%AltCommonEntities; ]>
Краткая инструкция по установке Prelude IDS Marco Teixeira http://www.prelude-ids.org Подготовка к инсталляции Сначала загрузите необходимые компоненты из секции Download. Вам потребуются следующие файлы: prelude-manager-latest.tar.gz prelude-nids-latest.tar.gz prelude-lml-latest.tar.gz libprelude-latest.tar.gz После этого необходимо распаковать каждый компонент: tar xfvz prelude-manager-latest.tar.gz .... Сборка компонентов Сборка libprelude Данный компонент должен собираться первым на системах, где будет установлена Prelude. Остальные компоненты (менеджер и датчики) зависят от этой библиотеки и не смогут успешно скомпилироваться, усли она не установлена. В директории libprelude выполните: ./configure make make install (от имени root) Если Вы хотите включить поддержку OpenSSL, Вам понадобятся библиотеки и файлы заголовков SSL (пакет libssl-dev в Debian или ему подобный в других дистрибуциях). Сборка менеджера В директории prelude-manager выполните: ./configure make make install (от имени root) Сборка датчиков Датчики могут быть собраны и установлены на том же компьютере, где будет запущен менеджер, хотя это и не обязательно. Не забудьте установить библиотеку libprelude на каждом компьютере, где Вы планируете установить датчик. Лакей контроля журналов регистрации (Prelude-LML) В директории prelude-lml выполните: ./configure make make install (от имени root) Сетевой датчик системы обнаружения атак (Prelude-NIDS) В директории prelude-nids выполните: ./configure make make install (от имени root) Настройка и запуск Регистрация датчиков в менеджере Регистрация датчиков --- это базовая операция, которая позволяет вести их учёт и обеспечивает совместную работу с менеджером. Для регистрации датчика необходимо запустить manager-adduser. При первом запуске данной программы у Вас появится приглашение к генерации приватного ключа. Опции по умолчанию генерируют вполне безопасный ключ: # manage-adduser No Manager key exist... Building Manager private key... What keysize do you want [1024] ? Please specify how long the key should be valid. 0 = key does not expire <n> = key expires in n days Key is valid for [0] : 0 Key length : 1024 Expire : Never Is this okay [yes/no] : yes Generating a 1024 bit RSA private key... Writing new private key to '/etc/prelude/prelude-manager/prelude-manager.key'. Adding self signed Certificate to '/etc/prelude/prelude-manager/prelude-manager.key' Generated one-shot password is ";)E1MA#4". This password will be requested by "sensor-adduser" in order to connect. Please remove the first and last quote from this password before using it. - Waiting for install request from Prelude sensors... Менеджер готов для регистрации датчиков. Теперь на компьютере, где установлен датчик, необходимо его зарегистрировать с помощью команды: sensor-adduser -s <тип датчика> -m <адрес менеджера> -u <номер датчика> Например, для регистрации датчика prelude-nids, который будет работат на том же компьютере, где установлен менеджер, необходимо выполнить: sensor-adduser -s prelude-nids -m 127.0.0.1 -u 0 Now please start "manager-adduser" on the Manager host where you wish to add the new user. Please remember that you should call "sensor-adduser" for each configured Manager entry. Press enter when done. Нажмите на клавишу Enter, когда убедитесь, что программа manager-adduser запущена и ожидает регистрации. В приглашении, которое высветится, введите пароль, который был выведен в строке Generated one-shot password is менеджера, предварительно убрав кавычки (в нашем случае это пароль ;)E1MA\#4) Please use the one-shot password provided by the "manager-adduser" program. Enter registration one shot password : Please confirm one shot password : connecting to Manager host (127.0.0.1:5553)... Succeeded. Username to use to authenticate : Имя пользователя, которое будет запрошено, используется внутри Prelude и не обязательно должно совпадать с каким-либо системным именем пользователя. Если Вы введете имя пользователя которое не зарегистрировано менеджером Prelude, этот пользователь будет создан (только внутри системы Prelude). Системные файлы регистрации в этом случае не затрагиваются: Username to use to authenticate : nids Please enter a password for this user : Please re-enter the password (comfirm) : Register user "nids" ? [y/n] : y Plaintext account creation succeed with Prelude Manager. Allocated ident for prelude-nids@ambre: 176218600803164984. В то же время, на консоли, где запущен менеджер, будет показан процесс регистрации датчика: - Connection from 127.0.0.1. sensor choose to use PLAINTEXT communication method. successfully created user nids. Sensor registered correctly. Прекрасно! Датчик успешно зарегистрирован. Данную операцию необходимо провести для всех установленных датчиков, так как с менеджером будут взаимодействовать только зарегистрированные датчики. Проверка соединения датчик-менеджер На одной из консолей запустите программу prelude-manager: # prelude-manager - Initialized 2 reporting plugins. - Initialized 1 database plugins. - Subscribing Prelude NIDS data decoder to active decoding plugins. - Initialized 1 decoding plugins. - Subscribing TextMod to active reporting plugins. - sensors server started (listening on 127.0.0.1:5554). На другой консоли запустите датчик (в нашем случае это prelude-nids): # prelude-nids -i eth0 - Initialized 3 protocols plugins. - Initialized 5 detections plugins. - HttpMod subscribed for "http" protocol handling. - Done loading Unicode table (663 Unichars, 0 ignored, 0 with errors) - RpcMod subscribed for "rpc" protocol handling. - TelnetMod subscribed for "telnet" protocol handling. - ArpSpoof subscribed to : "[ARP]". - ScanDetect subscribed to : "[TCP,UDP]". /etc/prelude/prelude-nids/ruleset/web-misc.rules (7) Parse error: Unknow key regex /etc/prelude/prelude-nids/ruleset/web-misc.rules (65) Parse error: Unknow key regex - Signature engine added 890 and ignored 2 signature. - Connecting to Unix prelude Manager server. - Plaintext authentication succeed with Prelude Manager. - Initializing packet capture. На консоли менеджера Вы увидите: [unix] - accepted connection. [unix] - plaintext authentication succeed. [unix] - sensor declared ident 969599407949004916. Таким образом ми видим, что установка прошла успешно и датчик взаимодействует с менеджером! Теперь Вы можете запустить prelude-manager и зарегистрированные датчики в фоновом (daemon) режиме.