next up previous contents
Next: Conclusion Up: Prelude-IDS et Nessus Previous: Nessus, généralités   Contents

Comparaison entre Nessus et Prelude-IDS

Tout d'abord, Prelude permet de détecter les attaques lancées sur un réseau alors que Nessus est chargé de relever les failles que sont suceptibles d'exploiter ces attaques. Nessus travaille de façon statique en observant des failles à un moment t (failles de sécurité liées au mauvais fonctionnement ou au mauvais codage d'une application) pendant que Prelude travaille de façon dynamique en observant les flux d'informations transitant sur le réseau. De ce fait, un administrateur utilise plutôt Nessus pour pouvoir prévenir les attaques en appliquant des patchs correctifs tandis qu'il utilise Prelude pour avoir une réaction la plus efficace possible après une attaque.


L'utilisation première de Prelude est de fonctionner en continu sur un réseau alors que Nessus est normalement utilisé par l'administrateur pour une vérification ponctuelle (même si l'utilisation de Nessus évolue en ce moment vers un outil de surveillance "permanent").


Au niveau de l'architecture, Prelude requiert une architecture client-serveur avec l'installation de sondes (réseaux ou hôtes) et d'un manager. Au contraire, Nessus fonctionne sur un seul poste. On peut relever un point commun sur l'interface graphique qui, dans les deux cas, est une partie indépendante de l'application.


Notons que Prelude repose sur une plateforme de type Unix ou BSD. Mais des logiciels comme Ntsyslog nous permettent de remonter des informations sur des machines Windows. En revanche, Nessus fonctionne aussi bien sous Unix que Windows.


L'installation et l'étude des corrélations entre les résultats de Nessus et Prelude-IDS sont détaillés en annexe. Dans notre étude, nous avons eu le résultat suivant :

manager:/home/prelude# ability-finder.pl -B -c vuln.conf
*** Trying to connect to the database
 type:mysql      database:prelude
 hostname:localhost      account:prelude

*** Parsing the database to get the alerts id

*** Trying to search for correlation
*** Operation of vulnerability correlation search finnished

 Number of alerts treated in the database : 1073
 Number of correlations of vulnerability  : 0
manager:/home/prelude#
Ici on peut voir qu'il n'y a eu aucune attaque exploitant une vulnérabilité préalablement détectée par Nessus. Il existe aussi un script très simpliste pour faire un tri sur les corrélations durant un laps de temps donné. Par exemple, pour afficher les corrélations pour les dernières 24 heures (ou les 86400 dernières secondes) :
manager:/home/prelude/# ./prelude-correlation-agent.pl -B -p 86400
Le détail est une nouvelle fois en annexe.
next up previous contents
Next: Conclusion Up: Prelude-IDS et Nessus Previous: Nessus, généralités   Contents
Lehmann Guillaume 2003-04-13