Hardware

Cómo implementar Zeek Network Security Monitor en Ubuntu Server 22.04

código de programación linuxImagen: Gustavo/Adobe Stock

Zeek es una herramienta de monitoreo de seguridad de red de línea de comandos que se puede instalar en su centro de datos local o en un servidor de un host de nube de terceros. Zeek monitorea y registra muchos puntos de datos diferentes, como conexiones, paquetes recibidos y enviados y atributos de sesión TCP. Con esta herramienta, puede rastrear eventos en su red para garantizar mejor su seguridad.

VER: Contraseñas filtradas: por qué la cultura pop y las contraseñas no se mezclan (PDF gratuito) (Tecnopedia)

Instalemos Zeek en una instancia de Ubuntu Server 22.04 para que su equipo de seguridad pueda comenzar a inspeccionar el tráfico que entra y sale de su red.

Salta a:

Qué se necesita para instalar Zeek

Lo único que se necesita para instalar Zeek es una instancia en ejecución de Ubuntu Server 22.04 o posterior y un usuario con privilegios de sudo.

Cómo instalar Zeek

Lo primero que debe hacer es iniciar sesión en su instancia de servidor Ubuntu. Después de iniciar sesión con éxito, instale tres dependencias simples con los siguientes comandos:

sudo apt-get install curl wget gnupg2 -y

A continuación, cambie al usuario raíz:

sudo-s

A continuación, debemos añadir la clave oficial Zeek GPG:

curl -fsSL | gpg –honey | tee /etc/apt/trusted.gpg.d/security_zeek.gpg

Agregue el repositorio Zeek con el siguiente comando:

echo ‘deb /’ | tee /etc/apt/sources.list.d/security:zeek.list

Actualizar apartamento:

fácil de obtener actualizaciones

Instale Zeek con el siguiente comando:

apt-get install zeek -y

Durante el proceso de instalación, se le preguntará cómo desea configurar Postfix. A menos que ya tenga un servidor de correo en funcionamiento en su sistema, le recomiendo configurarlo solo como local. Deberá iniciar sesión en el servidor y verificar la cuenta de correo del usuario administrador para ver los informes, esto se hace usando el correo de comando.

Si el comando de correo no está presente, instálelo con:

apt-get install mailutils-y

Antes de continuar, asegúrese de agregar la ruta de instalación de Zeek a su $PATH:

echo «exportar RUTA=$RUTA:/opt/zeek/bin» >> ~/.bashrc

Obtenga el archivo bash con:

fuente ~/.bashrc

Código abierto: cobertura de lectura obligada

Cómo configurar Zeek

Una vez que Zeek está instalado, debe realizar algunos cambios en los archivos de configuración. Abra el archivo con el siguiente comando:

nano/opt/zeek/etc/redes.cfg

Debe agregar su red al final de la lista predeterminada, se ve así:

10.0.0.0/8 espacio IP privado
172.16.0.0/12 espacio IP privado
192.168.0.0/16 espacio IP privado
192.168.1.0/16 espacio IP privado

Guarde y cierre el archivo. A continuación, abra el archivo de configuración principal:

nano/opt/zeek/etc/node.cfg

Cambiaremos Zeek del modo independiente predeterminado al modo de clúster. Lo primero que debe hacer es comentar las siguientes líneas colocando # al comienzo de cada línea:

[zeek]
tipo=independiente
host = host local
interfaz=eth0

Agregue lo siguiente al final del archivo, reemplazando SERVIDOR con la dirección IP de su servidor de alojamiento e IFACE con el nombre de su interfaz de red:

[zeek-logger]
tipo = registrador
anfitrión = servidor

#
[zeek-manager]
tipo=gerente
anfitrión = servidor

#
[zeek-proxy]
tipo=proxy
anfitrión = servidor

#
[zeek-worker]
tipo = trabajador
anfitrión = servidor
interfaz = IFACE

#
[zeek-worker-lo]
tipo = trabajador
host = host local
interfaz=lo

Guarde y cierre el archivo. Verifique la configuración con el siguiente comando:

verificación zeekctl

Deberías ver un resultado similar a este:

Sugerencia: Ejecute el comando zeekctl «implementar» para comenzar.
El script zeek-logger está bien.
El script zeek-manager está bien.
El script zeek-proxy está bien.
El script zeek-worker está bien.
El script zeek-worker-lo está bien.

Si todo está bien, implemente Zeek con el siguiente comando:

despliegue de zeekctl

Una vez que todo esté desplegado, verifique el estado con el siguiente comando:

estado de zeekctl

Deberías ver un resultado similar a este:

Nombre Tipo Host Estado Pid Iniciado
registrador zeek-logger 192.168.1.191 en ejecución 6366 6 de febrero 13:18:44
zeek-manager manager 192.168.1.191 ejecutándose 6427 6 de febrero 13:18:49
zeek-proxy proxy 192.168.1.191 ejecutándose 6488 6 de febrero 13:18:54
zeek-worker trabajador 192.168.1.191 ejecutando 6570 6 de febrero 13:19:00
zeek-worker-lo trabajador localhost ejecutándose 6567 6 de febrero 13:19:00

Zeek almacena sus registros en /opt/zeek/logs/current. Encontrará registros para proxy, clúster, filtrado de paquetes, conexión, scripts cargados, reportero, estadísticas, stderr, stdout, telemetría y raro. La mejor manera de ver estos registros es usar el comando tail para ver los registros actualizados en vivo, de la siguiente manera:

cola -f /opt/zeek/logs/current/conn.log

Este archivo de registro mostrará todas las conexiones activas al servidor.

Otro truco útil que puede probar es usar Zeek para ver la información de tcpdump. Primero, captura algunos paquetes con el siguiente comando:

sudo tcpdump -i IFACE -s 0 -w mis paquetes.trace

donde IFACE es el nombre del dispositivo de red en el host. Después de ejecutar durante unos minutos, finalice el comando con CTRL+C, luego analice el tráfico con:

zeek -r mis paquetes.trace

Zeek volcará los archivos de registro en el directorio de trabajo actual. Debería ver los siguientes archivos de registro: conn.log, dns.log, mypackets.trace, paquete_filter.log, reporter.log y rare.log. Suponga que desea ejecutar uno de los scripts integrados de Zeek contra los paquetes capturados. Para esto, puede emitir algo como esto:

zeek -r mis paquetes.trace /opt/zeek/share/zeek/policy/frameworks/files/extract-all-files.zeek

Puede consultar /opt/zeek/share/zeek para conocer los diferentes scripts integrados que proporciona.

Haz tuyo a Zeek

Zeek es una herramienta de monitoreo de red muy poderosa. Querrá explorar rápidamente los diversos scripts integrados e incluso aprender a crear los suyos propios. Hasta que se alcance ese punto, puede continuar mirando los archivos de registro estándar y capturar los paquetes que ingresan y salen del servidor.

Obtenga los últimos consejos tecnológicos de Jack Wallen para profesionales de negocios suscribiéndose a Cómo hacer que la tecnología funcione de Tecnopedia en YouTube.

LEER  Exploit de CPU AMD lanzado por una empresa de seguridad desconocida con 24 horas de anticipación

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba