Gulfrre Grupo de Usuarios de Linux Facultad Regional Resistencia
----------------------------------------------------------------
nota: no escribir más apurado.
Incluyo links utiles.
> Hola, recien vi un post en otra lista:
>
> "Necesito alguien que sepa como configurar una
> conection segura desde un linux corriendo snort a un
> syslog.
> Alguien me puede ayudar ?"
>
>
> Se me ocurrió ejemplificar una típica planificación
> de
> sysadmin para los muchachos acá presentes.
>
>
> Bueno antes que nada, no tuve la oportunidad de
> trabajar con snort todavía, pero sí conozco un
> poquito
> syslog y me animo a "pensar en voz escrita".
>
> Bueno, parece que acá cabe usar un tunel SSH por
> ejemplo, o algún más en general algún tipo de túnel
> seguro.
http://www.openssh.com/manual.html
> Depende, snort transmite eventos syslog todo el
> tiempo? en teoría sí, así que el túnel debería ser
> persistente. Podemos hacer persistente un tunel SSH?
> (ver documentación).
http://www.adrformacion.com/articulos/seguridad/asegurar_servicios_con_tuneles_ssh_y_putty/articulo63.html
http://www.eurielec.etsit.upm.es/~chema/tuneles_ssh.php
> Siguiente, ¿un tunel persistente es seguro?
> podríamos
> hacer que el túnel no sea persistente para evitar
> tener un tráfico constante entre dos servers tal vez
> remotos? En ese caso deberíamos scriptear un poco el
> envío de logs y eso "jodería" nuestro syslog server
> centralizado...mmm
(hay un par muy usuales en Linux: syslog y syslog_ng)
http://es.wikipedia.org/wiki/Syslog
(+ links a los RFC en la misma página)
http://www.syslog.org/
http://www.balabit.com/products/syslog_ng/
>
> .. no necesariamente, se podría tal vez (con más
> scripting) ir agregando las líneas enviadas desde el
> snort (ver parsing necesario para ajustar el
> formato)
> y de todos modos tener un log correctamente
> formateado
> (es decir, apto "gráficos para el jefe"; mrtg o algo
> más sencillo, etc.)...pero
http://oss.oetiker.ch/mrtg/
> tal vez nuestro snort detecte algo justo cuando NO
> estamos por transmitir en poco tiempo nuestro
> log..así
> que puede que necesitemos algún tipo de trigger
> (gatillo, disparador) del evento que transmite
> nuestro
> log al syslog server "central pero manual" que
> tendríamos desde el "empaste" del párrafo
> anterior...
> lo que me lleva a ¿snort no usa snmp? tal vez
> nuestro
> trigger no fuera necesario después de todo, si
> hubiera
> algo de snmp metido en el asunto...
http://www.snort.org/docs/
http://es.wikipedia.org/wiki/Simple_Network_Management_Protocol
> eso sigue claro...
> Por lo general cuando se conoce "algo" de un soft en
> particular y con el adecuado marco teórico se puede
> empezar a idealizar una solución para el problema.
>
> Claro que ir directo a la documentación tmb ayuda,
> no
> se pongan estrictos muchachos, fueron solo los
> primeros 30 seg. después de leer la pregunta,
> jaja...
> sin embargo esto es un ejemplo de cómo muchos
> sysadmins, netadmins, etc. tienen su propio esquema
> de
> resolución de problemas derivado de sus
> conocimientos
> y propias experiencias más allá de la estricta
> inducción/deducción metodológica.
http://www.nextlev.com/Windows/Tech/Troubleshooting.htm
(muy bueno, especial para *nix)
http://www.princeton.edu/~unix/Solaris/troubleshoot/methodology.html
Dardo A. Valdez (yaco)
Messenger: yacolinux@xxxxxxxxxxx
Otro contacto: yacolinux@xxxxxxxxx
__________________________________________________
Preguntá. Respondé. Descubrí.
Todo lo que querías saber, y lo que ni imaginabas,
está en Yahoo! Respuestas (Beta).
¡Probalo ya!
http://www.yahoo.com.ar/respuestas
Para administrar tu cuenta: //www.freelists.org/list/gulfrre
Para ver mensajes anteriores: //www.freelists.org/archives/gulfrre
-----------------------------------------------------------------------
Reglas de la Lista
Añadir OT a todos los temas Off Topic
Respetar las Ideas de los miembros
No crear ni continuar con Flames
