viime viikkoina olen ottanut useita tukipuheluita asiakkailta, jotka etsivät apua niiden Cisco ASA NetFlow kokoonpano ASDM. Joten ajattelin, että haluaisin käyttää tätä tilaisuutta kirjoittaa blogin kävely läpi kokoonpano vaiheet täydentää nykyisiä blogeja, jotka näyttävät videon tai on kuvasarja.
mielestäni helpoin tapa saada NSEL vientiin näistä turvalaitteista on ASDM-rajapinnan avulla. Tämä yksinkertainen, GUI-pohjainen palomuurin hallintatyökalu antaa sinulle mahdollisuuden määrittää nopeasti Cisco ASA ilman hankalaa komentoriviliitäntää. Vaikka minun on myönnettävä, että konfigurointi Cisco ASA käyttäen CLI ei todellakaan ole kovin paljon erilainen, että konfigurointi NetFlow tahansa muulla reitittimellä tai kytkin.
joten kävellään vaiheet, jotta NetFlow voidaan ottaa käyttöön ASDM: llä
, jotta NetFlow voidaan ottaa käyttöön, suorita seuraavat vaiheet ASDM: ään kirjautumisen jälkeen:
- valitse kokoonpano > Laitehallinta > kirjaus > NetFlow.
- Anna Template Timeout Rate, joka on aikaväli (minuutteina), jolla template records lähetetään kaikille konfiguroiduille kerääjille. Suosittelemme 1 minuutti.
- syötä Virtauspäivitysväli, joka määrittää virtauspäivitystapahtumien välisen ajan minuutteina. Voimassa olevat arvot ovat 1-60 minuuttia. Oletusarvo on 1 minuutti. Tämä vaihtoehto on saatavilla 8.4.5, ja uudempi 9.x vapauttaa.
- Tarkista lyhytikäisten virtojen Virtaustapahtumien viive-valintaruutu.
- kirjoita tämän jälkeen viiveeseen sekuntimäärä (yleensä 15) Kentittäin flow-creation-tapahtumien viennin viivyttämiseksi ja käsittele yksittäinen flow-teardown-tapahtuma flow-creation-tapahtuman ja flow-teardown-tapahtuman sijaan.
jos tätä ei ole määritetty, ei ole viivettä, ja flow-create-tapahtuma viedään heti kun flow on luotu. Olen huomannut, että jos tätä ei ole asetettu, emme saa laajennettua teardown tapahtuma, ja teardown records eivät sisällä käyttäjätunnuksen elementtejä. Jos virtaus puretaan ennen asetettua viivettä, flow-create-tapahtumaa ei lähetetä; sen sijaan lähetetään laajennettu flow teardown-tapahtuma.
- Määritä kerääjät, joille NetFlow-paketit lähetetään. Voit määrittää enintään viisi keräilijää.
- napsauta lisää näyttääksesi lisää NetFlow Collector-valintaikkunan ja suorittaaksesi seuraavat vaiheet:
- valitse avattavasta luettelosta käyttöliittymä, johon NetFlow-paketit lähetetään.
- kirjoita IP-osoite tai palvelinnimi ja UDP-porttinumero niihin liittyviin kenttiin.
- klikkaa OK
- kun NetFlow on käytössä, tietyt syslog-viestit muuttuvat tarpeettomiksi. Järjestelmän suorituskyvyn ylläpitämiseksi suosittelemme, että poistat käytöstä kaikki tarpeettomat syslog-viestit, koska samat tiedot viedään NetFlow ’ n kautta. Valitse Poista tarpeettomat syslog viestit – valintaruutu, jos haluat poistaa kaikki tarpeettomat syslog-viestit käytöstä.
Määritä nyt, mitä liikennettä valvotaan ja mitä NetFlow-tapahtumia lähetetään asetetulle kerääjälle
, jotta NetFlow-tapahtumia voidaan sovittaa yhteen minkä tahansa asetetun kerääjän kanssa, suorita seuraavat vaiheet:
Vaihe 1-Valitse kokoonpano > palomuuri > Palvelukäytäntösäännöt
Vaihe 2-lisää palvelukäytäntösääntö suorittamalla seuraavat vaiheet:
- Korosta yleinen käytäntö yllä esitetyllä tavalla ja napsauta Add näyttääksesi ohjatun Add Service Policy Rule-toiminnon .
- Napsauta yleinen-valintaruutu-koskee kaikkia rajapintoja-radiopainiketta soveltaaksesi sääntöä maailmanlaajuiseen käytäntöön. Valitse Seuraava
- Valitse mikä tahansa liikenne-valintaruutu liikenteen täsmäyskriteerinä, napsauta Seuraava jatkaaksesi Sääntötoiminnot-näyttöön.
- Napsauta NetFlow-välilehteä Sääntötoiminnot-näytössä.
- napsauta lisää näyttääksesi lisää Flow-tapahtuma – valintaikkunan ja määrittääksesi flow-tapahtumat. suorita seuraavat vaiheet:
- valitse flow-tapahtuman tyyppi pudotusvalikosta. Valitse Kaikki.
- valitse keräilijät, joille haluat lähettää tapahtumia rastittamalla vastaavat valintaruudut lähetä-sarakkeessa.
- napsauta OK sulkeaksesi lisää Flow-tapahtuma-valintaikkunan ja palataksesi NetFlow-välilehteen.
- napsauta Valmis poistuaksesi ohjatusta palvelimesta.
joten miksi Cisco ASA palomuuri niin hyvä laite NetFlow näkyvyyttä?
Cisco ASA NetFlow-raportointi antaa suoran näkyvyyden:
- yleinen TopN-raportointi (Sovellukset, puhujat ja keskustelut)
- ylimmät käyttäjätunnukset tai sovellukset (vain porttiin perustuvat) evätty verkkoyhteydet
- tapahtumia ja pääsysääntöjä (ACL) rikotaan eniten ja kenen toimesta
- palomuurin läpi kulkevien IP-osoitteiden käyttäjätunnukset
- Nat (Verkko-Osoitekäännökset) kuka on käännetty mihin?
- meillä on myös suora integraatio Cisco ASA FirePower-raportointiin.
nykyään kommunikaatiokäyttäytymisen seuranta, perusviivojen ylläpitäminen ja uhkien havaitseminen NetFlow ’ n avulla on entistä tärkeämpää. Kun tietoturva-ammattilaisten on palattava ajassa taaksepäin ja katsottava viestintäkuviota, he voivat löytää virrat, jotka sisältävät keskustelut, joita he haluavat tutkia. Olemme olleet alan johtava kytkimien ja reitittimien NetFlow-raportoinnissa sekä Ciscon ASA: sta viedyissä tietoturvatapahtumissa.
Tiedätkö, millaisia keskusteluja verkostostasi tulee ja menee? Hanki tietoa verkkoliikenteestäsi käyttämällä Cisco ASA: sta vietyä NetFlow ’ ta, joka on korvaamaton sovellusten ja käyttäjien tietoturvan seurannassa.
Scott
Scott tarjoaa Ennakkomyyntiteknistä tukea Plixerin myyntitiimille. Scott on taustaltaan tekninen tukija, jolla on vuosien kokemus kaikesta asiakastilin hallinnasta järjestelmän ohjelmointiin. Hänen harrastuksiinsa kuuluu nuorten urheiluohjelmien valmentaminen täällä Sanfordissa, rumpujen ja kitaran soittaminen paikallisissa jam-bändeissä ja soittaminen naapuruston nurmikentillä järjestettävissä turnauksissa.