Configuration de Cisco ASA pour l’exportation NetFlow via CLI
Au cours des dernières semaines, j’ai pris un certain nombre d’appels de support de clients qui cherchaient une assistance pour configurer leur Cisco ASA. Je me suis donc dit que j’en profiterais pour revenir sur certains sujets de blog plus anciens.
À mon avis, le moyen le plus simple d’exporter NSEL à partir de ces appliances de sécurité consiste à utiliser l’interface ASDM. Cet outil de gestion de pare-feu simple et basé sur une interface graphique vous permet de configurer rapidement le Cisco ASA sans avoir à utiliser l’interface de ligne de commande encombrante.
Et cela m’amène au sujet de ce blog.
La configuration du Cisco ASA à l’aide de la CLI n’est vraiment pas très différente de celle de la configuration de NetFlow sur tout autre routeur ou commutateur. Vous définissez votre valeur de délai d’expiration, la destination d’exportation du flux et l’interface qui va envoyer l’exportation. La différence est que vous devez configurer une stratégie de service et des règles d’accès qui permettent l’exportation. En plus de définir quels événements vont être exportés et où.
Alors commençons.
Nous devons d’abord configurer une ACL pour intercepter tout le trafic IP – pour spécifier le trafic qui vous intéresse
(config) #access-list flow_export_acl permis étendu ip any any
Si vous souhaitez limiter ce qui est enregistré, vous pouvez définir ACL pour ne consigner que les événements entre certains hôtes. Et envoyez éventuellement ces événements à une appliance collector et enregistrez tous les autres événements à un second collector.
(config) # liste d’accès flow_export_acl hôte IP de permis 210.165.200.2 hôte 210.165.201.3
Ensuite, nous configurons l’adresse ip du serveur de destination et le débit de modèle
(config) # flow-export destination
(config) # flow-export delay flow-create 15
(config) # flow-export template timeout-rate 1
** Si vous exécutez la version FW 8.4.5, vous pouvez maintenant définir un délai d’expiration de flux actif. Cela crée un événement de mise à jour qui envoie un nombre de bits delta pour les conversations actives.
(config) # intervalle de rafraîchissement actif d’exportation de flux 60
Maintenant, nous voulons créer le class-map pour le flux qui correspond à l’ACL
(config) # class-map flow_export_class
(config-cmap) # match access-list flow_export_acl
OK, il est maintenant temps d’ajouter notre flow_export_class à la policy-map globale par défaut, ou de créer une nouvelle policy-map d’exportation
Ajouter à la carte de stratégie globale par défaut ** remarque – votre carte de stratégie globale peut avoir un nom différent (ie. global-policy ou global_policy)
(config) # policy-map global
(config-pmap) # class flow_export_class
Et spécifiez les types d’événements que nous exporterons et où
(config-pmap-c) # flow-export event-type all destination
Ou, créez une nouvelle stratégie d’exportation
(config) # policy-map flow_export_policy
(config-pmap) # class flow_export_class
Et spécifiez les types d’événements que nous exporterons et où
(config-pmap-c) # flow-export event-type all destination
Nous avons presque terminé
Dernière chose qui nous devons le faire si nous avons créé une flow_export_policy, c’est appliquer la policy-map à la politique globale que nous avons. Sinon, sautez cette étape et nous utiliserons la stratégie de service globale actuelle
(config) #flow_export_policy de service-policy global
Vous pouvez obtenir des informations sur ce que l’ASA fait en termes de sortie de flux en utilisant les commandes suivantes :
afficher les compteurs d’exportation de flux
afficher l’hôte IP de flux global de service-policy host
afficher la liste d’accès flow_export_acl
Maintenant, ce n’était pas trop mal, n’est-ce pas?
Le guide de configuration de la série Cisco ASA 5500 contient plus d’informations sur l’utilisation de ces commandes si vous en avez besoin.
Évidemment, vous aurez besoin d’une sorte d’appliance collector NetFlow. Je recommande d’utiliser notre outil d’analyse NetFlow et sFlow. Nous avons été le leader de l’industrie en ce qui concerne les rapports NetFlow des événements de sécurité exportés à partir des ASA Cisco.
Si vous avez besoin d’aide pour configurer votre appliance de sécurité Cisco ou si vous souhaitez en savoir plus sur nos outils d’analyse de réseau, appelez-moi. (207)324-8805
Mise À JOUR Cisco ASA du 29 mai 2012 : Nouveaux rapports Cisco NSEL dans Scrutinizer v9. Regarde-les.
Scott
Scott fournit un Support technique Avant Vente à l’équipe commerciale de Plixer. Scott vient d’une formation de support technique, ayant des années d’expérience dans tout, de la gestion de compte client à la programmation de systèmes. Certains de ses intérêts incluent l’entraînement de programmes sportifs pour les jeunes ici à Sanford, la batterie et la guitare dans des groupes de jam locaux et des tournois de fléchettes sur gazon de quartier.