Snort não enviando arquivo de log de alerta para o servidor syslog?

3

Estou configurado com três máquinas virtuais que executam o Ubuntu - um servidor, cliente e gateway. Eu tenho a tarefa de configurar o Snort no Gateway para monitorar "ataques" do Cliente para o Servidor. O Snort deve enviar os arquivos de log para um servidor rsyslog que eu configurei no servidor. Estou tendo problemas para enviar esses registros.

No arquivo snort.conf, eu configurei:

output alert_syslog: LOG_AUTH LOG_ALERT

Eu limpei meus iptables e abri tudo para testes (o nmap revela que o 514 está de fato aberto). Eu editei o arquivo rsyslog.conf no Gateway e adicionei:

*.* @192.168.50.5

No arquivo rsyslog.conf no servidor, adicionei:

*.* /var/log/snort.log

E descomentou o seguinte em ambos:

$ModLoad imudp.so
$UDPServerRun 514

Quando eu corro (eth2 = cliente):

snort -A console -i eth2 -c /etc/snort/snort.conf

E ping o servidor do cliente (eu tenho uma regra de Snort para capturar ICMP), um arquivo de log é criado no gateway em /var/log/snort/snort.log.xxxxxxxxxx. Nada aparece no servidor embora. Observando os pacotes no Wireshark, recebo duas mensagens do Syslog quando inicio o Snort e mais duas quando eu saio (^ C). O AUTHPRIV.INFO apenas diz "sessão aberta para o usuário root" e "sessão fechada para o usuário root":

Paraoregistro,euestavatentandoseguirestetutorialaqui:

http://books.google.com/books?id=TPXusCxyKXAC&pg=PA115&lpg=PA115&dq=log+local0+snort.conf&source=bl&ots=PeMZAPE7DF&sig=Q4R5rkbvDZjfwoCOGL7Gy-1gHho&hl=en&sa=X&ei=gYw_VL3iBcHjoAS0j4KQBw&ved=0CFUQ6AEwCQ#v=onepage&q&f=false

Alguém tem alguma ideia do que está acontecendo?

Obrigado por qualquer conselho.

    
por rphello101 14.10.2014 / 03:56

2 respostas

1

Eu diria que, se as mensagens do syslog sobre as sessões de abertura e fechamento estiverem passando, então o rsyslog está presumivelmente fazendo as coisas em ambas as extremidades (mas confirme enviando para o syslog no gateway usando logger ). Além disso, o fato de o arquivo de log ser criado no gateway sugere que as mensagens de log estão sendo manipuladas incorretamente no gateway, e não mais tarde no processo em cadeia.

Eu gostaria de confirmar que o snort está, de fato, enviando o UDP para o syslog. Você tem os pacotes esperados na porta 514, presumivelmente na interface de loopback do gateway?

Parece que você poderia contornar o syslog local e ir diretamente para o host do servidor:

output alert_syslog: host = 192.168.50.5: 514, LOG_AUTH LOG_ALERT

Se isso não agradar, o que acontece se você enviar explicitamente a saída do snort para localhost: 514? Ou para um IP diferente nesse host.

Existem problemas de firewall que podem bloquear os pacotes para a porta 514 no gateway?

Você reiniciou o snort para pegar a nova configuração? Está lendo o arquivo de configuração que você acha que é? (Tente especificar isso explicitamente com -c e / ou confirmando que é parte da linha de comando que você vê com ps ).

(Em algum momento, você vai querer limitar o que é arquivado como mensagens de snort, mas não é isso que você está atualmente preso).

    
por 23.10.2014 / 12:09
0

Note que nos registros do Ubuntu Snort com facilidade LOG_AUTH por padrão, você precisa tail -f /var/log/auth.log ao invés de /var/log/syslog . Apenas uma nota de alguém que ficou preso por um tempo:)

    
por 11.05.2017 / 16:17