Žodis angliškai:
Santrumpa:
Apibrėžimas:
Bro - atviro kodo su Unix OS suderinama NIDS pasyvi stebėjimo sistema.
Paaiškinimas:
Bro-IDS
Bro yra atviro kodo su Unix OS suderinama NIDS pasyvi stebėjimo sistema. Bro atlieka analizę kelėtoje lygmenų, taip pat ir programiniame. Pirmiausia Bro nufiltruoja srautą, kuris turi minimalią reikšmę stebėjimui, likusi informacija siunčiama į įvykių apdorojimo variklį, kur Bro interpretuoja tinklo paketų struktūrą kaip įvykius, kuriuos sudaro tam tikri paketai. Galiausiai Bro vykdo saugumo politikos skriptus, kuriuos pritaiko atitinkamiems įvykiams ir vartotojui pateikia pranešimus ar įspėjimus priklausomai nuo saugumo taisyklių. Bro-IDS galima išskirti dvi sudedamasias dalis: Bro Įvykių apdorojimo variklis Bro naudoja C++ kalba parašytą programos variklį, kuris generuoja rezultatą, kai atsitinka įvykis. Įvykis gali būti, Bro startas, išjungimas, įvykiai tinkle, HTTP užklausos ir panašiai. Įvykiai yra neutralūs, nevertinami pagal saugumo politikos principus, tik išvedamų į žurnalą (log).
Bro saugumo politikos skriptai Įvykiai yra apdorojami naudojanti Bro politikos skriptais, kurie parašyti naudojant Turing-complete programavimo kalbą. Pagal nutylėjimą Bro paprasčiausiai išsaugo informaciją į katalogus tekstiniame formate. Direktorijose esantys failai yra išrūšiuojami į keistą (weird) tinklo veikseną, klaidų pranešimus ir taip toliau, taip pat failo pavadinimuose įrašomas laiko intervalas.
arvydas@debian:~$ ls /usr/local/bro/logs/2014-04-09/ communication.00:35:29-00:47:34.log.gz stderr.00:09:41-00:11:23.log.gz conn.00:35:40-00:47:34.log.gz stderr.00:11:25-00:14:17.log.gz conn-summary.00:35:40-00:47:34.log stderr.00:14:17-00:15:14.log.gz dns.00:35:46-00:47:34.log.gz stderr.00:16:29-00:16:56.log.gz dpd.00:35:46-00:47:34.log.gz stderr.00:16:58-00:35:07.log.gz files.00:36:47-00:47:34.log.gz stdout.00:09:02-00:09:13.log.gz http.00:36:47-00:47:34.log.gz stdout.00:09:41-00:11:23.log.gz known_services.00:35:46-00:47:34.log.gz stdout.00:11:25-00:14:17.log.gz loaded_scripts.00:35:29-00:47:34.log.gz stdout.00:14:17-00:15:14.log.gz packet_filter.00:35:29-00:47:34.log.gz stdout.00:16:29-00:16:56.log.gz reporter.00:35:39-00:47:34.log.gz stdout.00:16:58-00:35:07.log.gz stderr.00:09:02-00:09:13.log.gz weird.00:35:31-00:47:34.log
Bro politikos skriptai yra direktorijoje /usr/local/bro/share/bro/base. Šioje direktorijoje daryti pakeitimų tiesiogiai nepatartina, nes atnaujinant Bro programą visi pakeitimai dingsta. Pakeisti nustatymus reikia per /usr/local/bro/site failą. Pagal nutylėjimą Bro naudoja daug iš anksto nustatytų skriptų ir galimas naudoti iš karto be jokių pakeitimų konfigūraciniuose failuose. Pirmosios Bro versijos buvo per daug sudėtingos naujiems vartotojams nežinantiems Bro konfigūravimo specifikos, nes pagal nutylėjimą nebuvo naudojami jokie skriptai paketų skenavimui, viską reikėjo pasirašyti pačiam. Nuo Bro 2.0 versijos šis trūkumas pašalintas ir programa turi didelį kiekį standartinių skriptų skenuojančių interneto paketus ir pateikia platų spektrą išrūšiuotos informacijos apie tinklo veikseną be vartotojo įsikišimo (bandymuose naudota Bro 2.2 versija (2013 lapkritis)). Žinoma, Bro privalumas yra pritaikymas specifinėms reikmėms naudojant programavimus skriptus, kuriems sukurti reikia išmanyti tinklų saugumą bei pačią Bro programos struktūrą.
Naudota literatūra:
1. Introduction to Bro [interaktyvus]. Berkeley.edu [žiūrėta 2014 m. kovo mėn]. Prieiga per internetą: <http://www.notary.icsi.berkeley.edu/sphinx/intro/index.html>