Configuración de Cisco NetFlow y Activación de registro de eventos de seguridad de Cisco ASA

Posted on October 19 2009 Posted by Jose Arriagada Categorized Under: NetFlow

 Estoy trabajando con el dispositivo de un cliente Cisco ASA y estamos exportando de NetFlow v9 para Scrutinizer hacer un análisis de tráfico NetFlow de Cisco. Es entretenido. Pero los NetFlow Security Event Logging o NetFlow Event Logs (NELs) no es solamente para ver el tráfico dentro y fuera de una interfaz. Algunas de las exportaciones son más parecidos a los syslogs. Hasta 18 mensajes pueden ser colocados en un solo paquete de NetFlow v9.

Interesados en probarlo?
Para aquellos interesados en NetFlow ASA Creo que se ofrece de serie en cualquier revisión del código a la serie ASA 5580, en cualquier menor número de modelos ASA tendrá ASA 8.2.x código para habilitar la función. Alguien por favor dígame si estoy equivocado. 

Wireshark no descodifica
Esperemos que alguien en Cisco está trabajando en la descodificación para Wireshark.

Wireshark ASA Netflow

Tal vez me traeré a colación en Wireshark Sharkfest en Palo Alto, California el próximo mes! Yeeee JAAAAAA!!. Espero ver a algunos de ustedes allí.

Esto no es lo típico de Netflow
Tres tipos de eventos pueden desencadenar un registro de Netflow.
* Caudal a crear
* Flujo negado
* Desmontaje de Flujo

Por supuesto, la dirección ip de un colector de Netflow tiene que ser introducido en el aparato ASA, junto con algunos otros comandos de ASA, para que envíe los registros de flujo. Utilice el Modular Policy Framework para personalizar los detalles de la funcionalidad de Netflow.

Habilitación de Netflow en la ASA
Usted también tendrá que definir una política de servicio apuntando el flujo de datos al servidor del analizador. En lo siguiente se supone que el ASA se sigue utilizando el valor predeterminado de política mundial.

policy-map global_policy
class class-default
flow-export event-type all destination x.x.x.x

Lo anterior es de la CLI, pero Netflow puede ser configurado en la interfaz gráfica de usuario de Cisco ASDM haciendo clic en:

• Configuración de Firewall-> Servicio de Política de Normas.
• Haga clic en Agregar-> Seleccionar “Utilizar la clase-default como la clase de tráfico” -> siguiente-> Netflow (pestaña) -> Add (comprobar el colector (s) que desea utilizar) -> Fin> Aplicar.

Configuracion de ASA Cisco

Configuraciones de Cisco ASA para eventos específicos
Ejemplo: Registro de eventos de creación de flujo entre los hosts 10.1.1.1 y 10.2.2.2
El IP del colector Netflow es 192.168.100.1

ASA (config)# flow-export destination inside 192.168.100.1 2055
ASA (config)# flow template timeout-rate 1
ASA (config)# access-list flow_export_acl permit ip host 10.1.1.1 host 10.2.2.2
ASA (config)# class-map flow_export_class
ASA (config-cmap)# match access-list flow_export_acl
ASA (config)# policy-map flow_export_policy
ASA (config-pmap)# class flow_export_class
ASA (config-pmap-c)# flow-export event-type flow-creation destination 192.168.100.1

Configuración de Netflow
Esta página fue muy útil para determinar la configuración de los comandos de arriba para Netflow en el ASA 5580.

Mostrando Netflow
Vaya a la evolución gráfica, como se muestra a continuación en la pagina de Estado de Scrutinizer v7.

Scrutinizer NSEL Templates

Informes de Cisco ASA Netflow

Limitaciónes de la version 7
• Muestra los datos en intervalos de 1 minuto sólo por que los promedios no se han terminados a tiempo para el lanzamiento de esta versión. Hasta 5 horas en intervalos de 1 minuto se pueden visualizar mediante el uso de la opción de intervalo ‘Auto’.
• Las interfaces no se muestran en la pagina de Estado. Usted debe navegar a las plantillas antes mencionadas.
• Estas limitaciones están eliminadas en la próxima versión que ya se esta desarrollando.

José

Leave a Reply

«
»