So installieren Sie Zeek Network Security Monitor unter Debian 12

In diesem Tutorial zeigen wir Ihnen, wie Sie Zeek Network Security Monitor unter Debian 12 installieren. Zeek, früher bekannt als Bro, ist ein leistungsstarker Open-Source-Netzwerksicherheitsmonitor. Es ist nicht nur ein typisches Intrusion Detection System (IDS), sondern ein robustes Netzwerkanalyse-Framework, das über herkömmliche IDS-Funktionen hinausgeht. Zeek bietet Echtzeiteinblicke in die Vorgänge Ihres Netzwerks und hilft Ihnen, Sicherheitsvorfälle zu erkennen und zu verhindern. Die Vorteile der Verwendung von Zeek zur Überwachung der Netzwerksicherheit sind zahlreich. Es bietet eine detaillierte Protokollierung des Netzwerkverkehrs, skriptfähige ereignisgesteuerte Analysen und die Möglichkeit, eine breite Palette von Netzwerkanomalien und Sicherheitsvorfällen zu erkennen.

Dieser Artikel setzt voraus, dass Sie über Grundkenntnisse in Linux verfügen, wissen, wie man die Shell benutzt, und, was am wichtigsten ist, dass Sie Ihre Site auf Ihrem eigenen VPS hosten. Die Installation ist recht einfach und setzt voraus, dass Sie das Root-Konto verwenden. Wenn nicht, müssen Sie möglicherweise ‚sudo‚ zu den Befehlen hinzu, um Root-Rechte zu erhalten. Ich zeige Ihnen die schrittweise Installation des Open-Source-Netzwerkverkehrsanalysators Zeek auf einem Debian 12 (Bücherwurm).

Voraussetzungen

  • Ein Server, auf dem eines der folgenden Betriebssysteme läuft: Debian 12 (Bücherwurm).
  • Um potenzielle Probleme zu vermeiden, wird eine Neuinstallation des Betriebssystems empfohlen.
  • SSH-Zugriff auf den Server (oder öffnen Sie einfach Terminal, wenn Sie an einem Desktop sitzen).
  • Sie benötigen eine aktive Internetverbindung, um das Zeek Network Security Monitor-Paket herunterzuladen.
  • Ein Benutzerkonto mit Sudo-Berechtigungen: sudooder „superuser do“, ist ein leistungsstarker Befehl, der es Benutzern ermöglicht, Befehle mit den Sicherheitsberechtigungen eines anderen Benutzers (standardmäßig des Superusers) auszuführen.

Installieren Sie Zeek Network Security Monitor auf Debian 12 Bookworm

Schritt 1. Bevor Sie Zeek installieren, müssen Sie Ihr Debian-Repository aktualisieren und auffrischen, indem Sie den folgenden Befehl ausführen:

sudo apt update
sudo apt upgrade

Dieser Befehl aktualisiert die Paketlisten für Upgrades und neue Paketinstallationen.

Schritt 2. Installieren von Zeek Network Security Monitor unter Debian 12.

Nachdem Sie das Repository aktualisiert haben, können Sie mit der Zeek-Installation beginnen. Fügen Sie zunächst mit den folgenden Befehlen den GPG-Schlüssel und das Repository für das Zeek-Paket hinzu:

curl -fsSL https://download.opensuse.org/repositories/security:zeek/Debian_12/Release.key | gpg --dearmor | sudo tee /etc/apt/trusted.gpg.d/security_zeek.gpg > /dev/null
echo 'deb http://download.opensuse.org/repositories/security:/zeek/Debian_12/ /' | sudo tee /etc/apt/sources.list.d/security:zeek.list

Aktualisieren Sie als Nächstes Ihr Debian-Repository, indem Sie den folgenden Befehl ausführen:

sudo apt update

Jetzt können Sie Zeek installieren, indem Sie den folgenden Befehl ausführen:

sudo apt install zeek-lts

Nach der Installation können Sie mit den folgenden Befehlen den Speicherort der Zeek-Binärdatei und die Zeek-Version überprüfen und die Zeek-Hilfemeldung ausdrucken:

which zeek
zeek --version
zeek --help

Schritt 3. Zeek konfigurieren.

Der erste Schritt bei der Konfiguration von Zeek im Standalone-Modus besteht darin, die Netzwerkschnittstelle festzulegen, die Zeek überwachen soll. Öffnen Sie das node.cfg Datei im $PREFIX/etc/ Verzeichnis, in dem $PREFIX ist das Stammverzeichnis der Zeek-Installation. Standardmäßig ist dies /usr/local/zeek wenn Sie von einer Quelle installiert haben, oder /opt/zeek wenn Sie von einem Binärpaket installiert haben. Wenn Ihre Netzwerkschnittstelle beispielsweise ‚eth0‚, würde die Konfiguration folgendermaßen aussehen:

(zeek)
type=standalone
host=localhost
interface=eth0

Wenn Sie Zeek in einer Clusterkonfiguration ausführen möchten, müssen Sie definieren, wo Logger, Manager, Proxys und Worker ausgeführt werden. Kommentieren Sie für eine Clusterkonfiguration den Standalone-Knoten im node.cfg und heben Sie für jeden Knoten in Ihrem Cluster (Logger, Manager, Proxy und Worker) die Kommentierung auf oder fügen Sie Knoteneinträge hinzu:

Um beispielsweise fünf Zeek-Knoten (zwei Worker, einen Proxy, einen Logger und einen Manager) auf einem Cluster aus drei Maschinen auszuführen, würde die Clusterkonfiguration folgendermaßen aussehen:

(logger)
type=logger
host=192.168.1.1

(manager)
type=manager
host=192.168.1.2

(proxy-1)
type=proxy
host=192.168.1.2

(worker-1)
type=worker
host=192.168.1.3
interface=eth0

(worker-2)
type=worker
host=192.168.1.3
interface=eth1

Nach der Konfiguration von Zeek können Sie es über den zeekctl Befehl:

zeekctl deploy

Dieser Befehl ist gleichbedeutend mit dem install Und start Befehle in Zeek. Sie können den Status jeder Komponente Ihres Zeek-Clusters überprüfen, indem Sie den status Befehl:

zeekctl status

Herzlichen Glückwunsch! Sie haben Zeek erfolgreich installiert. Vielen Dank, dass Sie dieses Tutorial verwendet haben, um die neueste Version des Open-Source-Netzwerkverkehrsanalysators Zeek unter Debian 12 zu installieren. BücherwurmFür weitere Hilfe oder nützliche Informationen empfehlen wir Ihnen, die offizielle Zeek-Website.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert