Zeek là một công cụ giám sát bảo mật miễn phí, mã nguồn mở và hàng đầu thế giới được sử dụng như một hệ thống phát hiện xâm nhập mạng và trình phân tích lưu lượng mạng. Các chuyên gia bảo mật sử dụng công cụ này để phát hiện các chữ ký đáng ngờ và theo dõi hoạt động DNS, HTTP và FTP. Zeek hoạt động bằng cách ghi nhật ký hoạt động mạng vào một tệp riêng biệt. Tệp này chứa tất cả thông tin quan trọng như loại MIME, phản hồi của máy chủ, yêu cầu DNS, phiên HTTP, URI được yêu cầu, chứng chỉ SSL, v.v.
Hướng dẫn này sẽ chỉ cho bạn cách cài đặt công cụ bảo mật mạng Zeek trên Ubuntu 22.04.
Sau khi cập nhật tất cả các gói hệ thống, hãy cài đặt một số gói cần thiết bằng cách sử dụng lệnh sau lệnh.
Đầu tiên, hãy tải xuống và thêm khóa Zeek GPG bằng lệnh sau.
Tiếp theo, hãy thêm kho lưu trữ Zeek bằng lệnh sau.
Tiếp theo, hãy cập nhật bộ đệm kho lưu trữ bằng lệnh sau lệnh.
Trong quá trình cài đặt, bạn sẽ được yêu cầu chọn máy chủ thư của mình như hiển thị bên dưới:
data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22750%22%20height=%22397%22%3E%3C/svg%3E
Chọn chỉ cục bộ và nhấn phím Enter. Bạn sẽ được yêu cầu cung cấp tên máy chủ thư của mình.
data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22750%22%20height=%22275%22%3E%3C/svg%3E
Nhập tên máy chủ của bạn và nhấn phím Enter để hoàn tất quá trình cài đặt.
Tiếp theo, bạn sẽ cần thêm đường dẫn cài đặt Zeek vào biến hệ thống của mình. Bạn có thể thêm nó bằng lệnh sau.
Tiếp theo, kích hoạt biến hệ thống bằng lệnh sau.
Bây giờ bạn có thể xác minh phiên bản Zeek bằng lệnh sau lệnh:
Bạn sẽ nhận được kết quả sau.
Đây là mạng mặc định. Bạn có thể thêm nhiều mạng hơn vào cuối tệp.
Lưu và đóng tệp, sau đó chỉnh sửa tệp cấu hình chính của Zeek.
Bình luận về nội dung sau dòng:
Sau đó, thêm các cấu hình sau vào cuối tệp.
Lưu tệp sau đó xác minh cấu hình Zeek bằng cách sử dụng lệnh sau lệnh.
Bạn sẽ nhận được kết quả sau.
Bây giờ bạn có thể triển khai Zeek bằng cách sử dụng lệnh sau lệnh.
Bạn sẽ nhận được kết quả sau.
Bạn sẽ nhận được kết quả đầu ra sau.
Zeek lưu trữ nhật ký của họ tại thư mục /opt/zeek/logs/current/. Bạn có thể kiểm tra tất cả các tệp nhật ký bằng lệnh sau.
Bạn sẽ thấy đầu ra sau.
Để kiểm tra nhật ký cụm Zeek, hãy chạy lệnh sau lệnh.
Bạn sẽ nhận được kết quả sau.
Để kiểm tra nhật ký kết nối Zeek, hãy chạy lệnh sau lệnh.
Bạn sẽ nhận được kết quả sau.
Hướng dẫn này sẽ chỉ cho bạn cách cài đặt công cụ bảo mật mạng Zeek trên Ubuntu 22.04.
Điều kiện tiên quyết
- Máy chủ chạy Ubuntu 22.04 với RAM tối thiểu 2 GB.
- Mật khẩu gốc được cấu hình trên máy chủ.
Bắt đầu
Trước tiên, bạn phải cập nhật tất cả các gói hệ thống của mình lên phiên bản đã cập nhật. Bạn có thể cập nhật tất cả chúng bằng cách chạy lệnh sau.
Mã:
apt update -y
apt upgrade -y
Mã:
apt install curl gnupg2 wget -yThêm kho lưu trữ Zeek
Theo mặc định, gói Zeek không được bao gồm trong kho lưu trữ mặc định của Ubuntu. Vì vậy, bạn sẽ cần thêm kho lưu trữ Zeek vào APT.Đầu tiên, hãy tải xuống và thêm khóa Zeek GPG bằng lệnh sau.
Mã:
curl -fsSL https://download.opensuse.org/repositories/security:zeek/xUbuntu_22.04/Release.key | gpg --dearmor | tee /etc/apt/trusted.gpg.d/security_zeek.gpg
Mã:
echo 'deb http://download.opensuse.org/repositories/security:/zeek/xUbuntu_22.04/ /' | tee /etc/apt/sources.list.d/security:zeek.list
Mã:
apt update -yCài đặt Zeek
Bây giờ bạn có thể cài đặt công cụ Zeek chỉ bằng cách chạy lệnh sau.
Mã:
apt install zeek -ydata:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22750%22%20height=%22397%22%3E%3C/svg%3E
Chọn chỉ cục bộ và nhấn phím Enter. Bạn sẽ được yêu cầu cung cấp tên máy chủ thư của mình.
data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22750%22%20height=%22275%22%3E%3C/svg%3E
Nhập tên máy chủ của bạn và nhấn phím Enter để hoàn tất quá trình cài đặt.
Tiếp theo, bạn sẽ cần thêm đường dẫn cài đặt Zeek vào biến hệ thống của mình. Bạn có thể thêm nó bằng lệnh sau.
Mã:
echo "export PATH=$PATH:/opt/zeek/bin" >> ~/.bashrc
Mã:
source ~/.bashrc
Mã:
zeek --version
Mã:
zeek version 5.1.1Cấu hình Zeek Server
Đầu tiên, hãy chỉnh sửa tệp cấu hình mạng Zeek và xác định mạng.
Mã:
nano /opt/zeek/etc/networks.cfg
Mã:
10.0.0.0/8 Private IP space
172.16.0.0/12 Private IP space
192.168.0.0/16 Private IP space
Mã:
nano /opt/zeek/etc/node.cfg
Mã:
#[zeek]
#type=standalone
#host=localhost
#interface=eth0
Mã:
[zeek-logger]
type=logger
host=your-server-ip
#
[zeek-manager]
type=manager
host=your-server-ip
#
[zeek-proxy]
type=proxy
host=your-server-ip
#
[zeek-worker]
type=worker
host=your-server-ip
interface=eth0
#
[zeek-worker-lo]
type=worker
host=localhost
interface=lo
Mã:
zeekctl check
Mã:
Hint: Run the zeekctl "deploy" command to get started.
zeek-logger scripts are ok.
zeek-manager scripts are ok.
zeek-proxy scripts are ok.
zeek-worker scripts are ok.
zeek-worker-lo scripts are ok.
Mã:
zeekctl deploy
Mã:
checking configurations ...
installing ...
creating policy directories ...
installing site policies ...
generating cluster-layout.zeek ...
generating local-networks.zeek ...
generating zeekctl-config.zeek ...
generating zeekctl-config.sh ...
stopping ...
stopping workers ...
stopping proxy ...
stopping manager ...
stopping logger ...
starting ...
starting logger ...
starting manager ...
starting proxy ...
starting workers ...Kiểm tra trạng thái Zeek
Lúc này, Zeek đã được cài đặt và cấu hình. Bây giờ bạn có thể kiểm tra trạng thái Zeek bằng lệnh sau.
Mã:
zeekctl status
Mã:
Name Type Host Status Pid Started
zeek-logger logger 209.23.10.179 running 58935 19 Jan 05:37:02
zeek-manager manager 209.23.10.179 running 58985 19 Jan 05:37:03
zeek-proxy proxy 209.23.10.179 running 59035 19 Jan 05:37:05
zeek-worker worker 209.23.10.179 running 59107 19 Jan 05:37:06
zeek-worker-lo worker localhost running 59104 19 Jan 05:37:06
Mã:
ls -l /opt/zeek/logs/current/
Mã:
total 72
-rw-r--r-- 1 root zeek 1735 Jan 19 05:37 broker.log
-rw-r--r-- 1 root zeek 2166 Jan 19 05:37 cluster.log
-rw-r--r-- 1 root zeek 187 Jan 19 05:37 packet_filter.log
-rw-r--r-- 1 root zeek 6158 Jan 19 05:37 conn.log
-rw-r--r-- 1 root zeek 31212 Jan 19 05:37 loaded_scripts.log
-rw-r--r-- 1 root zeek 666 Jan 19 05:37 reporter.log
-rw-r--r-- 1 root zeek 601 Jan 19 05:37 stats.log
-rw-r--r-- 1 root zeek 0 Jan 19 05:37 stderr.log
-rw-r--r-- 1 root zeek 204 Jan 19 05:37 stdout.log
-rw-r--r-- 1 root zeek 266 Jan 19 05:37 telemetry.log
-rw-r--r-- 1 root zeek 960 Jan 19 05:37 weird.log
Mã:
tail /opt/zeek/logs/current/cluster.log
Mã:
1674106627.672399 zeek-proxy got hello from zeek-worker-lo (62498247-62ce-5763-b201-a0f0e52b71f9)
1674106627.744144 zeek-proxy got hello from zeek-worker (0c8c7207-f1a1-540d-aee0-2b55cf76e69f)
1674106627.674594 zeek-manager got hello from zeek-worker-lo (62498247-62ce-5763-b201-a0f0e52b71f9)
1674106627.752439 zeek-manager got hello from zeek-worker (0c8c7207-f1a1-540d-aee0-2b55cf76e69f)
1674106627.672635 zeek-worker-lo got hello from zeek-proxy (b0734910-55c0-5aa5-b5fb-abdf7c083d3e)
1674106627.674358 zeek-worker-lo got hello from zeek-manager (b4a3890a-a470-5a1d-b2c7-fc48fd683ff9)
1674106627.666564 zeek-worker-lo got hello from zeek-logger (405e0618-3699-5b85-ac39-0af2743c0aab)
1674106627.708986 zeek-worker got hello from zeek-manager (b4a3890a-a470-5a1d-b2c7-fc48fd683ff9)
1674106627.699878 zeek-worker got hello from zeek-proxy (b0734910-55c0-5aa5-b5fb-abdf7c083d3e)
1674106627.706099 zeek-worker got hello from zeek-logger (405e0618-3699-5b85-ac39-0af2743c0aab)
Mã:
tail /opt/zeek/logs/current/conn.log
Mã:
1674106667.717311 Camkki2oVKl4J9dgpd 209.23.10.179 47762 209.23.10.179 56180 tcp - - - - OTH FF 0 CccC 0 0 0 0 -
1674106667.742276 CZ7aKU3nUfkjSSN5x6 209.23.10.179 56182 209.23.10.179 47762 tcp - - - - OTH FF 0 CcCc 0 0 0 0 -
1674106667.742332 Cd58V813jeHygHXQS2 209.23.10.179 56176 209.23.10.179 47762 tcp - - - - OTH FF 0 CcCc 0 0 0 0 -
1674106668.621860 CZlcm316EidXbp4aMj 209.23.10.179 41430 209.23.10.179 47761 tcp - - - - OTH FF 0 Cc 0 0 0 0 -