Tema: Servicio syslog puerto 514. (SOLUCIONADO)

[Alfon]

hola a todos,

Estoy tratando en enviar eventos de evenlog windows a un sistema UNIX/Linux. La aprte windows está OK, peor cuando trata de conectar con el servicio de windows, dice que no está respondiendo dicho servicio. Efectivamnete, un nmpa diceque el puerto 514 no está.

Entiendo que el servicio en un Ubunto 10.10 es cosa de rsyslog que está "running". En qué me estoy equivocabndo, o es que rsyslog no es para eso y no escucha en el puerto 514 ¿?¿.

saludos,

[Liamngls]

Supongo que te refieres al envío en red ¿qué usas, Samba? ¿está bien configurado, tal vez el firewall?

[Alfon]

Si Liamngls, se trata de enviar a través de una red local. Entiendoque si rsyslog abre un servicio/puerto, na hace falta nada de samba.

El caso es que cuando configuro rsyslog desde /etc/rsyslog.conf para dejarlo así:

$ModLoad imudp
$UDPServerRun 514

pues no me abre el puerto 514

sin embargo si lo hago para tcp:

$ModLoad imtcp
$TCPServerRun 514

si lo hace y habre el puerto.

También me pasa que cuado configuro /etc/default/rsyslog de cualquier forma:

#RSYSLOGD_OPTIONS="-c4"

o

RSYSLOGD_OPTIONS="-r"

etc, pues no lo toma en cuenta

Cuando hago ps -AF | grep syslog:

 00:00:00 rsyslogd -c4

siempre el c4 aunque lo desactive y -r ni aparece.

Sobre el firewall.

No tengo en el host linux iptables activado.
Via libre en la red local
Tengo otros servicios y puertos activados en linux y windows interactuando sin problemas.el porblemas.

Por otra parte el programita que envia los eventos de windows al linux solo usa UDP nada de TCP.

Asi que la unica forma es que pueda tenr abierto UDP 514 en el linux.


Netstat.

Código: [Seleccionar]

Conexiones activas de Internet (solo servidores)
Proto  Recib Enviad Dirección local         Dirección remota       Estado       PID/Program name
udp        0      0 0.0.0.0:514             0.0.0.0:*                           1948/rsyslogd
udp        0      0 0.0.0.0:46675           0.0.0.0:*                           727/avahi-daemon: r
udp        0      0 0.0.0.0:5353            0.0.0.0:*                           727/avahi-daemon: r
udp6       0      0 :::514                  :::*                                1948/rsyslogd
udp6       0      0 :::5353                 :::*                                727/avahi-daemon: r
udp6       0      0 :::42315                :::*                                727/avahi-daemon: r

En nmap localhost.

PORT     STATE SERVICE
22/tcp   open  ssh
80/tcp   open  http
631/tcp  open  ipp
3306/tcp open  mysql

Aqui no aparece 514.



Saludossss,

[Alfon]

Bueno, después de la parrafada anterior... resulta que si funciona.

Me explico.

El host linux on el servicio rsyslog está funcionando bien. Lo he comprobado poniendo a Snort en modo syslo y enviando las alertas al hostlinux:514. Y efectivamente en windows me detecta wirehsark que se envían los losgs de alertas al linux y en linux con tcpdump veoque se reciben las alertas. dicho lo cual perece que si funciona.

El problema está en la utilidad evtsys.exe que es la que no me envía nada. De hecho., y pensé que era error de linux, está utilidad me dá el error:

Apr  8 14:21:20 MAQUINAWINDOWS Cannot start service dispatcher: El proceso del servicio no puede conectar con el controlador del servicio.

El sistema si está instalado con la opción -i

En fin sigo a ver si averiguo algo más.

saludos,

[taranis]

Wnas,
no seé si tiene algo que ver con el tema que expicas pero encontré esto que al igual te sirve:

OSSEC es un sistema de detección de intrusos muy potente, facil de usar, gratuito y licenciado bajo la GPL v2.
Posee capacidades avanzadas como la respuesta ante eventos, aunque configurarla correctamente requiere una dedicación mayor. Unido al poco consumo de recursos y a que es un programa soportado por el 95% de las plataformas más comunes lo convierten en una referencia en el campo de los HIDS y en una imprescindible herramienta que todos los interesados en proteger nuestros sistemas deberíamos utilizar.

fuente: http://www.espaciolinux.com/2007/09/ossec-la-referencia-de-los-hids/

Saludos.

[Alfon]

Gracias taranis. OSSEC si, lo conozco. Lo suelo usar como sensor para Sguil. también en prelude se puede usar.

De todas formas, y siguiendo el tema, ya puede enviar sin probemas los logs al servicio rsyslog que, al perecer, vuelca los datyos en /var/log/syslog. Ya solo me queda que el sensor pueda leer dichos datos y poasarlo a mysql.

saludos,

[Alfon]

taranis, Liamngls,

Como tenía un server OSSEC montado, he realizado lo siguiete: he instalado sensores ossec en los Windows para aque estos recogan los eventos y los envíen al server OSSEC montado en un Ubuntu 10.10. No lo hacen por syslog, se conectan a un puerto UDP del server. A su vez, he configurado éste como sensor de Prelude SIEM IDS / IPS para que envie todos los eventos y alertas a un centro de control Prelude. Funciona de escándalo.

Al final lo que tengo es una serie de sensores windows contra ossec. De forma independiente una serie de sensores snort y suricata en distintos puntos de la red, y  todos centralizado en Prelude manager. Con el gestor de alertas y sensores Prelude puedo ver todos los eventos y alertas de todos los sensores ditribuidos por toda mi red.

Saludos y gracias,

[Liamngls]

Ni idea de lo que dices, pero sí funciona ... perfecto 

[Alfon]

Ni idea de lo que dices, pero sí funciona ... perfecto 

Jajajajajaja,

Algo te sonará Liamngls, seguro.

[Liamngls]

Sí claro, eso de Windows me suena de algo