Configuración de Cisco ASA para la exportación de NetFlow a través de CLI
En las últimas semanas he recibido varias llamadas de soporte de clientes que buscaban asistencia para configurar su Cisco ASA. Así que pensé que aprovecharía esta oportunidad para revisar algunos temas de blog antiguos.
En mi opinión, la forma más fácil de obtener la exportación de NSEL desde estos dispositivos de seguridad es a través del uso de la interfaz ASDM. Esta sencilla herramienta de administración de firewall basada en GUI le permite configurar rápidamente Cisco ASA sin tener que utilizar la engorrosa interfaz de línea de comandos.
Y eso me lleva al tema de este blog.
Configurar Cisco ASA mediante la CLI no es muy diferente a configurar NetFlow en cualquier otro enrutador o conmutador. Define el valor de tiempo de espera, el destino de exportación de flujo y la interfaz que enviará la exportación. La diferencia es que debe configurar una política de servicio y reglas de acceso que permitan la exportación. Así como definir qué eventos se van a exportar y dónde.
Así que empecemos.
Primero necesitamos configurar una ACL para capturar todo el tráfico IP – para especificar el tráfico que le interesa
(config)#lista de acceso flow_export_acl permiso extendido ip any any
Si desea limitar lo que se registra, puede configurar ACL para registrar solo eventos entre ciertos hosts. Y, opcionalmente, envíe esos eventos a un dispositivo de recopilador y registre todos los demás eventos en un segundo recopilador.
(configuración) # lista de acceso flow_export_acl permitir host ip 210.165.200.2 host 210.165.201.3
A continuación, configuramos la ip del servidor de destino y la tasa de plantilla
(config)# flow-exportar destino
(config)# flow-exportar retardo flow-crear 15
(config)# flow-exportar tiempo de espera de plantilla-velocidad 1
** Si está ejecutando la versión 8.4.5 de FW, ahora puede establecer un tiempo de espera de flujo activo. Esto crea un evento de actualización que envía un recuento de bits delta para las conversaciones activas.
(configuración)# intervalo de actualización activa de exportación de flujo 60
Ahora queremos compilar el mapa de clases para el flujo que coincida con ACL
(config)# class-map flow_export_class
(config-cmap)# match access-list flow_export_acl
OK, ahora es el momento de agregar nuestro flow_export_class al mapa de políticas global predeterminado o crear un nuevo mapa de políticas de exportación
Añadir al mapa de políticas global predeterminado ** nota: el mapa de políticas global puede tener un nombre diferente (p. ej. global-policy o global_policy)
(config)# policy-map global
(config-pmap)# class flow_export_class
Y especifique los tipos de eventos que exportaremos y a dónde
(config-pmap-c)# flow-export event-type all destination
O, cree una nueva política de exportación
(config)# policy-map flow_export_policy
(config-pmap)# class flow_export_class
Y especifique los tipos de eventos que exportaremos y a donde
(config-pmap-c)# flow-export event-type all destination
Casi hemos terminado
La última cosa que tenemos que hacer si creamos un flow_export_policy, es aplicar el mapa de políticas a cualquier política global que tengamos. De lo contrario, omita este paso y usaremos la política de servicio global actual
(config)# política de servicio flow_export_policy global
Puede obtener información sobre lo que está haciendo el ASA en términos de salida de flujo mediante los siguientes comandos:
mostrar contadores de exportación de flujo
mostrar el host ip de flujo global de política de servicio host
mostrar la lista de acceso flow_export_acl
Eso no fue tan malo, ¿verdad?
La guía de configuración de Cisco ASA Serie 5500 tiene más información sobre el uso de estos comandos si lo necesita.
Obviamente, necesitará algún tipo de dispositivo de colector NetFlow. Recomiendo usar nuestra herramienta de análisis NetFlow y sFlow. Hemos sido líderes en la industria en lo que respecta a los informes de NetFlow de eventos de seguridad exportados desde Cisco ASA.
Si necesita ayuda para configurar su dispositivo de seguridad Cisco o desea obtener más información sobre nuestras herramientas de análisis de red, llámeme. (207)324-8805
29 de mayo de 2012 ACTUALIZACIÓN DE Cisco ASA: Nuevos informes de Cisco NSEL en Scrutinizer v9. Échales un vistazo.
Scott
Scott proporciona Soporte Técnico de Preventa al equipo de Ventas de Plixer. Scott proviene de una experiencia de soporte técnico, con años de experiencia en todo, desde la administración de cuentas de clientes hasta la programación del sistema. Algunos de sus intereses incluyen entrenar programas deportivos para jóvenes aquí en Sanford, tocar la batería y la guitarra en bandas locales y jugar en torneos de dardos de césped del vecindario.