Contenu | Rechercher | Menus

Prelude - Système de détection d'intrusion

Prelude, ou Prelude-IDS, est un système de détection d'intrusion (IDS) hybride composé de types de détecteurs hétérogènes :

  • un NIDS : NetWork Intrusion Detection System ;
  • un HIDS : Host based Intrusion Detection System
  • un LML : Log Monitoring Lackey.

Site officiel : http://www.prelude-ids.com/index.php/fr/

Il est capable d'utiliser différentes 'sondes' également libres, open-sources, et reconnus par les professionnels. ( sonde : terme propre à la sécurité réseau mais compréhensible )

En plus des nombreuses fonctionnalités de Prelude accessibles par tous librement (linux, ubuntu, bsd …), PreludeIDS distribue des modules commerciaux additionnels à l’attention de ses grands utilisateurs.

Présentation

À la base, le but d'un IDS est de détecter toutes tentatives d'intrusion, réussies ou non, et d'en faire part à l'administrateur pour qu'il puisse réagir en conséquence. Cependant les prochaines versions de Prelude pourront réagir automatiquement en cas d'attaque, par exemple en changeant les règles du pare-feu.

Vérifier l'état d'avancement de cette possibilité dans prelude et mettre à jour cette page

Prelude a été conçu dans le but d'être modulaire, souple, et surtout résistant aux attaques. Sa modularité permet notamment de lui rajouter facilement de nouveaux types de détecteurs d'intrusion (notamment une libraire appelée 'libsafe' qui permet de protéger les programmes des buffers overflow en remplaçant certaines fonctions élémentaires, et qui a été modifiée par les concepteurs de Prelude pour en faire aussi un détecteur d'intrusion).

Prelude est un SIM Universel. Prelude collecte, normalise, catégorise, agrège, corrèle et présente tous les événements sécurité.

Visualisez en temps réel l'ensemble de vos données sécurité, exporter des rapports : transformer vos données brutes en information utile.

Prérequis

Pour fonctionner, Prelude a besoin d'un serveur de base de données parmi :

Installation

Dépôt ubuntu (canonical)

Installer prelude à partir des dépots Canonical, en cliquant ici ou :

sudo apt-get install prelude-manager

Site officiel (dernière version )

Installer des sondes

Site du Projet Description
AuditD Auditd fournit des utilitaires pour créer des règles d'audit ainsi que pour stocker et rechercher des enregistrements générés par le système d'audit de Linux 2.6. Il propose un plugin de détection d'intrusion qui analyse le flux d'audit en temps réel et émet des alertes IDMEF grâce à Prelude.
Nepenthes Nepenthes est un outil polyvalent qui collecte les malwares. Il agit passivement en émulant des vulnérabilités connues et en téléchargent les malwares tentant d'exploiter ces vulnérabilités.
NuFW NuFW ajoute la notion d’utilisateurs aux règles de filtrage. Le projet s’appuie sur Netfilter, la couche pare-feu du noyau Linux et constitue un système de gestion d’identité au niveau des couches réseaux.
OSSEC OSSEC est un Système de Détection d'Intrusion machine. Il permet l'analyse de journaux, tests d'intégrité, surveillance de la base de registre Windows, détection de rootkit et notifie en temps réel avec réponse active.
PAM Linux-PAM est un système de bibliothèques gérant les tâches d'authentification des applications sur un système. La bibliothèque offre une interface fournissant des outils pour les programmes de gestion des droits privilégiés (comme login et su).
Samhain Samhain® est un Système de Détection d'Intrusion multiplateforme open source pour les systèmes POSIX (Unix, Linux, Cygwin/Windows). Il permet la vérification de l'intégrité des fichiers, la détection de rootkits, la surveillance des ports, la détection d'exécutables SUID malveillants et de processus cachés.
SanCP SanCP est un outil de sécurité réseau conçu pour collecter des informations statistiques sur le trafic réseau et pour enregistrer ce trafic dans un fichier au format PCAP dans une optique : d'audit, d'historique et de découverte réseau.
Snort Snort® est un système de détection et de prévention d'intrusion réseau basé sur un système de signatures. Il combine les bénéfices des méthodes d'analyse par signature, protocole et anomalie.

Liens



Le contenu de ce wiki est sous licence : CC BY-SA v3.0