Установка системы обнаружения попыток вторжения Bro на Ubuntu

Для начала рекомендую обновить систему:

sudo apt-get update && sudo apt-get upgrade

Установим необходимые компоненты:

sudo apt-get install cmake make gcc g++ flex bison libpcap-dev libssl-dev python-dev swig zlib1g-dev

Установим базу данных GeoIPLite:

sudo apt-get install libgeoip-dev
cd ~
wget http://geolite.maxmind.com/download/geoip/database/GeoLiteCity.dat.gz
wget http://geolite.maxmind.com/download/geoip/database/GeoLiteCityv6-beta/GeoLiteCityv6.dat.gz
gunzip GeoLiteCity.dat.gz
gunzip GeoLiteCityv6.dat.gz
sudo mv GeoLiteCity.dat  /usr/share/GeoIP/GeoLiteCity.dat
sudo mv GeoLiteCityv6.dat /usr/share/GeoIP/GeoLiteCityv6.dat
sudo ln -s /usr/share/GeoIP/GeoLiteCity.dat /usr/share/GeoIP/GeoIPCity.dat
sudo ln -s /usr/share/GeoIP/GeoLiteCityv6.dat /usr/share/GeoIP/GeoIPCityv6.dat

И так, установим Bro:

sudo mkdir /nsm
sudo mkdir /nsm/bro
cd ~
wget https://www.bro.org/downloads/release/bro-2.4.tar.gz
tar -xvzf bro-2.4.tar.gz
cd bro-2.4
./configure --prefix=/nsm/bro
make
sudo make install
export PATH=/nsm/bro/bin:$PATH

Посмотрим список сетевых интерфейсов и пропишем их в конфиге (на каких будет работать монитор):

ifconfig
sudo nano /nsm/bro/etc/node.cfg

Укажем диапазон локальной сети:

sudo nano /nsm/bro/etc/networks.cfg

Укажем email куда слать сообщения и место размещения файла логов:

sudo nano /nsm/bro/etc/broctl.cfg

Запустим Bro:

sudo /nsm/bro/bin/broctl
install
start
status
help

Bro также можно запустить без установки:

./configure
make
source build/bro-path-dev.sh
bro ОПЦИИ

В директории /nsm/bro/logs/ можно наблюдать логи. Чтобы смотреть любой из файлов в реальном времени можно выполнить команду:

tail -f /nsm/bro/logs/current/conn.log

Все.

Добавить комментарий