###導入###
| Bro は、ネットワーク セキュリティの監視に焦点を当てたオープンソースのネットワーク分析フレームワークです。これは 15 年間の研究の成果であり、大学、研究室、スーパーコンピューター センター、およびオープン サイエンス コミュニティの多くで広く使用されています。これは、バークレー国際コンピューター サイエンス研究所とイリノイ大学アーバナ シャンペーン校の国立スーパーコンピューター アプリケーション センターによって主に開発されました。
|
Bro の機能は次のとおりです:
- Bro のスクリプト言語は、サイトのカスタマイズされた監視戦略をサポートします
- 高性能ネットワーク向け
- アナライザーは多くのプロトコルをサポートし、アプリケーション レベルで高度なセマンティック分析を実装できます。
監視するネットワークの豊富なアプリケーション層統計を保持します-
Bro は他のアプリケーション インターフェイスとリアルタイムで情報を交換できます-
そのログはすべての情報を包括的に記録し、ネットワーク アクティビティの高度なアーカイブを提供します。
-
このチュートリアルでは、ソースからビルドして、Bro を Ubuntu 16.04 サーバーにインストールする方法を説明します。
###準備###
Bro には多くの依存ファイルがあります:
Libpcap (http://www.tcpdump.org)
OpenSSL ライブラリ (http://www.openssl.org)
- BIND8 ライブラリ
- リブズ
- Bash (BroControl に必要)
- Python 2.6 (BroControl に必要)
-
ソースからビルドするには以下も必要です: -
CMake 2.8
###作る###
GCC 4.8 または Clang 3.3
- スイッチ
- GNU バイソン
###フレックス###
- Libpcap ヘッダー
- OpenSSL ヘッダー
- zlib ヘッダー
-
###始める###
まず、次のコマンドを実行して、必要な依存関係をすべてインストールします。 -
リーリー
- IP の地理的位置を特定する GeoIP データベースをインストールします
-
Bro は地理位置情報に GeoIP を使用します。 IPv4 および IPv6 バージョンをインストールします:
リーリー
これら 2 つの圧縮パッケージを解凍します:
リーリー
解凍したファイルを
に移動します。
リーリー
コンテンツの下:
リーリー
これで、Bro はソースからビルドできるようになりました。
ビルド仲間
最新の Bro 開発バージョンは、「git」リポジトリから入手できます。次のコマンドを実行します:
リーリー
クローンしたディレクトリに移動し、次のコマンドを使用して Bro をビルドします:
リーリー
このコマンドはすべてをビルドするのに時間がかかります。正確な時間はサーバーのパフォーマンスによって異なります。
「configure」スクリプトは、構築する依存関係を指定するいくつかのパラメーター、特に「--with-*」オプションを指定して実行できます。
Brother をインストールする
クローン作成した「bro」ディレクトリで実行します:
リーリー
デフォルトのインストール パスは「/usr/local/bro」です。
設定ブローカー
Bro の設定ファイルは「/usr/local/bro/etcV ディレクトリ」にあります。ここには 3 つのファイルがあります:
node.cfg。監視対象の単一ノード (または複数のノード) を構成するために使用されます。
broctl.cfg、BroControl 構成ファイル。
networks.cgf には、CIDR 表記で表されたネットワークのリストが含まれています。
メール設定を構成する
-
「broctl.cfg」構成ファイルを開きます:-
リーリー
「メール オプション」オプションを表示し、「MailTo」行を次のように編集します。
リーリー
###保存して閉じます。他にも多くのオプションがありますが、ほとんどの場合、デフォルトで十分です。 -
監視するノードの選択
Bro は初期状態ではスタンドアロン モードで実行するように構成されています。このチュートリアルではスタンドアロン インストールを実行しているため、変更は必要ありません。ただし、「node.cfg」構成ファイルも確認してください:
リーリー
「[bro]」セクションには、次のような内容が表示されるはずです:
リーリー
「inferface」が Ubuntu 16.04 サーバーのパブリック ネットワーク インターフェイスと一致していることを確認してください。
保存して終了。
監視ノードのネットワークを構成する
最後に編集するファイルは「network.cfg」です。テキストエディタで開きます:
リーリー
デフォルトでは、次のように表示されます:
リーリー
これら 3 つのエントリを削除し (これはこのファイルの使用方法の一例にすぎません)、サーバーのパブリック IP スペースとプライベート IP スペースを次の形式で入力します。
リーリー
###保存して終了。
BroControl を使用して Bro インストールを管理する
Bro を管理するには、対話型シェルとコマンド ライン ツールの両方をサポートする BroControl を使用する必要があります。シェルを開始します:
リーリー
コマンド ライン ツールを使用するには、パラメータを前のコマンドに渡すだけです。例:
リーリー
これにより、次の出力が表示されて Bro のステータスがチェックされます:
リーリー
###結論は###
これは Bro のインストール チュートリアルです。利用可能な最新バージョンを入手する最も効率的な方法であるソースベースのインストールを使用しますが、ネットワーク分析フレームワークは、事前に構築されたバイナリ形式でダウンロードすることもできます。
次回お会いしましょう!