Détection d'intrusion : Snort (IDS), OSSEC (HbIDS) et Prelude (HIDS) sur Ubuntu Gutsy Gibbon - Page 2

Installer Prewikka

Prewikka est l’interface graphique de Prelude, utilisant un serveur web.

Installation

Prewikka nécessite deux bases de données : une pour obtenir les alertes de Prelude (qui est la même que celle configurée précédemment), et une pour stocker ses propres données (prewikka). En fait, les paquets Ubuntu ne créent que la base de données prewikka, et ne configurent pas l’accès aux alertes de Prelude, donc l’installation des alertes doit être faite manuellement.

Installer Prewikka

apt-get install prewikka

Le paquet installera les dépendances requises (python, par exemple), et demandera la configuration de la base de données. Pour Prelude, nous choisissons d’utiliser dbconfig-common, donnons le mot de passe administrateur et appuyons sur entrer pour que dbconfig-common en génère un pour nous.

Configurer l’accès à Prelude-Manager

Obtenez le mot de passe du fichier de configuration de prelude-manager /etc/prelude-manager/prelude-manager.conf et éditez le fichier de configuration de prewikka /etc/prewikka/prewikka.conf :

vi /etc/prewikka/prewikka.conf

[idmef_database]
type: mysql
host: localhost
user: prelude
pass: **********
name: prelude

La section [database] est automatiquement configurée par dbconfig-common, donc ne la modifiez pas.

Configuration du serveur web :

La configuration est expliquée dans le fichier /usr/share/doc/prewikka/README.Debian. Vous pouvez choisir entre 3 configurations :

• Configuration Apache / CGI avec VirtualHost
• Configuration Apache / mod_python avec VirtualHost
• Prewikka depuis l’outil en ligne de commande

Comme exemple, j’utiliserai la configuration mod_python.

apt-get install libapache2-mod-python

Ajoutez un VirtualServer à votre configuration apache avec le contenu suivant :

NameVirtualHost *  
  
        ServerAdmin [email protected]  
          
                SetHandler mod_python  
                PythonHandler prewikka.ModPythonHandler  
                PythonOption PrewikkaConfig /etc/prewikka/prewikka.conf  
          
  
          
                SetHandler None  
          
  
        Alias /prewikka /usr/share/prewikka/htdocs  
        Alias /htdocs /usr/share/prewikka/htdocs  

Redémarrez votre serveur web apache et vous pourrez vous connecter à l’interface prewikka.

Remarque : vous pouvez bien sûr toujours utiliser un paramètre pour apache comme :

NameVirtualHost xxx.xxx.xxx.xxx:80

Ceci est utile lorsque vous avez d’autres services fonctionnant sur votre serveur apache.

Partie 2 : Installation et configuration de Snort

Je ne vais pas écrire le guide complet pour cela car il existe un guide pour snort : Détection d’intrusion : Snort, Base, MySQL et Apache2 sur Ubuntu 7.10 (Gutsy Gibbon) (Mis à jour).

Je vais décrire ici les étapes nécessaires pour que snort enregistre dans prelude. Dans cette configuration, vous n’avez également pas besoin d’installer une base de données mysql et l’interface web de base puisque snort enregistrera dans prelude et vous pouvez utiliser l’interface prewikka pour voir les alertes snort.

Suivez toutes les étapes décrites dans le guide ci-dessus et remplacez l’entrée ci-dessous par la nouvelle :

Remplacer

./configure -enable-dynamicplugin --with-mysql  
make  
make install

Avec

./configure -enable-dynamicplugin --eanble-prelude  
make  
make install

Au lieu de faire :

Faites défiler la liste jusqu’à la section avec “ # output database: log, mysql, user= “, retirez le “ # “ devant cette ligne.
Changez le “ user=root “ en “ user=snort “, changez le “ password=password “ en “ password=snort_password “, “ dbname=snort “
Prenez note du nom d’utilisateur, du mot de passe et du nom de la base de données. Vous aurez besoin de ces informations lorsque nous configurerons la base de données Mysql.
Enregistrez et quittez.

Faites :

Faites défiler la liste jusqu’à la section avec “# output alert_prelude: profile=snort “, retirez le “#” devant cette ligne et c’est tout.

À partir de l’étape 5 ( 5. Configurer la base de données Mysql.) tout peut être sauté.

Maintenant, nous devons enregistrer l’agent snort auprès du prelude manager :

prelude-adduser register snort "idmef:w"  --uid snort --gid snort

Sur le serveur prelude manager :

prelude-adduser registration-server prelude-manager

Cela enregistrera l’agent snort auprès du prelude manager, comme vous l’avez fait ci-dessus pour le prelude-lml.

Une fois le processus d’enregistrement terminé, exécutez :

snort -c /etc/snort/snort.conf

Si tout se passe bien, vous verrez :

Initialisation de l’interface réseau eth0
Décodage Ethernet sur l’interface eth0

• Connexion à 127.0.0.1:4690 serveur Prelude Manager.
• L’authentification TLS a réussi avec Prelude Manager.

L’entrée eth0 dépend de l’adaptateur ethernet que vous avez spécifié. Il est important que vous voyiez que snort se connecte au serveur de gestion de prelude et que l’authentification tls a réussi.

Si l’agent se connecte, et que vous voyez snort dans la liste des agents de prewikka, alors vous pouvez arrêter le processus avec ctrl-c et exécuter :

snort -c /snort/snort.conf -D

pour démarrer snort en tant que démon. Dans la ligne ci-dessus, vous pouvez toujours ajouter -i ethX si vous ne souhaitez pas écouter sur toutes les interfaces réseau et souhaitez spécifier une interface spécifique.