Cisco ASA NetFlow configurare folosind ASDM

în ultimele săptămâni am luat o serie de apeluri de sprijin de la clienții care au fost în căutarea pentru asistență cu configurația lor Cisco ASA NetFlow folosind ASDM. Așa că m-am gândit că voi profita de această ocazie pentru a scrie un blog parcurgând pașii de configurare pentru a completa blogurile existente care arată un videoclip sau au o serie de imagini.

în opinia mea, cel mai simplu mod de a obține NSEL exportul de la aceste aparate de securitate este prin utilizarea interfeței ASDM. Acest instrument simplu de gestionare a firewall-ului bazat pe GUI vă permite să configurați rapid Cisco ASA fără a fi nevoie să utilizați interfața greoaie a liniei de comandă. Deși trebuie să recunosc că Configurarea Cisco ASA folosind CLI nu este într-adevăr atât de diferită de configurarea NetFlow pe orice alt router sau switch.

deci, să parcurgem pașii pentru a activa NetFlow folosind ASDM

pentru a activa NetFlow, efectuați următorii pași după conectarea la ASDM:

• alegeți Configuration > Device Management > logare > NetFlow.

• introduceți rata de expirare a șablonului, care este intervalul (în minute) la care înregistrările șablonului sunt trimise tuturor colecționarilor configurați. Vă recomandăm 1 minut.
• introduceți intervalul de actualizare a fluxului, care specifică intervalul de timp dintre evenimentele de actualizare a fluxului în minute. Valorile valide sunt de la 1 la 60 de minute. Valoarea implicită este de 1 minut. Această opțiune este disponibilă în 8.4.5, iar cea mai nouă 9.x lansări.
• bifați caseta de selectare transmisie cu întârziere a evenimentelor de creare a fluxului pentru fluxuri de scurtă durată.
• apoi introduceți numărul de secunde (de obicei 15) în câmpul Delay By pentru a întârzia exportul evenimentelor de creare a fluxului și pentru a procesa un singur eveniment de rupere a fluxului în loc de un eveniment de creare a fluxului și un eveniment de rupere a fluxului.

dacă acest lucru nu este configurat, nu există nici o întârziere, iar evenimentul flow-create este exportat de îndată ce fluxul este creat. Am constatat că, dacă acest lucru nu este setat, nu primim un eveniment teardown extins, iar înregistrările teardown nu conțin elementele de utilizator. Dacă fluxul este rupt înainte de întârzierea configurată, evenimentul de creare a fluxului nu este trimis; în schimb, este trimis un eveniment extended flow teardown.

• specificați colectorul(colectorii) către care vor fi trimise pachetele NetFlow. Puteți configura maximum cinci colecționari.
• Faceți clic pe Adăugare pentru a afișa caseta de dialog Adăugare colector NetFlow pentru a configura un colector și efectuați următorii pași:
  • alegeți interfața către care vor fi trimise pachetele NetFlow din lista derulantă.
  • introduceți adresa IP sau numele gazdei și numărul portului UDP în câmpurile asociate.
  • Faceți clic pe OK
• când NetFlow este activat, anumite mesaje syslog devin redundante. Pentru a menține performanța sistemului, vă recomandăm să dezactivați toate mesajele syslog redundante, deoarece aceleași informații sunt exportate prin NetFlow. Bifați caseta de selectare Dezactivare mesaje syslog redundante pentru a dezactiva toate mesajele syslog redundante.

acum specificați ce trafic este monitorizat și ce evenimente NetFlow sunt trimise colectorului configurat

pentru a potrivi evenimentele NetFlow cu orice colector configurat, efectuați următorii pași:

Step 1-Alegeți Configuration > Firewall > Service policy Rules

Step 2 – pentru a adăuga o regulă de politică service, efectuați următorii pași:

• evidențiați politica globală așa cum se arată mai sus și faceți clic pe Adăugare pentru a afișa Expertul Adăugare regulă politică serviciu .
• Faceți clic pe caseta de selectare Global – se aplică tuturor interfețelor buton radio pentru a aplica regula la politica globală. Faceți clic pe Următorul
• bifați caseta de selectare orice trafic ca criterii de potrivire a traficului, Faceți clic pe Următorul pentru a continua la ecranul acțiuni reguli.
• Faceți clic pe fila NetFlow din ecranul acțiuni reguli.
• Faceți clic pe Adăugare pentru a afișa caseta de dialog Adăugare eveniment flux și specificați evenimente flux, apoi efectuați următorii pași:
  • alegeți tipul de eveniment flux din lista derulantă. Selectați Toate.
  • alegeți colecționarii la care doriți să trimiteți evenimente bifând casetele de selectare corespunzătoare din coloana trimitere.
  • Faceți clic pe OK pentru a închide caseta de dialog Adăugare eveniment flux și a reveni la fila NetFlow.
  • Faceți clic pe Terminare pentru a ieși din expert.

deci, de ce este Cisco ASA firewall un astfel de dispozitiv de mare pentru NetFlow vizibilitate?

Cisco ASA NetFlow de raportare vă oferă vizibilitate directă în:

• raportarea generală TopN (Aplicații, vorbitori și conversații)
• nume de utilizator sau aplicații de Top (bazate doar pe port) fiind refuzate conexiunile de rețea
• evenimentele și regulile de acces (ACL) fiind încălcate cel mai mult și de către cine
• numele de utilizator ale adreselor IP care trec prin firewall
• nat (traduceri de adrese de rețea) cine este tradus în ce?
• avem, de asemenea, o integrare directă la Cisco ASA FirePower de raportare.

astăzi, monitorizarea comportamentelor de comunicare, menținerea liniilor de bază și detectarea amenințărilor cu NetFlow devine din ce în ce mai relevantă. Atunci când profesioniștii din domeniul securității trebuie să se întoarcă în timp și să vizualizeze un model de comunicare, pot găsi fluxurile care conțin conversațiile pe care doresc să le investigheze. Am fost lider în industrie atunci când vine vorba de raportarea NetFlow de la switch-uri și routere, precum și evenimente de securitate exportate de la Cisco ASA.

știi ce conversații vin și ies din rețeaua ta? Obțineți o perspectivă asupra traficului dvs. de rețea utilizând NetFlow exportat de la Cisco ASA, care este de neprețuit pentru monitorizarea securității aplicațiilor și a utilizatorilor.