Ubuntu Server에 Bro 보안 제품군을 설치하는 방법

Bro 보안 제품군은 적응력이 뛰어나고 강력한 Linux용 네트워크 침입 탐지 시스템입니다. 백그라운드에서 실행하고 트래픽을 수동적으로 분석 및 로깅하여 작동합니다.

이 앱은 많은 기능을 가지고 있고 오픈 소스이며 오픈 소스 특성과 효율성으로 보안 커뮤니티에서 많은 찬사를 받고 있습니다.

전제 조건

Bro 네트워크 보안 도구를 사용하려면 최소 2GB의 물리적 RAM이 있는 Linux OS를 실행하는 서버가 필요합니다.

참고: 전용 서버가 없으신가요? 걱정하지 마세요! Ubuntu를 실행하는 기존 데스크탑 컴퓨터는 최소 2GB의 RAM으로 작동하며 적절한 하드웨어가 작동합니다! 항상 유지할 수 있는지 확인하십시오!

튜토리얼의 설치 부분에서 우리는 Ubuntu Server에서 Bro 보안 제품군을 설정하는 방법을 살펴볼 것입니다. Ubuntu Server는 대부분의 사람들이 서버 요구 사항에 사용하기 때문입니다. 즉, 설치 지침은 Ubuntu에만 국한되지 않으며 Bro 도구는 거의 모든 Linux 서버 OS에서 실행할 수 있습니다. 개발자는 모든 주요 배포판에 대한 지침을 가지고 있습니다..

GeoIP 데이터베이스 설정

Bro 네트워크 보안 도구는 보안을 위해 스캔할 IP 주소 데이터베이스가 필요하므로 Bro 소프트웨어 자체를 설치하기 전에 최신 IPv4 및 IPv6 GeoIP 데이터베이스 파일을 다운로드해야 합니다. wget 도구를 사용하여 두 데이터베이스 파일을 모두 Ubuntu에 다운로드합니다.

wget https://geolite.maxmind.com/download/geoip/database/GeoLiteCity.dat.gz
wget https://geolite.maxmind.com/download/geoip/database/GeoLiteCityv6-beta/GeoLiteCityv6.dat.gz

gzip 명령으로 GeoIP GZ 아카이브를 추출합니다.

gzip -d GeoLiteCity.dat.gz

gzip -d GeoLiteCityv6.dat.gz

mv 명령을 사용하여 Ubuntu의 /usr/share/GeoIP/ 폴더에 GeoIP 데이터베이스 파일을 넣습니다.

sudo mv GeoLiteCity.dat /usr/share/GeoIP/GeoIPCity.dat

sudo mv GeoLiteCityv6.dat /usr/share/GeoIP/GeoIPCityv6.dat

브로 설치

Bro 네트워크 보안 도구 설정은 Ubuntu에서 사용할 디렉터리를 만드는 것으로 시작됩니다. 공식 문서에 따르면 이 폴더는 /opt/입니다.

Ubuntu Universe 소프트웨어 리포지토리를 활성화하여 설치가 시작됩니다.

sudo add-apt-repository universe

그런 다음 업데이트로 Ubuntu의 패키지 색인을 업데이트하십시오.

sudo apt update

Apt 패키지 관리자를 사용하여 Ubuntu Universe 저장소에서 Bro 및 모든 관련 패키지를 설치합니다.

sudo apt install bro bro-aux bro-common bro-pkg broctl

네트워크 구성

Bro 네트워크 보안 도구를 사용하려면 응용 프로그램에서 사용할 네트워크 카드를 설정해야 합니다. 기본적으로 앱은 “Eth0″을 사용하도록 설정되어 있습니다. 이 장치는 대부분의 사람들에게 올바른 네트워크 장치가 아닐 수 있으므로 node.cfg 파일을 편집하여 변경해야 합니다.

참고: 네트워크 인터페이스가 무엇인지 확실하지 않은 경우 ip link 명령을 실행하여 쉽게 찾을 수 있습니다.

sudo nano /etc/bro/node.cfg

그런 다음 Ctrl + W를 눌러 나노에서 검색 기능을 시작합니다. 검색 상자가 열리면 “interface=eth0″을 입력하고 키보드에서 Enter 키를 눌러 구성 파일의 네트워크 인터페이스 섹션으로 즉시 이동합니다.

“eth0″을 네트워크 인터페이스로 바꾸고 Ctrl + O를 눌러 구성 파일을 저장합니다.

IP 범위 설정

네트워크 인터페이스가 Bro에 대해 설정되었으므로 프로그램이 모니터링할 IP 범위를 설정해야 합니다. Nano 텍스트 편집기에서 /etc/bro/networks.cfg 파일을 엽니다.

sudo nano /etc/bro/networks.cfg

network.cfg 파일을 로드하면 몇 가지 기본 예제가 표시됩니다. 이 기본값을 지우고 이전에 설정한 네트워크 카드의 IP 주소로 바꾸십시오.

예를 들어:

10.196.1.131/24

2600:1702:3980:a258:6978:ebae:d8:20a1/64

IP 정보가 설정되면 키보드에서 Ctrl + O를 눌러 Nano에 구성을 저장합니다.

Bro의 기본 이메일 주소 설정

Bro 응용 프로그램에는 이메일 시스템이 있습니다. 그러나 제대로 작동하려면 설정해야 합니다. 설정하려면 Nano에서 /etc/bro/broctl.cfg를 엽니다.

sudo nano /etc/bro/broctl.cfg

Nano에서 Ctrl + W를 누르고 “MailTo”를 입력하여 파일의 이메일 섹션으로 이동합니다. 그런 다음 Bro가 사용할 유효한 이메일 주소를 추가하십시오.

형제를 시작하십시오

Bro를 사용하려면 먼저 조정해야 합니다. 터미널 창을 실행하고 아래 명령을 실행하여 프로그램의 셸 인터페이스에 액세스합니다.

sudo broctl

셸에서 설치 명령을 실행하여 Ubuntu 시스템의 기본 구성 파일을 설정하는 데 사용합니다.

install

설치 명령을 실행한 후 다음을 사용하여 서비스를 시작합니다.

deploy

그런 다음 exit를 실행하여 셸을 종료합니다.

exit

그만 브로

Bro를 꺼야 합니까? broctl 셸에 로그인하고 다음을 실행합니다.

stop

브로 사용

길고 지루한 설정 프로세스 후에 Bro 보안 시스템이 Ubuntu 서버에서 실행됩니다. 백그라운드에서 실행하면 모든 네트워크 침입이 /var/log/bro에 자동으로 기록됩니다.

스캐닝을 실시간으로 모니터링하려면 다음 tail 명령을 입력하십시오.

tail -f /var/log/bro/current/conn.log

또는 보안 공지를 보려면 다음을 수행하십시오.

tail -f /var/log/bro/current/notice.log