Cómo instalar Zeek en Ubuntu Server 22.04 para monitorear la seguridad de tu red

Zeek es una herramienta de monitoreo de seguridad de red en línea de comandos que se puede instalar en un servidor en su centro de datos local o en un host de nube de terceros. Zeek monitorea y registra varios puntos de datos diferentes, como conexiones, paquetes recibidos y enviados, y atributos de sesión TCP. Con esta herramienta, puede rastrear eventos en toda su red para garantizar mejor su seguridad.

Cómo instalar Zeek en Ubuntu Server 22.04 para monitorear la seguridad de tu red - Desarrollo | Imagen 1 Newsmatic

Índice de Contenido
  1. Qué necesitará para instalar Zeek
  2. Cómo instalar Zeek
  3. Cómo configurar Zeek
  4. Haz que Zeek sea propio

Qué necesitará para instalar Zeek

Lo único que necesita para instalar Zeek es una instancia en ejecución de Ubuntu Server 22.04 o una versión más nueva y un usuario con privilegios de sudo.

Cómo instalar Zeek

Lo primero que debe hacer es iniciar sesión en su instancia de Ubuntu Server. Una vez que haya iniciado sesión correctamente, instale un trío de dependencias simples con el siguiente comando:

sudo apt-get install curl wget gnupg2 -y

Luego, cambie al usuario root con el siguiente comando:

¡Aprende a ser un hacker ético desde cero con un 97% de descuento!

sudo -s

A continuación, debemos agregar la clave GPG oficial de Zeek con el siguiente comando:

curl -fsSL https://download.opensuse.org/repositories/security:zeek/xUbuntu_22.04/Release.key | gpg --dearmor | tee /etc/apt/trusted.gpg.d/security_zeek.gpg

Agregue el repositorio de Zeek con el siguiente comando:

echo 'deb http://download.opensuse.org/repositories/security:/zeek/xUbuntu_22.04/ /' | tee /etc/apt/sources.list.d/security:zeek.list

Actualice apt:

Impulsa tus aplicaciones de bajo código y basadas en datos con Dynatrace AppEngine

apt-get update

Instale Zeek con el siguiente comando:

apt-get install zeek -y

Durante la instalación, se le pedirá cómo desea configurar Postfix. A menos que ya tenga un servidor de correo en funcionamiento en el sistema, le recomendaría configurarlo como solo local. Deberá iniciar sesión en el servidor y verificar la cuenta de correo de los usuarios administradores para ver los informes, lo cual se hace con el comando "mail".

Si el comando "mail" no existe, instálelo con el siguiente comando:

apt-get install mailutils -y

Aprende a dominar los procesos de desarrollo de software con este increíble bundle por solo $19

Antes de continuar, asegúrese de agregar la ruta de instalación de Zeek a su $PATH con el siguiente comando:

echo "export PATH=$PATH:/opt/zeek/bin" >> ~/.bashrc

Recargue el archivo .bashrc con:

source ~/.bashrc

Cómo configurar Zeek

Después de que se complete la instalación de Zeek, deberá realizar algunos cambios en el archivo de configuración. Abra el archivo con el siguiente comando:

nano /opt/zeek/etc/networks.cfg

Termius: La mejor herramienta de gestión de conexiones SSH

Debe agregar su red al final de la lista predeterminada, que se verá algo así:

10.0.0.0/8      Espacio de direcciones IP privadas
172.16.0.0/12   Espacio de direcciones IP privadas
192.168.0.0/16  Espacio de direcciones IP privadas
192.168.1.0/16  Espacio de direcciones IP privadas

Guarde y cierre el archivo. A continuación, abra el archivo de configuración principal con el siguiente comando:

nano /opt/zeek/etc/node.cfg

Cambiaremos Zeek del modo autónomo predeterminado al modo de clúster. Lo primero que debe hacer es comentar las siguientes líneas colocando un # al principio de cada línea:

[zeek]
type=standalone
host=localhost
interface=eth0

Cómo habilitar el acceso remoto a MongoDB en Linux

Agregue lo siguiente al final del archivo, sustituyendo SERVER por la dirección IP del servidor de alojamiento y IFACE por el nombre de su interfaz de red:

[zeek-logger]
type=logger
host=SERVER

#
[zeek-manager]
type=manager
host=SERVER

#
[zeek-proxy]
type=proxy
host=SERVER

#
[zeek-worker]
type=worker
host=SERVER
interface=IFACE

#
[zeek-worker-lo]
type=worker
host=localhost
interface=lo

Cómo desplegar Percona como contenedor Docker para monitorear el rendimiento de la base de datos

Guarde y cierre el archivo. Ejecute una verificación de la configuración con el siguiente comando:

zeekctl check

Debería ver una salida similar a esta:

Sugerencia: Ejecute el comando "deploy" de zeekctl para comenzar.
Los scripts de zeek-logger están bien.
Los scripts de zeek-manager están bien.
Los scripts de zeek-proxy están bien.
Los scripts de zeek-worker-lo están bien.

Si todo está en orden, implemente Zeek con el siguiente comando:

zeekctl deploy

Cómo utilizar las identidades en Termius para gestionar conexiones SSH

Una vez que todo esté implementado, verifique el estado con el siguiente comando:

zeekctl status

Debería ver una salida similar a esta:

Nombre       Tipo    Host             Estado    Pid   Comenzado
zeek-logger  logger  192.168.1.191  en ejecución  6366  06 Feb 13:18:44
zeek-manager manager 192.168.1.191  en ejecución  6427  06 Feb 13:18:49
zeek-proxy   proxy   192.168.1.191  en ejecución  6488  06 Feb 13:18:54
zeek-worker  worker  192.168.1.191  en ejecución  6570  06 Feb 13:19:00
zeek-worker-lo worker  localhost       en ejecución  6567  06 Feb 13:19:00

Zeek almacena sus registros en /opt/zeek/logs/current. Encontrará un registro para broker, cluster, packet_filtering, conn, loaded_scripts, reporter, stats, stderr, stdout, telemetry y weird. La mejor manera de ver estos registros es utilizar el comando "tail" para verlos actualizados en tiempo real, de la siguiente manera:

tail -f /opt/zeek/logs/current/conn.log

Microsoft 365 Defender: Automatización de la defensa contra ataques en tiempo real

Ese archivo de registro mostrará todas las conexiones en tiempo real al servidor.

Otro truco útil que puede probar es ver la información de tcpdump con Zeek. Primero, capture algunos paquetes con el siguiente comando:

sudo tcpdump -i IFACE -s 0 -w mypackets.trace

Donde IFACE es el nombre del dispositivo de red en el host. Después de dejar que esto se ejecute durante unos minutos, finalice el comando con CTRL+C y luego analice el tráfico capturado con:

zeek -r mypackets.trace

Zeek volcará los archivos de registro en el directorio de trabajo actual. Verá los siguientes archivos de registro: conn.log, dns.log, mypackets.trace, packet_filter.log, reporter.log y weird.log. Digamos que luego desea ejecutar uno de los scripts integrados de Zeek contra los paquetes capturados. Para eso, podría ejecutar algo como esto:

Aprende a utilizar MATLAB y LabVIEW con este Mega Pack de entrenamiento - ¡98% de descuento!

zeek -r mypackets.trace /opt/zeek/share/zeek/policy/frameworks/files/extract-all-files.zeek

Puede consultar /opt/zeek/share/zeek para ver los diferentes scripts integrados que ofrece.

Haz que Zeek sea propio

Zeek es una herramienta de supervisión de red muy poderosa. Deberá familiarizarse con los diversos scripts integrados e incluso aprender a crear los suyos propios. Hasta que alcance ese nivel, puede continuar viendo los archivos de registro estándar y capturando paquetes que ingresan y salen de su servidor.

Suscríbase a How To Make Tech Work de Newsmatic en YouTube para obtener todos los últimos consejos tecnológicos para profesionales empresariales de Jack Wallen.

Cómo agregar soporte de Docker a Visual Studio Code

En Newsmatic nos especializamos en tecnología de vanguardia, contamos con los artículos mas novedosos sobre Desarrollo, allí encontraras muchos artículos similares a Cómo instalar Zeek en Ubuntu Server 22.04 para monitorear la seguridad de tu red , tenemos lo ultimo en tecnología 2023.

Artículos Relacionados

Subir

Utilizamos cookies para mejorar su experiencia de navegación, mostrarle anuncios o contenidos personalizados y analizar nuestro tráfico. Al hacer clic en “Aceptar todo” usted da su consentimiento a nuestro uso de las cookies.