Ինչպես տեղադրել Zeek ցանցի անվտանգության մոնիտորինգի գործիքը Ubuntu 22.04-ում
Այս էջում
- Նախադրյալներ
- Սկսել
- Ավելացնել Zeek պահեստ
- Տեղադրեք Zeek-ը
- Կարգավորել Zeek սերվերը
- Փորձարկել Zeek կարգավիճակը
- Եզրակացություն
Zeek-ը անվճար, բաց կոդով և աշխարհում առաջատար անվտանգության մոնիտորինգի գործիք է, որն օգտագործվում է որպես ցանցային ներխուժման հայտնաբերման համակարգ և ցանցային երթևեկության անալիզատոր: Անվտանգության մասնագետներն այն օգտագործում են կասկածելի ստորագրությունները հայտնաբերելու և DNS, HTTP և FTP գործունեությանը հետևելու համար: Zeek-ը աշխատում է՝ գրանցելով ցանցի գործունեությունը առանձին ֆայլում: Այս ֆայլը պարունակում է բոլոր կարևոր տեղեկությունները, ինչպիսիք են MIME տեսակները, սերվերի պատասխանները, DNS հարցումները, HTTP նիստերը, պահանջվող URI-ները, SSL վկայագրերը և այլն:
Այս ձեռնարկը ցույց կտա ձեզ, թե ինչպես տեղադրել Zeek ցանցի անվտանգության գործիքը Ubuntu 22.04-ում:
Նախադրյալներ
- Ubuntu 22.04-ով աշխատող սերվեր՝ նվազագույնը 2 ԳԲ օպերատիվ հիշողությամբ:
- Սերվերի վրա կազմաձևված է արմատային գաղտնաբառը:
Սկսել
Նախ, դուք պետք է թարմացնեք ձեր համակարգի բոլոր փաթեթները թարմացված տարբերակին: Դուք կարող եք թարմացնել դրանք բոլորը՝ գործարկելով հետևյալ հրամանը.
apt update -y
apt upgrade -y
Համակարգի բոլոր փաթեթները թարմացնելուց հետո տեղադրեք որոշ պահանջվող փաթեթներ՝ օգտագործելով հետևյալ հրամանը.
apt install curl gnupg2 wget -y
Ավելացնել Zeek պահեստ
Լռելյայնորեն, Zeek փաթեթը ներառված չէ Ubuntu-ի լռելյայն պահոցում: Այսպիսով, դուք պետք է ավելացնեք Zeek պահեստը APT-ին:
Նախ, ներբեռնեք և ավելացրեք Zeek GPG ստեղնը հետևյալ հրամանով.
curl -fsSL https://download.opensuse.org/repositories/security:zeek/xUbuntu_22.04/Release.key | gpg --dearmor | tee /etc/apt/trusted.gpg.d/security_zeek.gpg
Հաջորդը, ավելացրեք Zeek պահեստը հետևյալ հրամանով.
echo 'deb http://download.opensuse.org/repositories/security:/zeek/xUbuntu_22.04/ /' | tee /etc/apt/sources.list.d/security:zeek.list
Հաջորդը, թարմացրեք պահոցի քեշը, օգտագործելով հետևյալ հրամանը.
apt update -y
Տեղադրեք Zeek-ը
Այժմ կարող եք տեղադրել Zeek գործիքը՝ պարզապես գործարկելով հետևյալ հրամանը.
apt install zeek -y
Տեղադրման ընթացքում ձեզանից կպահանջվի ընտրել ձեր փոստային սերվերը, ինչպես ցույց է տրված ստորև.
Ընտրեք միայն տեղական և սեղմեք Enter ստեղնը: Ձեզանից կպահանջվի տրամադրել ձեր էլփոստի սերվերի հոսթի անունը:
Մուտքագրեք ձեր հոսթի անունը և սեղմեք Enter ստեղնը՝ տեղադրումն ավարտելու համար:
Հաջորդը, դուք պետք է ավելացնեք Zeek տեղադրման ուղին ձեր համակարգի փոփոխականին: Այն կարող եք ավելացնել հետևյալ հրամանով.
echo "export PATH=$PATH:/opt/zeek/bin" >> ~/.bashrc
Հաջորդը, ակտիվացրեք համակարգի փոփոխականը հետևյալ հրամանով.
source ~/.bashrc
Այժմ կարող եք ստուգել Zeek տարբերակը՝ օգտագործելով հետևյալ հրամանը.
zeek --version
Դուք կստանաք հետևյալ արդյունքը.
zeek version 5.1.1
Կարգավորել Zeek սերվերը
Նախ, խմբագրեք Zeek ցանցի կազմաձևման ֆայլը և սահմանեք ձեր ցանցը:
nano /opt/zeek/etc/networks.cfg
Ահա լռելյայն ցանցերը: Դուք կարող եք ավելի շատ ցանցեր ավելացնել ֆայլի վերջում:
10.0.0.0/8 Private IP space
172.16.0.0/12 Private IP space
192.168.0.0/16 Private IP space
Պահպանեք և փակեք ֆայլը, այնուհետև խմբագրեք Zeek հիմնական կազմաձևման ֆայլը:
nano /opt/zeek/etc/node.cfg
Մեկնաբանեք հետևյալ տողերը.
#[zeek]
#type=standalone
#host=localhost
#interface=eth0
Այնուհետև ֆայլի վերջում ավելացրեք հետևյալ կազմաձևերը.
[zeek-logger]
type=logger
host=your-server-ip
#
[zeek-manager]
type=manager
host=your-server-ip
#
[zeek-proxy]
type=proxy
host=your-server-ip
#
[zeek-worker]
type=worker
host=your-server-ip
interface=eth0
#
[zeek-worker-lo]
type=worker
host=localhost
interface=lo
Պահպանեք ֆայլը, այնուհետև ստուգեք Zeek-ի կոնֆիգուրացիան՝ օգտագործելով հետևյալ հրամանը.
zeekctl check
Դուք կստանաք հետևյալ արդյունքը.
Hint: Run the zeekctl "deploy" command to get started.
zeek-logger scripts are ok.
zeek-manager scripts are ok.
zeek-proxy scripts are ok.
zeek-worker scripts are ok.
zeek-worker-lo scripts are ok.
Այժմ կարող եք տեղակայել Zeek-ը՝ օգտագործելով հետևյալ հրամանը.
zeekctl deploy
Դուք կստանաք հետևյալ արդյունքը.
checking configurations ...
installing ...
creating policy directories ...
installing site policies ...
generating cluster-layout.zeek ...
generating local-networks.zeek ...
generating zeekctl-config.zeek ...
generating zeekctl-config.sh ...
stopping ...
stopping workers ...
stopping proxy ...
stopping manager ...
stopping logger ...
starting ...
starting logger ...
starting manager ...
starting proxy ...
starting workers ...
Փորձարկել Zeek կարգավիճակը
Այս պահին Zeek-ը տեղադրված և կազմաձևված է: Այժմ կարող եք ստուգել Zeek կարգավիճակը հետևյալ հրամանով.
zeekctl status
Դուք կստանաք հետևյալ արդյունքը.
Name Type Host Status Pid Started
zeek-logger logger 209.23.10.179 running 58935 19 Jan 05:37:02
zeek-manager manager 209.23.10.179 running 58985 19 Jan 05:37:03
zeek-proxy proxy 209.23.10.179 running 59035 19 Jan 05:37:05
zeek-worker worker 209.23.10.179 running 59107 19 Jan 05:37:06
zeek-worker-lo worker localhost running 59104 19 Jan 05:37:06
Zeek-ը պահում է իրենց տեղեկամատյանները /opt/zeek/logs/current/ գրացուցակում: Դուք կարող եք ստուգել բոլոր գրանցամատյանների ֆայլերը՝ օգտագործելով հետևյալ հրամանը.
ls -l /opt/zeek/logs/current/
Դուք կտեսնեք հետևյալ արդյունքը.
total 72
-rw-r--r-- 1 root zeek 1735 Jan 19 05:37 broker.log
-rw-r--r-- 1 root zeek 2166 Jan 19 05:37 cluster.log
-rw-r--r-- 1 root zeek 187 Jan 19 05:37 packet_filter.log
-rw-r--r-- 1 root zeek 6158 Jan 19 05:37 conn.log
-rw-r--r-- 1 root zeek 31212 Jan 19 05:37 loaded_scripts.log
-rw-r--r-- 1 root zeek 666 Jan 19 05:37 reporter.log
-rw-r--r-- 1 root zeek 601 Jan 19 05:37 stats.log
-rw-r--r-- 1 root zeek 0 Jan 19 05:37 stderr.log
-rw-r--r-- 1 root zeek 204 Jan 19 05:37 stdout.log
-rw-r--r-- 1 root zeek 266 Jan 19 05:37 telemetry.log
-rw-r--r-- 1 root zeek 960 Jan 19 05:37 weird.log
Zeek կլաստերի մատյանը ստուգելու համար գործարկեք հետևյալ հրամանը.
tail /opt/zeek/logs/current/cluster.log
Դուք կստանաք հետևյալ արդյունքը.
1674106627.672399 zeek-proxy got hello from zeek-worker-lo (62498247-62ce-5763-b201-a0f0e52b71f9)
1674106627.744144 zeek-proxy got hello from zeek-worker (0c8c7207-f1a1-540d-aee0-2b55cf76e69f)
1674106627.674594 zeek-manager got hello from zeek-worker-lo (62498247-62ce-5763-b201-a0f0e52b71f9)
1674106627.752439 zeek-manager got hello from zeek-worker (0c8c7207-f1a1-540d-aee0-2b55cf76e69f)
1674106627.672635 zeek-worker-lo got hello from zeek-proxy (b0734910-55c0-5aa5-b5fb-abdf7c083d3e)
1674106627.674358 zeek-worker-lo got hello from zeek-manager (b4a3890a-a470-5a1d-b2c7-fc48fd683ff9)
1674106627.666564 zeek-worker-lo got hello from zeek-logger (405e0618-3699-5b85-ac39-0af2743c0aab)
1674106627.708986 zeek-worker got hello from zeek-manager (b4a3890a-a470-5a1d-b2c7-fc48fd683ff9)
1674106627.699878 zeek-worker got hello from zeek-proxy (b0734910-55c0-5aa5-b5fb-abdf7c083d3e)
1674106627.706099 zeek-worker got hello from zeek-logger (405e0618-3699-5b85-ac39-0af2743c0aab)
Zeek կապի գրանցամատյանը ստուգելու համար գործարկեք հետևյալ հրամանը.
tail /opt/zeek/logs/current/conn.log
Դուք կստանաք հետևյալ արդյունքը.
1674106667.717311 Camkki2oVKl4J9dgpd 209.23.10.179 47762 209.23.10.179 56180 tcp - - - - OTH FF 0 CccC 0 0 0 0 -
1674106667.742276 CZ7aKU3nUfkjSSN5x6 209.23.10.179 56182 209.23.10.179 47762 tcp - - - - OTH FF 0 CcCc 0 0 0 0 -
1674106667.742332 Cd58V813jeHygHXQS2 209.23.10.179 56176 209.23.10.179 47762 tcp - - - - OTH FF 0 CcCc 0 0 0 0 -
1674106668.621860 CZlcm316EidXbp4aMj 209.23.10.179 41430 209.23.10.179 47761 tcp - - - - OTH FF 0 Cc 0 0 0 0 -
Եզրակացություն
Շնորհավորում եմ: դուք հաջողությամբ տեղադրել եք Zeek անվտանգության մոնիտորինգի գործիքը Ubuntu 22.04 սերվերի վրա: Հուսով եմ, որ այս գրառումը կօգնի հասկանալ ցանցի ճարտարապետությունը և հետաքննել ցանկացած վնասակար գործողություն: Ազատորեն հարցրեք ինձ, եթե ունեք հարցեր: