El paquete de seguridad Bro es un sistema de detección de intrusos de red adaptable y potente para Linux. Funciona ejecutando en segundo plano, analizando y registrando el tráfico de forma pasiva.

Bro es un sistema poderoso que, además de la funcionalidad que proporciona de manera inmediata, también ofrece la flexibilidad para personalizar el análisis de manera bastante arbitraria.

Al centrarse en el monitoreo de la seguridad de la red, Bro también proporciona una plataforma integral para un análisis más general del tráfico de la red.

La aplicación tiene muchas características, es de código abierto, y es alabada por muchos en la comunidad de seguridad por su naturaleza y eficiencia de código abierto.

Para usar la herramienta de seguridad de red Bro, necesitaran un equipo con al menos 2GB de memoria RAM.

Durante la parte de instalación del tutorial, veremos cómo configurar la suite de seguridad Bro en Ubuntu, ya que eso es lo que la mayoría de la gente usa para sus necesidades.

Dicho esto, las instrucciones de instalación no son específicas de Ubuntu, y la herramienta Bro puede ejecutarse en casi cualquier sistema operativo de servidor Linux y el desarrollador proporciona instrucciones para todas las distribuciones principales.

Configuración de GeoIP

La herramienta de seguridad de la red de Bro necesita una base de datos de direcciones IP para la exploración con fines de seguridad, por lo que, antes de intentar instalar el software de Bro, deberán de descargar los últimos archivos de base de datos GeoIP de IPv4 y IPv6.

Por lo que para ello vamos a abrir una terminal con Ctrl + Alt + T y en ella vamos a ejecutar los siguientes comandos:

wget http://geolite.maxmind.com/download/geoip/database/GeoLiteCity.dat.gz

wget http://geolite.maxmind.com/download/geoip/database/GeoLiteCityv6-beta/GeoLiteCityv6.dat.gz

Ahora ya hecha la descarga vamos a proceder a extraer los datos de estos archivos con:

gzip -d GeoLiteCity.dat.gz

gzip -d GeoLiteCityv6.dat.gz

Posterior a esto debemos de colocar la base de datos GeoIP en la carpeta /usr/share/GeoIP/. Esto lo podemos realizar ejecutando el siguiente comando:

sudo mv GeoLiteCity.dat /usr/share/GeoIP/GeoIPCity.dat

sudo mv GeoLiteCityv6.dat /usr/share/GeoIP/GeoIPCityv6.dat

Instalación de la herramienta de seguridad Bro en Ubuntu y derivados

Para realizar la instalación de Bro en el sistema, está por defecto se realizará sobre el directorio /opt del sistema y además de ello debemos de habilitar el repositorio Universe del sistema.

Primero habilitaremos el repositorio con el siguiente comando:

sudo add-apt-repository universe

Actualizamos nuestro listado de paquetes con:

sudo apt update

Y después procederemos a instalar el paquete de Bro a nuestro sistema con el siguiente comando:

sudo apt install bro bro-aux bro-common bro-pkg broctl

Configuración de Bro

Para usar la herramienta de seguridad de red de Bro, deberán de configurar una tarjeta de red para que la use la aplicación.

De forma predeterminada, la aplicación está configurada para usar “Eth0”.

Aunque es muy probable que este dispositivo no sea el dispositivo de red correcto para la mayoría de ustedes, por lo que deben de cambiarlo editando el archivo node.cfg.

Para conocer su dispositivo de red, basta con que ejecuten el comando:

ifconfig

En mi caso y en el de muchos de ustedes, la interfaz de red que tienen es algo similar a esto:

enp2s0**

Aun que puede variar, para identificar esto, como pueden ver en la imagen a mí me aparece así:

Ya identificada su interfaz de red, ahora proceden a cambiar esta con el siguiente comando:

sudo nano /etc/bro/node.cfg

Dentro del archivo deben de encontrar la línea que dice ” interface = eth0″ y realizar el cambio correspondiente por la interfaz que ustedes tengan.

Después deben de guardar el archivo de configuración pulsando Ctrl + O.

Establecer rango de IP

Ahora que la interfaz de red está configurada para Bro, deben de configurar el rango de IP para que el programa supervise.

sudo nano /etc/bro/networks.cfg

A medida que cargue el archivo networks.cfg verá algunos ejemplos predeterminados. Borre estos valores predeterminados y reemplácelos con la dirección IP de la tarjeta de red establecida anteriormente.

En mi caso es algo así 192.168.xxx.x/24 en IPv4 y en IPv6  xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xx:xxxx/64

Un paso opcional, es configurar una dirección de correo electrónico en donde recibirán las alertas de Bro, para ello deben de editar el archivo:

sudo nano /etc/bro/broctl.cfg

Y deben de buscar la sección de “MailTo” y aquí establecerán el correo que ustedes quieran. Hecho esot debemos de abrir una Shell de bro con:

sudo broctl

Una vez en el shell, utilícenlo para configurar el archivo de configuración predeterminado:

install

Después de ejecutar el comando de instalación, inicien el servicio con:

deploy

Para salir de la shell basta con teclear:

exit

Mientras que para detener el servicio basta con teclear:

stop

El artículo Bro: una excelente suite de seguridad de código abierto ha sido originalmente publicado en Ubunlog.