Snort перестал видеть трафик всей локальной сети

0

1

Доброго времени суток! Есть хост под Ubuntu Server LTS 12.04, с установленной связкой Snort 2.9.2 + ACID BASE + PostgreSQL-client (сама база на другом хосте). При первоначальной устанвке и настойке (около 5 мясецев назад) все работало как надо, а именно в веб-интерфейсе BASE отображалась информация о пакетах не только исходящих или входящих самого хоста со Snort'ом, но и о пакетах, переправляемых между другими хостами этой же локальной сети. То есть у Snort-хоста адрес 10.0.40.3, но он видел пакеты, в которых, например, source 10.0.40.4 - destination 10.0.40.5. Пару дней назад обновила пакеты системы через «aptitude update && aptitude upgrade», после этого Snort стал просматривать только пакеты, для которых он сам является хостом отправителем или получателем, то есть трафика между 10.0.40.4 и 10.0.40.5 он уже не видит. Настройки на первый взгляд никакие не изменились, привожу часть конфига Snort (т.к. весь конфиг - большая простыня), где производились изменения вручную после установки:

ipvar HOME_NET [10.0.40.0/24,10.0.20.0/24,10.0.30.0/24,10.0.10.0/24]
ipvar EXTERNAL_NET !$HOME_NET
ipvar DNS_SERVERS 10.0.40.2
ipvar SMTP_SERVERS 10.0.40.6
ipvar HTTP_SERVERS 10.0.30.3
ipvar SQL_SERVERS 10.0.20.2
ipvar TELNET_SERVERS $HOME_NET
ipvar SSH_SERVERS $HOME_NET
ipvar FTP_SERVERS $HOME_NET
ipvar SIP_SERVERS $HOME_NET
portvar HTTP_PORTS [80,81,311,591,593,901,1220,1414,1830,2301,2381,2809,3128,3702,5250,7001,7777,7779,8000,8008,8028,8080,8088,8118,8123,8180,8181,8243,8280,8888,9090,9091,9443,9999,11371]
portvar SHELLCODE_PORTS !80
portvar ORACLE_PORTS 1024:
portvar SSH_PORTS 22
portvar FTP_PORTS [21,2100,3535]
portvar SIP_PORTS [5060,5061,5600]
ipvar AIM_SERVERS [64.12.24.0/23,64.12.28.0/23,64.12.161.0/24,64.12.163.0/24,64.12.200.0/24,205.188.3.0/24,205.188.5.0/24,205.188.7.0/24,205.188.9.0/24,205.188.153.0/24,205.188.179.0/24,205.188.248.0/24]
var RULE_PATH /etc/snort/rules
var SO_RULE_PATH /etc/snort/so_rules
var PREPROC_RULE_PATH /etc/snort/preproc_rules

/etc/snort/database.conf

output database: log, postgresql, user=snort password=pass dbname=snort host=10.0.20.2

Помогите, пожалуйста, вернуть все обратно, чтоб Snort видел трафик всей локальной сети.

Ссылка

←	Конфигурация postfix+dovecot+mysql помогите прикрутить передачу пришедшего письма скрипту

webdav client with kerberos

→

tcpdump, на предмет, а вообще-то приходят ли нужные пакеты на интерфейс?

А то, может быть другой одмин переткнул локалку в другой разъем свитча или заменил свитч, или конфигурацию сбросил по умолчанию.

anto215 ★★
(27.03.14 05:43:00 MSK)

Ответ на: комментарий от anto215 27.03.14 05:43:00 MSK

Да, и интерфейс в промиск-моде?

anto215 ★★
(27.03.14 05:44:28 MSK)

Ответ на: комментарий от anto215 27.03.14 05:44:28 MSK

Интерфейс в промиске, в настройках свича ничего не менялось, свич виртуальный - все машины сети 10.0.40.0 - это виртуалки на XEN. При пинге виртуалки 10.0.40.5 с ноута (по VPN) вывод «tcpdump host 10.0.40.5» на Snort-машине пустой, следовательно, этого трафика он не видит.

Incher
(27.03.14 07:41:34 MSK) автор топика

Ответ на: комментарий от Incher 27.03.14 07:41:34 MSK

И еще переодически, когда захожу в BASE над основным содержимым страницы выводится куча строк вида:

...
/var/www/base/includes/base_cache.inc.php:521: ERROR: Alert "1 - 330096" could NOT be found in acid_event.

/var/www/base/includes/base_cache.inc.php:521: ERROR: Alert "1 - 330099" could NOT be found in acid_event.

/var/www/base/includes/base_cache.inc.php:521: ERROR: Alert "1 - 330100" could NOT be found in acid_event.

/var/www/base/includes/base_cache.inc.php:521: ERROR: Alert "1 - 330101" could NOT be found in acid_event.

/var/www/base/includes/base_cache.inc.php:521: ERROR: Alert "1 - 330102" could NOT be found in acid_event.

/var/www/base/includes/base_cache.inc.php:521: ERROR: Alert "1 - 330103" could NOT be found in acid_event.

/var/www/base/includes/base_cache.inc.php:521: ERROR: Alert "1 - 330104" could NOT be found in acid_event.

/var/www/base/includes/base_cache.inc.php:521: ERROR: Alert "1 - 330105" could NOT be found in acid_event.

/var/www/base/includes/base_cache.inc.php:521: ERROR: Alert "1 - 330106" could NOT be found in acid_event.

/var/www/base/includes/base_cache.inc.php:521: ERROR: Alert "1 - 330107" could NOT be found in acid_event.
...

Incher
(27.03.14 07:49:03 MSK) автор топика

Ссылка

Ответ на: комментарий от Incher 27.03.14 07:41:34 MSK

При пинге виртуалки 10.0.40.5 с ноута (по VPN) вывод «tcpdump host 10.0.40.5» на Snort-машине пустой

Ну положим, если ты пингаешь не из сети 10.0.40.0/24 и 10.0.40.5 - это локальный интерфейс VPN-сервера, то трафик в локальной сетке и не появится. Зависит, да. Но ты наверное уже попытался подсмотреть tcpdump-ом пинги между 10.0.40.5 и 10.0.40.4 и их не видно. Думаю, проблема не в Snort-машине, а в XEN или где-то рядом.

anto215 ★★
(27.03.14 08:04:22 MSK)

Ответ на: комментарий от anto215 27.03.14 08:04:22 MSK

Да, между 10.0.40.5 и 10.0.40.4 тоже не видно (просто до апдейта в BASE были видны ICMP-пакеты с офисного компа на 10.0.40.5) Возможно, что не в Snort дело, но просто изменение ПО (путем апдейта) происходило только там, остальные виртуалки и сам гипервизор не трогались, поэтому даже не представляю, куда смотреть.

Incher
(27.03.14 08:17:43 MSK) автор топика

Ответ на: комментарий от Incher 27.03.14 08:17:43 MSK

виртуалки как связаны - посредством моста? Покажи конфиг моста на хостовой машине

Pinkbyte ★★★★★
(27.03.14 13:12:39 MSK)

Ответ на: комментарий от Pinkbyte 27.03.14 13:12:39 MSK

vif72.0 и vif72.1 - интерфейсы Snort'a:

# brctl show
...
bridge name     bridge id               STP enabled     interfaces
xenbr40         8000.2c768a5d469b       yes             eth3.40
                                                        vif63.0
                                                        vif64.0
                                                        vif69.0
                                                        vif7.0
                                                        vif71.0
                                                        vif72.0
                                                        vif72.1

/etc/sysconfig/network-scripts/ifcfg-xenbr40

DEVICE=xenbr40
TYPE=Bridge
ONBOOT=yes
BOOTPROTO=none
IPV6INIT=no
IPV6_AUTOCONF=no
DELAY=5
STP=yes

Incher
(28.03.14 02:30:51 MSK) автор топика

Ответ на: комментарий от Incher 28.03.14 02:30:51 MSK

покажи ifconfig br0

Pinkbyte ★★★★★
(28.03.14 14:24:18 MSK)

Ответ на: комментарий от Pinkbyte 28.03.14 14:24:18 MSK

# ifconfig xenbr40
xenbr40   Link encap:Ethernet  HWaddr 2C:76:8A:5D:46:9B
          inet6 addr: fe80::2e76:8aff:fe5d:469b/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:895 errors:0 dropped:0 overruns:0 frame:0
          TX packets:139100 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:42309 (41.3 KiB)  TX bytes:11962552 (11.4 MiB)

Incher
(31.03.14 05:24:49 MSK) автор топика

Ответ на: комментарий от Incher 31.03.14 05:24:49 MSK

переведи мост в promiscious mode и попробуй еще раз послушать трафик внутри виртуалки

Pinkbyte ★★★★★
(31.03.14 11:19:16 MSK)

оффтоп: омг, аватарки господ в этом треде идеально подходят друг другу!

anonymous
(31.03.14 11:40:53 MSK)

Ссылка

Ответ на: комментарий от Pinkbyte 31.03.14 11:19:16 MSK

перевела, на виртуалке тишина...

Incher
(02.04.14 03:01:59 MSK) автор топика

Ответ на: комментарий от Incher 02.04.14 03:01:59 MSK

а если tcpdump-ом слушать интерфейс смотрящий в виртуалку? Если там трафика не видно - мост на хосте работает неправильно.

Pinkbyte ★★★★★
(03.04.14 10:51:47 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Конфигурация postfix+dovecot+mysql помогите прикрутить передачу пришедшего письма скрипту

Admin

webdav client with kerberos

→

Похожие темы