Configurazione di Cisco ASA per NetFlow Export tramite CLI
Nelle ultime settimane ho ricevuto una serie di chiamate di supporto da parte di clienti che stavano cercando assistenza nella configurazione del loro Cisco ASA. Così ho pensato che avrei colto l’occasione per rivisitare alcuni soggetti del blog più anziani.
A mio parere, il modo più semplice per ottenere l’esportazione NSEL da queste appliance di sicurezza è attraverso l’uso dell’interfaccia ASDM. Questo semplice strumento di gestione del firewall basato su GUI consente di configurare rapidamente Cisco ASA senza dover utilizzare l’ingombrante interfaccia a riga di comando.
E questo mi porta all’argomento di questo blog.
La configurazione di Cisco ASA utilizzando la CLI non è molto diversa dalla configurazione di NetFlow su qualsiasi altro router o switch. È possibile definire il valore di timeout, la destinazione di esportazione del flusso e l’interfaccia che invierà l’esportazione. La differenza è che è necessario impostare un criterio di servizio e regole di accesso che consentono l’esportazione. Oltre a definire quali eventi verranno esportati e dove.
Quindi iniziamo.
Per prima cosa dobbiamo impostare un ACL per catturare tutto il traffico IP – per specificare il traffico che ti interessa
(config)#access-list flow_export_acl extended permit ip any any
Se vuoi limitare ciò che viene registrato, puoi impostare ACL per registrare solo eventi tra determinati host. E facoltativamente inviare tali eventi a un’appliance collector e registrare tutti gli altri eventi a un secondo collector.
(config)# access-list flow_export_acl permesso ip host 210.165.200.2 host 210.165.201.3
Successivamente impostiamo il server di destinazione ip e template rate
(config)# flow-export destination
(config)# flow-export delay flow-create 15
(config)# flow-export template timeout-rate 1
** Se si esegue la versione FW 8.4.5, è ora possibile impostare un timeout di flusso attivo. Questo crea un evento di aggiornamento che invia un conteggio dei bit delta per le conversazioni attive.
(config)# flusso di esportazione attiva di aggiornamento-intervallo di 60
Ora vogliamo costruire la class-map per il flusso che corrisponde l’ACL
(config)# classe-mappa flow_export_class
(config-cmap)# match access-list flow_export_acl
OK, ora è il momento di aggiungere il nostro flow_export_class predefinito globale della politica-mappa o costruire una nuova politica di esportazione-mappa
Aggiungi a default global policy-map * * * * * nota – il global policy-map potrebbe avere un nome diverso (ie. globale di politica o global_policy)
(config)# politica-mappa globale
(config-pmap)# classe flow_export_class
E specificare i tipi di eventi che possiamo esportare e dove
(config-pmap-c)# flusso di esportazione evento di tipo destinazione
O, creare una nuova politica di esportazione
(config)# politica-mappa flow_export_policy
(config-pmap)# classe flow_export_class
E specificare i tipi di eventi che possiamo esportare e dove
(config-pmap-c)# flusso di esportazione evento di tipo destinazione
Abbiamo quasi finito
Ultima cosa che dobbiamo fare se abbiamo creato un flow_export_policy, è applicare la policy-map a qualsiasi politica globale che abbiamo. In caso contrario, saltare questo passaggio e si utilizzerà l’attuale servizio di global service-politica
(config)# service-politica flow_export_policy globale
È possibile ottenere informazioni su ciò che l’ASA sta facendo in termini di flusso di output utilizzando i seguenti comandi:
mostra il flusso di esportazione contatori
show service-politica globale di flussi ip host
show access-list flow_export_acl
Ora che non era troppo male, vero?
Il Cisco ASA 5500 Series Configuration guide ha ulteriori informazioni sull’uso di questi comandi, se ne avete bisogno.
Ovviamente avrai bisogno di una sorta di appliance NetFlow collector. Consiglierei di utilizzare il nostro strumento di analisi NetFlow e sFlow. Siamo stati leader del settore quando si tratta di reporting NetFlow da eventi di sicurezza esportati da Cisco ASA.
Se hai bisogno di assistenza per configurare il tuo Cisco Security appliance o vuoi saperne di più sui nostri strumenti di analisi di rete, chiamami. (207)324-8805
29 Maggio, 2012 Cisco ASA AGGIORNAMENTO: Nuovi rapporti Cisco NSEL in Scrutinizer v9. Guardali.
Scott
Scott fornisce assistenza tecnica pre-vendita al team di vendita di Plixer. Scott proviene da un background di supporto tecnico, avendo anni di esperienza nel fare di tutto, dalla gestione degli account dei clienti alla programmazione del sistema. Alcuni dei suoi interessi includono coaching programmi sportivi giovanili qui a Sanford, suonare la batteria e la chitarra in jam band locali, e giocare in tornei di quartiere prato dardo.