Méthode procédurale Table des matières Installation des paquets ............................................................................................................. 1 Création BDD prelude ................................................................................................................ 2 Installation de prelude manager ................................................................................................. 2 Installation de prelude-LML ........................................................................................................ 6 Installation de prelude-correlator ...............................................................................................10 Création BDD Prewikka ............................................................................................................14 Installation de Prewikka ............................................................................................................15 Activer un virtual host apache2 .................................................................................................19 Creation Base de données SNORT ..........................................................................................21 Installer SNORT ........................................................................................................................22 Enregistrer snort dans prelude ..................................................................................................23 /etc/prewikka/prewikka.conf Fichier de configuration de prewikka Définition des login prelude et prewikka /etc/apache2/siteavailable/prewikka Fichier de configuration de l’hôte virtuel Apache nommé prewikka /etc/snort/snort.conf Fichier de configuration de snort /etc/snort/rules/ Répertoire des fichiers de définitions des règles communautaires /etc/snort/rules/local.rules Définition manuelle des règles snort Installation des paquets GnuTls libgnutls26 Libprelude libgnutls-dev Python python-prelude python-preludedb Libprelude Libpreludedb Python bindings libapache2-mod-python Prewikka Prelude-Correlator Perl 5 Compatible Regular Expression Library libpcre3 Prelude-LML MySQL mysql-server tous Mot de passe pour mysql => root Création BDD prelude Commande : mysql -u root –p on se connecte à la base sql en mode administrateur. create database prelude ; create user ‘prelude’@’localhost’ identified by ‘root’; grant usage on *.* grant all priviliges on prelude.* to ‘prelude’@’localhost’; Installation de prelude manager On installe prelude manager. Prelude-Manager est le module principal de Prelude-IDS. En effet, c’est lui qui reçoit et traite les alertes (stockage dans une base de données, dans un fichier, …etc). Il gère également les certificats des différentes sondes (inscriptions des sondes). apt-get install prelude-manager Mot de passe : mysql Attente d’installation : Modification run = no en run = yes : Installation de prelude-LML Prelude-lml est pour le recensement des logs. Commande : apt-get install prelude-lml Ouvrir un autre terminal (tty2) Commande (tty1) : prelude-admin registration-server prelude-manager Dans le tty2 : Commande : prelude-admin register prelude-lml "idmef:w admin:r" 127.0.0.1 –uid 0 –gid 0 Attente : On peut voir dans le tty1 le mot de passe : “2tp1jdlg”. Dans le tty2, après l’attente, il demande le mot de passe (qui se trouve dans le tty1) : Suite à la confirmation du mot de passe, nous avons : Dans le tty1 : Dans le tty2 : Puis : Dans tty1: Dans tty2: Installation de prelude-correlator Prelude-Correlator est le module (optionnel) de Prelude permettant de gérer la corrélation des alertes reçues par Prelude-Manager. Pour cela, il utilise des règles développées en Python. par défaut, le paquet ne contient qu’une dizaine de règles Commande : apt-get install prelude-correlator Modification run = no en run = yes : Dans tty1: Commande : prelude-admin registration-server prelude-manager Mot de passe : “sab2owpm”. Dans tty2 : Commande : id prelude-correlator Retenir le uid=106 et le gid=109. Dans tty2: Commande : prelude-admin register prelude-correlator “idmef:w admin:r” 127.0.0.1 -uid 0 -gid 0 (remplacement avec le uid et gid trouvé plus haut). Attente. Dans tty2, écrire le mot de passe du tty1 vu précédemment “sab2owpm”: Dans tty1: Création BDD Prewikka Commande : mysql -u root –p on se connecte à la base sql en mode administrateur. Et on tape les commandes suivantes pour créer la database : create database prewikka ; create user ‘prewikka’@’localhost’ identified by ‘root’; grant usage on *.* grant all priviliges on prelude.* to ‘prewikka’@’localhost’; Installation de Prewikka Prewikka est l’interface Web de Prelude. Elle permet d’afficher les alertes reçues par Prelude-Manager. Commande : apt-get install prewikka Dans tty1 : Activer un virtual host apache2 Copier le fichier /etc/apache2/sites-available/default vers /etc/apache2/sites-available/prewikka Création d’un nouvel utilisateur : Création des dossiers : Editer le fichier /etc/apache2/sites-available/prewikka Activation du site avec la commande a2ensite prewikka et service apache2 reload Vérifions : On choisit d’utiliser le modulte cgid de apache. Vérifier que le module fonctionne : Si cela ne fonctionne pas : a2enmod mod1 Creation Base de données SNORT Commande : mysql -u root –p on se connecte à la base sql en mode administrateur. create database snort ; create user ‘snort’@’localhost’ identified by ‘root’; grant usage on *.* grant all priviliges on snort.* to ‘prelude’@’localhost’; Installer SNORT Installer snort apt-get install snort puis apt-get install snort-mysql Ce qui permet d’éviter certaine erreur à l’installation de snort-mysql Puis commande pfff mdp : mysql Définition de la base de données SNORT et relayer les alertes de snort vers le serveur Prelude dans le fichier /etc/snort/snort.conf: Définition de la base de données Snort : output database: log, mysql, user=snort password=manager dbname=snort host=localhost Pour relayer les alertes de snort vers le serveur Prelude, il faut également ajouter cette ligne : output alert_prelude: profile=snort Importez les tables mysql de snort: Commande : cd /usr/share/doc/snort-mysql/ zcat create_mysql.gz | mysql -u snort -h localhost -p snort Si cette erreur apparait: Supprimer la database snort puis re-créer la database snort en accordant les droit à snort Enregistrer snort dans prelude Ouvrir 2 terminales Dans TTY 1 : Dans tty2 :