La suite de sécurité Bro est un système de détection d’intrusion réseau adaptable et puissant pour Linux. Il fonctionne en s’exécutant en arrière-plan, en analysant et en enregistrant le trafic de manière passive.
L’application possède de nombreuses fonctionnalités, est open source et est louée par de nombreux membres de la communauté de la sécurité pour sa nature open source et son efficacité.
Table des matières
Conditions préalables
Pour utiliser l’outil de sécurité réseau Bro, vous aurez besoin d’un serveur exécutant un système d’exploitation Linux doté d’au moins 2 Go de RAM physique.
Remarque: vous n’avez pas de serveur dédié? Ne t’inquiète pas! Un ordinateur de bureau traditionnel exécutant Ubuntu fonctionnera avec au moins 2 Go de RAM, et un matériel décent fera l’affaire! Assurez-vous simplement que vous pouvez toujours le garder!
Au cours de la partie installation du didacticiel, nous verrons comment configurer la suite de sécurité Bro sur Ubuntu Server, car c’est ce que la plupart des gens utilisent pour leurs besoins de serveur. Cela dit, les instructions d’installation ne sont pas spécifiques à Ubuntu et l’outil Bro peut fonctionner sur presque tous les systèmes d’exploitation de serveur Linux, et le développeur a des instructions pour toutes les distributions majeures.
Configurer la base de données GeoIP
L’outil de sécurité réseau Bro a besoin d’une base de données d’adresses IP à analyser à des fins de sécurité.Par conséquent, avant de tenter d’installer le logiciel Bro lui-même, vous devrez télécharger les derniers fichiers de base de données IPv4 et IPv6 GeoIP. À l’aide de l’outil wget, téléchargez les deux fichiers de base de données sur Ubuntu.
wget https://geolite.maxmind.com/download/geoip/database/GeoLiteCity.dat.gz wget https://geolite.maxmind.com/download/geoip/database/GeoLiteCityv6-beta/GeoLiteCityv6.dat.gz
Extrayez les archives GeoIP GZ avec la commande gzip.
gzip -d GeoLiteCity.dat.gz gzip -d GeoLiteCityv6.dat.gz
Placez les fichiers de base de données GeoIP dans le dossier / usr / share / GeoIP / sur Ubuntu à l’aide de la commande mv.
sudo mv GeoLiteCity.dat /usr/share/GeoIP/GeoIPCity.dat sudo mv GeoLiteCityv6.dat /usr/share/GeoIP/GeoIPCityv6.dat
Installer Bro
La configuration de l’outil de sécurité réseau Bro commence par créer le répertoire dans lequel il vivra sur Ubuntu. Selon la documentation officielle, ce dossier est / opt /.
L’installation commence par l’activation du référentiel de logiciels Ubuntu Universe.
sudo add-apt-repository universe
Ensuite, mettez à jour l’index des packages d’Ubuntu avec la mise à jour.
sudo apt update
À l’aide du gestionnaire de packages Apt, installez Bro et tous ses packages associés à partir du référentiel Ubuntu Universe.
sudo apt install bro bro-aux bro-common bro-pkg broctl
Configuration du réseau
Pour utiliser l’outil de sécurité réseau Bro, vous devez configurer une carte réseau pour l’application à utiliser. Par défaut, l’application est configurée pour utiliser «Eth0». Ce périphérique ne sera probablement pas le périphérique réseau approprié pour la plupart des gens, vous devez donc le modifier en modifiant le fichier node.cfg.
Remarque: si vous ne savez pas quelle est votre interface réseau, il est facile de la trouver en exécutant la commande ip link.
sudo nano /etc/bro/node.cfg
Ensuite, appuyez sur Ctrl + W pour démarrer la fonction de recherche dans Nano. Une fois la zone de recherche ouverte, écrivez «interface = eth0» et appuyez sur Entrée sur le clavier pour accéder immédiatement à la section d’interface réseau du fichier de configuration.
Remplacez «eth0» par votre interface réseau et enregistrez le fichier de configuration en appuyant sur Ctrl + O.
Définir la plage IP
Maintenant que l’interface réseau est définie pour Bro, vous devez définir la plage IP que le programme doit surveiller. Ouvrez le fichier /etc/bro/networks.cfg dans l’éditeur de texte Nano.
sudo nano /etc/bro/networks.cfg
Lorsque vous chargez le fichier networks.cfg, vous verrez quelques exemples par défaut. Effacez ces valeurs par défaut et remplacez-les par l’adresse IP de la carte réseau définie précédemment.
Par exemple:
10.196.1.131/24 2600:1702:3980:a258:6978:ebae:d8:20a1/64
Lorsque les informations IP sont définies, enregistrez la configuration dans Nano en appuyant sur Ctrl + O sur le clavier.
Définir l’adresse e-mail par défaut pour Bro
L’application Bro dispose d’un système de messagerie. Cependant, il doit être configuré correctement pour fonctionner. Pour le définir, ouvrez /etc/bro/broctl.cfg dans Nano.
sudo nano /etc/bro/broctl.cfg
Une fois dans Nano, appuyez sur Ctrl + W et entrez «MailTo» pour accéder à la section e-mail du fichier. Ensuite, ajoutez une adresse e-mail valide à utiliser par Bro.
Démarrer Bro
Bro doit être peaufiné avant de pouvoir l’utiliser. Lancez une fenêtre de terminal et exécutez la commande ci-dessous pour accéder à l’interface shell du programme.
sudo broctl
Une fois dans le shell, utilisez-le pour configurer le fichier de configuration par défaut de votre machine Ubuntu en exécutant la commande install.
install
Après avoir exécuté la commande d’installation, démarrez le service avec:
deploy
Ensuite, quittez le shell en exécutant exit.
exit
Arrête Bro
Besoin d’éteindre Bro? Connectez-vous au shell broctl et exécutez:
stop
Utiliser Bro
Après un long et fastidieux processus de configuration, le système de sécurité Bro est opérationnel sur votre serveur Ubuntu. Laissez-le fonctionner en arrière-plan et il enregistrera automatiquement toutes les intrusions sur le réseau dans / var / log / bro.
Si vous souhaitez surveiller son analyse en temps réel, entrez la commande suivante.
tail -f /var/log/bro/current/conn.log
Sinon, pour afficher les avis de sécurité, procédez comme suit:
tail -f /var/log/bro/current/notice.log