Alguns agentes da Ossec não conseguem se comunicar com o servidor OSSEC

4

Instalei o Ossec em um servidor e os agentes em outros servidores em execução no Redhat. A questão é que alguns servidores são capazes de se comunicar e enviar os logs para servidores e outros estão no estado INACTIVE, embora eu tenha importado as chaves de segurança.

2013/02/23 15:34:34 ossec-agentd(4101): WARN: Waiting for server reply (not started). Tried: '192.168.109.1'.
2013/02/23 15:38:30 ossec-agentd: INFO: Trying to connect to server (192.168.109.1:1514).
2013/02/23 15:38:30 ossec-agentd: INFO: Using IPv4 for: 192.168.109.1 .
2013/02/23 15:38:51 ossec-agentd(4101): WARN: Waiting for server reply (not started). Tried: '192.168.109.1'.
2013/02/23 15:43:05 ossec-agentd: INFO: Trying to connect to server (192.168.109.1:1514).
2013/02/23 15:43:05 ossec-agentd: INFO: Using IPv4 for: 192.168.109.1 .
2013/02/23 15:43:26 ossec-agentd(4101): WARN: Waiting for server reply (not started). Tried: '192.168.109.1'.
2013/02/23 15:47:58 ossec-agentd: INFO: Trying to connect to server (192.168.109.1:1514).
2013/02/23 15:47:58 ossec-agentd: INFO: Using IPv4 for: 192.168.109.1 .
2013/02/23 15:48:19 ossec-agentd(4101): WARN: Waiting for server reply (not started). Tried: '192.168.109.1'.
2013/02/23 15:53:09 ossec-agentd: INFO: Trying to connect to server (192.168.109.1:1514).
2013/02/23 15:53:09 ossec-agentd: INFO: Using IPv4 for: 192.168.109.1 .
2013/02/23 15:53:30 ossec-agentd(4101): WARN: Waiting for server reply (not started). Tried: '192.168.109.1'.
2013/02/23 15:58:38 ossec-agentd: INFO: Trying to connect to server (192.168.109.1:1514).
2013/02/23 15:58:38 ossec-agentd: INFO: Using IPv4 for: 192.168.109.1 .
2013/02/23 15:58:59 ossec-agentd(4101): WARN: Waiting for server reply (not started). Tried: '192.168.109.1'

E eu verifiquei com a equipe de segurança e eles disseram que há um firewall entre o host e os agentes. E eles ativaram a porta 514 UDP no servidor. Mas ainda agentes não conseguem se comunicar com o servidor

Saída Netstat

[emerg@Monit ~]$ netstat -panu
(No info could be read for "-p": geteuid()=1344 but you should be root.)
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address               Foreign Address             State       PID/Program name   
udp        0      0 0.0.0.0:32769               0.0.0.0:*                               -                   
udp        0      0 0.0.0.0:514                 0.0.0.0:*                               -                   
udp        0      0 0.0.0.0:10000               0.0.0.0:*                               -                   
udp        0      0 0.0.0.0:657                 0.0.0.0:*                               -                   
udp        0      0 0.0.0.0:660                 0.0.0.0:*                               -                   
udp        0      0 0.0.0.0:5353                0.0.0.0:*                               -                   
udp        0      0 0.0.0.0:1514                0.0.0.0:*                               -                   
udp        0      0 0.0.0.0:111                 0.0.0.0:*                               -                   
udp        0      0 0.0.0.0:631                 0.0.0.0:*                               -                   
udp        0      0 10.1.1.109:123              0.0.0.0:*                               -                   
udp        0      0 192.168.109.1:123           0.0.0.0:*                               -                   
udp        0      0 127.0.0.1:123               0.0.0.0:*                               -                   
udp        0      0 0.0.0.0:123                 0.0.0.0:*                               -                   
udp        0      0 :::32771                    :::*                                    -                   
udp        0      0 :::5353                     :::*                                    -                   
udp        0      0 fe80::21e:c9ff:fee0:123     :::*                                    -                   
udp        0      0 fe80::21e:c9ff:fee0:123     :::*                                    -                   
udp        0      0 ::1:123                     :::*                                    -                   
udp        0      0 :::123                      :::*  

Conteúdo do Ossec.conf do Ossec HIDS Server

<ossec_config>
  <global>
    <email_notification>yes</email_notification>
    <email_to>[email protected]</email_to>
    <smtp_server>10.171.1.10</smtp_server>
    <email_from>[email protected]</email_from>
  </global>

  <rules>
    <include>rules_config.xml</include>
    <include>pam_rules.xml</include>
    <include>sshd_rules.xml</include>
    <include>telnetd_rules.xml</include>
    <include>syslog_rules.xml</include>
    <include>arpwatch_rules.xml</include>
    <include>symantec-av_rules.xml</include>
    <include>symantec-ws_rules.xml</include>
    <include>pix_rules.xml</include>
    <include>named_rules.xml</include>
    <include>smbd_rules.xml</include>
    <include>vsftpd_rules.xml</include>
    <include>pure-ftpd_rules.xml</include>
    <include>proftpd_rules.xml</include>
    <include>ms_ftpd_rules.xml</include>
    <include>ftpd_rules.xml</include>
    <include>hordeimp_rules.xml</include>
    <include>roundcube_rules.xml</include>
    <include>wordpress_rules.xml</include>
    <include>vpopmail_rules.xml</include>
    <include>vmpop3d_rules.xml</include>
    <include>courier_rules.xml</include>
    <include>web_rules.xml</include>
    <include>apache_rules.xml</include>
"ossec.conf" 162L, 5585C

Regra de firewall

 13M 3734M ACCEPT     udp  --  *      *       0.0.0.0/0            192.168.9.1         multiport dports 123,514
    
por OmiPenguin 23.02.2013 / 14:08

3 respostas

1

Se você assumir que o firewall bloqueia, você pode testar a conexão na linha de comando:

netcat -u servername 1514

Agora, se você digitar algum texto, você deve encontrar no lado do servidor do OSSEC uma mensagem de log como:

less /var/ossec/logs/ossec.log
2014/02/14 17:54:07 ossec-remoted(1403): ERROR: Incorrectly formated message from 'nn.nn.nn.nnn'.

Como você pode ver, eu uso a porta padrão 1514 do OSSEC para comunicação. Então, você tem certeza de que está usando a porta 514?

Para um passo-a-passo de como depurar uma conexão OSSEC, você pode dar uma olhada no meu blog, Como depurar uma conexão OSSEC .

    
por 14.02.2014 / 18:19
1

Eu vi perguntas relacionadas à conexão OSSEC aqui e em outros sites, sem resposta adequada.

Você verificou o log do servidor e mostra "Mensagem de w.x.y.z não é permitida"? Isso indica (eu acho) uma incompatibilidade de endereço IP. As mensagens do agente estão passando, ou seja, sem problemas de firewall ou NAT, mas o servidor não as aceita.

A incompatibilidade de endereço IP parece ocorrer ao especificar uma sub-rede para o agente; o problema não ocorre com um único endereço IP. Quando um arquivo exe do agente é criado, digamos que você especifique um endereço 10.1.20.0/24, porque o host depende do DHCP. Você deve adicionar, no arquivo ossec.conf no servidor, a tag <allowed-ips> :

<remote>
  <connection>secure</connection>
  <allowed-ips>10.1.20.0/24(<allowed-ips>
</remote>

Esta tag não é criada por padrão e adicionar essa tag resolve o problema. Você precisa reiniciar o serviço OSSEC.

    
por 10.09.2014 / 23:58
0

O seu ossec-remoted está em execução? Eu tive problemas com isso, começando como parte do controle da ossec, tive que corrigi-lo manualmente para fazer isso por mim.

    
por 11.03.2014 / 16:12

Tags