Bro – Network IDS (Intrusion Detection System) เป็นตัวที่ใช้ช่วยในการวิเคราะห์การโจมตีต่างๆ โดย Bro นั้นมี feature มากมาย

  • Detect brute-force attacks against network services like SSH and FTP
  • Perform HTTP traffic monitoring and analysis
  • Detect changes in installed software
  • Perform SSL/TLS certificate validation
  • Detect SQL injection attacks
  • Perform file integrity monitoring of all files
  • Send activity, summary and crash reports and alerts via email
  • Perform geolocation of IP addresses to city-level
  • Operate in standalone or distributed mode

ทีนี้เรามาดูกันว่า Bro นั้นติดตั้งและทดสอบยังไงกันครับ

1. ติดตั้ง Dependency Package

2. Download GeoIP Database

3. Download Bro source and compile, install

ตัว bro จะถูกเก็บไว้ที่ /usr/local/bro

bro นั้นมี configure สำคัญอยู่ 3 ตัวคือ

  • node.cfg ตัวนี้จะเป็น set การ monitor ของ bro
  • networks.cfg ตัวนี้จะเป็นการ set ว่า network ไหนเป็น local
  • broctl.cfg ตัวนี้จะเป็นการ set global configuration ของ bro สำหรับ mail, logging และอื่นๆ

4. เพื่อทำการ add bro เข้าไปใน $PATH เพื่อให้สามารถใช้งาน bro ได้จากทุกที่ ให้ทำการเข้าไปแก้ไข /etc/profile.d/3rd-party.sh แล้วเพิ่ม bro path เข้าไปใน list

จากนั้นใช้คำสั่ง

5. แก้ไข /usr/local/bro/etc/node.cfg เพื่อ configure ว่าจะ monitor ที่ interface ไหน

6. เข้าไปกำหนดว่า IP ไหนเป็นวง Private หรือ Public IP

7. เข้าไปกำหนดการ alert และการส่ง log ที่ /usr/local/bro/etc/broctl.cfg

หรือจริงๆแล้วเราก็สามารถควบคุม configuration ของ bro ผ่าน sudo /usr/local/bro/bin/broctl ซึ่งเป็นคำสั่งสำหรับ manage โดยเฉพาะได้เช่นกัน

8. ส่ง log จาก bro ไปยัง syslog โดยเข้าไปแก้ไข /usr/local/bro/share/bro/site/local.bro

สร้าง syslog configuration ใน /etc/rsyslog.d/60-bro.conf

Restart rsyslog

9. ใช้คำสั่ง เพื่อทำการ start bro และการตรวจสอบไฟล์ที่จำเป็นของ bro ว่าโอเคแล้วหรือไม่

ตรวจสอบ status ของ bro ได้โดยใช้คำสั่ง

10. เนื่องด้วย bro ไม่มี systemd , daemon file ในการสั่งงานให้มัน start ตอน boot เครื่อง ดังนั้นสิ่งที่เราทำคือการใช้ cron เข้ามาช่วย โดยแก้ไข cronjob โดยใช้คำสั่ง

จากนั้นกำหนดเป็น

Pytbull [ Testing IDS]

pytbull เป็นตัวที่ถูกสร้างขึ้นมาเพื่อตรวจสอบการทำงานของ IDS โดยเฉพาะ โดยจำเป็นที่ Bro Server ต้องลง serviceต่างๆเพิ่มเติม

Nessus [ Testing IDS]

เครื่องมือ Vulnerability Assessment ก็ถือว่าเป็นเครื่องที่ใช้ในการทดสอบการโจมตีที่ IDS อย่าง bro คอยเฝ้าระวังอยู่ได้เช่นกัน

Nmap [ Testing IDS]

ทดสอบ IDS เบาๆด้วย Network scanning port ก็สามารถทำได้เช่นกัน

Source:: Digital Ocean, OSSECTools