La suite de sécurité Bro représente un système de détection d’intrusion réseau hautement adaptable et puissant, spécialement conçu pour les environnements Linux. Ce logiciel fonctionne en arrière-plan, analysant et enregistrant le trafic réseau de manière discrète et passive.
Dotée d’une pléthore de fonctionnalités, cette application open source est largement reconnue par les professionnels de la sécurité pour son approche collaborative et son efficacité éprouvée.
Prérequis
Pour tirer pleinement parti de l’outil de sécurité réseau Bro, vous aurez besoin d’un serveur fonctionnant sous un système d’exploitation Linux et disposant d’au moins 2 Go de mémoire vive (RAM).
Note : Vous n’avez pas de serveur dédié ? Pas de problème ! Un ordinateur de bureau standard exécutant Ubuntu, avec au minimum 2 Go de RAM et un matériel convenable, fera parfaitement l’affaire ! Assurez-vous simplement de pouvoir le laisser fonctionner en continu.
Dans la section d’installation de ce tutoriel, nous allons examiner comment configurer la suite de sécurité Bro sur Ubuntu Server, car c’est la plateforme privilégiée par la majorité des utilisateurs pour leurs besoins de serveur. Cependant, il est important de noter que les instructions d’installation ne sont pas spécifiques à Ubuntu ; Bro peut fonctionner sur la plupart des systèmes d’exploitation de serveurs Linux. Le développeur fournit des instructions détaillées pour toutes les distributions majeures.
Configuration de la base de données GeoIP
L’outil de sécurité réseau Bro nécessite une base de données d’adresses IP pour effectuer ses analyses de sécurité. Ainsi, avant de procéder à l’installation du logiciel Bro, vous devez télécharger les dernières versions des fichiers de base de données IPv4 et IPv6 GeoIP. Utilisez la commande wget pour télécharger ces deux fichiers sur votre serveur Ubuntu.
wget https://geolite.maxmind.com/download/geoip/database/GeoLiteCity.dat.gz wget https://geolite.maxmind.com/download/geoip/database/GeoLiteCityv6-beta/GeoLiteCityv6.dat.gz
Décompressez les archives GeoIP au format GZ avec la commande gzip :
gzip -d GeoLiteCity.dat.gz gzip -d GeoLiteCityv6.dat.gz
Déplacez ensuite les fichiers de base de données GeoIP vers le dossier /usr/share/GeoIP/ sur Ubuntu en utilisant la commande mv.
sudo mv GeoLiteCity.dat /usr/share/GeoIP/GeoIPCity.dat sudo mv GeoLiteCityv6.dat /usr/share/GeoIP/GeoIPCityv6.dat
Installation de Bro
La configuration de l’outil de sécurité réseau Bro commence par la création du répertoire où il sera installé sur Ubuntu. Selon la documentation officielle, ce répertoire est /opt/.
L’installation débute par l’activation du dépôt de logiciels Ubuntu Universe.
sudo add-apt-repository universe
Ensuite, mettez à jour l’index des packages d’Ubuntu avec la commande suivante :
sudo apt update
À l’aide du gestionnaire de packages Apt, installez Bro et tous ses packages associés à partir du dépôt Ubuntu Universe.
sudo apt install bro bro-aux bro-common bro-pkg broctl
Configuration réseau
Pour que Bro fonctionne correctement, vous devez spécifier quelle carte réseau il doit utiliser. Par défaut, l’application est configurée pour utiliser « Eth0 ». Cependant, cette interface n’est généralement pas la bonne pour la plupart des utilisateurs. Il est donc nécessaire de modifier le fichier node.cfg pour refléter votre configuration réseau.
Note : Si vous ne savez pas quelle est votre interface réseau, il est facile de la trouver en exécutant la commande ip link.
sudo nano /etc/bro/node.cfg
Appuyez ensuite sur Ctrl + W pour activer la fonction de recherche dans l’éditeur Nano. Une fois la zone de recherche ouverte, saisissez « interface = eth0 » et appuyez sur Entrée pour accéder directement à la section d’interface réseau du fichier de configuration.
Remplacez « eth0 » par le nom de votre interface réseau, puis enregistrez le fichier en appuyant sur Ctrl + O.
Définir la plage d’adresses IP
Maintenant que l’interface réseau de Bro est configurée, vous devez spécifier la plage d’adresses IP qu’il doit surveiller. Ouvrez le fichier /etc/bro/networks.cfg dans l’éditeur de texte Nano.
sudo nano /etc/bro/networks.cfg
Lorsque vous ouvrez le fichier networks.cfg, vous y trouverez quelques exemples de configuration par défaut. Supprimez ces valeurs et remplacez-les par l’adresse IP de la carte réseau que vous avez définie précédemment.
Par exemple :
10.196.1.131/24 2600:1702:3980:a258:6978:ebae:d8:20a1/64
Une fois les informations IP configurées, enregistrez les modifications dans Nano en appuyant sur Ctrl + O.
Configuration de l’adresse e-mail par défaut pour Bro
L’application Bro intègre un système de notification par e-mail. Cependant, il doit être configuré correctement pour fonctionner. Pour cela, ouvrez le fichier /etc/bro/broctl.cfg dans Nano.
sudo nano /etc/bro/broctl.cfg
Une fois dans Nano, appuyez sur Ctrl + W et saisissez « MailTo » pour accéder à la section e-mail du fichier. Ensuite, entrez une adresse e-mail valide que Bro utilisera pour ses notifications.
Démarrage de Bro
Bro doit être initialisé avant de pouvoir être utilisé. Ouvrez une fenêtre de terminal et exécutez la commande suivante pour accéder à l’interface shell du programme :
sudo broctl
Une fois dans le shell, utilisez la commande install pour configurer le fichier de configuration par défaut de votre machine Ubuntu.
install
Après avoir exécuté la commande d’installation, démarrez le service avec :
deploy
Quittez ensuite le shell en utilisant la commande exit.
exit
Arrêt de Bro
Si vous devez arrêter Bro, connectez-vous au shell broctl et exécutez la commande :
stop
Utilisation de Bro
Après un long processus de configuration, le système de sécurité Bro est opérationnel sur votre serveur Ubuntu. Laissez-le fonctionner en arrière-plan et il enregistrera automatiquement toutes les intrusions réseau dans le dossier /var/log/bro.
Si vous souhaitez surveiller son analyse en temps réel, entrez la commande suivante :
tail -f /var/log/bro/current/conn.log
Pour consulter les notifications de sécurité, utilisez la commande suivante :
tail -f /var/log/bro/current/notice.log