Prelude – system wykrywania włamań

Prelude do świetny program do wykrywania włamań na serwerach.

Budowa programu

 Program pracuje przez sieć posiada więc część zbierającą logi (prelude-manager) oraz programy wysyłające komunikaty do systemu. Standardowo dostępny jest prelude-lml który analizuje logi systemowe.

Programy komunikują się przez sieć przy pomocy szyfrowanej komunikacji. Bezpieczeństwo tej komunikacji zapewniają certyfikaty SSL, które generowane są podczas instalacji. Pewność, iż wymieniane certyfikaty są prawidłowe zapewnia jednorazowe hasło dostępu generowane podczas procesu rejestracji po stronie serwera i podawane po stronie klienta w momencie rejestracji certyfikatu.

Instalacja serwera

Instalacja przebiega w następujących krokach:

  1. Instalacja oprogramowania serwerowego (przeważnie pakiet prelude-manager)
  2. Wygenerowanie certyfikatów serwera
  3. Uruchomienie serwera (domyślnie będzie działał na porcie 4690).

Instalacja klienta prelude-lml

 Instalacja przebiega w następujących krokach:

  1. Instalacja klienta (przeważnie pakiet prelude-lml),
  2. wygenerowanie certyfikatów klienta (rejestracja po stronie klienta) i zgłoszenie się do serwera po akceptacje,
  3. Rejestracja na serwerze (tutaj bedzie wygenerowane hasło jednorazowe które będzie musiał podać klient),
  4. Otrzymanie przez klienta potwierdzenia rejestracji na serwerze
  5. Uruchomienie usługi prelude-lml

 

Instalacja serwera w różnych dystrybucjach 

Fedora Core 6

[root@localhost ~]# yum install install prelude-manager
[root@localhost doc]# /etc/init.d/prelude-manager restart

Starting prelude-manager: - Subscribing Normalize to active decoding plugins.
prelude-client: error initializing prelude-client: could not open '/etc/prelude/profile/prelude-manager/analyzerid' for reading
Profile 'prelude-manager' does not exist. In order to create it, please run:
prelude-adduser add prelude-manager --uid 0 --gid 0.
[FAILED] 
root@localhost doc]# prelude-adduser add prelude-manager --uid 0 --gid 0
- Using default TLS settings from /etc/prelude/default/tls.conf:
- Generated key size: 1024 bits.
- Authority certificate lifetime: unlimited.
- Generated certificate lifetime: unlimited.

- Using analyzer prelude-manager.
- Using /etc/prelude/profile/prelude-manager...
- Using already allocated ident for prelude-manager: 669655299040043.
- Generating RSA private key... This might take a very long time.
[Increasing system activity will speed-up the process.]

- Generating 1024 bits RSA private key...

Done.
- Creating /var/spool/prelude/prelude-manager...
[root@localhost doc]# /etc/init.d/prelude-manager restart
Starting prelude-manager: - Subscribing Normalize to active decoding plugins.
[  OK  ]

Po tym wszystkim w drzewie aplikacji (przeglądając wynik polecenia pstree) zobaczymy działający proces:

├─prelude-manager───{prelude-manager}

Debian

apt-get install prelude-manager 

Instalacja klienta prelude-lml na różnych systemach

Praca prelude-manager z systemami baz danych

Współpraca z MySQL

$ mysql -u root -p
Enter password:

mysql> CREATE database prelude; Query OK, 1 row affected (0.05 sec)

mysql -u root -p  prelude < /usr/share/libpreludedb/classic/mysql.sql

I na końcu konfigurujemy prelude-manager by logował zdarzenia do bazy danych

 

[db] # The type of database (mysql/pgsql). type = mysql # Host the database is listening on. host = localhost # Port the database is listening on. port = 3306 # Name of the database. name = prelude # Username to be used to connect the database. user = prelude # Password used to connect the database. pass = password

Współpraca z PostgreSQL

Inteface-y do przeglądania zarejestrowanych zdarzeń

PIWI

PIWI to interfejs WWW pozwalający przeglądać zdarzenia zerejestrowane przez Prelude. Wymaga aby serwer logował zdarzenia do bazy danych (MySQL lub PostgreSQL).

W Internecie

http://www.prelude-ids.org – Strona domowa produktu

Dodaj komentarz