и оставайтесь в курсе новостей мира инфокоммуникаций!

Чтобы знать больше и выделяться знаниями среди толпы IT-шников, записывайтесь на курсы Cisco от Академии Ciscoкурсы Linux от Linux Professional Institute на платформе SEDICOMM University.

Курсы Cisco и Linux с трудоустройством!

Спешите подать заявку! Осталось пару мест. Группы стартуют 22 июля, а следующая 19 августа, 23 сентября, 21 октября, 25 ноября, 16 декабря, 20 января, 24 февраля.
Что Вы получите?
  • Поможем стать экспертом в сетевом администрировании и получить международные сертификаты Cisco CCNA Routing & Switching или Linux LPI.
  • Предлагаем проверенную программу и учебник экспертов из Cisco Networking Academy и Linux Professional Institute, сертифицированных инструкторов и личного куратора.
  • Поможем с трудоустройством и сделать карьеру. 100% наших выпускников трудоустраиваются.
Как проходит обучение?
  • Проводим вечерние онлайн-лекции на нашей платформе или обучайтесь очно на базе Киевского офиса.
  • Спросим у вас об удобном времени для практик и подстроимся: понимаем, что времени учиться мало.
  • Если хотите индивидуальный график — обсудим и осуществим.
  • Выставим четкие дедлайны для самоорганизации. Личный куратор будет на связи, чтобы ответить на вопросы, проконсультировать и мотивировать придерживаться сроков сдачи экзаменов.
А еще поможем Вам:
  • отредактировать резюме;
  • подготовиться к техническим интервью;
  • подготовиться к конкурсу на понравившуюся вакансию;
  • устроим на работу в Cisco по программе Cisco Incubator, New Graduate и Experienced. Наши студенты, которые уже работают там: жмите на #НашиВCisco Вконтакте, #НашиВCisco Facebook.
Чтобы учиться на курсах Cisco CCNA Routing & Switching и Linux LPI, подайте заявку или получите бесплатную консультацию.
Новости

Больше похожих постов

Площадка Prozorro вводит денежное вознаграждение по bug bounty, полный курс по кибербезопасности секреты хакеров Минск

Площадка Prozorro вводит денежное вознаграждение по bug bounty, полный курс по кибербезопасности секреты хакеров Минск

31
0
Украинская компания Prozorro решила выплачивать вознаграждения за уязвимости. Ранее она предлагала только призы и популяризацию деятельности исследователей. Однако теперь каждый,…
Как хакеры атаковали самую крупную IT-компанию в Украине: часть 1, защита информации курс лекции Минск

Как хакеры атаковали самую крупную IT-компанию в Украине: часть 1, защита информации курс лекции Минск

31
0
Первого сентября злоумышленники пробрались в сеть компании SoftServe. Сейчас киберполиция проводит активное расследование инцидента и пытается найти организаторов. Однако на…
Как хакеры атаковали самую крупную IT-компанию в Украине: часть 2, информационная безопасность курсы повышения квалификации Минск

Как хакеры атаковали самую крупную IT-компанию в Украине: часть 2, информационная безопасность курсы повышения квалификации Минск

38
0
Недавно злоумышленники напали на компанию SoftServe и похитили конфиденциальные данные. В результате сейчас правоохранительные органы проводят активное расследование инцидента. Однако…

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Заполните поле
Заполните поле
Пожалуйста, введите корректный адрес email.
Вы должны согласиться с условиями для продолжения

Most Viewed Posts
Меню