http://blog.sflow.com/2010/10/memcached-missed-keys.html




Este es un manual paso a paso de como configurar OSSIM como colector de flows y Vyatta como generador y emisor de flows. En este tutorial vamos a usar NetFlow como ejemplo de configuración.

En OSSIM


El framework de OSSIM tiene instalado nfdump y nfsen, que le permiten actuar como colector de flows (sflow/netflow/IPFIX collector) y tener la capacidad de interpretar, analizar, clasificar y realizar gráficas contrastando la información contenida en los flows recibidos.


Para acceder a esta información desde el framework de OSSIM creamos un nuevo sensor configurándolo para tal efecto. Los pasos a seguir serían los siguientes:



Vamos a Assets → SIEM Components, clic en New para crear un nuevo sensor:

vyatta_flows1


Ponemos nombre al nuevo sensor, introducimos su IP, una descripción y clic en OK:
Nota: El valor de prioridad no tiene importancia ya que no se tendrá en cuenta para la colección de flows.

vyatta_flows2


Vemos la lista de sensores con el nuevo sensor añadido y hacemos clic en Apply para guardar cambios:

vyatta_flows3


Nos muestra de nuevo la lista de sensores, seleccionamos el nuevo añadido y hacemos clic en Modify:

vyatta_flows4


En el apartado interfaces vemos que por defecto el framework elige la interfaz por la que el nuevo sensor recibe los flows de forma automática (en mi caso eth0) por estar en su misma red (de no ser así tendríamos que añadirla). Como el nuevo sensor solo lo vamos a configurar para recibir los flows (el resto lo vemos con el sensor de OSSIM) dejamos deshabilitado para éste Nagios, Ntop el scanner de vulnerabilidades y kismet. Por último en el apartado de Netflow Collection Configuration ponemos el puerto en el que vamos a recibir los flows que envía Vyatta, el tipo de flows NetFlow/sFlow, el color con el que se construirán las gráficas y pulsamos el botón Configure and Run:

vyatta_flows5


OSSIM nos indica que ahora tendremos que configurar el dispositivo que genera los flows para que los envíe a la IP del sensor configurado (10.0.0.5 en mi caso) y al puerto 12000:

vyatta_flows6


Aceptamos la advertencia, y en la página de la lista de sensores hacemos clic en Apply para guardar cambios:

vyatta_flows7


Nota: El firewall de OSSIM está configurado por defecto para permitir la recepción por el puerto 12000, si usamos otro puerto habrá que habilitarlo en el archivo /etc/ossim_firewall añadiendo la línea:

        -A input -p udp –dport (puerto elegido) -j ACCEPT


Y reiniciar el firewall:

/etc/init.d/ossim-firewall restart
iptables -L



En Vyatta



Vyatta cuenta con la herramienta Promiscuous Mode Accounting – pmacct que le permite configurar el sistema para poder generar, almacenar y exportar flows. Antes de la versión VC6.0 alpha 3 liberada para la comunidad el 19 de Febrero del 2010, la gestión de flows se llevaba a cabo por el paquete pmacct con dependencia de libpcap, lo que lo hacía que pueda resultar algo pesado a la hora de consumir recursos, sobre todo en redes con alta carga de tráfico. A partir de la versión antes mencionada se agregó soporte ULOG para el paquete pmacct, que liberaba a la herramienta del uso de pcap, consiguiendo un notable incremento en el rendimiento del sistema.


A día de hoy la última versión es la VC 6.1-2010.10.16.


Configuramos nuestra máquina Vyatta para que envíe sus flows generados al servidor 10.0.0.5 que es el framework de OSSIM y al puerto 12000. Configuramos también la interfaz que enviará los flows:

root@R1# set system flow-accounting netflow server 10.0.0.5 port 12000
[edit]
root@R1# set system flow-accounting interface eth0
[edit]
root@R1# commit
Adding flow-accounting for [eth0]
Starting flow-accounting
[edit]


Nota: Con esto nuestro sistema Vyatta ya estará enviando los flows (Netflow v5 en este caso) al puerto 12000 de OSSIM y éste estará preparado para almacenarlos y ser capaz de analizarlos y generar gráficas de conexiones. Vyatta permite configurar opciones avanzadas a la hora de generar los flows (Netflow v5, v7 y v9, tasa de capturas, etc).


Podemos comprobar que Vyatta está enviando los flows a OSSIM con tcpdump:

R1:~# tcpdump -ni eth0 port 12000
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes
18:00:47.011880 IP 10.0.0.20.46079 > 10.0.0.5.12000: UDP, length 1416
18:00:47.011977 IP 10.0.0.20.46079 > 10.0.0.5.12000: UDP, length 1416
18:00:47.012020 IP 10.0.0.20.46079 > 10.0.0.5.12000: UDP, length 168


Y podemos comprobar que se están recibiendo los flows desde la terminal de OSSIM:

OSSIM:~# tcpdump -ni eth0 port 12000
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes
15:50:15.282730 IP 10.0.0.20.46079 > 10.0.0.5.12000: UDP, length 168
15:51:58.408646 IP 10.0.0.20.46079 > 10.0.0.5.12000: UDP, length 168
15:54:00.095072 IP 10.0.0.20.46079 > 10.0.0.5.12000: UDP, length 216
15:55:20.349881 IP 10.0.0.20.46079 > 10.0.0.5.12000: UDP, length 72
15:56:20.398075 IP 10.0.0.20.46079 > 10.0.0.5.12000: UDP, length 72


En unos minutos podremos ver los flows en OSSIM desde Monitors → Network → Traffic




Fuente:

wiki OSSIM
documentos vyatta
foro vyatta