Konfigurieren von Cisco ASA für den NetFlow-Export über CLI
In den letzten Wochen habe ich eine Reihe von Supportanrufen von Kunden erhalten, die Unterstützung bei der Konfiguration ihrer Cisco ASA suchten. Also dachte ich mir, dass ich diese Gelegenheit nutzen würde, um einige ältere Blog-Themen zu überdenken.
Meiner Meinung nach ist der einfachste Weg, NSEL von diesen Sicherheits-Appliances zu exportieren, die Verwendung der ASDM-Schnittstelle. Mit diesem einfachen, GUI-basierten Firewall-Verwaltungstool können Sie die Cisco ASA schnell konfigurieren, ohne die umständliche Befehlszeilenschnittstelle verwenden zu müssen.
Und das bringt mich zum Thema dieses Blogs.
Die Konfiguration der Cisco ASA über die CLI unterscheidet sich nicht wesentlich von der Konfiguration von NetFlow auf einem anderen Router oder Switch. Sie definieren Ihren Timeout-Wert, Ihr Exportziel und welche Schnittstelle den Export senden soll. Der Unterschied besteht darin, dass Sie eine Dienstrichtlinie und Zugriffsregeln einrichten müssen, die den Export ermöglichen. Sowie definieren, welche Ereignisse exportiert werden und wo.
Also fangen wir an.
Zuerst müssen wir eine ACL einrichten, um den gesamten IP-Verkehr abzufangen – um den Verkehr anzugeben, an dem Sie interessiert sind
(config)#access-list flow_export_acl extended permit ip any any
Wenn Sie einschränken möchten, was protokolliert wird, können Sie ACL so einstellen, dass nur Ereignisse zwischen bestimmten Hosts protokolliert werden. Senden Sie diese Ereignisse optional an eine Collector-Appliance und protokollieren Sie alle anderen Ereignisse an einen zweiten Collector.
(Konfiguration) # Zugriffsliste flow_export_acl IP-Host zulassen 210.165.200.2 Gastgeber 210.165.201.3
Als nächstes richten wir die IP-Adresse des Zielservers und die Template-Rate ein
(config)# flow-Exportziel
(config)# flow-Exportverzögerung flow-create 15
(config)# flow-Export Template Timeout-Rate 1
** Wenn Sie FW Version 8.4.5 ausführen, können Sie jetzt ein aktives Flow-Timeout festlegen. Dadurch wird ein Aktualisierungsereignis erstellt, das eine Delta-Bitanzahl für aktive Konversationen sendet.
(config)# flow-export aktives Aktualisierungsintervall 60
Jetzt möchten wir die Klassenzuordnung für den Flow erstellen, der der ACL entspricht
(config)# class-map flow_export_class
(config-cmap)# match access-list flow_export_acl
OK, jetzt ist es an der Zeit, entweder unsere flow_export_class zur globalen Standardrichtlinienzuordnung hinzuzufügen oder eine neue Exportrichtlinienzuordnung zu erstellen
Fügen Sie globale Richtlinienkarte ** Hinweis – Ihre globale Richtlinienkarte kann einen anderen Namen haben (dh. global-policy oder global_policy)
(config)# policy-map global
(config-pmap)# class flow_export_class
Und geben Sie die Ereignistypen an, die exportiert werden sollen und wohin
(config-pmap-c)# flow-export event-type all destination
Oder erstellen Sie eine neue Exportrichtlinie
(config)# policy-map flow_export_policy
(config-pmap)# class flow_export_class
Und geben Sie die Ereignistypen an, die wir exportieren und wohin
(config-pmap-c)# flow-export event-type all destination
Wir sind fast fertig
Das letzte, was wenn wir eine flow_export_policy erstellt haben, müssen wir die Richtlinienzuordnung auf jede globale Richtlinie anwenden, die wir haben. Andernfalls überspringen Sie diesen Schritt und wir verwenden die aktuelle globale Service-policy
(config)# service-policy flow_export_policy global
Sie können Informationen darüber erhalten, was die ASA in Bezug auf die Flow-Ausgabe tut, indem Sie die folgenden Befehle verwenden:
Anzeigen von Flow-Export-Zählern
Anzeigen von Service-policy global flow ip host host
show access-list flow_export_acl
Nun, das war nicht so schlimm, oder?
Die Cisco ASA 5500 Series Configuration Guide hat weitere Informationen über die Verwendung dieser Befehle, wenn Sie es brauchen.
Offensichtlich benötigen Sie eine Art NetFlow Collector-Appliance. Ich würde empfehlen, unser NetFlow- und sFlow-Analysetool zu verwenden. Wir sind Branchenführer, wenn es um NetFlow-Berichte von Sicherheitsereignissen geht, die von den Cisco ASAS exportiert wurden.
Wenn Sie Hilfe beim Einrichten Ihrer Cisco Security Appliance benötigen oder mehr über unsere Netzwerkanalysetools erfahren möchten, rufen Sie mich an. (207)324-8805
29. Mai 2012 Cisco ASA UPDATE: Neue Cisco NSEL Berichte in Scrutinizer v9. Schau sie dir an.
Scott
Scott bietet dem Verkaufsteam von Plixer technischen Support vor dem Verkauf. Scott hat einen Hintergrund im technischen Support und verfügt über jahrelange Erfahrung in der Verwaltung von Kundenkonten bis hin zur Systemprogrammierung. Zu seinen Interessen gehört das Coaching von Jugendsportprogrammen hier in Sanford, Schlagzeug und Gitarre in lokalen Jam-Bands spielen, und bei Rasen-Dartturnieren in der Nachbarschaft spielen.