Re: [Gutl-l] Problema con Pfsense y Snorby

Thu, 05 Mar 2015 20:19:48 -0800 

Hola lista. Resulta que tengo PFsense como cortafuegos con Snort como
IDS. He instalado Snorby en otro servidor dedicado solamente a esta
función con mysql. La cuestión es que cuando habilito Barnyard2 en la
interfaz de la cual estoy generando alertas este no se inicia y ya he
puesto los datos de conexión hacia el server Snorby de mysql y todos son
correctos.

He desmarcado todas las reglas y he probado solo con una y hace lo
mismo, luego he probado con otra para descartar. El tema es que no
inicia con ninguna y tampoco da error. No he upgradeado PFsense ni nada
por el estilo, simplemente que nunca había habilitado Barnyard2.

Como dato curioso si le hago nmap al server de Snorby no veo a mysql
escuchando por su puerto habitual, esto es lo que me devuelve:

Starting Nmap 6.40 ( http://nmap.org ) at 2015-03-04 13:48 CST
Nmap scan report for 192.168.120.5
Host is up (0.0010s latency).
Not shown: 997 closed ports
PORT    STATE SERVICE
22/tcp  open  ssh
80/tcp  open  http
111/tcp open  rpcbind
3000/tcp open  ppp

No se si es que los datos se reseccionan por el 3000.

La guía de instalación que usé para Snorby es esta:
http://www.joanemarti.com/tu-propio-ids-con-snort-y-snorby-en-linux-debian-7/


Gracias de antemano.
Bueno yo también uso pfsense como firewall de mi red y también uso el Barnyard2 para mandar a una base de datos mysql los log del snort y desde que actualice mi pfsense al 2.2-RELEASE me dejo de funcionar, yo le doy click y arranca, pero al rato cuando lo miro está en rojo de nuevo y en el Dasboard del snorby más nunca ha graficado nada! Cuando tenía el Release 2.1.5 de pfsense eso funcionaba de maravillas! 


Saludos...

--
_______________________________________
Ing. Eduardo R. Barrera Pérez
Administrador Nodo CAP
Pinar del Rí­o
Email:  ebpr...@yahoo.es
Jabber: eb...@jabber.org
Phone:  0148-728131
      _                    _____ ___
  ___| |__  _ __  _ __ ___|___  ( _ )
 / _ \ '_ \| '_ \| '__|_  /  / // _ \
|  __/ |_) | |_) | |   / /  / /| (_) |
 \___|_.__/| .__/|_|  /___|/_/  \___/
           |_|

--
Este mensaje ha sido analizado por MailScanner
en busca de virus y otros contenidos peligrosos,
y se considera que está limpio.

______________________________________________________________________
Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba.
Gutl-l@jovenclub.cu
https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l

Responder a