Configurando Cisco ASA para a exportação de NetFlow através de CLI
durante as últimas semanas eu tomei um número de chamadas do apoio dos clientes que estavam procurando algum auxílio que configura seu Cisco ASA. Então eu percebi que eu iria aproveitar esta oportunidade para revisitar alguns assuntos mais antigos do blog.
na minha opinião, a maneira mais fácil de obter a exportação do NSEL desses dispositivos de segurança é através do uso da interface ASDM. Esta ferramenta de gerenciamento de firewall simples e baseada em GUI permite que você configure rapidamente o Cisco ASA sem ter que usar a interface de linha de comando complicada.
e isso me leva ao assunto deste blog.
configurar o Cisco ASA usando o CLI não é realmente muito diferente de configurar o NetFlow em qualquer outro roteador ou switch. Você define seu valor de tempo limite, destino de exportação de fluxo e qual interface enviará a exportação. A diferença é que você precisa configurar uma política de serviço e regras de acesso que permitam a exportação. Além de definir quais eventos serão exportados e onde.
então vamos começar.
Primeiro precisamos definir uma ACL para capturar todo o tráfego IP para especificar o tráfego que você está interessado em
(config)#access-list flow_export_acl estendido permitir ip a qualquer
Se você deseja limitar o que é registrado, você pode definir ACL para log de eventos apenas entre determinados hosts. E, opcionalmente, envie esses eventos para um dispositivo coletor e registre todos os outros eventos para um segundo coletor.Como baixar e instalar Minecraft 1.1.1.1.1.1.1.1.1.1.1.1.1.1.1.1.1.1.1.1.1.1.1.1.1.1.1.1.1.1.1.1.1.1.1.1.1.1.1.1.1.1.1.1.1.1.1.1.1.1.1.3
em seguida, configuramos o IP do servidor de destino e a taxa de modelo
(config)# flow-export destination
(config)# flow-export delay flow-create 15
(config)# flow-export template timeout-rate 1
** se você estiver executando o FW versão 8.4.5, agora você pode definir um tempo limite de fluxo ativo. Isso cria um evento de atualização que envia uma contagem de bits delta para conversas ativas.
(config)# flow-export active refresh-interval 60
Agora queremos criar a classe de mapa para o fluxo que corresponde a ACL
(config)# class-map flow_export_class
(config-cmap)# corresponder a lista de acesso flow_export_acl
OK, agora é hora de adicionar a nossa flow_export_class para o padrão de política global-mapa, ou construir uma nova política de exportação-mapa
Adicionar para o padrão de política global-mapa ** nota – a sua política global-map pode ter um nome diferente (ie. global-política ou global_policy)
(config)# política-mapa global
(config-pmap)# classe flow_export_class
E especificar os tipos de eventos que vamos exportar e para onde
(config-pmap-c)# flow-export de eventos-todos os tipo de destino
Ou, criar uma nova política de exportação
(config)# política-mapa flow_export_policy
(config-pmap)# classe flow_export_class
E especificar os tipos de eventos que vamos exportar e para onde
(config-pmap-c)# flow-export de eventos-todos os tipo de destino
Estamos quase terminando
Última coisa que precisamos fazer se criarmos uma flow_export_policy, é aplicar o mapa de políticas a qualquer política global que tenhamos. Caso contrário, ignore esta etapa e vamos usar o atual global service-policy
(config)# de serviço-política de flow_export_policy global
Você pode obter informações sobre o que a ASA está fazendo em termos de fluxo de saída usando os seguintes comandos:
mostrar o fluxo de exportação de contadores
mostrar serviço-política global do fluxo de host de ip do host
mostrar lista de acesso flow_export_acl
Agora que não foi tão ruim, foi?
o Guia de configuração da série Cisco ASA 5500 tem mais informações sobre o uso desses comandos, se você precisar.
obviamente, você precisará de algum tipo de dispositivo coletor NetFlow. Eu recomendaria usar nossa ferramenta de análise NetFlow e sFlow. Temos sido o líder do setor quando se trata de relatórios de NetFlow de eventos de segurança exportados do Cisco ASA.
se você precisar de alguma assistência para configurar seu Cisco security appliance ou quiser saber mais sobre nossas ferramentas de análise de rede, ligue para mim. (207)324-8805
29 de Maio de 2012 Cisco ASA UPDATE: novos relatórios Cisco NSEL no Scrutinizer v9. Vê-os.
Scott
Scott fornece suporte técnico de pré-vendas para a equipe de vendas da Plixer. Scott vem de um histórico de suporte técnico, com anos de experiência fazendo tudo, desde gerenciamento de contas de clientes até programação de sistemas. Alguns de seus interesses incluem treinar programas de esportes juvenis aqui em Sanford, tocar bateria e guitarra em jam bands locais e tocar em torneios de dardo no gramado do bairro.