1.背景


SensorServer之间无法通讯时会造成以下子系统无法显示数据:

Ø  Dashboards 仪表盘

Ø  AnalysisSIEM

Ø  Vulnerabilities漏洞扫描无法正常工作

Ø  ProfilesNtop

Ø  DetetionOSSEC Server失效

Ø  DeploymentAlienvaultCenter无法联系

Ø  Asset可启动扫描单扫描到的资源无法添加到数据库

在调试故障时,OSSIM管理员需要对Sensor和Server之间各项服务的通讯端口了如指掌。为了说明通讯端口下面我们简单看一个架构示意图,如图1所示,接着来说明各种端口及对于进程。

OSSIM服务端口说明_第1张图片

图1


2.端口说明


根据上图1,我们可以勘察OSSIM核心组件包括两部分,一部分是服务器(Server Host),另一部分是传感器(Sensor HostServer Host包括ServerWeb FrameworkDatabaseIdentty ManagementVulnerability ManagementSensor Host包括:AgentVulnerability ScannerLog Collection。它们通讯端口如表1、表2归纳所示。


1  OSSIM 开放服务器端口分配表

进程

TCP  

22

sshd

Alienvault_api服务器与sensor之间远程通讯

TCP

443

apache2

Https-Web   UI

TCP

40001

ossim-ser

Alienvault-server服务器进程Agent之间通讯端口

TCP

3306

mysqld

Serverframework连接mysql数据库的通讯端口

TCP

40002

ossim-ser

Alienvault-idm-identity身份认证进程

TCP

40003

ossim-fra

Alienvault框架的WebUI进程,由/etc/ossim/server/config.xml控制

TCP

40004

av-forwar

OSSIM服务器间的Log传送端口(仅在USM)

TCP

40005/40006

machete/mixterd

Alienvault   Smart   Event   Collection   Service   (仅在USM )

TCP  

40007


Serversensor间的状态监视端口

TCP

40008


Alienvault-idm-identity身份认证管理进程

TCP

40011

alienvault-api

Api通讯端口,绑定IP127.0.0.1

UDP

514

rsyslogd

Rsyslog,日志收集服务

TCP

11211

memcached

缓存服务器端口

TCP

4369

rabbitmq

消息服务器

TCP

6379

redis

消息队列存储、加速

TCP

3128

squid

反向代理


表2  OSSIM传感器端口分配表

进程

TCP

22

sshd

SSH远程安全连接

UDP

555

fprobe

一个NetFlow探针

TCP

9390

openvasmd

Openvas管理客户端(进程名为openvassmd, Manager daemon of the   Open Vulnerability Assessment System

TCP

9391

openvassd

Openvas漏洞扫描进程, The Scanner of the Open Vulnerability Assessment   System

TCP

4949

Munin-nod

Munin,传感器的监视服务器

TCP

40007


ServerSensor状态监控,如果Sensor宕掉,将无法联系Server

UDP

514

syslogd

syslog协议通讯使用作为日志收集服务

UDP

1514

ossec-agentd

OssecServerAgent之间的通讯端口,作为代理管理服务通讯端口使用。

UDP

1194


远程传感器通过×××连接Server的通讯端口

UDP

12000及以上端口


用于Netflow收集,OSSIM系统中文件/etc/nfsen/nfsen.conf负责定义,分布式环境中多个Sensor启用了Netflow,则端口号依次为120001200112002等,除此之外还有的系统用99959996通讯

上表中所指的USM表示OSSIM企业版中自带功能。对于分布式OSSIM系统的通讯端口我们简化为下图2所示。

OSSIM服务端口说明_第2张图片

图2


3.故障查找举例


掌握上述端口的作用,对于今后维护OSSIM非常有帮助,接下来我们看个实例,例如OSSIM Sever停止运行如何找原因?ossim server 停止运行,它也就不再40001端口监听,这样探针发回来的数据也就无法收集到,我们在哪儿查找问题呢?首先看看端口情况

#netstat -lnt |grep 4000

tcp 0 0 0.0.0.0 40003 0.0.0.0* LISTEN

正常能看到4000140002400340007出现状况后只有40003在监听,下面我们就需查看日志了,首先在OSSIM 2.xOSSIM 3.x系统可以到/var/log/ossim/server.log日志文件中查看信息,OSSIM 4.x版本需到/var/log/alienvault/server.log中查看。

另外我们了解这些端口及核心进程之后在我们使用tcpdump等抓包工具时才能有的放矢。