Les frontends

Les plus grandes différences entres les 2 outils se trouvent au niveau des frontends.

• Nombre de frontends disponibles : Sous Prelude, il n'y a pas vraiment de frontends officiel. Lors du début du TER l'ancien frontend venait d'être laissé à l'abandon pour un nouveau frontend php. Puis quelques semaines après, un nouveau frontend en perl arrivait à maturité pour le remplacer. Il y en a encore d'autres, mais c'est le frontend perl qui est en ce moment le plus abouti et le plus riche. C'est donc lui que nous allons comparer avec le frontend dédié à Snort : ACID. Snort compte lui aussi plusieurs interfaces, et sa popularité fait qu'il est maintenant intégré dans des outils comme webmin. Cependant, la référence reste ACID.
• Classement et regroupement des alertes : Dans les deux cas, le regroupement des alertes suivant des critères communs basiques (même adresse IP source, même type d'attaque, même niveau d'alerte, ...) est équivalent. Pour des filtrages plus détaillé, la logique est différente dans les deux outils. ACID permet de trier les alertes en choisissant plusieurs critères.
  Filtres d'ACID

  
  En revanche, le frontend-perl de Prelude-IDS propose une rubrique Filter Factory qui permet de créer des filtres, de les modifier, ou de les supprimer.

  La rubrique Filter Factory

  
  Ces filtres sont ensuite disponibles dans la page principale (Alert List). Ce qui est intéressant avec le Filter Factory c'est que les filtres ainsi créés sont sauvegardés.

  Rubrique Alert List avec le filtrage défini précédemment

  
  

• Graphiques : Le frontend-perl de Prelude-IDS permet la visualisation de nombreuses informations sous forme de graphiques. Cela va du top 15 des attaquants, à la surveillance des sondes (hearthbeat), en passant par le top 15 des attaques, ou encore des statistiques des attaques. De plus il est possible dans certains cas de choisir d'afficher sous forme de camembert, d'histogramme, ligne fine, tableau, ... C'est un vrai plaisir de manipuler cette interface. ACID est sur ce point moins convivial, et même si l'affichage basique des alertes (sous forme d'un tableau) est équivalent, le frontend-perl est beaucoup plus riche pour le reste.
  Surveillance de l'état des sondes

  
  

  Top 15 attaquants

  
  

  Historique du nombre d'attaques

  
  

• Maintenance de la base : Les alertes peuvent être stockées dans un fichier ainsi que dans une base de données. Il est intéressant de pouvoir administrer son contenu au travers de l'interface. ACID le permet, avec possibilité, par exemple, de supprimer un ou plusieurs enregistrements d'un coup. Le frontend-perl en est incapable, et le responsable sécurité devra directement agir sur la base de données avec des requêtes SQL pour la maintenance. Le frontend-perl se cantone à l'affichage, avec classements, affichage sous forme de graphiques, mais au final cela ne sera que de l'affichage. Le frontend-perl étant récent et en plein développement, on peut espérer que ces fonctionnalités seront bientôt implémentées ... même si cela n'apparaît pas pour le moment dans le TODO. La maintenance de la base au travers du frontend aurait été particulièrement utile dans Prelude-IDS, qui a tendance à enregistrer un nombre très important d'alertes se ressemblant beaucoup.
  Maintenance de la base de données avec ACID