Prelude, ou Prelude-IDS, est un système de détection d’intrusion (IDS) hybride composé de types de détecteurs hétérogènes :
- un NIDS : NetWork Intrusion Detection System ;
- un HIDS : Host based Intrusion Detection System
- un LML : Log Monitoring Lackey.
Son installation n’étant pas totalement aisée et pour aider mon ami « Argos » qui peine dessus :-p , voici une petite check-list pour vous aider.
Principe de fonctionnement
Prelude est décliné en plusieurs modules:
* libprelude : le module général, obligatoire
* libpreludedb : pour l’interconnexion avec une base de données
* prelude-manager : le serveur qui centralise les informations
* prelude-lml : module d’analyse des logs
* prelude-pflogger: module d’analyse des logs pf (*BSD)
* prewikka : le front-end prelude
Depuis la version 0.9, Prelude n’inclue plus d’IDS.
Télécharger sur http://www.prelude-ids.org/ :
libprelude-0.9.14.tar.gz prelude-lml-0.9.10.tar.gz prelude-pflogger-0.9.0-rc2.tar.gz
libpreludedb-0.9.12.tar.gz prelude-manager-0.9.8.tar.gz prewikka-0.9.11.4.tar.gz
NB: Bien évidemment, changer les numéros des version par les dernières disponibles 🙂
Les IDS :
http://la-samhna.de/samhain/samhain-current.tar.gz
http://www.snort.org/dl/current/snort-2.7.0.tar.gz (non détaillé aujourd’hui, j’expliquerais plus en détails le fonctionnement de Snort dans un autre billet)
Packages pré-requis (exemple pour Debian, a adapter à votre distribution) :
apt-get install libpcap-dev flex byacc gtk-doc-tools libssl-dev mysql-server libmysqlclient10-dev
libxml2-dev libpcre3-dev libfam-dev gnutls-bin libgcrypt11-dev libgnutls11-dev libgpg-error-dev
libopencdk8-dev libtasn1-2-dev libxmlsec1 libxmlsec1-gnutls
Attention version de libgnutls-dev en 1.0.7 minimum
Egalement python et python-dev
Installation de libprelude
libprelude-0.9.14# ./configure –enable-gtk-doc
Dumping configuration
Generate documentation : yes
Libtool dynamic loader : Convenience
Perl binding : yes
Python binding : yesmake make install
Ou sur Debian (Testing)
apt-get install libprelude2 libprelude-dev
Installation de preludedb
libpreludedb-0.9.12# ./configure
make et make install
Editer /etc/ld.so/conf et ajouter /usr/local/lib
executer : ldconfig
Mysql
mysql> create database prelude ;
Query OK, 1 row affected (0.06 sec)
mysql> GRANT ALL PRIVILEGES ON prelude.* TO prelude@’localhost’ IDENTIFIED BY ‘prelude’;
Query OK, 0 rows affected (0.05 sec)
$ mysql -u prelude prelude -p < /usr/local/share/libpreludedb/classic/mysql.sql
Enter password:
Installation de Prelude Manager
prelude-manager-0.9.8# ./configure
make et make install
Editer /usr/local/etc/prelude-manager/prelude-manager.conf
prelude-adduser add prelude-manager –uid 0 –gid 0
Installation de Prelude-lml
Sous Debian (Testing)
apt-get install prelude-lml
Enregistrer l’IDS dans le Prelude-manager
prelude-adduser register prelude-lml « idmef:w admin:r » 127.0.0.1 –uid 1000 –gid 1000
Dans un autre terminal (aka nouvelle session ssh si à distance), lancer le service Prelude-manager :
prelude-adduser registration-server prelude-manager
Répondre aux questions (il s’agit d’un échange de clés TLS pour que le plugin s’authentifie sur le Prelude-Manager)
Editer le fichier /etc/prelude-lml/prelude-lml.conf
file = /var/log/messages
file = /var/log/syslog
file = /var/log/auth.log
et
[Pcre]
ruleset=/etc/prelude-lml/ruleset/pcre.rules
Dans le répertoire ruleset, éditer le fichier pcre.rules et commenter les champs de détection inutiles.
Installation de Samhain
$ ./configure »’–with-prelude »’
$ make
# make install
# make install-boot
Editer /etc/samhainrc :
[Log]
PreludeSeverity=crit
PreludeClass=EVENT
[Misc]
PreludeProfile=samhain
Enregistrer l’IDS dans prelude :
prelude-adduser register samhain « idmef:w » 127.0.0.1 –uid 1000 –gid 1000
Dans un autre terminal, lancer le service serveur
prelude-adduser registration-server prelude-manager
Noter le one-shot password et répondre aux questions
Enter the one-shot password provided by the « prelude-adduser » program:
enter registration one-shot password:
confirm registration one-shot password:
connecting to registration server (127.0.0.1:5553)…
Anonymous authentication to registration-server successful.
Sending certificate request.
Receiving signed certificate.
Receiving CA certificate.
samhain registration to 127.0.0.1 successful.
Initialiser la base
samhain -t init (ou samhain -t update pour la mise à jour)
Puis lancer le service
samhain -t check
Installation de Prewikka
Prérequis : Les templates Cheetah sur http://cheetahtemplate.org/
Cheetah-2.0rc8#python setup.py install
Installation de Prewikka
prewikka-0.9.11.4#python setup.py install
Création de la base Mysql
mysql> CREATE database prewikka;
Query OK, 1 row affected (0.05 sec)
mysql> GRANT ALL PRIVILEGES ON prewikka.* TO prewikka@’localhost’ IDENTIFIED BY ‘prewikka’;
Query OK, 0 rows affected (0.03 sec)
$ mysql -u prewikka prewikka -p < /usr/share/prewikka/database/mysql.sql
Enter password:
Editer le fichier /etc/prewikka/prewikka.conf
Renseigner les noms et password des bases mysql
Créér les Vhost Apache :
<VirtualHost *:80>
ServerName my.server.org
Setenv PREWIKKA_CONFIG « /etc/prewikka/prewikka.conf »
<Location « / »>
AllowOverride None
Options ExecCGI
<IfModule mod_mime.c>
AddHandler cgi-script .cgi
</IfModule>
Order allow,deny
Allow from all
</Location>
Alias /prewikka/ /usr/share/prewikka/htdocs/
ScriptAlias / /usr/share/prewikka/cgi-bin/prewikka.cgi
</VirtualHost>
En cas de problèmes python, recompiler depuis les sources :
sources/libprelude-0.9.14/bindings/python# python setup.py install
Fichier de conf des clients :
/etc/prelude/default
Dans global.conf
NodeName = toto.machine.et
Dans client.conf
server_address = ip du prelude manager
Voila un petit aide mémoire qui ne se veut nullement un Tutoriel d’installation, je ne peux que vous inviter à lire le « Handbook » sur le site de Prélude qui contient toutes les informations nécessaires pour installer et configurer votre système.
