Vous êtes sur la page 1sur 3

Les oprations cot serveur Cot serveur, il n y a besoin que de peu de manipulations pour centraliser les remontes des

diffrentes sondes sur les clients. Prelude Manager Il faut dire au manager d couter ce qu il se passe pour IP correspondant aux clients. Donc dans /etc/prelude-manager/prelude-manager.conf on change : ... # Address where the prelude-manager server is listening on. # if value is unix, or unix:/path/to/unix/socket, an UNIX domain socket # will be used. # # Multiple listen address are supported. # # listen = address:port # listen = unix:/tmp/prelude-manager.socket # listen = unix # listen = 127.0.0.1 ... en un truc comme a : ... # Address where the prelude-manager server is listening on. # if value is unix, or unix:/path/to/unix/socket, an UNIX domain socket # will be used. # # Multiple listen address are supported. # # listen = address:port # listen = unix:/tmp/prelude-manager.socket # listen = unix # listen = 127.0.0.1 listen = 192.168.1.3 listen = 192.168.1.4 listen = 192.168.1.10 ... o les nouvelles lignes de listen correspondent aux IP des clients sur lesquels on a mis/va mettre des sondes. On peut noter que l on peut remplacer toutes les lign es de listen par une seule si on ne veut pas s embter tout dclarer : listen = 0.0.0.0 Cette configuration fera alors accepter les rapports de toutes les IP (enfin, si vous avez enregistr les sondes). Par dfaut, il n est pas ncessaire de mettre un Manager sur chaque client. Ce n est cependant pas inutile si le serveur que vous avez n est pas assez rgulirement en ligne. Vous pouvez donc en installer un sur chaque poste, sachant qu il faudra faire une modification supplmentaire. Enregister les sondes du(es) client(s) Il faut commencer par dire au Prelude du client quelle est l adresse du serveur.

Cela se fait dans /etc/prelude/default/client.conf : ... server-addr = 192.168.1.2 ... o l on a remplac la valeur par dfaut 127.0.0.1. On peut noter qu il existe la possibili t d installer un prelude-manager qui tourne sur le client et qui sera utilis si le s erveur ne rpond pas en mettant : ... server-addr = 192.168.1.2 || 127.0.0.1 ... Toutes les sondes que l on installe cot client s enregistrent ensuite de la mme faon que ce qu on a dja vu, la seule diffrence que l on remplace 127.0.0.1 par l IP du serveur (ici 192.168.1.2). Ainsi, pour enregitrer les modules de la suite Prelude pour le client : prelude-admin register prelude-lml <code>"idmef:w admin:r" 192.168.1.2 uid 0 gid 0 prelude-admin register "prelude-correlator" "idmef:rw" 192.168.1.2 --uid 112 --g id 120 Attention pour Prelude Correlator, le uid et le gid doivent tre adapts au client : il est possible/probable que l utilisateur prelude-correlator n est pas les mmes uid et gid sur le serveur et sur le client. On peut maintenant rflchir aux autres ond es Ossec Si vous vous rappelez bien, on a install Ossec en version serveur. On fait donc une installation de type agent sur les clients. Lors de l installation, il faut alors donner l adresse IP du serveur Ossec (qui est aussi le serveur Prelude chez nous, 192.168.1.2). On doit maintenant l enregistrer auprs du serveur Ossec. Sur le serveur, on lance donc le manager /etc/ossec/bin/manage_agents pour dclarer le client l adresse IP 192.168.1.4 dont le nom est toto : **************************************** * OSSEC HIDS v1.4 Agent manager. * * The following options are available: * **************************************** (A)dd an agent (A). (E)xtract key for an agent (E). (L)ist already added agents (L). (R)emove an agent (R). (Q)uit. Choose your action: A,E,L,R or Q: A - Adding a new agent (use \q to return to the main menu). Please provide the following: * A name for the new agent: mars * The IP Address of the new agent: 192.168.1.4 * An ID for the new agent[001]: 001 Agent information: ID:001 Name:toto1 IP Address:192.168.1.4 Confirm adding it?(y/n): y Agent added. On peut alors toujours sur le serveur extraire une clef

pour enregistrer le client que l on vient d ajouter. **************************************** * OSSEC HIDS v1.3 Agent manager. * * The following options are available: * **************************************** (A)dd an agent (A). (E)xtract key for an agent (E). (L)ist already added agents (L). (R)emove an agent (R). (Q)uit. Choose your action: A,E,L,R or Q: e Available agents: ID: 001, Name: mars, IP: 192.168.1.4 Provide the ID of the agent to extract the key (or \q to quit): 001 Agent key information for 001 is: MDAxIG1hcnMgMTkyLjE2OC42NS40MCBmY2UzMjM4OTc1ODgzYTU4ZWM3YTRkYWJiZTJmMjQ2Y2ViODhm Mzl mYjE3MmI4OGUzMTE0MDczMzVhYjk2OTRh ** Press ENTER to return to the main menu. La clef que l on obtient doit tre copie. Cot client, on lance le mme script /etc/ossec/bin/manage_agents : **************************************** * OSSEC HIDS v1.3 Agent manager. * * The following options are available: * **************************************** (I)mport key from the server (I). (Q)uit. Choose your action: I or Q: i * Provide the Key generated by the server. * The best approach is to cut and paste it. *** OBS: Do not include spaces or new lines. Paste it here (or \q to quit): MDAxIG1hcnMgMTkyLjE2OC42NS40MCBmY2UzMjM4OTc1ODgzYTU4ZWM3YTRkYWJiZTJmMjQ2Y2ViODhm Mzl mYjE3MmI4OGUzMTE0MDczMzVhYjk2OTRh Agent information: ID:001 Name:toto IP Address:192.168.1.4 Confirm adding it?(y/n): y Added. ** Press ENTER to return to the main menu. o l on a copi la clef donne par le serveur. Remarque : On n a enregistr qu une seule sonde Ossec dans Prelude (le serveur Ossec), la remonte d informations des autres Ossec qui tournent dans le rseau se fait par la procdure serveur/agent de Ossec lui mme. Snort Snort s installe exactement comme prcdemment, sauf qu on l enregistre auprs du serveur distant : prelude-admin register snort "idmef:w admin:r" 192.168.1.2