Анализ сети: как установить Bro на Ubuntu 16.04

Bro — это система анализа сети, то есть трафика с открытым исходным кодом, ориентированная на мониторинг сетевой безопасности. Это результат 15-летних исследований, крупными университетами, исследовательскими лабораториями, суперкомпьютерными центрами и многими наукоемкими сообществами. Она разработана в основном в Международном институте компьютерных наук, в Беркли и Национальном центре суперкомпьютерных приложений в Урбана-Шампейн.

Bro имеет различные функции, в том числе:

• Язык сценариев Bro позволяет использовать политики мониторинга сайтов.
• Ориентация на высокопроизводительные сети.
• Встроенные анализаторы для многих протоколов, позволяющие высокоуровневый семантический анализ на уровне приложений.
• Хранение обширной статистики о сети, которую он контролирует на уровне приложений.
• Bro взаимодействует с другими приложениями для обмена информацией в режиме реального времени.
• Всесторонняя регистрация обеспечивает высокоуровневый архив активности сети.

В этом руководстве объясняется, как создать исходный код и установить Bro на сервере Ubuntu 16.04.

Характеристики

Bro имеет много зависимостей:

• Libpcap ( http://www.tcpdump.org )
• Библиотеки OpenSSL ( http://www.openssl.org )
• Библиотека BIND8
• Libz
• Bash (требуется для BroControl)
• Python 2.6+ (требуется для BroControl)

Установка из исходных кодов требует также:

• CMake 2.8+
• Make
• GCC 4.8+ или Clang 3.3+
• SWIG
• GNU Bison
• Flex
• Заголовки Libpcap
• Заголовки OpenSSL
• Заголовки zlib

Установка зависимостей

Прежде всего, установите все необходимые зависимости, выполнив следующую команду:

# apt-get install cmake make gcc g ++ flex bison libpcap-dev libssl-dev python-dev swig zlib1g-dev

Установка базы данных GeoIP для IP-геолокации

Bro зависит от GeoIP для адресной геолокации. Установите обе версии IPv4 и IPv6:

$ wget http://geolite.maxmind.com/download/geoip/database/GeoLiteCity.dat.gz
$ wget http://geolite.maxmind.com/download/geoip/database/GeoLiteCityv6-beta/GeoLiteCityv6.dat.gz

Распакуйте оба архива:

$ gzip -d GeoLiteCity.dat.gz
$ gzip -d GeoLiteCityv6.dat.gz

Переместите распакованные файлы в каталог /usr/share/GeoIP:

# mvGeoLiteCity.dat /usr/share/GeoIP/GeoIPCity.dat
# mv GeoLiteCityv6.dat /usr/share/GeoIP/GeoIPCityv6.dat

Теперь можно скомпилировать Bro из исходных кодов.

Компиляция Bro

Последняя версия Bro может быть получена через репозитории git. Выполните следующую команду:

$ git clone <span class="st">--recursive</span> git://git.bro.org/bro

Перейдите в клонированную директорию и просто скомпилируйте Bro используя следующую команду:

$ cd bro
$ ./configure
$ make

Команде make потребуется некоторое время на свое выполнение. Точное количество времени, конечно, зависит от производительности сервера.

Сценарий configure может быть выполнен с некоторым аргументом, чтобы указать, какие зависимости вы хотите построить, в частности параметры —with-*.

Установка Bro

Внутри клонированного каталога bro выполните:

# make install

Путь установки по умолчанию — /usr/local/bro.

Настройка Bro

Файлы конфигурации Bro находятся в каталоге /usr/local/bro/etc. Существует три файла:

• Node.cfg, используется для настройки узла (или узлов) контроля.
• Broctl.cfg, файл конфигурации BroControl.
• Network.cgf, содержит список сетей в нотации CIDR.

Настройка параметров почты. Откройте файл конфигурации broctl.cfg:

# $ EDITOR /usr/local/bro/etc/broctl.cfg

Найдите раздел «Параметры почты» и отредактируйте строку MailTo следующим образом:

# Recipient address for emails sent out by Bro and BroControl
MailTo = admin@example.com

Теперь сохраните и закройте broctl.cfg.

Выбор узлов для мониторинга

Из «коробки» Bro сконфигурирован для работы в автономном режиме. В этой статье мы делаем автономную установку, поэтому нет необходимости менять файл конфигурации. Однако рассмотрим node.cfg:

# $ EDITOR /usr/local/bro/etc/node.cfg

В разделе [bro] вы должны увидеть что-то вроде этого:

[bro]
type=standalone
host=localhost
interface=eth0

Убедитесь, что интерфейс соответствует общедоступному интерфейсу сервера Ubuntu 16.04.

После просмотра / конфигурации сохраните и выйдите.

Настройка сетевых узлов

Последним редактируемым файлом является network.cfg. Откройте его с помощью текстового редактора:

# $ EDITOR /usr/local/bro/etc/networks.cfg

По умолчанию вы должны увидеть следующий контент:

# List of local networks in CIDR notation, optionally followed by a
# descriptive tag.
# For example, "10.0.0.0/8" or "fe80::/64" are valid prefixes.

10.0.0.0/8 Private IP space
172.16.0.0/12 Private IP space
192.168.0.0/16 Private IP space

Удалите три записи (которые являются примером использования этого файла) и введите публичное и частное IP-пространство вашего сервера в формате:

X.X.X.X/X Public IP space
X.X.X.X/X Private IP space

Сохраните и выйдите из network.cfg.

Управление установкой Bro с помощью BroControl

Для управления Bro требуется использование BroControl, который поставляется в виде интерактивной оболочки и инструмента командной строки. Запустите оболочку с помощью:

# /usr/local/bro/bin/broctl

Чтобы использовать BroControl в качестве инструмента командной строки, просто передайте аргумент предыдущей команде, например:

# /usr/local/bro/bin/broctl status

Это проверяет статус Bro, показывая вывод, например:

Name Type Host Status Pid Started
bro standalone localhost running 6807 20 Jul 12:30:50

Итоги

На этом все с базовой настройкой Bro. Мы использовали установку из исходных кодов, потому что это самый эффективный способ получить самую последнюю версию, однако эта структура анализа сети также может быть загружена в предварительно построенном двоичном формате.

Спасибо за уделенное время на прочтение статьи!

Если возникли вопросы, задавайте их в комментариях.

Подписывайтесь на обновления нашего блога и оставайтесь в курсе новостей мира инфокоммуникаций!

Чтобы знать больше и выделяться знаниями среди толпы IT-шников, записывайтесь на курсы Cisco от Академии Cisco, курсы Linux от Linux Professional Institute на платформе SEDICOMM University.