Situatie
Zeek este un instrument gratuit de monitorizare a securității, open-source și lider mondial, utilizat ca sistem de detectare a intruziunilor în rețea și analizor de trafic în rețea. Profesioniștii în securitate îl folosesc pentru a detecta semnăturile suspecte și pentru a urmări activitatea DNS, HTTP și FTP.
Zeek funcționează prin înregistrarea activității de rețea într-un fișier separat. Acest fișier conține toate informațiile importante, cum ar fi tipurile MIME, răspunsurile serverului, solicitările DNS, sesiunile HTTP, URI-urile solicitate, certificatele SSL și multe altele.
Solutie
Pasi de urmat
În primul rând, trebuie să actualizați toate pachetele de sistem la versiunea actualizată. Le puteți actualiza pe toate executând următoarea comandă.
apt update -y
apt upgrade -y
După actualizarea tuturor pachetelor de sistem, instalați unele pachete necesare utilizând următoarea comandă.
apt install curl gnupg2 wget -y
În mod implicit, pachetul Zeek nu este inclus în depozitul implicit Ubuntu. Deci, va trebui să adăugați depozitul Zeek la APT. Mai întâi, descărcați și adăugați cheia Zeek GPG cu următoarea comandă.
curl -fsSL https://download.opensuse.org/repositories/security:zeek/xUbuntu_22.04/Release.key | gpg –dearmor | tee /etc/apt/trusted.gpg.d/security_zeek.gpg
Apoi, adăugați depozitul Zeek cu următoarea comandă.
echo ‘deb http://download.opensuse.org/repositories/security:/zeek/xUbuntu_22.04/ /’ | tee /etc/apt/sources.list.d/security:zeek.list
Apoi, actualizați memoria cache a depozitului utilizând următoarea comandă.
apt update -y
Acum puteți instala instrumentul Zeek rulând următoarea comandă.
apt install zeek -y
În timpul instalării, vi se va cere să selectați serverul de e-mail așa cum se arată mai jos:
Selectați numai local și apăsați tasta Enter. Vi se va cere să furnizați numele de gazdă a serverului dvs. de e-mail.
Introduceți numele de gazdă și apăsați tasta Enter pentru a finaliza instalarea. În continuare, va trebui să adăugați calea de instalare Zeek la variabila de sistem. Îl puteți adăuga cu următoarea comandă.
echo “export PATH=$PATH:/opt/zeek/bin” >> ~/.bashrc
Apoi, activați variabila de sistem cu următoarea comandă.
source ~/.bashrc
Mai întâi, editați fișierul de configurare a rețelei Zeek și definiți-vă rețeaua.
nano /opt/zeek/etc/networks.cfg
Aici sunt rețelele implicite. Puteți adăuga mai multe rețele la sfârșitul fișierului.
10.0.0.0/8 Private IP space
172.16.0.0/12 Private IP space
192.168.0.0/16 Private IP space
Salvați și închideți fișierul, apoi editați fișierul de configurare principal Zeek.
nano /opt/zeek/etc/node.cfg
Comentează următoarele rânduri:
#[zeek]
#type=standalone
#host=localhost
#interface=eth0
Apoi, adăugați următoarele configurații la sfârșitul fișierului.
[zeek-logger]
type=logger
host=your-server-ip
#
[zeek-manager]
type=manager
host=your-server-ip
#
[zeek-proxy]
type=proxy
host=your-server-ip
#
[zeek-worker]
type=worker
host=your-server-ip
interface=eth0
#
[zeek-worker-lo]
type=worker
host=localhost
interface=lo
Salvați fișierul, apoi verificați configurația Zeek folosind următoarea comandă.
zeekctl check
Veți obține următoarele randuri.
Hint: Run the zeekctl “deploy” command to get started.
zeek-logger scripts are ok.
zeek-manager scripts are ok.
zeek-proxy scripts are ok.
zeek-worker scripts are ok.
zeek-worker-lo scripts are ok.
Acum puteți implementa Zeek folosind următoarea comandă.
zeekctl deploy
Veți obține următoarele rezultate.
checking configurations …
installing …
creating policy directories …
installing site policies …
generating cluster-layout.zeek …
generating local-networks.zeek …
generating zeekctl-config.zeek …
generating zeekctl-config.sh …
stopping …
stopping workers …
stopping proxy …
stopping manager …
stopping logger …
starting …
starting logger …
starting manager …
starting proxy …
starting workers …
Leave A Comment?