|
|
51CTO旗下网站
|
|
移动端

1.2.1 6OSSIM服务端口

《开源安全运维平台--OSSIM最佳实践》第1章OSSIM架构与原理,本章从OSSIM起源讲起,介绍了目前运维人员现状,逐步谈到应用SIEM的必要性,进而介绍OSSIM架构与组成原理,另外还介绍了基于插件的日志采集思路,提出标准化安全事件的全新理念,详细分析了OSSIM的高可用架构与实现方法。本节为大家介绍6OSSIM服务端口。

作者:李晨光来源:清华大学出版社|2016-01-14 16:41

1.2.1 6OSSIM服务端口

OSSIM核心组件包括两部分,一部分是服务器(Server),另一部分是传感器(Sensor)。Server包括:Server、Web Framework、Database、Identty Management、Vulnerability Management。而Sensor包括Agent、Vulnerability Scanner、Log Collection。它们通讯端口如表1-6、表1-7归纳所示。

表1-6  OSSIM 开放服务器端口分配表

协议

端口

进程

作用

TCP

22

sshd

Alienvault_api服务器与Sensor之间远程通讯

TCP

443

apache2

Https-Web UI

TCP

40001

ossim-ser

Alienvault-server服务器进程与Agent之间通讯端口

TCP

3306

mysqld

Serverframework连接MySQL数据库的通讯端口

TCP

40002

ossim-ser

Alienvault-idm-identity身份认证进程

TCP

40003

ossim-fra

Alienvault框架的WebUI进程,由/etc/ossim/server/config.xml控制

TCP

40004

av-forwar

OSSIM服务器之间的Log传送端口(仅在USM)

TCP

40005/40006

machete/mixterd

Alienvault Smart Event Collection Service (仅在USM )

TCP

40007

不详

Serversensor间的状态监视端口

TCP

40008

不详

Alienvault-idm-identity身份认证管理进程

TCP

40011

alienvault-api

API通讯端口,绑定IP127.0.0.1

UDP

514

rsyslogd

Rsyslog,日志收集服务

TCP

11211

memcached

缓存服务器端口

TCP

4369

rabbitmq

消息服务器

TCP

6379

redis

消息队列存储、加速

TCP

3128

squid

反向代理

表1-7  OSSIM传感器端口分配表

协议

端口

进程

作用

TCP

22

sshd

SSH远程安全连接

UDP

555

fprobe

一个NetFlow探针

TCP

9390

openvasmd

Openvas管理客户端(进程名为openvassmd, Manager daemon of the Open Vulnerability Assessment System

TCP

9391

openvassd

Openvas漏洞扫描进程, The Scanner of the Open Vulnerability Assessment System

TCP

4949

Munin-nod

Munin,传感器的监视服务器

TCP

40007

 

ServerSensor状态监控,如果Sensor宕机,它将无法联系Server

UDP

514

syslogd

Syslog协议通讯使用,作为日志收集服务

UDP

1514

ossec-agentd

OssecServerAgent之间的通讯端口,作为代理管理服务通讯端口使用。

UDP

1194

 

远程传感器通过VPN连接Server的通讯端口

UDP

12000及以上端口

 

用于Netflow收集,在OSSIM系统中文件/etc/nfsen/nfsen.conf负责定义,分布式环境中多个Sensor启用了Netflow,则端口号依次为120001200112002等,除此之外还有的系统用99959996通讯

了解上述服务端口的作用,对于今后维护OSSIM非常有帮助。例如发生OSSIM Sever停止运行的故障,如何找原因?当Ossim Server停止运行后,它将不再监听40001端口,此时传感器发送回来的数据也就无法收集到,首先查看端口情况。

  1. #netstat -lnt |grep 4000  
  2. tcp 0 0 0.0.0.0 40003 0.0.0.0:* LISTEN  

正常情况下能看到40001、40002、4003、40007端口处于监听状态,可是出现状况后只有40003端口在监听。OSSIM处理流程与通讯端口的关系如图1-38所示。


喜欢的朋友可以添加我们的微信账号:

51CTO读书频道二维码


51CTO读书频道活动讨论群:342347198

【责任编辑:book TEL:(010)68476606】

回书目   上一节   下一节
点赞 0
分享:
大家都在看
猜你喜欢

读 书 +更多

程序员面试宝典

本书取材于各大IT公司历年面试真题(笔试、口试、电话面试、英语面试,以及逻辑测试和智商测试)。详细分析了应聘程序员(含网络、测试等...

订阅51CTO邮刊

点击这里查看样刊

订阅51CTO邮刊