Muy útil caballero. Muchas gracias. Salute emilio El día 29/03/07, Dardo Valdez <yacolinux@xxxxxxxxxxxx> escribió:
Gulfrre Grupo de Usuarios de Linux Facultad Regional Resistencia ---------------------------------------------------------------- nota: no escribir más apurado. Incluyo links utiles. > Hola, recien vi un post en otra lista: > > "Necesito alguien que sepa como configurar una > conection segura desde un linux corriendo snort a un > syslog. > Alguien me puede ayudar ?" > > > Se me ocurrió ejemplificar una típica planificación > de > sysadmin para los muchachos acá presentes. > > > Bueno antes que nada, no tuve la oportunidad de > trabajar con snort todavía, pero sí conozco un > poquito > syslog y me animo a "pensar en voz escrita". > > Bueno, parece que acá cabe usar un tunel SSH por > ejemplo, o algún más en general algún tipo de túnel > seguro. http://www.openssh.com/manual.html > Depende, snort transmite eventos syslog todo el > tiempo? en teoría sí, así que el túnel debería ser > persistente. Podemos hacer persistente un tunel SSH? > (ver documentación). http://www.adrformacion.com/articulos/seguridad/asegurar_servicios_con_tuneles_ssh_y_putty/articulo63.html http://www.eurielec.etsit.upm.es/~chema/tuneles_ssh.php > Siguiente, ¿un tunel persistente es seguro? > podríamos > hacer que el túnel no sea persistente para evitar > tener un tráfico constante entre dos servers tal vez > remotos? En ese caso deberíamos scriptear un poco el > envío de logs y eso "jodería" nuestro syslog server > centralizado...mmm (hay un par muy usuales en Linux: syslog y syslog_ng) http://es.wikipedia.org/wiki/Syslog (+ links a los RFC en la misma página) http://www.syslog.org/ http://www.balabit.com/products/syslog_ng/ > > .. no necesariamente, se podría tal vez (con más > scripting) ir agregando las líneas enviadas desde el > snort (ver parsing necesario para ajustar el > formato) > y de todos modos tener un log correctamente > formateado > (es decir, apto "gráficos para el jefe"; mrtg o algo > más sencillo, etc.)...pero http://oss.oetiker.ch/mrtg/ > tal vez nuestro snort detecte algo justo cuando NO > estamos por transmitir en poco tiempo nuestro > log..así > que puede que necesitemos algún tipo de trigger > (gatillo, disparador) del evento que transmite > nuestro > log al syslog server "central pero manual" que > tendríamos desde el "empaste" del párrafo > anterior... > lo que me lleva a ¿snort no usa snmp? tal vez > nuestro > trigger no fuera necesario después de todo, si > hubiera > algo de snmp metido en el asunto... http://www.snort.org/docs/ http://es.wikipedia.org/wiki/Simple_Network_Management_Protocol > eso sigue claro... > Por lo general cuando se conoce "algo" de un soft en > particular y con el adecuado marco teórico se puede > empezar a idealizar una solución para el problema. > > Claro que ir directo a la documentación tmb ayuda, > no > se pongan estrictos muchachos, fueron solo los > primeros 30 seg. después de leer la pregunta, > jaja... > sin embargo esto es un ejemplo de cómo muchos > sysadmins, netadmins, etc. tienen su propio esquema > de > resolución de problemas derivado de sus > conocimientos > y propias experiencias más allá de la estricta > inducción/deducción metodológica. http://www.nextlev.com/Windows/Tech/Troubleshooting.htm (muy bueno, especial para *nix) http://www.princeton.edu/~unix/Solaris/troubleshoot/methodology.html Dardo A. Valdez (yaco) Messenger: yacolinux@xxxxxxxxxxx Otro contacto: yacolinux@xxxxxxxxx __________________________________________________ Preguntá. Respondé. Descubrí. Todo lo que querías saber, y lo que ni imaginabas, está en Yahoo! Respuestas (Beta). ¡Probalo ya! http://www.yahoo.com.ar/respuestas Para administrar tu cuenta: //www.freelists.org/list/gulfrre Para ver mensajes anteriores: //www.freelists.org/archives/gulfrre ----------------------------------------------------------------------- Reglas de la Lista Añadir OT a todos los temas Off Topic Respetar las Ideas de los miembros No crear ni continuar con Flames