Segurança · 6 min read · Oct 16, 2025

Detecção de Intrusões: Snort (IDS), OSSEC (HbIDS) E Prelude (HIDS) No Ubuntu Gutsy Gibbon

Detecção de Intrusões: Snort (IDS), OSSEC (HbIDS) E Prelude (HIDS) No Ubuntu Gutsy Gibbon

Todo mundo conhece o problema, você tem uma ferramenta de IDS instalada e cada ferramenta tem sua própria interface.

O Prelude permitirá registrar todos os eventos no banco de dados do prelude e ser consultado usando uma interface (prewikka). Este guia descreverá como instalar e configurar as diferentes ferramentas que comporão a solução completa.

Este guia é baseado em fragmentos e pedaços que encontrei para resolver alguns problemas, partes dos manuais e minha própria experiência com a instalação da solução completa.

Para mais informações sobre o snort, visite: www.snort.org

Para mais informações sobre o ossec, visite: www.ossec.net

Para mais informações sobre o prelude, visite: www.prelude-ids.org

Pré-requisitos:

Vamos apenas assumir que você seguiu o The Perfect Server - Ubuntu Gutsy Gibbon (Ubuntu 7.10). Se não, siga esse guia e instale / adicione apenas as partes que você não tem instaladas em seu sistema.

Os seguintes pacotes são úteis, então, por favor, verifique se estão instalados corretamente:

apt-get install ntpdate
apt-get install dbconfig-common

Instalando E Configurando O Prelude

Normalmente, teríamos que compilar e instalar libprelude, libpreludedb, e então criar os bancos de dados. Felizmente, os pacotes são fornecidos pelos repositórios do Ubuntu.

Gerenciador Prelude

apt-get install prelude-manager

  • Usando as configurações TLS padrão de /etc/prelude/default/tls.conf:

  • Tamanho da chave gerada: 1024 bits.

  • Tempo de vida do certificado da autoridade: ilimitado.

  • Tempo de vida do certificado gerado: ilimitado.

  • Criando analisador prelude-manager.

  • Criando /etc/prelude/profile/prelude-manager…

  • Ident alocado para prelude-manager: 4232957740008155.

  • Gerando chave privada RSA… Isso pode levar muito tempo.
    [Aumentar a atividade do sistema acelerará o processo.]

  • Gerando chave privada RSA de 1024 bits…

Durante a instalação, o gerenciador criará o perfil para o usuário prelude. Pode levar um (muito) longo tempo, já que o GnuTLS tenta acessar /dev/random em vez de /dev/urandom (por razões de segurança). Isso pode mudar no futuro (talvez usando uma opção para ter uma geração mais rápida, mas criptograficamente menos segura).

dbconfig então perguntará se você deseja que ele configure o banco de dados automaticamente. Se você não quiser, basta dizer não e configurar tudo manualmente (os scripts sql estão no diretório /usr/share/libpreludedb/). Vamos supor que a resposta seja sim.

Nota: o número de perguntas pode mudar, dependendo da verbosidade do debconf (definido usando dpkg-reconfigure debconf), e dos parâmetros do dbconfig, no arquivo /etc/dbconfig-common/config.

configurar banco de dados com dbconfig-common: sim  
tipo de banco de dados:

Defina o tipo para o banco de dados que você instalou anteriormente. Neste caso, mysql.

Senha do administrador do banco de dados: ******

dbconfig-common pedirá uma senha para o usuário ‘prelude’. Se você não fornecer nenhuma (apenas pressionando enter), ele gerará uma aleatória. Não se preocupe, o arquivo de configuração será atualizado automaticamente.

dbconfig-common: escrevendo configuração em /etc/dbconfig-common/prelude-manager.conf  
  
Criando arquivo de configuração /etc/dbconfig-common/prelude-manager.conf com nova versão  
concedendo acesso ao banco de dados prelude para prelude@localhost: sucesso.  
verificando acesso para prelude@localhost: sucesso.  
criando banco de dados prelude: sucesso.  
verificando se o banco de dados prelude existe: sucesso.  
populando banco de dados via sql...  feito.  
dbconfig-common: limpando senha administrativa  
Iniciando Gerenciador Prelude: prelude-manager.

O pacote do Ubuntu cria automaticamente o usuário e o banco de dados para o prelude. Se você quiser mudar a senha, faça isso primeiro no mysql e depois em /etc/prelude-manager/prelude-manager.conf.

O Prelude-Manager deve agora estar em execução:

ps auxw | grep manager
prelude 28530  0.0  0.1  59384  4480 ?        Ssl  13:49   0:00 /usr/sbin/prelude-manager

A primeira parte acabou, você agora tem um gerenciador em funcionamento.

Endereço de escuta:

O endereço de escuta padrão é localhost (127.0.0.1). Isso significa que você deve mudar isso para adicionar sensores em diferentes hosts para que os agentes possam alcançar o prelude-manager.

Edite /etc/prelude-manager/prelude-manager.conf:

listen = xxx.xxx.xxx.xxx

Reinicie o servidor e verifique o endereço (se você mudou o endereço):

# /etc/init.d/prelude-manager stop
   Parando o Gerenciador Prelude: prelude-manager.
# /etc/init.d/prelude-manager start
Iniciando o Gerenciador Prelude: prelude-manager.
# netstat -pantu | grep prelude
tcp        0      0 192.168.66.1:4690          0.0.0.0:*      LISTEN     30544/prelude-manager

Prelude-LML

Você precisa instalar prelude-lml em cada host que deseja monitorar. O Prelude-LML analisará seus logs e reportará eventos para os gerenciadores.

# apt-get install prelude-lml


Iniciando Prelude LML: prelude-lml.

Antes que possa ser usado, duas coisas precisam ser feitas:

  • O endereço do gerenciador deve ser configurado no lml
  • O gerenciador não confiará nos sensores, até que eles sejam registrados

Endereço do gerenciador

Se você mudou o endereço que o gerenciador está escutando, precisa mudar o endereço na configuração do cliente em cada máquina onde você instalar prelude-lml.

O endereço do gerenciador é armazenado no arquivo /etc/prelude/default/client.conf:

[prelude]  
server-addr = 127.0.0.1

Registrando o sensor

Registrar o sensor é um processo de quatro etapas, que requer executar comandos tanto no sensor quanto no gerenciador:

No cliente LML, execute o comando de registro:

prelude-adduser register prelude-lml "idmef:w"  --uid 0 --gid 0

Dica: se você não se lembrar do comando, basta executar prelude-lml. Como não está registrado, falhará, mas é inteligente o suficiente para exibir a ajuda:

# prelude-lml   
- Inscrevendo plugin pcre[default]  
- plugin pcre carregado 394 regras.  
- Monitorando /var/log/messages através de pcre[default]  
* AVISO: /var/log/everything/current não existe.  
prelude-client: erro ao iniciar prelude-client: não foi possível abrir '/etc/prelude/profile/prelude-lml/analyzerid' para leitura  
  
Perfil 'prelude-lml' não existe. Para criá-lo, execute:  
prelude-adduser register prelude-lml "idmef:w"  --uid 0 --gid 0.

LML deve ser registrado com uid e gid 0, já que o processo será executado como root (para poder analisar logs).

LML então pedirá a Senha de Uso Único (OTP), que será fornecida pelo gerenciador:

Digite a senha de uso único fornecida pelo programa "prelude-adduser":  
- digite a senha de registro de uso único:

No gerenciador, execute o seguinte:

prelude-adduser registration-server prelude-manager

  • Iniciando servidor de registro.
  • senha de uso único gerada é “dummypass”.

Digite a senha no prompt do LML:

  • digite a senha de uso único de registro:
  • confirme a senha de uso único de registro:
  • conectando ao servidor de registro (127.0.0.1:5553)…
  • Autenticação anônima ao servidor de registro bem-sucedida.
  • Enviando solicitação de certificado.

O LML agora está aguardando o Gerenciador assinar o certificado.

No gerenciador, valide a solicitação de assinatura de certificado:

  • Verificação de autenticação anônima da senha de uso único bem-sucedida.
  • Aguardando solicitação de certificado do cliente.
  • Analisador com ID=”3559090256170900” solicita registro com permissão=”idmef:w”.
    Aprovar registro [y/n]: y
    O certificado é gerado e enviado ao cliente:
  • Registrando analisador “3559090256170900” com permissão “idmef:w”.
  • Gerando certificado assinado para o cliente.
  • Enviando certificado do servidor ao cliente.
  • ::ffff:127.0.0.1:47054 registrado com sucesso.

No cliente você verá:

Registro do LML é bem-sucedido

  • Recebendo certificado assinado.
  • Recebendo certificado CA.
  • registro do prelude-lml em 127.0.0.1 bem-sucedido.

Agora, o gerenciador e o sensor têm uma relação de confiança e podem enviar mensagens um para o outro.

Esse processo leva algum tempo, mas aumenta a segurança e a comunicação entre o sensor e o gerenciador é criptografada.

Finalmente, o sensor LML também deve estar em funcionamento:

/etc/init.d/prelude-lml start

Iniciando Prelude LML: prelude-lml.
ps auxw | grep lml
root 1946 0.3 0.0 20856 3424 ? Ss 14:35 0:00 /usr/bin/prelude-lml -d -q -P /var/run/prelude-lml.pid

Isso conclui a primeira parte.

Share: X/Twitter LinkedIn
#Segurança

Receba novas postagens na sua caixa de entrada

Sem spam. Cancele a assinatura a qualquer momento.