Ինչպես տեղադրել Zeek ցանցի անվտանգության մոնիտորինգի գործիքը Ubuntu 22.04-ում


Այս էջում

  1. Նախադրյալներ
  2. Սկսել
  3. Ավելացնել Zeek պահեստ
  4. Տեղադրեք Zeek-ը
  5. Կարգավորել Zeek սերվերը
  6. Փորձարկել Zeek կարգավիճակը
  7. Եզրակացություն

Zeek-ը անվճար, բաց կոդով և աշխարհում առաջատար անվտանգության մոնիտորինգի գործիք է, որն օգտագործվում է որպես ցանցային ներխուժման հայտնաբերման համակարգ և ցանցային երթևեկության անալիզատոր: Անվտանգության մասնագետներն այն օգտագործում են կասկածելի ստորագրությունները հայտնաբերելու և DNS, HTTP և FTP գործունեությանը հետևելու համար: Zeek-ը աշխատում է՝ գրանցելով ցանցի գործունեությունը առանձին ֆայլում: Այս ֆայլը պարունակում է բոլոր կարևոր տեղեկությունները, ինչպիսիք են MIME տեսակները, սերվերի պատասխանները, DNS հարցումները, HTTP նիստերը, պահանջվող URI-ները, SSL վկայագրերը և այլն:

Այս ձեռնարկը ցույց կտա ձեզ, թե ինչպես տեղադրել Zeek ցանցի անվտանգության գործիքը Ubuntu 22.04-ում:

Նախադրյալներ

  • Ubuntu 22.04-ով աշխատող սերվեր՝ նվազագույնը 2 ԳԲ օպերատիվ հիշողությամբ:
  • Սերվերի վրա կազմաձևված է արմատային գաղտնաբառը:

Սկսել

Նախ, դուք պետք է թարմացնեք ձեր համակարգի բոլոր փաթեթները թարմացված տարբերակին: Դուք կարող եք թարմացնել դրանք բոլորը՝ գործարկելով հետևյալ հրամանը.

apt update -y
apt upgrade -y

Համակարգի բոլոր փաթեթները թարմացնելուց հետո տեղադրեք որոշ պահանջվող փաթեթներ՝ օգտագործելով հետևյալ հրամանը.

apt install curl gnupg2 wget -y

Ավելացնել Zeek պահեստ

Լռելյայնորեն, Zeek փաթեթը ներառված չէ Ubuntu-ի լռելյայն պահոցում: Այսպիսով, դուք պետք է ավելացնեք Zeek պահեստը APT-ին:

Նախ, ներբեռնեք և ավելացրեք Zeek GPG ստեղնը հետևյալ հրամանով.

curl -fsSL https://download.opensuse.org/repositories/security:zeek/xUbuntu_22.04/Release.key | gpg --dearmor | tee /etc/apt/trusted.gpg.d/security_zeek.gpg

Հաջորդը, ավելացրեք Zeek պահեստը հետևյալ հրամանով.

echo 'deb http://download.opensuse.org/repositories/security:/zeek/xUbuntu_22.04/ /' | tee /etc/apt/sources.list.d/security:zeek.list

Հաջորդը, թարմացրեք պահոցի քեշը, օգտագործելով հետևյալ հրամանը.

apt update -y

Տեղադրեք Zeek-ը

Այժմ կարող եք տեղադրել Zeek գործիքը՝ պարզապես գործարկելով հետևյալ հրամանը.

apt install zeek -y

Տեղադրման ընթացքում ձեզանից կպահանջվի ընտրել ձեր փոստային սերվերը, ինչպես ցույց է տրված ստորև.

Ընտրեք միայն տեղական և սեղմեք Enter ստեղնը: Ձեզանից կպահանջվի տրամադրել ձեր էլփոստի սերվերի հոսթի անունը:

Մուտքագրեք ձեր հոսթի անունը և սեղմեք Enter ստեղնը՝ տեղադրումն ավարտելու համար:

Հաջորդը, դուք պետք է ավելացնեք Zeek տեղադրման ուղին ձեր համակարգի փոփոխականին: Այն կարող եք ավելացնել հետևյալ հրամանով.

echo "export PATH=$PATH:/opt/zeek/bin" >> ~/.bashrc

Հաջորդը, ակտիվացրեք համակարգի փոփոխականը հետևյալ հրամանով.

source ~/.bashrc

Այժմ կարող եք ստուգել Zeek տարբերակը՝ օգտագործելով հետևյալ հրամանը.

zeek --version

Դուք կստանաք հետևյալ արդյունքը.

zeek version 5.1.1

Կարգավորել Zeek սերվերը

Նախ, խմբագրեք Zeek ցանցի կազմաձևման ֆայլը և սահմանեք ձեր ցանցը:

nano /opt/zeek/etc/networks.cfg

Ահա լռելյայն ցանցերը: Դուք կարող եք ավելի շատ ցանցեր ավելացնել ֆայլի վերջում:

10.0.0.0/8          Private IP space
172.16.0.0/12       Private IP space
192.168.0.0/16      Private IP space

Պահպանեք և փակեք ֆայլը, այնուհետև խմբագրեք Zeek հիմնական կազմաձևման ֆայլը:

nano /opt/zeek/etc/node.cfg

Մեկնաբանեք հետևյալ տողերը.

#[zeek]
#type=standalone
#host=localhost
#interface=eth0

Այնուհետև ֆայլի վերջում ավելացրեք հետևյալ կազմաձևերը.

[zeek-logger]
type=logger
host=your-server-ip
#
[zeek-manager]
type=manager
host=your-server-ip
#
[zeek-proxy]
type=proxy
host=your-server-ip
#
[zeek-worker]
type=worker
host=your-server-ip
interface=eth0
#
[zeek-worker-lo]
type=worker
host=localhost
interface=lo

Պահպանեք ֆայլը, այնուհետև ստուգեք Zeek-ի կոնֆիգուրացիան՝ օգտագործելով հետևյալ հրամանը.

zeekctl check

Դուք կստանաք հետևյալ արդյունքը.

Hint: Run the zeekctl "deploy" command to get started.
zeek-logger scripts are ok.
zeek-manager scripts are ok.
zeek-proxy scripts are ok.
zeek-worker scripts are ok.
zeek-worker-lo scripts are ok.

Այժմ կարող եք տեղակայել Zeek-ը՝ օգտագործելով հետևյալ հրամանը.

zeekctl deploy

Դուք կստանաք հետևյալ արդյունքը.

checking configurations ...
installing ...
creating policy directories ...
installing site policies ...
generating cluster-layout.zeek ...
generating local-networks.zeek ...
generating zeekctl-config.zeek ...
generating zeekctl-config.sh ...
stopping ...
stopping workers ...
stopping proxy ...
stopping manager ...
stopping logger ...
starting ...
starting logger ...
starting manager ...
starting proxy ...
starting workers ...

Փորձարկել Zeek կարգավիճակը

Այս պահին Zeek-ը տեղադրված և կազմաձևված է: Այժմ կարող եք ստուգել Zeek կարգավիճակը հետևյալ հրամանով.

zeekctl status

Դուք կստանաք հետևյալ արդյունքը.

Name         Type    Host             Status    Pid    Started
zeek-logger  logger  209.23.10.179    running   58935  19 Jan 05:37:02
zeek-manager manager 209.23.10.179    running   58985  19 Jan 05:37:03
zeek-proxy   proxy   209.23.10.179    running   59035  19 Jan 05:37:05
zeek-worker  worker  209.23.10.179    running   59107  19 Jan 05:37:06
zeek-worker-lo worker  localhost        running   59104  19 Jan 05:37:06

Zeek-ը պահում է իրենց տեղեկամատյանները /opt/zeek/logs/current/ գրացուցակում: Դուք կարող եք ստուգել բոլոր գրանցամատյանների ֆայլերը՝ օգտագործելով հետևյալ հրամանը.

ls -l /opt/zeek/logs/current/

Դուք կտեսնեք հետևյալ արդյունքը.

total 72
-rw-r--r-- 1 root zeek  1735 Jan 19 05:37 broker.log
-rw-r--r-- 1 root zeek  2166 Jan 19 05:37 cluster.log
-rw-r--r-- 1 root zeek   187 Jan 19 05:37 packet_filter.log
-rw-r--r-- 1 root zeek  6158 Jan 19 05:37 conn.log
-rw-r--r-- 1 root zeek 31212 Jan 19 05:37 loaded_scripts.log
-rw-r--r-- 1 root zeek   666 Jan 19 05:37 reporter.log
-rw-r--r-- 1 root zeek   601 Jan 19 05:37 stats.log
-rw-r--r-- 1 root zeek     0 Jan 19 05:37 stderr.log
-rw-r--r-- 1 root zeek   204 Jan 19 05:37 stdout.log
-rw-r--r-- 1 root zeek   266 Jan 19 05:37 telemetry.log
-rw-r--r-- 1 root zeek   960 Jan 19 05:37 weird.log

Zeek կլաստերի մատյանը ստուգելու համար գործարկեք հետևյալ հրամանը.

tail /opt/zeek/logs/current/cluster.log

Դուք կստանաք հետևյալ արդյունքը.

1674106627.672399	zeek-proxy	got hello from zeek-worker-lo (62498247-62ce-5763-b201-a0f0e52b71f9)
1674106627.744144	zeek-proxy	got hello from zeek-worker (0c8c7207-f1a1-540d-aee0-2b55cf76e69f)
1674106627.674594	zeek-manager	got hello from zeek-worker-lo (62498247-62ce-5763-b201-a0f0e52b71f9)
1674106627.752439	zeek-manager	got hello from zeek-worker (0c8c7207-f1a1-540d-aee0-2b55cf76e69f)
1674106627.672635	zeek-worker-lo	got hello from zeek-proxy (b0734910-55c0-5aa5-b5fb-abdf7c083d3e)
1674106627.674358	zeek-worker-lo	got hello from zeek-manager (b4a3890a-a470-5a1d-b2c7-fc48fd683ff9)
1674106627.666564	zeek-worker-lo	got hello from zeek-logger (405e0618-3699-5b85-ac39-0af2743c0aab)
1674106627.708986	zeek-worker	got hello from zeek-manager (b4a3890a-a470-5a1d-b2c7-fc48fd683ff9)
1674106627.699878	zeek-worker	got hello from zeek-proxy (b0734910-55c0-5aa5-b5fb-abdf7c083d3e)
1674106627.706099	zeek-worker	got hello from zeek-logger (405e0618-3699-5b85-ac39-0af2743c0aab)

Zeek կապի գրանցամատյանը ստուգելու համար գործարկեք հետևյալ հրամանը.

tail /opt/zeek/logs/current/conn.log

Դուք կստանաք հետևյալ արդյունքը.

1674106667.717311	Camkki2oVKl4J9dgpd	209.23.10.179	47762	209.23.10.179	56180	tcp	-	-	-	-	OTH	FF	0	CccC	0	0	0	0	-
1674106667.742276	CZ7aKU3nUfkjSSN5x6	209.23.10.179	56182	209.23.10.179	47762	tcp	-	-	-	-	OTH	FF	0	CcCc	0	0	0	0	-
1674106667.742332	Cd58V813jeHygHXQS2	209.23.10.179	56176	209.23.10.179	47762	tcp	-	-	-	-	OTH	FF	0	CcCc	0	0	0	0	-
1674106668.621860	CZlcm316EidXbp4aMj	209.23.10.179	41430	209.23.10.179	47761	tcp	-	-	-	-	OTH	FF	0	Cc	0	0	0	0	-

Եզրակացություն

Շնորհավորում եմ: դուք հաջողությամբ տեղադրել եք Zeek անվտանգության մոնիտորինգի գործիքը Ubuntu 22.04 սերվերի վրա: Հուսով եմ, որ այս գրառումը կօգնի հասկանալ ցանցի ճարտարապետությունը և հետաքննել ցանկացած վնասակար գործողություն: Ազատորեն հարցրեք ինձ, եթե ունեք հարցեր: