Al trabajar con ambientes Linux es importante estar al tanto de las novedades que puedan presentarse a nivel de red y seguridad ya que está en juego toda la información de los usuarios, los servicios y procesos que son ejecutados a diario y múltiples roles del servidor que si llegan a presentar fallos de seguridad pondrán en riesgo toda la arquitectura IT.
Una de las mejores herramientas gratuitas que nos ayudan a supervisar la red de forma completa y a analizar las carencias de seguridad es Bro y hoy este tutorial analizará en detalle cómo usarla en Ubuntu 17.04.
Qué es BRO
Bro es una herramienta que ha sido desarrollada con el fin de realizar un monitoreo completo de la red local disponiendo de diversas funcionalidades.
Bro forma parte de Software Freedom Conservancy el cual es una asociación enfocada en los proyectos libres con lo cual nos garantiza que Bro es Open Source disponible para todos.
Características de BRO
Bro realiza la mayor parte de su análisis tomando como base el comportamiento de la red y nos ofrece las siguientes características:
- Realiza análisis constante y seguimiento del tráfico HTTP.
- Es capaz de detectar ataques de fuerza bruta contra servicios de red tales como SSH y FTP.
- Ejecuta validaciones en los certificados SSL / TLS.
- Analiza y detecta cambios en el software instalado en la máquina.
- Genera reportes usando email.
- Está en la capacidad de realizar geolocalizaciones de IP por ciudad.
- Detecta ataques de SQL.
- Diversas opciones de configuración.
- Es flexible.
1. Instalar dependencias en Ubuntu 17
Paso 1
Antes de iniciar debemos actualizar los paquetes del sistema operativo ejecutando la siguiente línea:
sudo apt-get update
Paso 2
Bro requiere el uso de diversas dependencias como Libpcap, OpenSSL y BIND8 adicional de Python 2.6 o superior, y debido a que esta instalación de Bro se está realizando desde el origen del desarrollador será necesario agregar dependencias como CMake, SWIG, Bison y un compilador de C / C ++ para la ejecución.
Estas dependencias serán instaladas ejecutando la siguiente línea. Allí aceptaremos la descarga y respectiva instalación.
sudo apt-get install bison cmake flex g++ gdb make libmagic-dev libpcap-dev libgeoip-dev libssl-dev python-dev swig2.0 zlib1g-dev
2. Descargar la base de datos GeoIP en Ubuntu 17
En este paso descargaremos la base de datos GeoIP de Bro con la cual se realizará el direccionamiento IPv4 e IPv6.
Paso 1
Con las siguientes líneas descargaremos las bases GeoIP de IPv4 e IPv6:
wget http://geolite.maxmind.com/download/geoip/database/GeoLiteCity.dat.gz wget http://geolite.maxmind.com/download/geoip/database/GeoLiteCityv6-beta/GeoLiteCityv6.dat.gz
Paso 2
Procedemos a descomprimir dichos archivos:
gzip -d GeoLiteCity.dat.gz gzip -d GeoLiteCityv6.dat.gz
Paso 3
Ahora será necesario mover estos archivos al directorio /usr/share/GeoIP usando las siguientes líneas:
sudo mv GeoLiteCity.dat /usr/share/GeoIP/GeoIPCity.dat sudo mv GeoLiteCityv6.dat /usr/share/GeoIP/GeoIPCityv6.dat
3. Instalar Bro desde el recurso en Ubuntu 17
Paso 1
Para esta instalación usaremos el parámetro Git para la descarga desde GitHub, ejecutaremos la siguiente línea:
git clone --recursive git://git.bro.org/bro
Nota
En caso de no contar con Git instalado será necesario ejecutar el comando
sudo apt install git
Paso 2
Allí veremos que inicia el proceso de clonación de los archivos de instalación de Bro. Una vez el proceso finalice accederemos al nuevo directorio de Bro usando la línea
cd broUna vez accedamos al directorio ejecutaremos la siguiente línea para iniciar el proceso de configuración de Bro:
./configure
Paso 3
Esto tomara alrededor de un minuto y posteriormente debemos ejecutar el comando make para la construcción del programa:
Paso 4
Esto tardará entre 15 a 20 minutos y una vez finalizado veremos lo siguiente:
Paso 5
Ahora instalaremos Bro ejecutando la siguiente línea:
sudo make install
Paso 6
Bro será instalado en el directorio /usr/local/bro. Ahora este directorio debe estar disponible en PATH y para ello lo añadiremos a la ruta /etc/profile.d con el fin de que esté disponible para todos. Ejecutaremos la siguiente línea con el editor deseado para crear el archivo 3rd-party.sh:
sudo nano /etc/profile.d/3rd-party.sh
Paso 7
Alli ingresaremos la siguiente línea:
exporta PATH=$PATH:/usr/local/bro/bin
Paso 8
Una vez definidos estos valores guardamos los cambios usando la combinación de teclas
Ctrl + O
y salimos del editor usando
Ctrl + X
Paso 9
Este archivo debemos activarlo usando la siguiente línea:
source /etc/profile.d/3rd-party.sh
4. Configurar Bro en Ubuntu 17
Paso 1
Todos los archivos de configuración de Bro se encuentran en el directorio /usr/local/bro/etc y son los siguientes:
node.cfg: Permite definir los nodos a analizar networks.cfg: Incluye el listado de interfaces de red en notacion CIDR locales. broctl.cfg: Alli encontramos el archivo de configuración de correo de Bro para registro y algunas configuraciones adicionales.
Paso 2
Ahora editaremos cada uno de estos de la siguiente forma:
En primer lugar accederemos a la configuración de los nodos usando la siguiente línea:
sudo nano /usr/local/bro/etc/node.cfg
Paso 3
Alli debemos especificar la interfaz de red de Ubuntu en la línea interface. Guardamos los cambios y salimos del archivo.
Ahora accederemos a la configuración de los nodos privados usando la siguiente línea:
sudo nano /usr/local/bro/etc/networks.cfg
Paso 4
Alli debemos especificar la dirección IP del servidor:
Paso 5
Para acceder a dicha IP podemos usar el comando
ip addr show
Paso 6
Finalmente configuraremos la cuenta de correo asociada a Bro con la siguiente línea. Alli añadiremos la dirección de correo en el campo MailTo. Guardamos los cambios y salimos del archivo.
sudo nano /usr/local/bro/etc/broctl.cfg
5. Administrar de Bro con BroControl en Ubuntu 17
Con BroControl podemos llevar a cabo diversas tareas de administración de Bro tales como instalar, detener los servicios, etc.
Paso 1
BroControl es una herramienta de línea de comandos y una Shell interactiva. Para invocar BroControl ejecutaremos la siguiente línea:
sudo /usr/local/bro/bin/broctl
Paso 2
Este será el resultado:
Paso 3
Alli tenemos la posibilidad de ejecutar múltiples comandos asociados a Bro. Para salir de esta consola usaremos el comando
exit.
Paso 4
Para iniciar Bro usaremos lo siguiente:
sudo /usr/local/bro/bin/broctl deploy
Paso 5
El resultado será el siguiente:
Paso 6
Si deseamos comprobar el estado de Bro ejecutaremos lo siguiente. Podemos ver que su estado es Running – Corriendo.
sudo /usr/local/bro/bin/broctl status
6. Configurar Cron para Bro en Ubuntu 17
Recordemos que con Cron es posible programar diversas tareas y debido a que Bro no cuenta con parámetros de Systemd, Cron se convierte en la mejor opción para soporte en múltiples tareas sobre Bro, por ejemplo, en caso de bloqueo de la aplicación, comprobar espacio en disco, etc.
Paso 1
Vamos a crear el archivo Cron ejecutando lo siguiente:
sudo nano /etc/cron.d/bro
Paso 2
Alli ingresaremos lo siguiente:
*/5 * * * * root /usr/local/bro/bin/broctl cron
Nota
El valor 5 puede ser editado por otro valor si así lo deseamos.
Paso 3
Guardamos los cambios usando la combinación de teclas
Ctrl + O
y salimos del editor usando
Ctrl + X
Paso 4
Al activar esta tarea recibiremos un correo indicando que se ha creado un archivo en el directorio /usr/local/bro/logs/stats.
Vamos a usar la siguiente línea para comprobar que todo funcione bien:
ps aux | grep bro
Paso 5
Ahora mataremos alguno de los procesos usando la siguiente sintaxis:
sudo kill -9 id_proceso
Paso 6
Una vez hagamos este proceso ejecutaremos la siguiente línea de nuevo para comprobar el estado de Bro y veremos que su resultado es crashed;
sudo /usr/local/bro/bin/broctl status
Podemos esperar algún tiempo, ejecutar de nuevo el comando y todo estará restablecido de nuevo. De esta forma contamos con Bro para el análisis de red y seguridad en Ubuntu.
La seguridad de nuestro sistema operativo es un tema de vital importancia. Si quieres aumentar los niveles de seguridad en entornos Linux sigue leyendo!
