Vous êtes sur la page 1sur 10

ECOLE POLYTECHNIQUE DE NIAMEY

CCNA Security

Outils de Supervision
Thme: PRELUDE

Groupe 8303

Prsent

A Mr. :
NAMALKA Omarou

Par :
BAWA Marie

Table des matires


Introduction ........................................................................................................ 3 Prrequis ............................................................................................................ 3 Installation et Configuration ............................................................................... 3 I. Libprelude ................................................................................................. 4 figure1 ......................................................................................................... 4 II. LibpreludeDB ........................................................................................ 4

figure2 ......................................................................................................... 5 figure3 : connexion au server sql ................................................................. 5 figure4 : cration dune base de donnes ..................................................... 6 figure5 : connexion dun user de la base ...................................................... 6 III. Prelude-Manager .................................................................................... 6

figure7 : paramtres de DB dans prelude-manager ...................................... 7 IV. Prelude-Correlator.................................................................................. 7 V. Prelude-LML ......................................................................................... 7

VI. Prelude-Prewikka ................................................................................... 7 figure8 : cration dune base de donnes prewikka ...................................... 8 figure9 : fichier prewikka.conf .................................................................... 9 figure10 : fichier apache2 de prewikka ........................................................ 9 Test .................................................................................................................. 10 Conclusion ....................................................................................................... 10

Introduction
Prelude-IDS est un systme de dtection d'intrusions et d'anomalies distribu sous licence GPL, il est compos des types de dtecteurs htrognes :

un NIDS : Network Intrusion Detection System : Snort un HIDS : Host based Intrusion Detection System : OSSEC un LML : Log Monitoring Lackey. Module de prelude : prelude-lml

Un tel systme vient complter la panoplie des quipements et logiciels de scurit (routeurs filtrants, serveurs proxy, pare-feu...) et offre lexploitant Scurit et/ou lanalyste un outil de contrle des activits suspectes ou illicites (internes comme externes). Lintrt de Prelude est de pouvoir centraliser les alertes dans sa base de donnes et de les normaliser au format IDMEF (Intrusion Detection Message Exchange Format), puis visualisable dans une interface web

Pr-requis
Une bonne connexion Internet Une machine Ubuntu version 8.04 Apt-get update Apt-get upgrade Puis ces paquets afin dviter certains problmes lors de la configuration :

Apt-get install man wget ssh build-essential checkinstall libpcap-dev flex byacc gtk-doc-tools libssl-dev libxml-dev libpcre3-dev libfam-dev gnutls-bin libgcrypt11-dev libgnutls-dev libgpg-error-dev libopencdk10-dev libxmlsec1 libxmlsec1-gnutls

Installation et Configuration
Prelude fonctionne avec plusieurs modules qui sont: Libprelude LibpreludeDB

Pelude-Manager Prelude-correlator Prelude-LML Prewikka

I.

Libprelude

Libprelude est une bibliothque permettant une communication scurise entre diffrentes sondes et un serveur Prelude (Prelude-Manager). Pour linstaller il faut tlcharger ce paquet : Wget http://www.prelude-ids.com/download/releases/libprelude/libprelude-0.9.24.1.tar.gz Apres on dcompresse le paquet avec tar zxf libprelude-0.9.24.1 puis ./configure ; make et make install. Puis ajouter la ligne /usr/local/lib tout en ditant le fichier /etc/ld.so.conf. Voir figure1

figure1 Cette partie correspond la configuration de Prelude en gnral, cest--dire Libprelude install sur un poste client ou serveur. En effet, quel que soit lusage, et linstallation tant la mme sur les deux types de postes, la configuration de base de Prelude se trouve par dfaut dans le rpertoire /usr/local/etc/prelude/default. Ce dossier contient plusieurs fichiers de configuration tels que:

client.conf : il permet de configurer lagent ou la sonde (prelude-correlator) mais aussi dindiquer ladresse du serveur prelude-manager

global.conf : il est permet de paramtrer certaines options pour grer des champs remplir lors de lenvoi dalerte, ou encore pour prciser les informations sur le poste serveur ou client (multiples adresses ip, nom du vlan, etc).

idmef-client.conf : Quant ce fichier, idmef-client.conf, il contient les liens vers les deux fichiers prcdents, savoir client.conf et global.conf.

tls.conf : Afin de paramtrer la gnration des certificats, comme la dure de vie ou la valeur de la cl de cryptage (par dfaut 1024), il faut diter le fichier tls.conf

II.

LibpreludeDB

La librairie LibpreludeDB permet la gestion du type et du format de la base de donnes utilise pour stocker les alertes au format IDMEF. Elle offre aussi la possibilit de grer la base de donnes sans utiliser du SQL, grce lusage de commandes, spcialement dveloppes pour interagir depuis un terminal Linux. Installer dabord le paquet avec Apt-get install mysql-server puis tlcharger la librairie dans : Wget http://www.prelude-ids.com/download/releases/libpreludedb/libpreludedb-0.9.15.3.tar.g On dcompresse avec tar zxf, ./configure, make et make install puis diter /etc/ld.so/conf le fichier pour inclure les lignes suivantes. Voir figure2

figure2 Pour la configuration, il faut crer une base de donnes qui nous permettra de stocker les alertes : il faut dabord se connecter en tant root avec un mot de passe ici passe= pass=2. La commande est : mysql -u root p. voir figure3

figure3 : connexion au server SQL Puis crer la base et lutilisateur qui va se connecter dans mysql-server. Voir figure4

figure4 : cration dune base de donnes La connexion dutilisateur au serveur mysql. Voir figure5

figure5 : connexion dun user de la base

III.

Prelude-Manager

Prelude-Manager est le composant principal de Prelude, il joue le rle de serveur. En effet, il rceptionne les alertes IDMEF provenant de ses sondes ou de ses composants (PreludeCorrelator). Pour linstallation on tlcharge le paquet avec : Wget http://www.prelude-ids.com/download/releases/prelude-manager/prelude-manager-

0.9.15.tar.gz puis on dcompresse avec tar zxf, ./configure, make et make install Apres diter le fichier /etc/ld.so.conf pour inclure les lignes suivantes. Voir figure6

figure6 Pour la configuration de base il faut diter le fichier suivant : prelude-manager.conf qui se trouve dans /usr/local/etc/prelude-manager/prelude-manager.conf Puis spcifier ladresse sur laquelle prelude-manager doit couter. Ici elle est globale donc 0.0.0.0. Voir figure

Puis indiquer les paramtres de la base de donnes, ce qui permettra prelude-manager dtre prt dmarrer et fonctionner. Voir figure7

figure7 : paramtres de DB dans prelude-manager

IV.

Prelude-Correlator

Cest un outil de corrlation multiflux, utilisant des rgles crites en Python pour corrler les alertes IDMEF reues par Prelude-Manager. Pour linstallation dabord prparer lenvironnement Python avec Apt-get install python puis tlcharger le paquet de corrlation avec : wget http://www.prelude-ids.com/download/releases/prelude-correlator/prelude-

correlator-0.9.0-beta6.tar.gz. Dcompressez avec le tar zxf, ./configure, make et make install. Puis inclure la ligne include /usr/local/lib/prelude-correlator dans le fichier /etc/ld.so.conf Pour la configuration cest simple car y a pas grande chose faire, il suffit dditer le fichier client.conf qui se trouve dans /usr/local/etc/prelude/default, pour inclure ladresse du server (ici 172.16.1.2). On peut implmenter des rgles mais ce nest pas le cas ici.

V.

Prelude-LML

Prelude-LML est un analyseur de fichiers de logs. En agissant comme sonde auprs de Prelude-Manager, il collecte et analyse les informations issues de tous types dapplications mettant des vnements sous forme de journaux systmes, de massages syslog, etc. Il dtecte des activits suspectes lors de ses analyses, puis gnre des alertes au format IDMEF et les transmet au serveur Prelude. Tlcharger le paquet sur wget http://www.prelude-ids.com/download/releases/preludelml/prelude-lml-0.9.15.tar.gz puis installer et inclure la ligne suivante : Include /usr/local/lib/prelude-lml dans /etc/ld.so.conf Pour configurer diter le fichier /usr/local/etc/prelude-lml/prelude-lml.conf

VI. Prelude-Prewikka
Interface web de Prelude. Prewikka permet de visualiser les alertes reues par PreludeManager. La mise en place de linterface web ncessite dinstaller quelques paquets supplmentaires :

Apt-get install apache2 libapache2-mod-python mysql-server python python-dev pythonsetuptools. Puis on tlcharge le paquet avec wget http://www.prelude-

ids.com/download/releases/prewikka/prewikka-0.9.17.tar.gz. Apres on dcompresse avec tar zxf, ./configure, make et make install. Il y a des paquets pour linterface quil faut installer : Apt-get install cheetah

Python setup.py build

Python setup.py install Pour la configuration, il faut dabord, pour linterface Prewikka, il faut crer une base de donnes. Voir figure

figure8 : cration dune base de donnes prewikka Pour la configuration de base il faut diter le fichier prewikka.conf qui se trouve dans le rpertoire prewikka pour ajouter la base de Manager et celle de prewikka. Voir figure9

figure9 : fichier prewikka.conf Pour la configuration de apache2 on cre dabord un site pour notre prewikka ici /etc/apache2/sites-available/prewikka puis on dite ce dernier pour le configurer. Voir figure10

figure10 : fichier apache2 de prewikka Il faut inclure le fichier prewikka dans /etc/apache2/apache2.conf

Puis redmarrer apache2 pour que la configuration faite soit prise en compte avec /etc/init.d/apache2 restart NB : Noubliez pas dinclure ladresse du serveur prelude-manager dans le fichier client.conf qui se trouve dans /usr/local/etc/prelude/default

Test
Apres linstallation et configuration de ces services, Prelude doit marcher mais ce qui nest pas le cas ici car il y a certains paquets qui ne sinstallent pas donc aucun rsultat.

Conclusion
Lapplication Prelude est disponible uniquement sous Linux, bien quil ait une offre payante (support, fonctionnalits supplmentaires, ), le logiciel est gratuit. Prelude est un SIM Universel. Prelude collecte, normalise, catgorise, agrge, corrle et prsente tous les vnements scurit. Visualisez en temps rel l'ensemble de vos donnes scurit, exporter des rapports : transformer vos donnes brutes en information utile