Afin de mettre en place un peu de sécurité dans ce monde de brute, je me suis penché sur le produit très élaboré qu’est
« Prelude ». Mais l’installation étant un peu complexe, je me suis permis de centraliser quelques tutos afin de me faire un petit mémo.

Qu’est ce ??

« Prewikka est l’interface graphique du système de détection et prévention d’intrusion hybride Prelude IDS. Cette interface permet de  visualiser les alertes, que un ou plusieurs concentrateurs Prelude (‘Prelude­manager’) ont stocké en base de données, de façon
conviviale. » dixit Sebastien Tricaud
En effet, toutes les alertes sont mises en forme à travers quatre couleurs.
« Rouge » pour les alertes de haut niveau
« Orange » pour les alertes de niveau moyen
« Vert » pour les alertes de niveau faible
« Bleu » pour les alertes d’information

Pré-requis

Dans un premier temps nous allons nous attarder à installer quelques paquets pré­requis pour le bon fonctionnement de tout le
système.

# apt­-get install mysql­-server prewikka apache2 libapache2­-mod­-python libprelude­dev snort­-rules­-default arpwatch screen

Faites bien attention aux informations saisies car, elles vous serviront par la suite pour vous authentifier au niveau du serveur Mysql.

Installation de Prelude-manager

Une fois cette phase d’installation des pré-­requis effectuée, nous allons nous attaquer au vive du sujet.
Pour ce faire, nous installer prelude­-manager. Cet outil permet de centraliser toutes les alertes au sein du moteur de base de données.

# apt­-get install prelude­-manager

Lors de l’installation, vous serez amené à saisir les différentes informations utilisées précédemment pour s’authentifier sur le serveur Mysql installé ci­-dessus.
Cette action peut prendre un certain temps, étant donné, qu’à la fin de l’installation, prelude­-manager va générer son couple de clé privée « 1024 Bits en RSA ».

Installation de Prelude-lml

Prelude­-lml est le composant prelude qui quant à lui va analyser tous les fichiers de logs (‘paramétrés dans ses fichiers de conf’) puis les envoyés à prelude­-manager.
Pour la phase d’installation, je vais me baser sur la méthode de ‘gaetan grigis‘ en utilisant « screen ».
Dans un premier temps nous allons utiliser prelude­admin pour nous générer un mot de passe utilisé lors de l’installation du prelude­-lml afin de l’intégrer au sein de prelude­-manager de manière sécurisé.

# screen ­-S registration­-lml
# prelude­-admin registration­-server prelude­-manager

Après avoir effectué cette manipulation, vous devriez obtenir un mot de passe, puis vous retrouvez en « waiting….. »
Nous allons donc passer à l’installation à proprement parlé de prelude­-lml. Pour ce faire nous allons nous détacher de cette console en effectuant la combinaison de touches « Ctrl + a puis d ».

# screen ­-S register­-lml
# apt­-get install prelude­-lml
# prelude­-admin register prelude-­lml  "idmef:w admin:r" 127.0.0.1 ­-uid 0 ­-gid 0

Là aussi cette manipulation met un certain temps à s’effectuer.  Une fois tout le processus d’installation terminé, vous vous retrouvez devant un prompt qui attend un mot de passe. Il s’agit ni plus ni moins de celui qui vous a été fourni ci­dessous, donc saisissez le.

Puis détachez vous à nouveau de la console « Ctrl + a puis d », pour revenir sur la première.

# screen -­r registration­-lml

Normalement, vous devriez apercevoir une question « approve registration », et vous répondez « y ». Une fois cette phase terminée, vous pouvez fermer cette console avec le « Ctrl + d » habituel.
Puis retourner sur la seconde console :

# screen ­-r register­-lml

et confirmer « successful registration ».

Activation des sondes

Pour activer tout ces produits, il ne vous reste plus qu’à :

# /etc/init.d/prelude­-manager start
# /etc/init.d/prelude­-lml start
# /etc/init.d/prelude-­correlator start ( si vous l'avez installé )

Installation de Prewikka

Une fois tous ces services activés, nous allons installer prewikka, qui se contentera de mettre en forme toutes les alertes remontées
par les sondes installées précédemment à travers une interface web.
Avant toute chose, vérifiez bien la présence du module python dans le répertoire « /etc/apache2/mod­-enabled/ », pour que celui­ci soit
activé. Si ce n’est pas le cas, je vous invite à lancer la commande :

# a2enmod python

Ensuite ajouter un vhost, concernant l’application prewikka. Si votre serveur n’héberge que « prewikka », je vous invite à modifier
directement le vhost « default », sinon il vous faudra en créer un différent.

<VirtualHost *:80>
  ServerName hostname2
 <Location />
  SetHandler mod_python
  PythonHandler prewikka.ModPythonHandler
  PythonOption PrewikkaConfig /etc/prewikka/prewikka.conf
 </Location>
 <Location /prewikka>
  SetHandler none
 </Location>
 Alias /prewikka /usr/share/prewikka/htdocs
 Alias /htdocs /usr/share/prewikka/htdocs
</VirtualHost>

!! Attention, comme le souligne gaetan, ne pas redémarrer Apache tout de suite !!
Avant toute chose, éditez le fichier de configuration lié à prewikka ( /etc/prewikka/prewikka.conf ), pour spécifier les paramètres afin de s’authentifier au niveau du moteur de base de données.

# /etc/init.d/apache2 restart

et normalement grâce à un navigateur, vous pouvez tester le bon fonctionnement de prewikka en attaquant l’adresse IP de votre
serveur et en vous y connectant avec ( user : admin / mdp : admin ).

Source :
Je tenais à remercier gaetan qui m’a permis d’avoir une première approche de prelude, prewikka et snort.

http://blog.gaetan-grigis.eu/