next up previous contents
Next: Installation de Nessus et Up: RAPPORT DE TER sur Previous: Le code source du   Contents

Installation de Honeyd avec Prelude-IDS

1) Installation de la libprelude sur le système : Voir la documentation sur l'installation de Prelude-IDS en annexe.


2) On applique le patch aux sources de Honeyd (http://www.rstack.org/oudot/prelude/ ) : 

# patch -p0 < honeyd-as-a-prelude-ids-sensor.patch
patching file honeyd-0.5/Makefile.am
patching file honeyd-0.5/Makefile.in
patching file honeyd-0.5/README.prelude-ids
patching file honeyd-0.5/command.c
patching file honeyd-0.5/honeyd.c
patching file honeyd-0.5/prelude_alert.c
patching file honeyd-0.5/prelude_alert.h
#


3) On configure puis on installe Honeyd : Cette installation nécessite les librairies libevent, libdnet et libpcap. 

# ./configure
# make
# make install


4) On déclare Honeyd comme une sonde sur le Prelude Manager : 

# sensor-adduser --sensorname "honeyd" --uid 0 -m 130.120.84.63


5) On modifie la configuration de Prelude dans /usr/local/etc/prelude-sensor/sensor-default.conf : 

manager-addr : 130.120.84.63


6) On installe Arpd (arpd-0.2.tar.gz) : 

# ./configure
# make
# make install


7) On lance Arpd : 

# ./arpd 130.120.84.0/24
arpd[13817]: listening on eth0: arp and (dst net 130.120.84.0/24) and not

ether src 00:10:5a:d8:8b:51
#
A partir de maintenant, le daemon Arpd gère toutes les adresses IP libres sur le réseau 130.120.84.0/24


8) On lance Honeyd : 

# honeyd -d -p nmap.prints -f config.sample 130.120.84.0/24 -l honeyd.log
- Connecting to Tcp prelude Manager server 130.120.84.63:5554.

- SSL authentication succeed with Prelude Manager.

honeyd[13826]: listening on eth0: ip and (dst net 130.120.84.0/24) and 

not ether src 00:10:5a:d8:8b:51

honeyd[13826]: Sending ICMP Echo Reply: 130.120.84.67 -> 130.120.84.63
honeyd[13826]: Sending ICMP Echo Reply: 130.120.84.67 -> 130.120.84.63
honeyd[13826]: Sending ICMP Echo Reply: 130.120.84.67 -> 130.120.84.63
honeyd[13826]: Sending ICMP Echo Reply: 130.120.84.67 -> 130.120.84.63
honeyd[13826]: Sending ICMP Echo Reply: 130.120.84.67 -> 130.120.84.63
#
On peut voir ici que Honeyd a répondu à une requête ICMP. La machine qui a initié cette réponse (130.120.84.63) s'est adressé à une machine qui n'existe pas sur le réseau (130.120.84.67). Une alerte est donc générée et envoyée au Prelude-manager. Nous pouvons donc visualiser cette alerte sur le frontend de Prelude.

next up previous contents
Next: Installation de Nessus et Up: RAPPORT DE TER sur Previous: Le code source du   Contents
Lehmann Guillaume 2003-04-13