Cómo instalar Zeek en Ubuntu Server 22.04 para monitorear la seguridad de tu red
Zeek es una herramienta de monitoreo de seguridad de red en línea de comandos que se puede instalar en un servidor en su centro de datos local o en un host de nube de terceros. Zeek monitorea y registra varios puntos de datos diferentes, como conexiones, paquetes recibidos y enviados, y atributos de sesión TCP. Con esta herramienta, puede rastrear eventos en toda su red para garantizar mejor su seguridad.
Qué necesitará para instalar Zeek
Lo único que necesita para instalar Zeek es una instancia en ejecución de Ubuntu Server 22.04 o una versión más nueva y un usuario con privilegios de sudo.
Cómo instalar Zeek
Lo primero que debe hacer es iniciar sesión en su instancia de Ubuntu Server. Una vez que haya iniciado sesión correctamente, instale un trío de dependencias simples con el siguiente comando:
sudo apt-get install curl wget gnupg2 -y
Luego, cambie al usuario root con el siguiente comando:
¡Aprende a ser un hacker ético desde cero con un 97% de descuento!sudo -s
A continuación, debemos agregar la clave GPG oficial de Zeek con el siguiente comando:
curl -fsSL https://download.opensuse.org/repositories/security:zeek/xUbuntu_22.04/Release.key | gpg --dearmor | tee /etc/apt/trusted.gpg.d/security_zeek.gpg
Agregue el repositorio de Zeek con el siguiente comando:
echo 'deb http://download.opensuse.org/repositories/security:/zeek/xUbuntu_22.04/ /' | tee /etc/apt/sources.list.d/security:zeek.list
Actualice apt:
Impulsa tus aplicaciones de bajo código y basadas en datos con Dynatrace AppEngineapt-get update
Instale Zeek con el siguiente comando:
apt-get install zeek -y
Durante la instalación, se le pedirá cómo desea configurar Postfix. A menos que ya tenga un servidor de correo en funcionamiento en el sistema, le recomendaría configurarlo como solo local. Deberá iniciar sesión en el servidor y verificar la cuenta de correo de los usuarios administradores para ver los informes, lo cual se hace con el comando "mail".
Si el comando "mail" no existe, instálelo con el siguiente comando:
apt-get install mailutils -y
Antes de continuar, asegúrese de agregar la ruta de instalación de Zeek a su $PATH con el siguiente comando:
echo "export PATH=$PATH:/opt/zeek/bin" >> ~/.bashrc
Recargue el archivo .bashrc con:
source ~/.bashrc
Cómo configurar Zeek
Después de que se complete la instalación de Zeek, deberá realizar algunos cambios en el archivo de configuración. Abra el archivo con el siguiente comando:
nano /opt/zeek/etc/networks.cfg
Debe agregar su red al final de la lista predeterminada, que se verá algo así:
10.0.0.0/8 Espacio de direcciones IP privadas
172.16.0.0/12 Espacio de direcciones IP privadas
192.168.0.0/16 Espacio de direcciones IP privadas
192.168.1.0/16 Espacio de direcciones IP privadas
Guarde y cierre el archivo. A continuación, abra el archivo de configuración principal con el siguiente comando:
nano /opt/zeek/etc/node.cfg
Cambiaremos Zeek del modo autónomo predeterminado al modo de clúster. Lo primero que debe hacer es comentar las siguientes líneas colocando un # al principio de cada línea:
[zeek]
type=standalone
host=localhost
interface=eth0
Agregue lo siguiente al final del archivo, sustituyendo SERVER por la dirección IP del servidor de alojamiento y IFACE por el nombre de su interfaz de red:
[zeek-logger]
type=logger
host=SERVER
#
[zeek-manager]
type=manager
host=SERVER
#
[zeek-proxy]
type=proxy
host=SERVER
#
[zeek-worker]
type=worker
host=SERVER
interface=IFACE
#
[zeek-worker-lo]
type=worker
host=localhost
interface=lo
Guarde y cierre el archivo. Ejecute una verificación de la configuración con el siguiente comando:
zeekctl check
Debería ver una salida similar a esta:
Sugerencia: Ejecute el comando "deploy" de zeekctl para comenzar.
Los scripts de zeek-logger están bien.
Los scripts de zeek-manager están bien.
Los scripts de zeek-proxy están bien.
Los scripts de zeek-worker-lo están bien.
Si todo está en orden, implemente Zeek con el siguiente comando:
zeekctl deploy
Una vez que todo esté implementado, verifique el estado con el siguiente comando:
zeekctl status
Debería ver una salida similar a esta:
Nombre Tipo Host Estado Pid Comenzado
zeek-logger logger 192.168.1.191 en ejecución 6366 06 Feb 13:18:44
zeek-manager manager 192.168.1.191 en ejecución 6427 06 Feb 13:18:49
zeek-proxy proxy 192.168.1.191 en ejecución 6488 06 Feb 13:18:54
zeek-worker worker 192.168.1.191 en ejecución 6570 06 Feb 13:19:00
zeek-worker-lo worker localhost en ejecución 6567 06 Feb 13:19:00
Zeek almacena sus registros en /opt/zeek/logs/current. Encontrará un registro para broker, cluster, packet_filtering, conn, loaded_scripts, reporter, stats, stderr, stdout, telemetry y weird. La mejor manera de ver estos registros es utilizar el comando "tail" para verlos actualizados en tiempo real, de la siguiente manera:
tail -f /opt/zeek/logs/current/conn.log
Ese archivo de registro mostrará todas las conexiones en tiempo real al servidor.
Otro truco útil que puede probar es ver la información de tcpdump con Zeek. Primero, capture algunos paquetes con el siguiente comando:
sudo tcpdump -i IFACE -s 0 -w mypackets.trace
Donde IFACE es el nombre del dispositivo de red en el host. Después de dejar que esto se ejecute durante unos minutos, finalice el comando con CTRL+C y luego analice el tráfico capturado con:
zeek -r mypackets.trace
Zeek volcará los archivos de registro en el directorio de trabajo actual. Verá los siguientes archivos de registro: conn.log, dns.log, mypackets.trace, packet_filter.log, reporter.log y weird.log. Digamos que luego desea ejecutar uno de los scripts integrados de Zeek contra los paquetes capturados. Para eso, podría ejecutar algo como esto:
Aprende a utilizar MATLAB y LabVIEW con este Mega Pack de entrenamiento - ¡98% de descuento!zeek -r mypackets.trace /opt/zeek/share/zeek/policy/frameworks/files/extract-all-files.zeek
Puede consultar /opt/zeek/share/zeek para ver los diferentes scripts integrados que ofrece.
Haz que Zeek sea propio
Zeek es una herramienta de supervisión de red muy poderosa. Deberá familiarizarse con los diversos scripts integrados e incluso aprender a crear los suyos propios. Hasta que alcance ese nivel, puede continuar viendo los archivos de registro estándar y capturando paquetes que ingresan y salen de su servidor.
Suscríbase a How To Make Tech Work de Newsmatic en YouTube para obtener todos los últimos consejos tecnológicos para profesionales empresariales de Jack Wallen.
Cómo agregar soporte de Docker a Visual Studio CodeEn Newsmatic nos especializamos en tecnología de vanguardia, contamos con los artículos mas novedosos sobre Desarrollo, allí encontraras muchos artículos similares a Cómo instalar Zeek en Ubuntu Server 22.04 para monitorear la seguridad de tu red , tenemos lo ultimo en tecnología 2023.
Artículos Relacionados