Snort über stunnel [Archiv] - linuxforen.de -- User helfen Usern

Archiv verlassen und diese Seite im Standarddesign anzeigen : Snort über stunnel

blade74

20.04.05, 14:39

Hallo,
habe da mal eine Frage zu Snort
Ich habe auf einen Rechner Snort installiert
läuft auch als Netzwerk IDS und einen zweiten Rechner auf den eine Mysql
Datenbank und die Assid Console läuft aber leider bekomme ich die
Information vom Snort nicht in die Mysql Datenbank.

Das ganze läuft über Stunnel da es ja verschlüsselt sein soll.
und syslog-ng

stunnel.conf (IDS server)

client = yes
#chroot = /var/lib/stunnel/
setuid = nobody
setgid = nogroup
#pid = /var/run/stunnel.pid
#cert = /etc/stunnel/stunnel.pem

debug = 7
output = /var/log/stunnel.log

[mysql]
accept = 127.0.0.1:3306
connect = 172.31.16.29:10439

[syslog-ng]
accept = 127.0.0.1:601
connect = 172.31.16.29:10440

syslog-ng.conf

source quelle {
unix-dgram("/dev/log");
internal();
};

#
# filter definitions
#
filter f_snort {
facility(local7);
};

#Ziel
destination stunnel {
tcp("127.0.0.1" port(601));
};

#
destination local{
file("/var/log/snort.log" owner("root") group ("adm") perm (640));
};
# Logen auf den Ãberwachungs-Server
log {
source(quelle); filter(f_snort); destination(stunnel);
};

# Logen au lokalen Rechner zur Kontrolle
#log {
#source(quelle); filter(f_snort); destination(lokal);
# };

Auf der log Server Seite

stunnel.conf

client = no
#chroot = /var/lib/stunnel/
setuid = nobody
setgid = nogroup
pid = /var/run/stunnel.pid
debug = 7
output = /var/log/stunnel.log
#CAfile = /etc/stunnel/certs.pem
cert = /etc/stunnel/stunnel.pem

[mysql]
accept = 10439
connect = 127.0.0.1:3306

[syslog-ng]
accept = 10440
connect = 127.0.0.1:601

syslog-ng.conf

#
# /etc/syslog-ng/syslog-ng.conf
#
# Automatically generated by SuSEconfig on Mon Jan 3 16:47:17 CET 2005.
#
# PLEASE DO NOT EDIT THIS FILE!
#
# you can modify /etc/syslog-ng/syslog-ng.conf.in instead
#
#
#Quelle
source quelle {
tcp(ip(127.0.0.1) port(601) max-connections(20));
};

#Ziel

destination ziel {
file("/var/log/snort/snort.all" owner("root") group ("root")
perm(0640));
};

#Logdateien schreiben
log {
source(quelle); destination(ziel);
};

Ich hoffe mir kann einer sagen warum die Daten nicht in die Mysql Datenbank gelangen

Harry

20.04.05, 16:09

Hi,

ein paar Auszüge aus den Logfiles wären nett, falls sich dort was brauchbares findet.
Ansonsten kannst Du mit einem Netzwerksniffer (ethereal, tcpdump) auf den diversen Interfaces und den betroffenen Ports der beiden Maschinen überprüfen, ob die Verbindungen wie beabsichtigt funktionieren, ob auf der Client-Seite tatsächlich an ethx verschlüsselt wird, ob auf der Server-Seite tatsächlich auf lo entschlüsselt wird etcpp.

Harry

blade74

20.04.05, 17:29

in den logs steht leider nichts
sonst hätte ich es schon mitgeschickt.

Was mich schon stutzig macht ist das wenn ich ein lsof -i -n

erhalte ich folgende ausgabe (Log Server)

syslog-ng 1862 root 3u IPv4 2926 TCP 127.0.0.1:syslog-conn (LISTEN)
syslog-ng 1862 root 4u IPv4 5276 TCP 127.0.0.1:syslog-conn->127.0.0.1:filenet-rmi (ESTABLISHED)
portmap 1882 bin 3u IPv4 2965 UDP *:sunrpc
portmap 1882 bin 4u IPv4 2974 TCP *:sunrpc (LISTEN)
master 1964 root 11u IPv4 3301 TCP 127.0.0.1:smtp (LISTEN)
master 1964 root 12u IPv6 3302 TCP [::1]:smtp (LISTEN)
sshd 2095 root 3u IPv6 4060 TCP *:ssh (LISTEN)
mysqld 2103 mysql 3u IPv4 4322 TCP *:mysql (LISTEN)
httpd2-pr 2507 root 3u IPv6 4561 TCP *:http (LISTEN)
httpd2-pr 2507 root 4u IPv6 4562 TCP *:https (LISTEN)
httpd2-pr 2514 wwwrun 3u IPv6 4561 TCP *:http (LISTEN)
httpd2-pr 2514 wwwrun 4u IPv6 4562 TCP *:https (LISTEN)
httpd2-pr 2515 wwwrun 3u IPv6 4561 TCP *:http (LISTEN)
httpd2-pr 2515 wwwrun 4u IPv6 4562 TCP *:https (LISTEN)
httpd2-pr 2516 wwwrun 3u IPv6 4561 TCP *:http (LISTEN)
httpd2-pr 2516 wwwrun 4u IPv6 4562 TCP *:https (LISTEN)
httpd2-pr 2517 wwwrun 3u IPv6 4561 TCP *:http (LISTEN)
httpd2-pr 2517 wwwrun 4u IPv6 4562 TCP *:https (LISTEN)
httpd2-pr 2518 wwwrun 3u IPv6 4561 TCP *:http (LISTEN)
httpd2-pr 2518 wwwrun 4u IPv6 4562 TCP *:https (LISTEN)
stunnel 2552 nobody 4u IPv4 4663 TCP *:10439 (LISTEN)
stunnel 2552 nobody 5u IPv4 4664 TCP *:10440 (LISTEN)
stunnel 2552 nobody 8u IPv4 5274 TCP 172.31.16.29:10440->172.31.15.4:filenet-cm (ESTABLISHED)
stunnel 2552 nobody 9u IPv4 5275 TCP 127.0.0.1:filenet-rmi->127.0.0.1:syslog-conn (ESTABLISHED)
sshd 2710 root 4u IPv6 5117 TCP 172.31.16.29:ssh->172.31.21.42:40065 (ESTABLISHED)
httpd2-pr 2777 wwwrun 3u IPv6 4561 TCP *:http (LISTEN)
httpd2-pr 2777 wwwrun 4u IPv6 4562 TCP *:https (LISTEN)
httpd2-pr 2815 wwwrun 3u IPv6 4561 TCP *:http (LISTEN)
httpd2-pr 2815 wwwrun 4u IPv6 4562 TCP *:https (LISTEN)

lsof -i -n (Snort Server)

syslog-ng 1385 root 4u IPv4 4596 TCP 127.0.0.1:filenet-pa->127.0.0.1:syslog-conn (ESTABLISHED)
portmap 1405 bin 3u IPv4 2357 UDP *:sunrpc
portmap 1405 bin 4u IPv4 2368 TCP *:sunrpc (LISTEN)
master 1459 root 11u IPv4 2591 TCP 127.0.0.1:smtp (LISTEN)
sshd 1585 root 3u IPv6 3036 TCP *:ssh (LISTEN)
sshd 2026 root 4u IPv6 4222 TCP 172.31.15.4:ssh->172.31.21.42:40071 (ESTABLISHED)
stunnel 2080 nobody 4u IPv4 4392 TCP 127.0.0.1:mysql (LISTEN)
stunnel 2080 nobody 5u IPv4 4393 TCP 127.0.0.1:syslog-conn (LISTEN)
stunnel 2080 nobody 8u IPv4 4597 TCP 127.0.0.1:syslog-conn->127.0.0.1:filenet-pa (ESTABLISHED)
stunnel 2080 nobody 11u IPv4 4599 TCP 172.31.15.4:filenet-cm->172.31.16.29:10440 (ESTABLISHED)
stunnel 2091 nobody 4u IPv4 4392 TCP 127.0.0.1:mysql (LISTEN)
stunnel 2091 nobody 5u IPv4 4393 TCP 127.0.0.1:syslog-conn (LISTEN)
stunnel 2091 nobody 8u IPv4 4597 TCP 127.0.0.1:syslog-conn->127.0.0.1:filenet-pa (ESTABLISHED)

die Verbindungen sind doch ESTABLISHED
eigentlich sollten doch daten rübergehen
Nur die mysql verbindung ist nicht ESTABLISHED aber warum ?????