70 6e 70 2d  6f 72 67 3a  64 65 76 69  63 65 3a 49     pnp-org:device:I

6e 74 65 72  6e 65 74 47  61 74 65 77  61 79 44 65     nternetGatewayDe

76 69 63 65  3a 31 0d 0a  4d 61 6e 3a  22 73 73 64     vice:1..Man:"ssd

70 3a 64 69  73 63 6f 76  65 72 22 0d  0a 4d 58 3a     p:discover"..MX:

33 0d 0a 0d  0a                                                             3....

* Detection Plugin Name: SnortRules

* Detection Plugin Author: The Prelude Team

* Detection Plugin Contact: prelude-devel@prelude-ids.org

* Detection Plugin Description: Snort signature parser.

* Snort rule ID: 1917

* Snort rule revision: 4

Для немедленных уведомлений по почте используйте Perl-скрипт alert2mail (http://www.prelude-ids.org/download/contribs/alert2mail). Использовать его просто, но потребуется модуль MIME::Lite.

Первой строкой добавляем:

#! /usr/bin/perl

в строке From =>’root at localhost’ ставим необходимый e-mail, и при желании можно русифицировать сообщения.

Теперь запускаем, скрипт будет считывать новые данные, поступающие в лог-файл (tail -f /var/log/prelude.log), и анализировать их, при появлении опасных строк администратору будет выслан e-mail.

Другой скрипт http://www.prelude-ids.org/download/contribs/prelude-stats-pl.txt позволяет собирать статистику на основании данных, найденных в /var/log/prelude.log. Чтобы не перегружать слишком сеть сообщения от одиночных сенсоров или удаленных групп сенсоров, возможно использование т.н. Relay Manager, которые собирают информацию от своей группы, а затем переправляют по цепочке центральному менеджеру.

В файле prelude-manager.conf за их активацию отвечают два параметра, в которых требуется указать соответствующий IP-адрес(a): admin-srvr и relay-manager (в данном случае это следующий в цепочке Relay Manager, которому переправлять информацию).

Ставим интерфейс

Все это хорошо, но при большом количестве данных лучше анализировать их при помощи выборок из базы данных. Хотя, кстати, имеется документ, рассказывающий, как сделать просмотр без фронтенда при помощи Internet Explorer: http://orbital.wiretapped.net/~technion.

Совсем недавно на сайте появился GUI-инструмент Prelude GTK2 Frontend, который не хочет компилироваться нормально. В документации имеется упоминание на PHP, ncurses и java-фронтендах, но ссылок на сайте не нашел. Поэтому основным и довольно удобным средством просмотра и анализа результатов выступает Piwi – P(erl|relude) IDS Web Interface, позволяющий просматривать листинги предупреждений, в том числе и детально их сортировать, выводить информацию о IP- и MAC-адресах, операционной системе, проводить статистику атак по дням, часам, top 10 атак и атакующих и прочее, плюс возможность самостоятельного поиска при помощи регулярных выражений. Установка piwi сложностей не представляет.

Для работы нам понадобятся (большинство, наверное, уже имеется, если нет, то придется установить, работать однозначно не будет): mysql или PostgreSQL, Аpache, не имеет значения какой – 1.3.x или 2.x, Perl от 5.6.x, DBI и DBD модули (DBD::mysql v2.9002 не работает), для вывода даты Date::Calc (http://search.cpan.org/author/STBEY). Опционально могут пригодиться Geo::IP (http://www.maxmind.com/app/linux) для вывода страны по IP-адресу, для вывода графики GD, GD::Text, GD::Graph и GD::Graph3d (http://www.boutell.com, http://stein.cshl.org/WWW/software/GD, http://search.cpan.org/ author/MVERB), для генерации отчетов в форматах ps и pdf: ghostscript и PDF::API2, и для эффективной работы веб-сервера с perl и базой данных mod_perl (http://perl.httpd.org) и Apache::DBI (http://search.cpan.org/author/ABH).