1.背景
当Sensor和Server之间无法通讯时会造成以下子系统无法显示数据:
Ø Dashboards 仪表盘
Ø Analysis→SIEM
Ø Vulnerabilities漏洞扫描无法正常工作
Ø Profiles→Ntop
Ø Detetion→OSSEC Server失效
Ø Deployment→Alienvault→Center无法联系
Ø Asset可启动扫描单扫描到的资源无法添加到数据库
在调试故障时,OSSIM管理员需要对Sensor和Server之间各项服务的通讯端口了如指掌。为了说明通讯端口下面我们简单看一个架构示意图,如图1所示,接着来说明各种端口及对于进程。
图1
2.端口对于说明
根据上图1,我们可以勘察OSSIM核心组件包括两部分,一部分是服务器(Server Host),另一部分是传感器(Sensor Host)。Server Host包括:Server、Web Framework、Database、Identty Management、Vulnerability Management。Sensor Host包括:Agent、Vulnerability Scanner、Log Collection。它们通讯端口如表1、表2归纳所示。
表1 OSSIM 开放服务器端口分配表
协 议 |
端 口 |
进程 |
作 用 |
TCP |
22 |
sshd |
Alienvault_api服务器与sensor之间远程通讯 |
TCP |
443 |
apache2 |
Https-Web UI |
TCP |
40001 |
ossim-ser |
Alienvault-server服务器进程与Agent之间通讯端口 |
TCP |
3306 |
mysqld |
Server和framework连接mysql数据库的通讯端口 |
TCP |
40002 |
ossim-ser |
Alienvault-idm-identity身份认证进程 |
TCP |
40003 |
ossim-fra |
Alienvault框架的WebUI进程,由/etc/ossim/server/config.xml控制 |
TCP |
40004 |
av-forwar |
OSSIM服务器之间的Log传送端口(仅在USM中) |
TCP |
40005/40006 |
machete/mixterd |
Alienvault Smart Event Collection Service (仅在USM 中) |
TCP |
40007 |
Server和sensor间的状态监视端口 |
|
TCP |
40008 |
Alienvault-idm-identity身份认证管理进程 |
|
TCP |
40011 |
alienvault-api |
Api通讯端口,绑定IP为127.0.0.1 |
UDP |
514 |
rsyslogd |
Rsyslog,日志收集服务 |
TCP |
11211 |
memcached |
缓存服务器端口 |
TCP |
4369 |
rabbitmq |
消息服务器 |
TCP |
6379 |
redis |
消息队列存储、加速 |
TCP |
3128 |
squid |
反向代理 |
表2 OSSIM传感器端口分配表
协 议 |
端 口 |
进程 |
作 用 |
TCP |
22 |
sshd |
SSH远程安全连接 |
UDP |
555 |
fprobe |
一个NetFlow探针 |
TCP |
9390 |
openvasmd |
Openvas管理客户端(进程名为openvassmd, Manager daemon of the Open Vulnerability Assessment System) |
TCP |
9391 |
openvassd |
Openvas漏洞扫描进程, The Scanner of the Open Vulnerability Assessment System。 |
TCP |
4949 |
Munin-nod |
Munin,传感器的监视服务器 |
TCP |
40007 |
Server和Sensor状态监控,如果Sensor宕掉,将无法联系Server |
|
UDP |
514 |
syslogd |
为syslog协议通讯使用,作为日志收集服务 |
UDP |
1514 |
ossec-agentd |
OssecServer和Agent之间的通讯端口,作为代理管理服务通讯端口使用。 |
UDP |
1194 |
远程传感器通过×××连接Server的通讯端口 |
|
UDP |
12000及以上端口 |
用于Netflow收集,在OSSIM系统中文件/etc/nfsen/nfsen.conf负责定义,分布式环境中多个Sensor启用了Netflow,则端口号依次为12000、12001、12002等,除此之外还有的系统用9995、9996通讯 |
对于分布式OSSIM系统的通讯端口我们简化为下图2所示。
图2
3.故障查找举例
掌握上述端口的作用,对于今后维护OSSIM非常有帮助,接下来我们看个实例,例如OSSIM Sever停止运行,如何找原因?当ossim server 停止运行,它也就不再40001端口监听,这样探针发回来的数据也就无法收集到,我们在哪儿查找问题呢?首先看看端口情况
#netstat -lnt |grep 4000
tcp 0 0 0.0.0.0 40003 0.0.0.0:* LISTEN
正常能看到40001、40002、4003、40007出现状况后只有40003在监听,下面我们就需查看日志了,首先在OSSIM 2.x、OSSIM 3.x系统可以到/var/log/ossim/server.log日志文件中查看信息,OSSIM 4.x版本需到/var/log/alienvault/server.log中查看。
另外我们了解这些端口及核心进程之后在我们使用tcpdump等抓包工具时才能有的放矢。