ECOLE POLYTECHNIQUE DE NIAMEY

CCNA Security

Outils de Supervision
Thème: PRELUDE

Groupe 8303

Présenté

A Mr. :
NAMALKA Omarou

Par :
BAWA Marie

Table des matières
Introduction ........................................................................................................ 3 Prérequis ............................................................................................................ 3 Installation et Configuration ............................................................................... 3 I. Libprelude ................................................................................................. 4 figure1 ......................................................................................................... 4 II. LibpreludeDB ........................................................................................ 4

figure2 ......................................................................................................... 5 figure3 : connexion au server sql ................................................................. 5 figure4 : création d’une base de données ..................................................... 6 figure5 : connexion d’un user de la base ...................................................... 6 III. Prelude-Manager .................................................................................... 6

figure7 : paramètres de DB dans prelude-manager ...................................... 7 IV. Prelude-Correlator.................................................................................. 7 V. Prelude-LML ......................................................................................... 7

VI. Prelude-Prewikka ................................................................................... 7 figure8 : création d’une base de données prewikka ...................................... 8 figure9 : fichier prewikka.conf .................................................................... 9 figure10 : fichier apache2 de prewikka ........................................................ 9 Test .................................................................................................................. 10 Conclusion ....................................................................................................... 10

Introduction
Prelude-IDS est un système de détection d'intrusions et d'anomalies distribué sous licence GPL, il est composé des types de détecteurs hétérogènes :
  

un NIDS : Network Intrusion Detection System : Snort un HIDS : Host based Intrusion Detection System : OSSEC un LML : Log Monitoring Lackey. Module de prelude : prelude-lml

Un tel système vient compléter la panoplie des équipements et logiciels de sécurité (routeurs filtrants, serveurs proxy, pare-feu...) et offre à l’exploitant Sécurité et/ou l’analyste un outil de contrôle des activités suspectes ou illicites (internes comme externes). L’intérêt de Prelude est de pouvoir centraliser les alertes dans sa base de données et de les normaliser au format IDMEF (Intrusion Detection Message Exchange Format), puis visualisable dans une interface web

Pré-requis
     Une bonne connexion Internet Une machine Ubuntu version 8.04 Apt-get update Apt-get upgrade Puis ces paquets afin d’éviter certains problèmes lors de la configuration :

Apt-get install man wget ssh build-essential checkinstall libpcap-dev flex byacc gtk-doc-tools libssl-dev libxml-dev libpcre3-dev libfam-dev gnutls-bin libgcrypt11-dev libgnutls-dev libgpg-error-dev libopencdk10-dev libxmlsec1 libxmlsec1-gnutls

Installation et Configuration
Prelude fonctionne avec plusieurs modules qui sont: Libprelude LibpreludeDB

Pelude-Manager Prelude-correlator Prelude-LML Prewikka

I.

Libprelude

Libprelude est une bibliothèque permettant une communication sécurisée entre différentes sondes et un serveur Prelude (Prelude-Manager). Pour l’installer il faut télécharger ce paquet : Wget http://www.prelude-ids.com/download/releases/libprelude/libprelude-0.9.24.1.tar.gz Apres on décompresse le paquet avec tar zxf libprelude-0.9.24.1 puis ./configure ; make et make install. Puis ajouter la ligne /usr/local/lib tout en éditant le fichier /etc/ld.so.conf. Voir figure1

figure1 Cette partie correspond à la configuration de Prelude en général, c’est-à-dire à Libprelude installé sur un poste client ou serveur. En effet, quel que soit l’usage, et l’installation étant la même sur les deux types de postes, la configuration de base de Prelude se trouve par défaut dans le répertoire /usr/local/etc/prelude/default. Ce dossier contient plusieurs fichiers de configuration tels que:

client.conf : il permet de configurer l’agent ou la sonde (prelude-correlator) mais aussi d’indiquer l’adresse du serveur prelude-manager

global.conf : il est permet de paramétrer certaines options pour gérer des champs à remplir lors de l’envoi d’alerte, ou encore pour préciser les informations sur le poste serveur ou client (multiples adresses ip, nom du vlan, …etc).

idmef-client.conf : Quant à ce fichier, idmef-client.conf, il contient les liens vers les deux fichiers précédents, à savoir client.conf et global.conf.

tls.conf : Afin de paramétrer la génération des certificats, comme la durée de vie ou la valeur de la clé de cryptage (par défaut 1024), il faut éditer le fichier tls.conf

II.

LibpreludeDB

La librairie LibpreludeDB permet la gestion du type et du format de la base de données utilisée pour stocker les alertes au format IDMEF. Elle offre aussi la possibilité de gérer la base de données sans utiliser du SQL, grâce à l’usage de commandes, spécialement développées pour interagir depuis un terminal Linux. Installer d’abord le paquet avec Apt-get install mysql-server puis télécharger la librairie dans : Wget http://www.prelude-ids.com/download/releases/libpreludedb/libpreludedb-0.9.15.3.tar.g On décompresse avec tar zxf, ./configure, make et make install puis éditer /etc/ld.so/conf le fichier pour inclure les lignes suivantes. Voir figure2

figure2 Pour la configuration, il faut créer une base de données qui nous permettra de stocker les alertes : il faut d’abord se connecter en tant root avec un mot de passe ici passe= pass=2. La commande est : mysql -u root –p. voir figure3

figure3 : connexion au server SQL Puis créer la base et l’utilisateur qui va se connecter dans mysql-server. Voir figure4

figure4 : création d’une base de données La connexion d’utilisateur au serveur mysql. Voir figure5

figure5 : connexion d’un user de la base

III.

Prelude-Manager

Prelude-Manager est le composant principal de Prelude, il joue le rôle de serveur. En effet, il réceptionne les alertes IDMEF provenant de ses sondes ou de ses composants (PreludeCorrelator). Pour l’installation on télécharge le paquet avec : Wget http://www.prelude-ids.com/download/releases/prelude-manager/prelude-manager-

0.9.15.tar.gz puis on décompresse avec tar zxf, ./configure, make et make install Apres éditer le fichier /etc/ld.so.conf pour inclure les lignes suivantes. Voir figure6

figure6 Pour la configuration de base il faut éditer le fichier suivant : prelude-manager.conf qui se trouve dans /usr/local/etc/prelude-manager/prelude-manager.conf Puis spécifier l’adresse sur laquelle prelude-manager doit écouter. Ici elle est globale donc 0.0.0.0. Voir figure

Puis indiquer les paramètres de la base de données, ce qui permettra à prelude-manager d’être prêt à démarrer et à fonctionner. Voir figure7

figure7 : paramètres de DB dans prelude-manager

IV.

Prelude-Correlator

C’est un outil de corrélation multiflux, utilisant des règles écrites en Python pour corréler les alertes IDMEF reçues par Prelude-Manager. Pour l’installation d’abord préparer l’environnement Python avec Apt-get install python puis télécharger le paquet de corrélation avec : wget http://www.prelude-ids.com/download/releases/prelude-correlator/prelude-

correlator-0.9.0-beta6.tar.gz. Décompressez avec le tar zxf, ./configure, make et make install. Puis inclure la ligne « include /usr/local/lib/prelude-correlator » dans le fichier /etc/ld.so.conf Pour la configuration c’est simple car y a pas grande chose à faire, il suffit d’éditer le fichier client.conf qui se trouve dans /usr/local/etc/prelude/default, pour inclure l’adresse du server (ici 172.16.1.2). On peut implémenter des règles mais ce n’est pas le cas ici.

V.

Prelude-LML

Prelude-LML est un analyseur de fichiers de logs. En agissant comme sonde auprès de Prelude-Manager, il collecte et analyse les informations issues de tous types d’applications émettant des évènements sous forme de journaux systèmes, de massages syslog, …etc. Il détecte des activités suspectes lors de ses analyses, puis génère des alertes au format IDMEF et les transmet au serveur Prelude. Télécharger le paquet sur wget http://www.prelude-ids.com/download/releases/preludelml/prelude-lml-0.9.15.tar.gz puis installer et inclure la ligne suivante : Include /usr/local/lib/prelude-lml dans /etc/ld.so.conf Pour configurer éditer le fichier /usr/local/etc/prelude-lml/prelude-lml.conf

VI. Prelude-Prewikka
Interface web de Prelude. Prewikka permet de visualiser les alertes reçues par PreludeManager. La mise en place de l’interface web nécessite d’installer quelques paquets supplémentaires :

Apt-get install apache2 libapache2-mod-python mysql-server python python-dev pythonsetuptools. Puis on télécharge le paquet avec wget http://www.prelude-

ids.com/download/releases/prewikka/prewikka-0.9.17.tar.gz. Apres on décompresse avec tar zxf, ./configure, make et make install. Il y a des paquets pour l’interface qu’il faut installer : Apt-get install cheetah

Python setup.py build

Python setup.py install Pour la configuration, il faut d’abord, pour l’interface Prewikka, il faut créer une base de données. Voir figure

figure8 : création d’une base de données prewikka Pour la configuration de base il faut éditer le fichier prewikka.conf qui se trouve dans le répertoire prewikka pour ajouter la base de Manager et celle de prewikka. Voir figure9

figure9 : fichier prewikka.conf Pour la configuration de apache2 on crée d’abord un site pour notre prewikka ici /etc/apache2/sites-available/prewikka puis on édite ce dernier pour le configurer. Voir figure10

figure10 : fichier apache2 de prewikka Il faut inclure le fichier prewikka dans /etc/apache2/apache2.conf

Puis redémarrer apache2 pour que la configuration faite soit prise en compte avec /etc/init.d/apache2 restart NB : N’oubliez pas d’inclure l’adresse du serveur prelude-manager dans le fichier client.conf qui se trouve dans /usr/local/etc/prelude/default

Test
Apres l’installation et configuration de ces services, Prelude doit marcher mais ce qui n’est pas le cas ici car il y a certains paquets qui ne s’installent pas donc aucun résultat.

Conclusion
L’application Prelude est disponible uniquement sous Linux, bien qu’il ait une offre payante (support, fonctionnalités supplémentaires, …), le logiciel est gratuit. Prelude est un SIM Universel. Prelude collecte, normalise, catégorise, agrège, corrèle et présente tous les événements sécurité. Visualisez en temps réel l'ensemble de vos données sécurité, exporter des rapports : transformer vos données brutes en information utile

Sign up to vote on this title
UsefulNot useful