Rilevamento Intrusioni · 3 min read · Oct 17, 2025

Rilevamento delle Intrusioni: Snort (IDS), OSSEC (HbIDS) e Prelude (HIDS) su Ubuntu Gutsy Gibbon - Pagina 2

Installa Prewikka

Prewikka è l’interfaccia grafica per Prelude, che utilizza un server web.

Installazione

Prewikka richiede due database: uno per ricevere gli avvisi di Prelude (che è lo stesso configurato in precedenza) e uno per memorizzare i propri dati (prewikka). In realtà, i pacchetti di Ubuntu creano solo il database prewikka e non configurano l’accesso agli avvisi di Prelude, quindi l’installazione degli avvisi deve essere eseguita manualmente.

Installa Prewikka

apt-get install prewikka

Il pacchetto installerà le dipendenze necessarie (python, ad esempio) e chiederà la configurazione del database. Per quanto riguarda Prelude, scegliamo di utilizzare dbconfig-common, diamo la password dell’amministratore e premiamo invio per la password del DB per consentire a dbconfig-common di generarne una per noi.

Configura l’accesso a Prelude-Manager

Ottieni la password dal file di configurazione di prelude-manager /etc/prelude-manager/prelude-manager.conf ed edita il file di configurazione di prewikka /etc/prewikka/prewikka.conf:

vi /etc/prewikka/prewikka.conf
[idmef_database]
type: mysql
host: localhost
user: prelude
pass: **********
name: prelude

La sezione [database] è configurata automaticamente da dbconfig-common, quindi non modificarla.

Configurazione del Server Web:

La configurazione è spiegata nel file /usr/share/doc/prewikka/README.Debian. Puoi scegliere tra 3 configurazioni:

  • Configurazione Apache / CGI con VirtualHost
  • Configurazione Apache / mod_python con VirtualHost
  • Prewikka dallo strumento da riga di comando

Come esempio userò la configurazione mod_python.

apt-get install libapache2-mod-python

Aggiungi un VirtualServer alla tua configurazione apache con il seguente contenuto:

NameVirtualHost *  
  
        ServerAdmin [email protected]  
          
                SetHandler mod_python  
                PythonHandler prewikka.ModPythonHandler  
                PythonOption PrewikkaConfig /etc/prewikka/prewikka.conf  
          
  
          
                SetHandler None  
          
  
        Alias /prewikka /usr/share/prewikka/htdocs  
        Alias /htdocs /usr/share/prewikka/htdocs

Riavvia il tuo server web apache e puoi accedere all’interfaccia di prewikka.

Nota: puoi ovviamente sempre utilizzare un’impostazione per apache come:

NameVirtualHost xxx.xxx.xxx.xxx:80

Questo è utile quando hai altri servizi in esecuzione sul tuo server apache.

Parte 2: Installazione e Configurazione di Snort

Non scriverò il completo howto per questo poiché esiste un hwto per snort: Rilevamento delle Intrusioni: Snort, Base, MySQL e Apache2 su Ubuntu 7.10 (Gutsy Gibbon) (Aggiornato).

Descriverò qui i passaggi necessari per avere snort che registra su prelude. In questa configurazione non è necessario installare un database mysql e l’interfaccia web base poiché snort registrerà su prelude e puoi utilizzare l’interfaccia prewikka per vedere gli avvisi di snort.

Segui tutti i passaggi descritti nell’howto sopra e sostituisci l’entrata qui sotto con la nuova:

Sostituisci

./configure -enable-dynamicplugin --with-mysql  
make  
make install

Con

./configure -enable-dynamicplugin --eanble-prelude  
make  
make install

Invece di fare:

Scorri verso il basso nell’elenco fino alla sezione con “ # output database: log, mysql, user= “, rimuovi il “ # “ davanti a questa riga.
Cambia il “ user=root “ in “ user=snort “, cambia il “ password=password “ in “ password=snort_password “, “ dbname=snort
Annota il nome utente, la password e il dbname. Avrai bisogno di queste informazioni quando configureremo il db Mysql.
Salva e esci.

Fai:

Scorri verso il basso nell’elenco fino alla sezione con “# output alert_prelude: profile=snort “, rimuovi il “#” davanti a questa riga e questo è tutto.

Dalla fase 5 in poi ( 5. Configura il database Mysql.) tutto può essere saltato.

Ora dobbiamo registrare l’agente snort al prelude manager:

prelude-adduser register snort "idmef:w"  --uid snort --gid snort

Sul server prelude manager:

prelude-adduser registration-server prelude-manager

Questo registrerà l’agente snort al prelude manager, come hai fatto sopra per il prelude-lml.

Una volta completato il processo di registrazione esegui:

snort -c /etc/snort/snort.conf

Se tutto va bene, vedrai:

Inizializzazione dell’interfaccia di rete eth0
Decodifica Ethernet sull’interfaccia eth0

  • Connessione a 127.0.0.1:4690 server Prelude Manager.
  • L’autenticazione TLS ha avuto successo con Prelude Manager.

L’entrata eth0 dipende dall’adattatore ethernet che hai specificato. È importante che tu veda che snort si sta connettendo al server del manager di prelude e che l’autenticazione tls è stata effettuata con successo.

Se l’agente si sta connettendo e vedi snort nell’elenco degli agenti di prewikka, allora puoi interrompere il processo con ctrl-c ed emettere:

snort -c /snort/snort.conf -D

per avviare snort come un demone. Nella riga sopra puoi sempre aggiungere -i ethX se non ascolti su tutte le interfacce di rete e vuoi specificare un’interfaccia specifica.

Share: X/Twitter LinkedIn
#Rilevamento Intrusioni

Ricevi i nuovi post nella tua casella di posta.

Nessuno spam. Disiscriviti in qualsiasi momento.