Composants

Libprelude (la librairie Prelude) La librairie libprelude constitue la brique de base de tout composant Prelude à l'exception du frontend. Cette librairie fournit aux composants Prelude les fonctionnalités suivantes:

• Gestion de la connexion entre composants (sondes et managers) notamment le mécanisme de reprise après interruption et de rétablissement automatique de la connexion;
• Gestion du mode de communication entre composants, notamment la prise en charge du chiffrement éventuel et de l'authentification;
• Interface permettant l'intégration de plugins.

Cette librairie doit être installée préalablement à l'installation de tout autre composant (à l'exception toujours du frontend). Nous utilisons la version 0.8.4.

Prelude-Nids (la sonde réseau) Cette sonde prend en charge l'analyse en temps réel du traffic réseau. Elle est construite au-dessus de la librairie libprelude et fournit:

• Un moteur de gestion de signatures générique, actuellement compatible avec les signatures Snort, mais pouvant être étendu par l'ajout de nouveau "parser" de règles;
• Des modules spécialisés par protocole : par exemple, un plugin est dédié aux protocoles RPC et permet l'analyse fine de ce type de connexions;
• Des modules spécialisés dans la détection non basée sur des signatures : détection des activités de balayage (scan), ...

Les sondes réseaux peuvent aussi prendre en charge la défragmentation IP et le réassemblage des flux TCP, de façon à rendre une sonde réseau Prelude moins vulnérable aux attaques de type Snot. Nous utilisons la version 0.8.1.

Prelude-LML (la sonde locale) Cette sonde prend en charge la remontée d'alertes détectées localemenent sur une machine. Cette détection est basée sur l'application à des objets (fichiers de journalisation et/ou application) de règles construites autour d'expressions régulières compatibles Perl (PCRE). Pour la surveillance des systèmes Unix, une sonde prelude-LML peut utiliser le service syslog et ainsi assurer la remontée d'alertes. L'intégration des systèmes Microsoft peut également se faire à l'aide de l'utilitaire ntsyslog. Un message est généré par la sonde prelude-LML dès qu'une ligne de log correspond à une expression régulière. Nous utilisons la version 0.8.2.

Prelude-Manager (le contrôleur) Prelude-manager centralise les messages des sondes réseaux et locales, et les traduit en alertes. Il est responsable de la centralisation et de la journalisation à travers deux fonctions:

• Celle de relais : un contrôleur relais va assurer le routage vers un contrôleur maître d'alertes provenant des sondes qui lui sont rattachées.
• Celle de maître : un tel contrôleur va assurer la réception des messages et des alertes provenant des sondes ainsi que leur journalisation dans un format lisible par l'analyste : en mode texte (dans les fichiers) ou SQL dans le cas de l'utilisation d'un SGBD (MySQL ou PostgreSQL).

Il est possible d'étendre les capacités d'un contrôleur à l'aide de plugins, en autorisant, par exemple, le traitement de messages en provenance de composants autres que Prelude, un contrôleur Prelude pouvant ainsi centraliser la remontée d'alarmes en provenance de sondes Snort. Nous utilisons la version 0.8.6.

Prelude-Frontend (l'interface web) C'est l'interface de visualisation des alertes. Il est actuellement proposé deux interfaces, l'une développée en PHP et l'autre en Perl.

• Prelude-PHP-Frontend C'est l'interface proposée sur le site "www.prelude-ids.org". Elle est composée de scripts PHP et est destinée à être installée sur un serveur web indépendamment des autres composants Prelude. Cela signifie que l'installation préalable de la librairie libprelude est inutile, mais que par contre celle d'un serveur web supportant PHP4 l'est. Nous utilisons la version 0.8.1.
• Prelude-Perl-Frontend Cette interface est issue d'un projet intitulé ``Le Routier'' (www.leroutier.net/Projects/PreludeIDS). Elle nécessite bien évidemment l'installation d'un serveur web supportant Perl.