Bro网络安全监控现在已经改名为Zeek,是功能强大的网络分析软件,与一般典型的IDS有很大不同。它具有以下特点:
- 适应性强:Zeek的特定于域的脚本语言可启用特定于站点的监视策略。
- 高效:Zeek以高性能网络为目标,可在各种大型站点上使用。
- 灵活:Zeek不限于任何特定的检测方法,也不依赖于传统签名。
- 日志:Zeek全面记录了所见内容,并提供了网络活动的高级存档。
- 深入分析:Zeek带有针对许多协议的分析器,可在应用程序层进行高级语义分析。
- 有状态:Zeek保持有关其监视的网络的广泛应用层状态。
- 开放式介面:Zeek与其他应用程序交互可以进行实时信息交换。
- 开源:Zeek带有BSD许可证,几乎没有任何限制,可以免费使用。
在专注于网络安全监控的同时,Zeek还提供了一个全面的平台来进行更常规的网络流量分析。自成立以来,Zeek凭借20多年的研究经验,成功地弥合了学术界与运营界之间的传统鸿沟。如今,大型公司以及众多教育和科研机构在操作上都依靠它来确保其防火墙的安全。
但是,在pfSense的官方软件源中,是不提供该软件安装的,不过,有团队提供了该程序的开源版本,可以在pfSense上正常运行,经本人测试,在pfSense 2.4.4-RELEASE-p3上可以正常运行。
在最新的pfSense 2.60和pfSense plus 22.01版本中,官方已收录该软件,直接在插件管理当中安装即可。
以下为安装步骤:
一、开启防火墙的SSH访问
登录到pfsense并浏览至“系统”>“高级选项”,然后向下滚动至“ SSH”部分并选中“启用安全Shell”。
二、启用PKG上游存储库
默认情况下,pfSense禁用上游pkg存储库(出于安全的理由)。 需要暂时重新启用它,这里需要修改一个文件。
用WinSCP软件登陆到pfSense后台,
修改下面这个文件:
/usr/local/etc/pkg/repos/FreeBSD.conf /usr/local/share/pfSense/pkg/repos/pfSense-repo.conf
把这两个文件第一行默认的:
FreeBSD: { enabled: no }
改为:
FreeBSD: { enabled: yes }
三、上传并安装软件包
1、点击下载Bro网络安全监控软件包,通过WinSCP将pfSense-pkg-bro-0.1.0.txz文件上传到pfSense系统根目录的/tmp目录下。
2、由于该软件包取决于bro,因此我们需要更
新pkg缓存并继续安装bro。在命令行执行下面的命令:
pkg update && pkg install -y bro
运行完成以后,执行以下命令
cd /tmp
pkg install pfSense-pkg-bro-0.1.0.txz
根据提示完成安装,通过访问系统服务> Bro NSM来配置并监控网络。
具体的设置和使用不再赘述!
