Phân tích lưu lượng mạng - BRO NSM - P2visudo.info/phan-tich-luu-luong-mang-bro-nsm-p2/

Bro NSM hỗ trợ triển khai trên nhiều nền tảng hệ điều hành, kiến trúc CPU khác nhau; với phiên bản miễn phí, Brocho phép người dùng nhiều tính năng mạnh mẽ như: thu thập, phân tích, cảnh báo, điều khiển luồng dữ liệu,...Phiên bản thương mại được hỗ trợ với tên Broala (https://www.broala.com/)

Triển khai Bro NSM - CentOS 6.7

1. Cài đặt thư viện

Quá trình cài đặt Bro NSM yêu cầu các gói thư viện như sau:

Libpcap (http://www.tcpdump.org)

OpenSSL libraries ( http://www.openssl.org)

BIND8 library

Libz

Bash (for BroControl)

Python (for BroControl)

Đề cài đặt Bro NSM qua phương pháp biên dịch mã nguồn, bạn cần các thư viện sau:

CMake 2.8 or greater (http://www.cmake.org)

Make

C/C++ compiler

SWIG (http://www.swig.org)

Bison (GNU Parser Generator)

Flex (Fast Lexical Analyzer)

Libpcap headers (http://www.tcpdump.org)

OpenSSL headers ( http://www.openssl.org)

zlib headers

Perl

Tại thời điểm thực hiện bài viết, tôi triển khai Bro 2.4 trên nền tảng CentOS 6.7; tôi tiến hành cài đặt các gói thưviện:

RPM/RedHat-based Linux:

sudo yum install cmake make gcc gcc-c++ flex bison libpcap-devel openssl-develpython-devel swig zlib-devel

Gói cài đặt tùy chọn

Một số thư viện cài đặt tùy chọn có thể tải và cài đặt thêm cho một số tính năng trong Bro NSM:

1/4

LibGeoIP (for geolocating IP addresses)

sendmail (enables Bro and BroControl to send mail)

curl (used by a Bro script that implements active HTTP)

gperftools (tcmalloc is used to improve memory and CPU usage)

ipsumdump (for trace-summary; http://www.cs.ucla.edu/~kohler/ipsumdump)

2. Cài đặt Bro NSM

Tải mã nguồn Bro NSM tại https://www.bro.org/download/index.html; hoặc bạn có thể cài đặt bằng phương phápyum đối với CentOS hoặc apt đối với Ubuntu, bạn tiến hành tải các repo tạihttps://www.bro.org/download/packages.html

Sau khi cài đặt, Bro NSM sẽ được lưu trữ tại thư mục /opt/bro/

[root@nsm bro]# pwd/opt/bro[root@nsm bro]# ls -latotal 32drwxr-xr-x. 8 root bro 4096 Apr 6 00:01 .drwxr-xr-x. 13 root root 4096 Apr 6 00:01 ..drwxr-xr-x. 2 root bro 4096 Apr 6 00:01 bindrwxrwsr-x. 2 root bro 4096 Apr 6 00:01 etcdrwxr-xr-x. 3 root bro 4096 Apr 6 00:01 libdrwxrws---. 2 root bro 4096 Sep 9 2015 logsdrwxr-xr-x. 5 root bro 4096 Apr 6 00:01 sharedrwxrws---. 3 root bro 4096 Apr 6 00:01 spool

Thực hiện khai báo biến môi trường thông qua lệnh export PATH=/opt/bro/bin:$PATH hoặc thêm dòngPATH=/opt/bro/bin:$PATH vào tập tin ~/.profile để cập nhật mặc định khi máy chủ khởi động lại.

2/4

3. Cấu hình Bro NSM

Cấu hình cơ bản Bro NSM được thực hiện trên ba tập tin sau:

/opt/bro/etc/node.cfg tập tin cấu hình thiết bị mạng (ví dụ: interface=eth0)

/opt/bro/etc/networks.cfg tập tin cấu hình lớp mạng (ví dụ: 10.0.0.0/8)

/opt/bro/etc/broctl.cfg thay đổi địa chỉ thư điện tử và nhật ký hệ thống

Cấu hình node.cfg

[root@mail etc]# less node.cfg-----------[bro]type=standalonehost=localhostinterface=eth0-----------

Cấu hình node.cfg

[root@mail etc]# less networks.cfg-----------10.0.0.0/8 Private IP space192.168.0.0/16 Private IP space-----------

Cấu hình broctl.cfg

[root@mail etc]# less broctl.cfg# Mail Options# Recipient address for all emails sent out by Bro and BroControl.MailTo = root@localhost -----------

4. Khởi động Bro NSM

Thực hiện các lệnh khởi động Bro NSM lần lượt:

[root@nsm ~]# broctlWarning: state database needs updating (run the broctl "deploy" command)

Welcome to BroControl 1.4

Type "help" for help.

[BroControl] > installcreating policy directories ...

3/4

installing site policies ...generating standalone-layout.bro ...generating local-networks.bro ...generating broctl-config.bro ...generating broctl-config.sh ...updating nodes ...[BroControl] > startstarting bro ...[BroControl] > statusGetting process status ...Getting peer status ...Name Type Host Status Pid Peers Started bro standalone localhost running 7708 ??? 06 Apr 00:42:08

Quá trình cài đặt Bro NSM được thực hiện nhanh chóng, dễ dàng qua hệ thống repo đa nền tảng, kiến trúc. Trongtrường hợp bạn có nhu cầu triển khai thông qua phương pháp biên dịch mã nguồn để có những tính năng nângcao, cũng như dễ dàng kiểm soát tài nguyên cài đặt, bạn có thể tham khảo tài liệu tại liên kết: Tài liệu cài đặt BroNSM từ mã nguồn.

Bản quyền thuộc về www.visudo.info © 2016

4/4