Foros de daboweb
HARDWARE Y SISTEMAS OPERATIVOS, GNU/Linux, Windows, Mac => GNU/Linux, Unix, *BSD and Free Software, Android => Mensaje iniciado por: Alfon en 08 de Abril de 2011, 10:09:51 am
-
hola a todos,
Estoy tratando en enviar eventos de evenlog windows a un sistema UNIX/Linux. La aprte windows está OK, peor cuando trata de conectar con el servicio de windows, dice que no está respondiendo dicho servicio. Efectivamnete, un nmpa diceque el puerto 514 no está.
Entiendo que el servicio en un Ubunto 10.10 es cosa de rsyslog que está "running". En qué me estoy equivocabndo, o es que rsyslog no es para eso y no escucha en el puerto 514 ¿?¿.
saludos,
-
Supongo que te refieres al envío en red ¿qué usas, Samba? ¿está bien configurado, tal vez el firewall?
-
Si Liamngls, se trata de enviar a través de una red local. Entiendoque si rsyslog abre un servicio/puerto, na hace falta nada de samba.
El caso es que cuando configuro rsyslog desde /etc/rsyslog.conf para dejarlo así:
$ModLoad imudp
$UDPServerRun 514
pues no me abre el puerto 514
sin embargo si lo hago para tcp:
$ModLoad imtcp
$TCPServerRun 514
si lo hace y habre el puerto.
También me pasa que cuado configuro /etc/default/rsyslog de cualquier forma:
#RSYSLOGD_OPTIONS="-c4"
o
RSYSLOGD_OPTIONS="-r"
etc, pues no lo toma en cuenta
Cuando hago ps -AF | grep syslog:
00:00:00 rsyslogd -c4
siempre el c4 aunque lo desactive y -r ni aparece.
Sobre el firewall.
No tengo en el host linux iptables activado.
Via libre en la red local
Tengo otros servicios y puertos activados en linux y windows interactuando sin problemas.el porblemas.
Por otra parte el programita que envia los eventos de windows al linux solo usa UDP nada de TCP.
Asi que la unica forma es que pueda tenr abierto UDP 514 en el linux.
Netstat.
Conexiones activas de Internet (solo servidores)
Proto Recib Enviad Dirección local Dirección remota Estado PID/Program name
udp 0 0 0.0.0.0:514 0.0.0.0:* 1948/rsyslogd
udp 0 0 0.0.0.0:46675 0.0.0.0:* 727/avahi-daemon: r
udp 0 0 0.0.0.0:5353 0.0.0.0:* 727/avahi-daemon: r
udp6 0 0 :::514 :::* 1948/rsyslogd
udp6 0 0 :::5353 :::* 727/avahi-daemon: r
udp6 0 0 :::42315 :::* 727/avahi-daemon: r
En nmap localhost.
PORT STATE SERVICE
22/tcp open ssh
80/tcp open http
631/tcp open ipp
3306/tcp open mysql
Aqui no aparece 514.
Saludossss,
-
Bueno, después de la parrafada anterior... resulta que si funciona. ;-)
Me explico.
El host linux on el servicio rsyslog está funcionando bien. Lo he comprobado poniendo a Snort en modo syslo y enviando las alertas al hostlinux:514. Y efectivamente en windows me detecta wirehsark que se envían los losgs de alertas al linux y en linux con tcpdump veoque se reciben las alertas. dicho lo cual perece que si funciona.
El problema está en la utilidad evtsys.exe que es la que no me envía nada. De hecho., y pensé que era error de linux, está utilidad me dá el error:
Apr 8 14:21:20 MAQUINAWINDOWS Cannot start service dispatcher: El proceso del servicio no puede conectar con el controlador del servicio.
El sistema si está instalado con la opción -i
En fin sigo a ver si averiguo algo más.
saludos,
-
Wnas,
no seé si tiene algo que ver con el tema que expicas pero encontré esto que al igual te sirve:
OSSEC es un sistema de detección de intrusos muy potente, facil de usar, gratuito y licenciado bajo la GPL v2.
Posee capacidades avanzadas como la respuesta ante eventos, aunque configurarla correctamente requiere una dedicación mayor. Unido al poco consumo de recursos y a que es un programa soportado por el 95% de las plataformas más comunes lo convierten en una referencia en el campo de los HIDS y en una imprescindible herramienta que todos los interesados en proteger nuestros sistemas deberíamos utilizar.
fuente: http://www.espaciolinux.com/2007/09/ossec-la-referencia-de-los-hids/
Saludos.
-
Gracias taranis. OSSEC si, lo conozco. Lo suelo usar como sensor para Sguil. también en prelude se puede usar.
De todas formas, y siguiendo el tema, ya puede enviar sin probemas los logs al servicio rsyslog que, al perecer, vuelca los datyos en /var/log/syslog. Ya solo me queda que el sensor pueda leer dichos datos y poasarlo a mysql.
saludos,
-
taranis, Liamngls,
Como tenía un server OSSEC montado, he realizado lo siguiete: he instalado sensores ossec en los Windows para aque estos recogan los eventos y los envíen al server OSSEC montado en un Ubuntu 10.10. No lo hacen por syslog, se conectan a un puerto UDP del server. A su vez, he configurado éste como sensor de Prelude SIEM IDS / IPS para que envie todos los eventos y alertas a un centro de control Prelude. Funciona de escándalo.
Al final lo que tengo es una serie de sensores windows contra ossec. De forma independiente una serie de sensores snort y suricata en distintos puntos de la red, y todos centralizado en Prelude manager. Con el gestor de alertas y sensores Prelude puedo ver todos los eventos y alertas de todos los sensores ditribuidos por toda mi red.
Saludos y gracias,
-
Ni idea de lo que dices, pero sí funciona ... perfecto :ciego:
-
Ni idea de lo que dices, pero sí funciona ... perfecto :ciego:
Jajajajajaja,
Algo te sonará Liamngls, seguro.
-
Sí claro, eso de Windows me suena de algo :destroyer:
-
Yo he llegado a crear mi servidor Ossec en Debian y tengo un agente en Windows. Lo que me gustaría hacer ahora sería que pudiese ver logs sobre el estado de los discos duros y que me enviase un correo si aparece algun error de disco. Lo de los sensores no lo tengo controlado. A ver si el fin de semana aprovecho para darle algo de caña.
Alfon, si puedes indicarme algo te lo agradeceria!jejejejejje
La verdad que el Ossec, si me rula como quiero, me va a evitar muchos quebraderos de cabeza y me a va ayudar a simplificar muchas tareas rutinarias.
Gracias y buen fin de semana.
Dale caña al Ossec Liam! ;)
-
Taranis,
Respecto a lo que comentas, precísamente hoy he recibido una alerta:
OSSEC HIDS Notification.
2011 Apr 27 10:43:13
Received From: (ossec-xp) 192.168.1.5->WinEvtLog
Rule: 18154 fired (level 10) -> "Multiple Windows error events."
Portion of the log(s):
WinEvtLog: System: ERROR(7): CDRom: (no user): no domain: xxx: El dispositivo, \Device\CdRom0, tiene un bloque defectuoso.
WinEvtLog: System: ERROR(7): CDRom: (no user): no domain: xxx: El dispositivo, \Device\CdRom0, tiene un bloque defectuoso.
WinEvtLog: System: ERROR(7): CDRom: (no user): no domain: xxx: El dispositivo, \Device\CdRom0, tiene un bloque defectuoso.
WinEvtLog: System: ERROR(7): CDRom: (no user): no domain: xxx: El dispositivo, \Device\CdRom0, tiene un bloque defectuoso.
WinEvtLog: System: ERROR(7): CDRom: (no user): no domain: xxx: El dispositivo, \Device\CdRom0, tiene un bloque defectuoso.
WinEvtLog: System: ERROR(7): CDRom: (no user): no domain: xxx: El dispositivo, \Device\CdRom0, tiene un bloque defectuoso.
WinEvtLog: System: ERROR(7): CDRom: (no user): no domain: xxx: El dispositivo, \Device\CdRom0, tiene un bloque defectuoso.
Tengo en el EventLog un evento de error de disk, pero en este caso creo no haber recibido nada. Tengo que ver la conguración del agente (ossec.conf)
Saludos,