View
114
Download
0
Category
Preview:
Citation preview
CCNA Security
Groupe 8303
Présenté
A Mr. : Par :
NAMALKA Omarou BAWA Marie
ECOLE POLYTECHNIQUE DE NIAMEY
Outils de Supervision
Thème: PRELUDE
Table des matières Introduction ........................................................................................................ 3
Prérequis ............................................................................................................ 3
Installation et Configuration ............................................................................... 3
I. Libprelude ................................................................................................. 4
figure1 ......................................................................................................... 4
II. LibpreludeDB ........................................................................................ 4
figure2 ......................................................................................................... 5
figure3 : connexion au server sql ................................................................. 5
figure4 : création d’une base de données ..................................................... 6
figure5 : connexion d’un user de la base ...................................................... 6
III. Prelude-Manager .................................................................................... 6
figure7 : paramètres de DB dans prelude-manager ...................................... 7
IV. Prelude-Correlator.................................................................................. 7
V. Prelude-LML ......................................................................................... 7
VI. Prelude-Prewikka ................................................................................... 7
figure8 : création d’une base de données prewikka ...................................... 8
figure9 : fichier prewikka.conf .................................................................... 9
figure10 : fichier apache2 de prewikka ........................................................ 9
Test .................................................................................................................. 10
Conclusion ....................................................................................................... 10
Introduction Prelude-IDS est un système de détection d'intrusions et d'anomalies distribué sous licence
GPL, il est composé des types de détecteurs hétérogènes :
un NIDS : Network Intrusion Detection System : Snort
un HIDS : Host based Intrusion Detection System : OSSEC
un LML : Log Monitoring Lackey. Module de prelude : prelude-lml
Un tel système vient compléter la panoplie des équipements et logiciels de sécurité (routeurs
filtrants, serveurs proxy, pare-feu...) et offre à l’exploitant Sécurité et/ou l’analyste un outil de
contrôle des activités suspectes ou illicites (internes comme externes). L’intérêt de Prelude est
de pouvoir centraliser les alertes dans sa base de données et de les normaliser au format
IDMEF (Intrusion Detection Message Exchange Format), puis visualisable dans une interface
web
Pré-requis Une bonne connexion Internet
Une machine Ubuntu version 8.04
Apt-get update
Apt-get upgrade
Puis ces paquets afin d’éviter certains problèmes lors de la configuration :
Apt-get install man wget ssh build-essential checkinstall libpcap-dev flex byacc gtk-doc-tools
libssl-dev libxml-dev libpcre3-dev libfam-dev gnutls-bin libgcrypt11-dev libgnutls-dev
libgpg-error-dev libopencdk10-dev libxmlsec1 libxmlsec1-gnutls
Installation et Configuration
Prelude fonctionne avec plusieurs modules qui sont:
Libprelude
LibpreludeDB
Pelude-Manager
Prelude-correlator
Prelude-LML
Prewikka
I. Libprelude
Libprelude est une bibliothèque permettant une communication sécurisée entre différentes
sondes et un serveur Prelude (Prelude-Manager). Pour l’installer il faut télécharger ce paquet :
Wget http://www.prelude-ids.com/download/releases/libprelude/libprelude-0.9.24.1.tar.gz
Apres on décompresse le paquet avec tar zxf libprelude-0.9.24.1 puis ./configure ; make et
make install. Puis ajouter la ligne /usr/local/lib tout en éditant le fichier /etc/ld.so.conf. Voir
figure1
figure1
Cette partie correspond à la configuration de Prelude en général, c’est-à-dire à Libprelude
installé sur un poste client ou serveur. En effet, quel que soit l’usage, et l’installation étant la
même sur les deux types de postes, la configuration de base de Prelude se trouve par défaut
dans le répertoire /usr/local/etc/prelude/default.
Ce dossier contient plusieurs fichiers de configuration tels que:
client.conf : il permet de configurer l’agent ou la sonde (prelude-correlator) mais aussi
d’indiquer l’adresse du serveur prelude-manager
global.conf : il est permet de paramétrer certaines options pour gérer des champs à
remplir lors de l’envoi d’alerte, ou encore pour préciser les informations sur le poste
serveur ou client (multiples adresses ip, nom du vlan, …etc).
idmef-client.conf : Quant à ce fichier, idmef-client.conf, il contient les liens vers les
deux fichiers précédents, à savoir client.conf et global.conf.
tls.conf : Afin de paramétrer la génération des certificats, comme la durée de vie ou la
valeur de la clé de cryptage (par défaut 1024), il faut éditer le fichier tls.conf
II. LibpreludeDB
La librairie LibpreludeDB permet la gestion du type et du format de la base de données
utilisée pour stocker les alertes au format IDMEF. Elle offre aussi la possibilité de gérer la
base de données sans utiliser du SQL, grâce à l’usage de commandes, spécialement
développées pour interagir depuis un terminal Linux.
Installer d’abord le paquet avec Apt-get install mysql-server puis télécharger la librairie dans :
Wget http://www.prelude-ids.com/download/releases/libpreludedb/libpreludedb-0.9.15.3.tar.g
On décompresse avec tar zxf, ./configure, make et make install puis éditer /etc/ld.so/conf le
fichier pour inclure les lignes suivantes. Voir figure2
figure2
Pour la configuration, il faut créer une base de données qui nous permettra de stocker les
alertes : il faut d’abord se connecter en tant root avec un mot de passe ici passe= pass=2. La
commande est :
mysql -u root –p. voir figure3
figure3 : connexion au server SQL
Puis créer la base et l’utilisateur qui va se connecter dans mysql-server. Voir figure4
figure4 : création d’une base de données
La connexion d’utilisateur au serveur mysql. Voir figure5
figure5 : connexion d’un user de la base
III. Prelude-Manager
Prelude-Manager est le composant principal de Prelude, il joue le rôle de serveur. En effet, il
réceptionne les alertes IDMEF provenant de ses sondes ou de ses composants (Prelude-
Correlator).
Pour l’installation on télécharge le paquet avec :
Wget http://www.prelude-ids.com/download/releases/prelude-manager/prelude-manager-
0.9.15.tar.gz puis on décompresse avec tar zxf, ./configure, make et make install
Apres éditer le fichier /etc/ld.so.conf pour inclure les lignes suivantes. Voir figure6
figure6
Pour la configuration de base il faut éditer le fichier suivant : prelude-manager.conf qui se
trouve dans /usr/local/etc/prelude-manager/prelude-manager.conf
Puis spécifier l’adresse sur laquelle prelude-manager doit écouter. Ici elle est globale
donc 0.0.0.0. Voir figure
Puis indiquer les paramètres de la base de données, ce qui permettra à prelude-manager d’être
prêt à démarrer et à fonctionner. Voir figure7
figure7 : paramètres de DB dans prelude-manager
IV. Prelude-Correlator
C’est un outil de corrélation multiflux, utilisant des règles écrites en Python pour corréler les
alertes IDMEF reçues par Prelude-Manager. Pour l’installation d’abord préparer
l’environnement Python avec Apt-get install python puis télécharger le paquet de corrélation
avec : wget http://www.prelude-ids.com/download/releases/prelude-correlator/prelude-
correlator-0.9.0-beta6.tar.gz. Décompressez avec le tar zxf, ./configure, make et make install.
Puis inclure la ligne « include /usr/local/lib/prelude-correlator » dans le fichier /etc/ld.so.conf
Pour la configuration c’est simple car y a pas grande chose à faire, il suffit d’éditer le fichier
client.conf qui se trouve dans /usr/local/etc/prelude/default, pour inclure l’adresse
du server (ici 172.16.1.2). On peut implémenter des règles mais ce n’est pas le cas ici.
V. Prelude-LML
Prelude-LML est un analyseur de fichiers de logs. En agissant comme sonde auprès de
Prelude-Manager, il collecte et analyse les informations issues de tous types d’applications
émettant des évènements sous forme de journaux systèmes, de massages syslog, …etc. Il
détecte des activités suspectes lors de ses analyses, puis génère des alertes au format IDMEF
et les transmet au serveur Prelude.
Télécharger le paquet sur wget http://www.prelude-ids.com/download/releases/prelude-
lml/prelude-lml-0.9.15.tar.gz puis installer et inclure la ligne suivante :
Include /usr/local/lib/prelude-lml dans /etc/ld.so.conf
Pour configurer éditer le fichier /usr/local/etc/prelude-lml/prelude-lml.conf
VI. Prelude-Prewikka
Interface web de Prelude. Prewikka permet de visualiser les alertes reçues par Prelude-
Manager. La mise en place de l’interface web nécessite d’installer quelques paquets
supplémentaires :
Apt-get install apache2 libapache2-mod-python mysql-server python python-dev python-
setuptools. Puis on télécharge le paquet avec wget http://www.prelude-
ids.com/download/releases/prewikka/prewikka-0.9.17.tar.gz. Apres on décompresse avec tar
zxf, ./configure, make et make install. Il y a des paquets pour l’interface qu’il faut installer :
Apt-get install cheetah
Python setup.py build
Python setup.py install
Pour la configuration, il faut d’abord, pour l’interface Prewikka, il faut créer une base de
données. Voir figure
figure8 : création d’une base de données prewikka
Pour la configuration de base il faut éditer le fichier prewikka.conf qui se trouve dans le
répertoire prewikka pour ajouter la base de Manager et celle de prewikka. Voir figure9
figure9 : fichier prewikka.conf
Pour la configuration de apache2 on crée d’abord un site pour notre prewikka ici
/etc/apache2/sites-available/prewikka puis on édite ce dernier pour le configurer. Voir
figure10
figure10 : fichier apache2 de prewikka
Il faut inclure le fichier prewikka dans /etc/apache2/apache2.conf
Puis redémarrer apache2 pour que la configuration faite soit prise en compte avec
/etc/init.d/apache2 restart
NB : N’oubliez pas d’inclure l’adresse du serveur prelude-manager dans le fichier client.conf
qui se trouve dans /usr/local/etc/prelude/default
Test Apres l’installation et configuration de ces services, Prelude doit marcher mais ce qui n’est
pas le cas ici car il y a certains paquets qui ne s’installent pas donc aucun résultat.
Conclusion L’application Prelude est disponible uniquement sous Linux, bien qu’il ait une offre payante
(support, fonctionnalités supplémentaires, …), le logiciel est gratuit.
Prelude est un SIM Universel. Prelude collecte, normalise, catégorise, agrège, corrèle et
présente tous les événements sécurité.
Visualisez en temps réel l'ensemble de vos données sécurité, exporter des rapports :
transformer vos données brutes en information utile
Recommended