한 서버에 Ossec을 설치하고 Redhat에서 실행되는 다른 서버에 에이전트를 설치했습니다. 문제는 보안 키를 가져왔음에도 불구하고 일부 서버는 서버와 통신하고 로그를 보낼 수 있는 반면 다른 서버는 INACTIVE 상태라는 것입니다.
2013/02/23 15:34:34 ossec-agentd(4101): WARN: Waiting for server reply (not started). Tried: '192.168.109.1'.
2013/02/23 15:38:30 ossec-agentd: INFO: Trying to connect to server (192.168.109.1:1514).
2013/02/23 15:38:30 ossec-agentd: INFO: Using IPv4 for: 192.168.109.1 .
2013/02/23 15:38:51 ossec-agentd(4101): WARN: Waiting for server reply (not started). Tried: '192.168.109.1'.
2013/02/23 15:43:05 ossec-agentd: INFO: Trying to connect to server (192.168.109.1:1514).
2013/02/23 15:43:05 ossec-agentd: INFO: Using IPv4 for: 192.168.109.1 .
2013/02/23 15:43:26 ossec-agentd(4101): WARN: Waiting for server reply (not started). Tried: '192.168.109.1'.
2013/02/23 15:47:58 ossec-agentd: INFO: Trying to connect to server (192.168.109.1:1514).
2013/02/23 15:47:58 ossec-agentd: INFO: Using IPv4 for: 192.168.109.1 .
2013/02/23 15:48:19 ossec-agentd(4101): WARN: Waiting for server reply (not started). Tried: '192.168.109.1'.
2013/02/23 15:53:09 ossec-agentd: INFO: Trying to connect to server (192.168.109.1:1514).
2013/02/23 15:53:09 ossec-agentd: INFO: Using IPv4 for: 192.168.109.1 .
2013/02/23 15:53:30 ossec-agentd(4101): WARN: Waiting for server reply (not started). Tried: '192.168.109.1'.
2013/02/23 15:58:38 ossec-agentd: INFO: Trying to connect to server (192.168.109.1:1514).
2013/02/23 15:58:38 ossec-agentd: INFO: Using IPv4 for: 192.168.109.1 .
2013/02/23 15:58:59 ossec-agentd(4101): WARN: Waiting for server reply (not started). Tried: '192.168.109.1'
보안팀에 확인해 보니 호스트와 프록시 사이에 방화벽이 있다고 하더군요. 서버에서 포트 514 UDP를 활성화했습니다. 하지만 에이전트가 여전히 서버와 통신할 수 없습니다.
네트워크 통계 출력
[emerg@Monit ~]$ netstat -panu
(No info could be read for "-p": geteuid()=1344 but you should be root.)
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
udp 0 0 0.0.0.0:32769 0.0.0.0:* -
udp 0 0 0.0.0.0:514 0.0.0.0:* -
udp 0 0 0.0.0.0:10000 0.0.0.0:* -
udp 0 0 0.0.0.0:657 0.0.0.0:* -
udp 0 0 0.0.0.0:660 0.0.0.0:* -
udp 0 0 0.0.0.0:5353 0.0.0.0:* -
udp 0 0 0.0.0.0:1514 0.0.0.0:* -
udp 0 0 0.0.0.0:111 0.0.0.0:* -
udp 0 0 0.0.0.0:631 0.0.0.0:* -
udp 0 0 10.1.1.109:123 0.0.0.0:* -
udp 0 0 192.168.109.1:123 0.0.0.0:* -
udp 0 0 127.0.0.1:123 0.0.0.0:* -
udp 0 0 0.0.0.0:123 0.0.0.0:* -
udp 0 0 :::32771 :::* -
udp 0 0 :::5353 :::* -
udp 0 0 fe80::21e:c9ff:fee0:123 :::* -
udp 0 0 fe80::21e:c9ff:fee0:123 :::* -
udp 0 0 ::1:123 :::* -
udp 0 0 :::123 :::*
Ossec HIDS 서버의 Ossec.conf 내용
<ossec_config>
<global>
<email_notification>yes</email_notification>
<email_to>[email protected]</email_to>
<smtp_server>10.171.1.10</smtp_server>
<email_from>[email protected]</email_from>
</global>
<rules>
<include>rules_config.xml</include>
<include>pam_rules.xml</include>
<include>sshd_rules.xml</include>
<include>telnetd_rules.xml</include>
<include>syslog_rules.xml</include>
<include>arpwatch_rules.xml</include>
<include>symantec-av_rules.xml</include>
<include>symantec-ws_rules.xml</include>
<include>pix_rules.xml</include>
<include>named_rules.xml</include>
<include>smbd_rules.xml</include>
<include>vsftpd_rules.xml</include>
<include>pure-ftpd_rules.xml</include>
<include>proftpd_rules.xml</include>
<include>ms_ftpd_rules.xml</include>
<include>ftpd_rules.xml</include>
<include>hordeimp_rules.xml</include>
<include>roundcube_rules.xml</include>
<include>wordpress_rules.xml</include>
<include>vpopmail_rules.xml</include>
<include>vmpop3d_rules.xml</include>
<include>courier_rules.xml</include>
<include>web_rules.xml</include>
<include>apache_rules.xml</include>
"ossec.conf" 162L, 5585C
방화벽 규칙
13M 3734M ACCEPT udp -- * * 0.0.0.0/0 192.168.9.1 multiport dports 123,514
답변1
방화벽이 두 가지를 모두 차단하고 있다고 가정하면 명령줄에서 연결을 테스트할 수 있습니다.
netcat -u servername 1514
이제 일부 텍스트를 입력하면 OSSEC 서버 측에서 다음 로그 메시지를 찾을 수 있습니다.
less /var/ossec/logs/ossec.log
2014/02/14 17:54:07 ossec-remoted(1403): ERROR: Incorrectly formated message from 'nn.nn.nn.nnn'.
보시다시피 저는 통신에 OSSEC 기본 포트 1514를 사용하고 있습니다. 그렇다면 포트 514를 사용하고 있습니까?
OSSEC 연결을 디버깅하는 방법에 대한 단계별 지침을 보려면 내 블로그를 확인하세요.OSSEC 연결을 디버깅하는 방법.
답변2
여기와 OSSEC 연결과 관련된 다른 사이트에서 질문을 보았지만 적절한 답변이 없습니다.
서버 로그를 확인했는데 "wxyz의 메시지는 허용되지 않습니다"라고 표시되어 있습니까? 이는 IP 주소가 일치하지 않음을 나타냅니다. 프록시의 메시지가 통과되고 있습니다. 즉, 방화벽이나 NAT 문제가 없지만 서버가 메시지를 수락하지 않습니다.
단일 IP 주소를 사용하여 에이전트에 대한 서브넷을 지정할 때 IP 주소 불일치가 있는 것 같습니다. 이 문제가 발생하지 않습니다. 에이전트 exe 파일을 생성할 때 호스트가 DHCP를 사용하기 때문에 주소를 10.1.20.0/24로 지정한다고 가정합니다. 서버의 ossec.conf 파일에 태그를 추가해야 합니다 <allowed-ips>.
<remote>
<connection>secure</connection>
<allowed-ips>10.1.20.0/24</allowed-ips>
</remote>
이 라벨은 기본적으로 생성되지 않으므로 추가하면 문제가 해결될 수 있습니다. 다음 명령을 사용하여 OSSEC 서비스를 다시 시작해야 합니다.
/var/ossec/bin/ossec-control restart
답변3
영향을 받은 호스트의 riders 디렉터리로 이동하여 호스트 ID를 삭제합니다. 예를 들어 에이전트/클라이언트 ID가 17인 경우:
rm -rf /var/ossec/queue/rids/17
그런 다음 클라이언트를 다시 시작합니다.
service ossec-hids restart
이제 서버의 상태를 확인하면 이제 활성화됩니다.