Hola lista. Resulta que tengo PFsense como cortafuegos con Snort como
IDS. He instalado Snorby en otro servidor dedicado solamente a esta
función con mysql. La cuestión es que cuando habilito Barnyard2 en la
interfaz de la cual estoy generando alertas este no se inicia y ya he
puesto los datos de conexión hacia el server Snorby de mysql y todos son
correctos.
He desmarcado todas las reglas y he probado solo con una y hace lo
mismo, luego he probado con otra para descartar. El tema es que no
inicia con ninguna y tampoco da error. No he upgradeado PFsense ni nada
por el estilo, simplemente que nunca había habilitado Barnyard2.
Como dato curioso si le hago nmap al server de Snorby no veo a mysql
escuchando por su puerto habitual, esto es lo que me devuelve:
Starting Nmap 6.40 ( http://nmap.org ) at 2015-03-04 13:48 CST
Nmap scan report for 192.168.120.5
Host is up (0.0010s latency).
Not shown: 997 closed ports
PORT STATE SERVICE
22/tcp open ssh
80/tcp open http
111/tcp open rpcbind
3000/tcp open ppp
No se si es que los datos se reseccionan por el 3000.
La guía de instalación que usé para Snorby es esta:
http://www.joanemarti.com/tu-propio-ids-con-snort-y-snorby-en-linux-debian-7/
Gracias de antemano.
Bueno yo también uso pfsense como firewall de mi red y también uso el
Barnyard2 para mandar a una base de datos mysql los log del snort y
desde que actualice mi pfsense al 2.2-RELEASE me dejo de funcionar, yo
le doy click y arranca, pero al rato cuando lo miro está en rojo de
nuevo y en el Dasboard del snorby más nunca ha graficado nada! Cuando
tenía el Release 2.1.5 de pfsense eso funcionaba de maravillas!
Saludos...
--
_______________________________________
Ing. Eduardo R. Barrera Pérez
Administrador Nodo CAP
Pinar del Río
Email: ebpr...@yahoo.es
Jabber: eb...@jabber.org
Phone: 0148-728131
_ _____ ___
___| |__ _ __ _ __ ___|___ ( _ )
/ _ \ '_ \| '_ \| '__|_ / / // _ \
| __/ |_) | |_) | | / / / /| (_) |
\___|_.__/| .__/|_| /___|/_/ \___/
|_|
--
Este mensaje ha sido analizado por MailScanner
en busca de virus y otros contenidos peligrosos,
y se considera que está limpio.
______________________________________________________________________
Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba.
Gutl-l@jovenclub.cu
https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l