Toutes les informations données ici sont extraites du site de Bro.
Il faut tout d’abord résoudre les problèmes de dépendance
On utilise apt-get
pour installer les paquets manquants :
# apt-get install cmake make gcc g++ flex bison libpcap-dev libssl-dev python-dev swig zlib1g-dev libmagic-dev
Dans notre cas, nous avons aussi intégré LibGeoIP, qui permet de savoir directement d’ou viennent les IP référencées, curl et gawk qui permettent d'envoyer les résultats à un noeud Elasticsearch permettant d’indexer les résultats et de les manipuler bien plus facilement et rapidement.
Ensuite, il suffit de récupérer la dernière version de Bro, comme vous le souhaitez (version stable ou version gitée.
Pour installer Bro, il nous faut une dernière chose : PF_RING. En effet, les IDS utilisent beaucoup de CPU, et lorsque le cœur monte à 100%, il perd tous les paquets qui arrivent en plus. D'où l'utilité de PF_RING qui permet de diviser le trafic afin de le faire analyser par plusieurs instances de bro, ce qui permet d’utiliser tous les cœurs de la machine et donc d'éviter les pertes.
Il faut donc l’installer et dans l’installation de Bro, rajouter à la ligne ./configure
, l’option —with-pcap=<chemin vers pfring>
(par défaut c’est /usr/local/pfring).
Une fois l’installation de Bro terminée, il faut modifier le fichier /usr/local/bro/etc/node.cfg
afin d’obtenir quelque chose dans ce style :
# Example BroControl node configuration. # # This example has a standalone node ready to go except for possibly changing # the sniffing interface. # This is a complete standalone configuration. Most likely you will # only need to change the interface. #[bro] #type=standalone #host=localhost #interface=eth1 ## Below is an example clustered configuration. If you use this, ## remove the [bro] node above. [manager] type=manager host=localhost [proxy-0] type=proxy host=localhost [worker-0] type=worker host=localhost interface=eth1 lb_method=pf_ring lb_procs=4
Cela permet ici par exemple d’utiliser 6 cœurs (4 process de traitement, 1 de management et 1 de proxy).
Ensuite pour connaître le taux de perte de paquets par Bro, on modifie le fichier /usr/local/bro/share/bro/sites
.
On ajoute à la fin de ce fichier la ligne @load misc/capture-loss
. Les valeurs de pertes sont alors stockées dans /usr/local/bro/logs/*/capture_loss.log
.
Si on ne fait rien, on se rend vite compte que les pertes sont assez importantes (environ 60%), ce qui n’est bien sûr pas acceptable. En fait, cela vient du fait que c’est la carte réseau qui, par défaut, compte le nombre de trames et vérifie qu’elles sont complètes. C’est ce qu’on appelle le offloading, dont la description se trouve ici. Il faut donc faire repasser cette fonction sur le processeur pour avoir des taux de pertes corrects.
La commande à rentrer est la suivante : ethtool –offload eth1 rx off tx off
.
Pour finir, afin de contrôler Bro, nous utilisons Broctl. Avant d'utiliser un nouveau script, il faut toujours penser à faire un broctl check
, vérifier que tout va bien puis faire un broctl install
et un broctl restart
.