Prelude - Système de détection d'intrusion
Prelude, ou Prelude-IDS, est un système de détection d'intrusion (IDS) hybride composé de types de détecteurs hétérogènes :
- un NIDS : NetWork Intrusion Detection System ;
- un HIDS : Host based Intrusion Detection System
- un LML : Log Monitoring Lackey.
Site officiel : http://www.prelude-ids.com/index.php/fr/
Il est capable d'utiliser différentes 'sondes' également libres, open-sources, et reconnus par les professionnels. ( sonde : terme propre à la sécurité réseau mais compréhensible )
En plus des nombreuses fonctionnalités de Prelude accessibles par tous librement (linux, ubuntu, bsd …), PreludeIDS distribue des modules commerciaux additionnels à l’attention de ses grands utilisateurs.
Présentation
À la base, le but d'un IDS est de détecter toutes tentatives d'intrusion, réussies ou non, et d'en faire part à l'administrateur pour qu'il puisse réagir en conséquence. Cependant les prochaines versions de Prelude pourront réagir automatiquement en cas d'attaque, par exemple en changeant les règles du pare-feu.
Prelude a été conçu dans le but d'être modulaire, souple, et surtout résistant aux attaques. Sa modularité permet notamment de lui rajouter facilement de nouveaux types de détecteurs d'intrusion (notamment une libraire appelée 'libsafe' qui permet de protéger les programmes des buffers overflow en remplaçant certaines fonctions élémentaires, et qui a été modifiée par les concepteurs de Prelude pour en faire aussi un détecteur d'intrusion).
Prelude est un SIM Universel. Prelude collecte, normalise, catégorise, agrège, corrèle et présente tous les événements sécurité.
Visualisez en temps réel l'ensemble de vos données sécurité, exporter des rapports : transformer vos données brutes en information utile.
Prérequis
Pour fonctionner, Prelude a besoin d'un serveur de base de données parmi :
Installation
Dépôt ubuntu (canonical)
Installer prelude à partir des dépots Canonical, en cliquant ici ou :
sudo apt-get install prelude-manager
Site officiel (dernière version )
Installer des sondes
Site du Projet | Description |
AuditD | Auditd fournit des utilitaires pour créer des règles d'audit ainsi que pour stocker et rechercher des enregistrements générés par le système d'audit de Linux 2.6. Il propose un plugin de détection d'intrusion qui analyse le flux d'audit en temps réel et émet des alertes IDMEF grâce à Prelude. |
Nepenthes | Nepenthes est un outil polyvalent qui collecte les malwares. Il agit passivement en émulant des vulnérabilités connues et en téléchargent les malwares tentant d'exploiter ces vulnérabilités. |
NuFW | NuFW ajoute la notion d’utilisateurs aux règles de filtrage. Le projet s’appuie sur Netfilter, la couche pare-feu du noyau Linux et constitue un système de gestion d’identité au niveau des couches réseaux. |
OSSEC | OSSEC est un Système de Détection d'Intrusion machine. Il permet l'analyse de journaux, tests d'intégrité, surveillance de la base de registre Windows, détection de rootkit et notifie en temps réel avec réponse active. |
PAM | Linux-PAM est un système de bibliothèques gérant les tâches d'authentification des applications sur un système. La bibliothèque offre une interface fournissant des outils pour les programmes de gestion des droits privilégiés (comme login et su). |
Samhain | Samhain® est un Système de Détection d'Intrusion multiplateforme open source pour les systèmes POSIX (Unix, Linux, Cygwin/Windows). Il permet la vérification de l'intégrité des fichiers, la détection de rootkits, la surveillance des ports, la détection d'exécutables SUID malveillants et de processus cachés. |
SanCP | SanCP est un outil de sécurité réseau conçu pour collecter des informations statistiques sur le trafic réseau et pour enregistrer ce trafic dans un fichier au format PCAP dans une optique : d'audit, d'historique et de découverte réseau. |
Snort | Snort® est un système de détection et de prévention d'intrusion réseau basé sur un système de signatures. Il combine les bénéfices des méthodes d'analyse par signature, protocole et anomalie. |
Liens
- Prelude User Manual ( sur le wiki officiel )
- Les sondes, et logs de logiciels compatibles( sur le wiki officiel )
- Mise en place de Prelude IDS au sein de votre réseau ( 2005, aide compilation ).
Contributeurs : Psychederic.