تثبيت Zeek على أوبنتو 16.04

تحليل الشبكات: كيفية تثبيت إطار المراقبة الشبكية Bro على خادم أوبنتو 16.04

تُعد المراقبة الشبكية أحد أهم جوانب الأمان في أي بنية شبكية، حيث تساعد على تتبع الأنشطة المشبوهة وتقديم رؤى تفصيلية حول البيانات المتدفقة عبر الشبكة. في هذا السياق، يُعتبر إطار العمل “Bro” (الذي يُعرف الآن بـ Zeek) أحد الأدوات القوية التي تُستخدم لتحليل حركة مرور الشبكة واكتشاف الأنماط غير العادية. في هذا المقال، سنتناول بالتفصيل كيفية تثبيت إطار العمل Bro على خادم يعمل بنظام أوبنتو 16.04، مع شرح لكافة الخطوات الضرورية لإتمام هذه العملية.

مقدمة حول إطار العمل Bro (Zeek)

يعد إطار Bro أداة مفتوحة المصدر لتحليل الشبكة والتي تعمل على مراقبة حركة مرور البيانات عبر الشبكات من خلال تحليل الحزم الشبكية وتوفير مجموعة واسعة من الأدوات التي تساعد في تحليل الأحداث والأنماط المشبوهة. يعتبر Zeek (Bro سابقًا) أداة مهمة في مجال أمن الشبكات، حيث يُستخدم للكشف عن الهجمات وتحليل الأنماط التي قد تشير إلى وجود تهديدات أمنية.

عند استخدام Zeek، يمكن للمسؤولين مراقبة حركة المرور في الوقت الفعلي، وتحديد أوجه القصور في الشبكة، وكذلك جمع البيانات اللازمة للتحقيقات الأمنية وتحليل الجرائم الإلكترونية. يقدم Zeek مجموعة من الأدوات البرمجية المتقدمة التي تتيح للمستخدمين تخصيص كيفية جمع وتحليل البيانات.

متطلبات النظام لتثبيت Zeek على أوبنتو 16.04

قبل بدء عملية التثبيت، يجب التأكد من أن الخادم يعمل بنظام أوبنتو 16.04 وأنه يتوفر على المتطلبات الأساسية لتشغيل Zeek. هذه المتطلبات تشمل:

• نظام تشغيل Ubuntu 16.04 LTS أو أعلى.

• ذاكرة وصول عشوائي (RAM) لا تقل عن 4 جيجابايت.

• وحدة معالجة مركزية (CPU) متعددة النوى للحصول على أداء أفضل.

• مساحة تخزين تتراوح بين 20 و 40 جيجابايت من المساحة المتاحة على القرص.

الخطوات الأساسية لتثبيت Zeek على أوبنتو 16.04

1. تحديث النظام

أولاً، يجب التأكد من أن النظام محدث بشكل كامل. يمكن القيام بذلك عبر تنفيذ الأمر التالي:

bash
CopyEdit
sudo apt-get update && sudo apt-get upgrade

هذه الخطوة تضمن أن جميع الحزم المثبتة على النظام هي الأحدث.

2. تثبيت المتطلبات الأساسية

قبل تثبيت Zeek، يجب تثبيت بعض الحزم البرمجية الأساسية التي يعتمد عليها النظام. وتشمل هذه الحزم أدوات البناء، المترجمات، والمكتبات اللازمة.

bash
CopyEdit
sudo apt-get install -y build-essential cmake gcc g++ flex bison python-dev \
    libpcap-dev libssl-dev make gawk pkg-config libgeoip-dev

يتم تثبيت هذه الحزم باستخدام apt-get لضمان توفر كافة الأدوات الضرورية لإعداد بيئة تثبيت Zeek.

3. تنزيل وتثبيت Zeek

الخطوة التالية هي تنزيل الشيفرة المصدرية لـ Zeek من مستودع المشروع. يمكن القيام بذلك باستخدام git، ثم إنشاء دليل لتنزيل الشيفرة المصدرية وتثبيتها.

أولاً، قم بتنزيل مستودع Zeek من GitHub:

bash
CopyEdit
git clone https://github.com/zeek/zeek.git
cd zeek

بمجرد أن يتم تنزيل الشيفرة المصدرية، يمكن بناء وتثبيت Zeek عبر الخطوات التالية:

1. قم بإنشاء مجلد البناء:

   bash
   CopyEdit
   mkdir build
   cd build
   

2. قم بتشغيل cmake لتحضير بيئة البناء:

   bash
   CopyEdit
   cmake ..
   

3. بعد اكتمال عملية التحضير، قم ببناء Zeek باستخدام الأمر:

   bash
   CopyEdit
   make
   

4. أخيرًا، قم بتثبيت Zeek على النظام باستخدام الأمر:

   bash
   CopyEdit
   sudo make install
   

4. التحقق من التثبيت

بعد الانتهاء من عملية التثبيت، يمكن التحقق من أن Zeek تم تثبيته بنجاح عبر تنفيذ الأمر التالي:

bash
CopyEdit
zeek --version

سيعرض هذا الأمر الإصدار المثبت من Zeek، مما يعني أن عملية التثبيت تمت بنجاح.

تكوين Zeek على أوبنتو 16.04

بعد تثبيت Zeek، يجب تكوينه ليعمل بشكل صحيح على الخادم. يتضمن هذا الإعداد تحديد الواجهات الشبكية التي يجب مراقبتها، إضافة إلى تخصيص قواعد الأمان وتحليل حركة المرور.

1. تحديد الواجهة الشبكية

بما أن Zeek يحتاج إلى مراقبة حركة مرور الشبكة على الواجهات المختلفة، يجب تحديد الواجهة أو الواجهات التي يجب على Zeek مراقبتها. للقيام بذلك، قم بفتح ملف الإعدادات zeekctl.cfg في محرر النصوص المفضل لديك:

bash
CopyEdit
sudo nano /usr/local/zeek/etc/zeekctl.cfg

في هذا الملف، ستجد خيارًا يتيح لك تحديد الواجهة الشبكية (مثل eth0 أو wlan0) التي تريد مراقبتها. قم بتعديل هذا الخيار بناءً على الواجهة المناسبة لجهازك.

2. بدء تشغيل Zeek

بعد تكوين الواجهة، يمكنك بدء تشغيل Zeek باستخدام zeekctl، وهي الأداة التي توفر واجهة سطر أوامر لإدارة Zeek. لتشغيل Zeek، قم بإدخال الأوامر التالية:

bash
CopyEdit
sudo zeekctl deploy

يمكنك استخدام zeekctl أيضًا لإيقاف تشغيل Zeek أو إعادة تشغيله:

• لإيقاف Zeek:

  bash
  CopyEdit
  sudo zeekctl stop
  

• لإعادة تشغيل Zeek:

  bash
  CopyEdit
  sudo zeekctl restart
  

3. التحقق من التشغيل

بعد تشغيل Zeek، يمكنك التحقق من حالة النظام والتأكد من أنه يعمل بشكل صحيح عبر تشغيل:

bash
CopyEdit
sudo zeekctl status

سوف يظهر لك حالة جميع المكونات الرئيسية لـ Zeek مثل zeek و zeekctl وما إذا كان يعمل بنجاح أم لا.

مراقبة وتحليل حركة المرور باستخدام Zeek

بعد التثبيت والتشغيل الناجح لـ Zeek، ستكون قادرًا على بدء مراقبة حركة المرور الشبكية في الوقت الفعلي. ستقوم الأداة بتحليل الحزم الشبكية وتوليد سجلات وملفات بيانات يمكن استخدامها للتحليل واكتشاف الأنماط المريبة.

1. تحليل السجلات

Zeek يقوم بتخزين بيانات المراقبة في ملفات سجل تحت المجلد logs. هذه السجلات تحتوي على معلومات مفصلة حول حركة المرور عبر الشبكة. يمكن للمسؤولين الوصول إلى هذه السجلات واستخدامها لتحليل الأنشطة المريبة.

على سبيل المثال، للوصول إلى سجلات الاتصال، يمكنك الذهاب إلى المجلد:

bash
CopyEdit
cd /usr/local/zeek/logs/current/

تحتوي هذه السجلات على معلومات حول كافة المحاولات للاتصال عبر الشبكة، بما في ذلك العناوين IP، المنافذ، والبروتوكولات المستخدمة.

2. تخصيص القواعد الأمنية

Zeek يسمح أيضًا بتخصيص القواعد الأمنية الخاصة به. يتم تخزين هذه القواعد في ملفات نصية يمكن تعديلها بحسب احتياجات الشبكة. يمكن إضافة قواعد جديدة للكشف عن التهديدات المحددة مثل الهجمات عبر الشبكة أو محاولات التسلل.

الخلاصة

تثبيت Zeek (المعروف سابقًا بـ Bro) على خادم أوبنتو 16.04 يتطلب بضع خطوات بسيطة بدءًا من تحديث النظام وتنزيل المتطلبات الأساسية، مرورًا بتثبيت Zeek وبناءه من المصدر، وصولًا إلى تكوينه لمراقبة حركة المرور الشبكية. يوفر Zeek أداة قوية لتحليل حركة المرور وتوفير بيانات تفصيلية حول الشبكة، مما يساعد المسؤولين في الكشف عن الأنماط المشبوهة وأي تهديدات أمنية محتملة.