Cisco ASA NetFlow Configuration using ASDM

de afgelopen weken heb ik een aantal support calls aangenomen van klanten die op zoek waren naar hulp met hun Cisco ASA NetFlow configuratie met ASDM. Dus ik dacht dat ik deze gelegenheid zou nemen om een blog te schrijven lopen door de configuratie stappen om de bestaande blogs die een video tonen of hebben een reeks beelden aan te vullen.

naar mijn mening is de eenvoudigste manier om nsel te laten exporteren van deze beveiligingsapparatuur door het gebruik van de ASDM-interface. Deze eenvoudige, GUI-gebaseerde firewall management tool kunt u snel configureren van de Cisco ASA zonder de omslachtige command-line interface te gebruiken. Hoewel ik moet toegeven dat het configureren van de Cisco ASA met behulp van de CLI is echt niet zo veel anders dan het configureren van NetFlow op een andere router of switch.

laten we de stappen doorlopen om NetFlow in te schakelen met ASDM

om NetFlow in te schakelen, voert u de volgende stappen uit na het inloggen op ASDM:

• kies configuratie > Apparaatbeheer > Logging > NetFlow.

• Voer de template Time-Out Rate in, dit is het interval (in minuten) waarbij template records naar alle geconfigureerde verzamelaars worden verzonden. Wij raden 1 minuut.
• voer het Flow-Update-Interval in, dat het tijdsinterval tussen flow-update-gebeurtenissen in minuten specificeert. Geldige waarden zijn van 1-60 minuten. De standaardwaarde is 1 minuut. Deze optie is beschikbaar in 8.4.5, en de nieuwere 9.X releases.
• Schakel het selectievakje Vertragingstransmissie van stroomcreatiegebeurtenissen voor kortstondige stromen in.
• voer vervolgens het aantal seconden (meestal 15) in het veld vertraging in om de export van flow-creation events uit te stellen en een enkele flow-teardown event te verwerken in plaats van een flow-creation event en een flow-teardown event.

als dit niet is geconfigureerd, is er geen vertraging en wordt de flow-create event geëxporteerd zodra de flow is gemaakt. Ik heb ontdekt dat als dit niet is ingesteld, we geen extended teardown event ontvangen, en de teardown records bevatten niet de gebruikersnaam elementen. Als de flow wordt afgebroken voordat de geconfigureerde vertraging optreedt, wordt de flow-create-gebeurtenis niet verzonden; een extended flow teardown event wordt in plaats daarvan verzonden.

• specificeer de collector(s) waarnaar NetFlow-pakketten zullen worden verzonden. U kunt maximaal vijf verzamelaars configureren.
• klik op Toevoegen om het dialoogvenster Netflowcollector toevoegen weer te geven om een collector te configureren en voer de volgende stappen uit:
  • kies de interface waarnaar NetFlow-pakketten worden verzonden uit de vervolgkeuzelijst.
  • voer het IP-adres of de hostnaam en het UDP-poortnummer in de bijbehorende velden in.
  • klik OK
• wanneer NetFlow is ingeschakeld, worden bepaalde syslog-berichten overbodig. Om de systeemprestaties te behouden, raden we u aan alle overbodige syslog-berichten uit te schakelen, omdat dezelfde informatie via NetFlow wordt geëxporteerd. Schakel het selectievakje overbodige syslog-berichten uitschakelen in om alle overbodige syslog-berichten uit te schakelen.

geef nu op welk verkeer wordt gemonitord en welke NetFlow-gebeurtenissen naar het geconfigureerde Collector worden verzonden

om NetFlow-gebeurtenissen met een geconfigureerd collector te matchen, voert u de volgende stappen uit:

Stap 1 – Kies configuratie > Firewall > Servicebeleidsregels

Stap 2-Voer de volgende stappen uit om een servicebeleidsregel toe te voegen:

• markeer het algemene beleid zoals hierboven weergegeven en klik op Toevoegen om de Wizard Regel voor servicebeleid toevoegen weer te geven .
• klik op het keuzevakje globaal-geldt voor alle interfaces om de regel toe te passen op het globaal beleid. Klik op Volgende
• Schakel het selectievakje willekeurig verkeer in als verkeer overeenkomt met de criteria, klik op Volgende om door te gaan naar het scherm Regelacties.
• klik op het tabblad NetFlow in het scherm Regelacties.
• klik op Toevoegen om het dialoogvenster Stroomgebeurtenis toevoegen weer te geven en stroomgebeurtenissen op te geven.voer vervolgens de volgende stappen uit:
  • Kies het type stroomgebeurtenis uit de vervolgkeuzelijst. Alles Selecteren.
  • kies verzamelaars waarnaar u gebeurtenissen wilt verzenden door de overeenkomstige selectievakjes in de kolom verzenden aan te vinken.
  • klik op OK om het dialoogvenster Flow-Gebeurtenis toevoegen te sluiten en terug te keren naar het tabblad NetFlow.
  • klik op Voltooien om de wizard te verlaten.

dus waarom is de Cisco ASA firewall zo ‘ n geweldig apparaat voor NetFlow zichtbaarheid?

Cisco ASA NetFlow Reporting geeft u direct inzicht in:

• Algemene topn rapportage (applicaties, sprekers en gesprekken)
• Top gebruikersnamen of toepassingen (alleen gebaseerd op poort) worden geweigerd netwerkverbindingen
• de gebeurtenissen en toegangsregels (ACL) worden het meest geschonden en door wie
• de gebruikersnamen van de IP-adressen die door de firewall gaan
• NAT (Network Address Translations) wie wordt vertaald naar wat?
• we hebben ook een directe integratie met Cisco ASA FirePower reporting.

vandaag de dag wordt het monitoren van communicatiegedrag, het handhaven van basislijnen en het detecteren van bedreigingen met NetFlow steeds relevanter. Wanneer beveiligingsprofessionals terug in de tijd moeten gaan en een communicatiepatroon moeten bekijken, kunnen ze de stromen vinden die de gesprekken bevatten die ze willen onderzoeken. We zijn de marktleider als het gaat om NetFlow rapportage van switches en routers, evenals beveiligingsgebeurtenissen geëxporteerd vanuit de Cisco ASA ‘ s.

weet u welke gesprekken uw netwerk binnenkomen en verlaten? Krijg inzicht in uw netwerkverkeer door gebruik te maken van NetFlow die wordt geëxporteerd vanuit uw Cisco ASA, wat van onschatbare waarde is voor het bewaken van de beveiliging van toepassingen en gebruikers.