Ejemplo para configurar USG/Eudemon/SRG/EGW para enviar registros al LogCenter V1

101 0 0 0

Cuando tanto el USG/Eudemon/SRG/EGW (en adelante, el dispositivo) como el LogCenter se implementan en la red, el dispositivo se puede configurar para enviar registros al LogCenter para su administración y auditoría, lo que ayuda a los usuarios a aprender sobre el tiempo y el tráfico histórico, así como el estado de seguridad actual de la red. El siguiente ejemplo muestra la implementación general y las configuraciones básicas del dispositivo y el LogCenter.

Requisitos de red

Una empresa ya ha implementado el dispositivo y el LogCenter.

El dispositivo se utiliza para separar usuarios de la intranet (zona de confianza), clústeres de servidores (DMZ) e Internet (zona de no confianza). Se habilita con las funciones UTM (como AV) y otras funciones de seguridad. Proporciona servicios NAT para el acceso de los usuarios de la intranet a los clústeres de servidores e Internet.

Los registros binarios del dispositivo, los registros del sistema o los registros de flujo de red se pueden recopilar implementando el LogCenter, y estos registros ayudan a los usuarios a rastrear de forma precisa NAT e identificar amenazas de seguridad.

Planificación de redes

La figura 1 muestra la planificación de la red.

  • La zona Trust se conecta a los usuarios de la red interna mediante un conmutador de agregación.

  • Todos los servidores de servicio, incluidos el recopilador de registros de LogCenter y el analizador de LogCenter, se implementan en la DMZ.

  • Un enrutador de puerta de enlace se implementa en la zona Untrust para conectarse a Internet.

  • A continuación se enumeran las claves de planificación de direcciones. Se omite la planificación de direcciones de los usuarios de la red interna y los clústeres de servidores, así como la división VLAN del conmutador de convergencia.

Figura 1 plan de red

http://localhost:7890/pages/DEE0603J/02/DEE0603J/02/resources/firewall_cfg/cfg_sys/images/sec_vsp_cfg_infocenter_0047_fig1.png

Objeto

Datos

Descripción

(1)

Número de   interfaz: GigabitEthernet 0/0/1

Dirección IP:   172.16.0.1/24

Zona de seguridad: Trust

GigabitEthernet   0/0/1 se conecta al switch de agregación en la red interna.

(2)

Número de   interfaz: GigabitEthernet 0/0/2

Dirección IP:   192.168.0.1/24

Zona de seguridad: DMZ

GigabitEthernet   0/0/2 se conecta al área del servidor.

(3)

Número de interfaz: GigabitEthernet 0/0/3

Dirección IP: 10.1.1.1/24

Zona de seguridad: Untrust

GigabitEthernet   0/0/3 se conecta al router de la puerta de enlace.

Recopilador de registro

Dirección IP: 192.168.1.1/24

El recopilador de   registros se utiliza para recibir información de registro enviada desde el   dispositivo. Se   implementa en la DMZ.

Analizador LogCenter 

Dirección IP: 192.168.2.1/24

El analizador está   desplegado en la DMZ. Realiza la gestión de alarmas, la gestión de informes,   la gestión de usuarios, la gestión de NE, la gestión del rendimiento y la   gestión del sistema del LogCenter..

Consola

Dirección IP: 172.16.4.1/24

Puede acceder al   LogCenter por un navegador.

Administradores y   permisos existentes en el LogCenter

Cuenta de   administrador admin, Contraseña Changeme123.

Los permisos incluyen:

·           Descubriendo NEs

·           Asociando NEs

·           Manejo del dispositivo

  • Consulta        de detalles sobre los registros de análisis de seguridad de red

·           Consulta de registros de sesión.

 

Mapa de configuración

La hoja de ruta para configurar este caso es la siguiente:

  1. Configure la dirección IP de la interfaz y otras funciones básicas de seguridad en el dispositivo.

  2. Configure el dispositivo para enviar varios registros. Para situaciones reales que este ejemplo no cubre, habilite las funciones de registro correspondientes según las necesidades reales.

     

  1. Habilitar la función de registro de filtrado de paquetes.

  2. Habilitar la función syslog.

  3. Habilitar la función de registro binario.

  4. Habilite la función de registro de flujo de red (solo proporcionada por Eudemon8000E V200R001C01).

  1. Inicie sesión en LogCenter, descubra el dispositivo de firewall, asocie el dispositivo con el recopilador de registros y configure el método de recopilación de registros para el dispositivo.

http://localhost:7890/pages/DEE0603J/02/DEE0603J/02/resources/public_sys-resources/icon-notice.gif

NOTESE:

La dirección IP del dispositivo que se encuentra en LogCenter debe ser coherente con la dirección IP de origen especificada para enviar registros en el dispositivo.

http://localhost:7890/pages/DEE0603J/02/DEE0603J/02/resources/public_sys-resources/icon-note.gif

NOTA:

Este ejemplo se centra en las configuraciones del interfuncionamiento entre el dispositivo y el LogCenter. Se omiten otras funciones básicas. Configure las rutas correspondientes para garantizar que los dispositivos sean enrutables.

Los pasos 1 a 6 son las configuraciones del dispositivo.

Los pasos 8 a 9 son las configuraciones del LogCenter.

Procedimiento

  1. Sincronice la zona horaria y la hora del dispositivo con las del recolector de registros.

# Sincronice la zona horaria del dispositivo con la del recolector de registros.

http://localhost:7890/pages/DEE0603J/02/DEE0603J/02/resources/public_sys-resources/icon-note.gif

NOTA:

C8 es un nombre de zona horaria definido por el usuario. Pekín se usa como ejemplo aquí. La hora de Beijing es ocho horas antes que la hora universal coordinada (UTC) predeterminada en el dispositivo. Por lo tanto, añadir 08:00:00 es adoptado; sin embargo, si UTC es anterior a la hora de Beijing, se adopta menos.

La configuración de la zona horaria varía con el modelo del dispositivo. Para más detalles, consultar el manual del modelo correspondiente.

      <sysname> clock timezone c8 add 08:00:00

# Sincronice la hora del dispositivo con la del recolector de registros. Por ejemplo, si la hora del recopilador de registros es 00:00:00 2010-11-01, realice las siguientes configuraciones en el dispositivo:

<sysname> clock datetime 0:0:0 2010/11/01
  1. Configure los parámetros SNMP del NE para que pueda encontrar el NE en el LogCenter.
<sysname> system-view
[sysname] snmp-agent
[sysname] snmp-agent sys-info version v3
[sysname] mib-view included snmp_view iso
[sysname] snmp-agent group v3 testgroup privacy read-view snmp_view write-view snmp_view notify-view snmp_view
[sysname] snmp-agent usm-user v3 testuser testgroup authentication-mode sha Auth@123 privacy-mode aes128 Priv@123
[sysname] quit

  1. Configure la dirección IP de la interfaz en el dispositivo y luego agregue la interfaz a la zona de seguridad.

# Establezca las direcciones IP de las interfaces en el dispositivo. (Aquí hay un ejemplo de GigabitEthernet 0/0/1.)

[sysname] interface GigabitEthernet 0/0/1
[sysname-GigabitEthernet0/0/1] ip address 172.16.0.1 24
[sysname-GigabitEthernet0/0/1] quit

# Agregar las interfaces en el dispositi**** la zona de seguridad. (Aquí hay un ejemplo de GigabitEthernet 0/0/1.)

[sysname] firewall zone trust
[sysname-zone-trust] add interface GigabitEthernet 0/0/1
[sysname-zone-trust] quit

  1. Configure la función de filtrado de paquetes entre zonas y configure una regla de ACL para registrar paquetes coincidentes.

# Habilite las reglas de filtrado de paquetes entre zonas para garantizar el funcionamiento normal de varios servicios y registrar paquetes coincidentes. (Este es un ejemplo de cómo permitir que la red 172.16.4.0/24 acceda a Internet).

http://localhost:7890/pages/DEE0603J/02/DEE0603J/02/resources/public_sys-resources/icon-note.gif

NOTA:

La configuración varía según el modelo del producto. Para más detalles, consulte la documentación relevante del producto de modelos específicos.

Modelo

Comando

Comandos de configuración para productos de gama baja, como USG2100   V100R003

[sysname]   acl 2001

[sysname-acl-basic-2001]   rule 0 permit source 172.16.4.0 0.0.0.255 logging

[sysname-acl-basic-2001]   quit

[sysname]   firewall interzone trust untrust

[sysname-interzone-trust-untrust]   packet-filter acl 2001 outbound

[sysname-interzone-trust-untrust]   quit

Comandos de configuración para productos de gama media, como USG5300 /   5500 V200R001 y USG2110-X/2100/2200/5100/5500 V300R001

[sysname]   policy interzone trust untrust outbound

[sysname-policy-interzone-trust-untrust-outbound]   policy 1   

[sysname-policy-interzone-trust-untrust-outbound-1]   policy source 172.16.4.0 0.0.0.255    

[sysname-policy-interzone-trust-untrust-outbound-1]   policy logging

[sysname-policy-interzone-trust-untrust-outbound-1]   action permit

[sysname-policy-interzone-trust-untrust-outbound-1]   quit

[sysname-policy-interzone-trust-untrust-outbound]   quit

Comandos de configuración para Eudemon8000E V200R001C01

[sysname]   acl 2000

[sysname-acl-basic-2000]   rule permit source 172.16.4.0 0.0.0.255 logging

[sysname-acl-basic-2000]   quit

[sysname]   firewall interzone trust untrust

[sysname-interzone-trust-untrust]   packet-filter 2000 outbound

[sysname-interzone-trust-untrust]   quit

 

  1. Habilitar las funciones de recopilación y envío de syslogs.

# Recopile todos los registros de los módulos funcionales en el dispositivo (incluida la información y los registros de nivel superior).

[sysname] info-center source default channel 2 log level informational

# Redirigir los registros del sistema en el centro de información al recolector de registros (en 192.168.1.1).

[sysname] info-center loghost 192.168.1.1
http://localhost:7890/pages/DEE0603J/02/DEE0603J/02/resources/public_sys-resources/icon-note.gif
 

NOTA:

Los registros del dispositivo pueden ser resueltos correctamente por el recolector de registros solo si la propiedad de idioma está establecida en inglés. Por lo tanto, configure el idioma en inglés o no establezca la propiedad de idioma cuando ejecute el comando info-center loghost.

# Configure la interfaz de origen para enviar syslogs en el centro de información como GigabitEthernet0/0/2 que se conecta a la DMZ.

[sysname] info-center loghost source GigabitEthernet 0/0/2

http://localhost:7890/pages/DEE0603J/02/DEE0603J/02/resources/public_sys-resources/icon-note.gif

 

NOTA:

No configure la interfaz de administración del dispositivo como la interfaz de origen para enviar registros. De lo contrario, el rendimiento del dispositivo se deteriora y cierto servidor de seguridad no puede enviar registros a través de la interfaz de administración.

# Habilite la función de recolección de tráfico y la función de medición de tráfico. Debido a que la función de monitoreo de tráfico monitorea y recolecta todo el tráfico que pasa a través del sistema, realice esta operación según sea necesario.

[sysname] firewall log stream enable
http://localhost:7890/pages/DEE0603J/02/DEE0603J/02/resources/public_sys-resources/icon-note.gif
 

NOTA:

Los productos USG2100 V100R003, E200E-B V100R002 no admiten este comando.

[sysname] firewall statistic system enable

http://localhost:7890/pages/DEE0603J/02/DEE0603J/02/resources/public_sys-resources/icon-note.gif

NOTA:

El Eudemon8000E V200R001C01 no admite este comando.

  1. Habilitar las funciones de recopilación y envío de registros binarios.

# # Habilite la función de grabación de los registros de sesión para la interzona según la situación real. Los flujos de datos en la interzona Trust-Untrust se utilizan como ejemplo aquí.

[sysname] acl 2000
[sysname-acl-basic-2000] rule permit
[sysname-acl-basic-2000] quit
[sysname] firewall interzone trust untrust
[sysname-interzone-trust-untrust] session log enable acl-number 2000 inbound
[sysname-interzone-trust-untrust] session log enable acl-number 2000 outbound
[sysname-interzone-trust-untrust] quit

# Redirigir los registros binarios al recolector de registros (en 192.168.1.1). Configure la dirección IP de origen para enviar registros binarios como la dirección IP del GigabitEthernet0/0/2 que se conecta a la DMZ.

http://localhost:7890/pages/DEE0603J/02/DEE0603J/02/resources/public_sys-resources/icon-note.gif

NOTA:

La configuración puede variar según el modelo del producto. Para obtener más información, consulte la documentación relevante del producto de modelos específicos. A continuación se utilizan los modelos de los firewall de uso común para demostrar las configuraciones.

Modelo

Comando

USG2200/5100/5300   V100R003 and Eudemon 200B V100R002

[sysname]   firewall session log-type binary host 192.168.1.1 9002

NOTA:

El producto de esta versión no admite la configuración de la dirección   IP para enviar registros binarios.

USG2110-X/2100/2200/5100   V100R005 and Eudemon 200E-B/C/F/X V100R005

[sysname]   firewall session log-type binary host 192.168.1.1 9002 source 192.168.0.1   1616

USG5300/5500   V200R001, Eudemon 1000 V200R001 and USG2110-X/2100/2200/5100/5500 V300R001

[sysname]   firewall session log-type binary host 1 192.168.1.1 9002

[sysname]   firewall session log-type binary source 192.168.0.1 1616

Eudemon8000E   V200R001C01

[sysname]   firewall log host 1 192.168.1.1 9002

[sysname]   firewall log source 192.168.0.1 1616

http://localhost:7890/pages/DEE0603J/02/DEE0603J/02/resources/public_sys-resources/icon-note.gif

NOTA:

192.168.1.1 es la dirección IP del recopilador de registros de LogCenter y 9002 es la interfaz predeterminada en el LogCenter que recopila registros binarios.

192.168.0.1 es la dirección IP de la interfaz para enviar registros binarios. Si la dirección IP de la interfaz que envía registros binarios y la dirección IP de LogCenter están en diferentes segmentos de red, asegúrese de que las dos direcciones IP sean enrutables. El puerto 1616 es para enviar registros binarios y puede ser definido por los usuarios (en el caso de que no exista uno).

  1. (Opcional) Habilite las funciones de recopilación y envío de los registros de flujo de red (solo provisto por Eudemon8000E V200R001C01).

http://localhost:7890/pages/DEE0603J/02/DEE0603J/02/resources/public_sys-resources/icon-note.gif

NOTA:

Puede configurar la función de envío de los registros de netflow o la de los registros binarios.

# Habilite la función de grabación de los registros de netflow para la interzona según la situación real. Los flujos de datos en la interzona Trust-Untrust se utilizan como ejemplo aquí.

[sysname] acl 2000
[sysname-acl-basic-2000] rule permit
[sysname-acl-basic-2000] quit
[sysname] firewall interzone trust untrust
[sysname-interzone-trust-untrust] session log enable acl-number 2000 inbound
[sysname-interzone-trust-untrust] session log enable acl-number 2000 outbound
[sysname-interzone-trust-untrust] quit

# Habilite el firewall para enviar registros de sesión de Netflow.

[sysname] firewall log session log-type netflow

# Redirigir los registros de flujo de red al recolector de registros (en 192.168.1.1). Establezca la dirección IP de origen para enviar los registros de Netflow como la dirección IP de GigabitEthernet0/0/2 que se conecta a la DMZ.

[sysname] firewall log host 1 192.168.1.1 9996

[sysname] firewall log source 192.168.0.1 1617

http://localhost:7890/pages/DEE0603J/02/DEE0603J/02/resources/public_sys-resources/icon-note.gif

 

NOTA:

192.168.1.1 es la dirección IP del recopilador de registros de LogCenter y 9996 es la interfaz predeterminada en el LogCenter que recopila los registros de netflow.

192.168.0.1 es la dirección IP de la interfaz para enviar registros de flujo de red. Si la dirección IP de la interfaz que envía los registros de Netflow y la dirección IP de LogCenter están en diferentes segmentos de red, asegúrese de que las dos direcciones IP sean enrutables. El puerto 1617 es para enviar registros de flujo de red y puede ser definido por los usuarios (en el caso de que no exista uno).

  1. Descubre dispositivos en el LogCenter.

  1. Inicie sesión en LogCenter con la cuenta de administrador user01.

  2. Seleccione Resources> Resource Management> NEs.

  3. Compruebe si el dispositivo de firewall se muestra en los NEs.

  1. Si es así, realiza 9

  2. Si no, realice 8.d.

  1. Establezca la plantilla de parámetros SNMP en el lado de LogCenter.

  1. Seleccione Resources> Template Management> SNMP Templates.

  2. Haga clic en

http://localhost:7890/pages/DEE0603J/02/DEE0603J/02/resources/firewall_cfg/cfg_sys/images_common/create.png para crear la plantilla de parámetros SNMP. La figura 2 muestra la página.

Figura 2 Crear la plantilla de parámetros SNMP

http://localhost:7890pages/DEE0603J/02/DEE0603J/02/resources/firewall_cfg/cfg_sys/images_common/vsm_cfg_analyze_fire_fig001.png

http://localhost:7890/pages/DEE0603J/02/DEE0603J/02/resources/public_sys-resources/icon-note.gif

NOTA:

El protocolo de autenticación y la contraseña, el protocolo de cifrado de datos y la contraseña deben especificarse de la misma manera que los del dispositivo.

  1. Haga clic en OK.

  1. Configure los parámetros de descubrimiento para descubrir NE.

  1. Seleccione Resources > Resources Management> NEs.

  2. Haga clic en Automatic Discovery para configurar los parámetros de descubrimiento. La figura 3 muestra la página.

Figura 3 Configurar los parámetros de descubrimiento

http://localhost:7890/pages/DEE0603J/02/DEE0603J/02/resources/firewall_cfg/cfg_sys/images_common / vsm_cfg_analyze_fire_fig006.png

  1. Haga clic en Start Discovery.

  2. La información sobre los NE descubiertos se muestra después de que se completa el descubrimiento de NE. Haga clic en Close en el cuadro de diálogo Discovery Result.

 

  1. Asocie el dispositi****l recopilador de registros y configure el método de recopilación de registros para el dispositivo.

  1. Seleccione Resources > Resources Management> Collector Manager.

  2. Haga clic en

http://localhost:7890/pages/DEE0603J/02/DEE0603J/02/resources/firewall_cfg/cfg_sys/images_common/associated_NE.png a la derecha del recopilador de registros para que el dispositivo sea administrado.

  1. Haga clic en

http://localhost:7890/pages/DEE0603J/02/DEE0603J/02/resources/firewall_cfg/cfg_sys/images_common/add.png.

  1. Seleccione el dispositivo.

La figura 4 muestra la página.

Figura 4 Seleccionando un NE

http://localhost:7890/pages/DEE0603J/02/DEE0603J/02/resources/firewall_cfg/cfg_sys/images_common/vsm_cfg_analyze_fire_fig002.png

  1. Haga clic en Next para configurar el método de recopilación de registros para el dispositivo. (Como ejemplo se utiliza la recopilación de registros del sistema y registros binarios).

Seleccione SYSLOG y SESSION para permitir que el dispositivo envíe syslogs y registros binarios al recopilador de registros, y seleccione Enable the UTM feature. La figura 5 muestra la página.

Figura 5 Configuración del método de recopilación de registros para el dispositivo

http://localhost:7890/pages/DEE0603J/02/DEE0603J/02/resources/firewall_cfg/cfg_sys/images_common/vsm_cfg_analyze_fire_fig003_logcenter.png

  1. Haga clic en Finish.

Verificación de resultados

Una vez completadas todas las configuraciones (incluida la implementación y la configuración de LogCenter), puede abrir el navegador IE en la consola (172.16.4.1) e ingresar la dirección de inicio de sesión https://192.168.2.1/, es decir, la dirección IP de El analizador LogCenter, para acceder a la página de inicio de sesión.

Si inicia sesión como administrador admin, puede consultar los registros del sistema y las sesiones en el dispositivo.

  1. Verifique si se puede recibir el syslog en el LogCenter.

Seleccione Log Analysis> Network Security> Event Query. Se puede consultar el syslog del dispositivo. La figura 6 muestra la página.

Figura 6 Resultado de consultas de syslogs

http://localhost:7890/pages/DEE0603J/02/DEE0603J/02/resources/firewall_cfg/cfg_sys/images_common/vsm_cfg_analyze_fire_fig004.png

  1. Verifique si las sesiones se pueden recibir en el LogCenter.

Seleccione Log Analysis > Session Analysis > IPv4 Session Query. Se pueden consultar las sesiones del dispositivo. La figura 7 muestra la página.

Figura 7 Resultado de la consulta de registros de sesión

http://localhost:7890/pages/DEE0603J/02/DEE0603J/02/resources/firewall_cfg/cfg_sys/images_common/vsm_cfg_analyze_fire_fig005.png

 

Scripts de configuración

Este ejemplo proporciona solo los scripts de configuración del interfuncionamiento entre el dispositivo y el LogCenter.

http://localhost:7890/pages/DEE0603J/02/DEE0603J/02/resources/public_sys-resources/icon-note.gif

NOTA:

Los scripts de configuración utilizan el USG5300 / 5500 V200R001 como ejemplo, y existen ciertas diferencias debido a las diferentes versiones.

#                                                                               
 sysname USG/Eudemon/SRG/EGW                                                            
#                                                                               
 info-center loghost source GigabitEthernet0/0/2           
 info-center source default channel 2 log level informational                   
 info-center loghost 192.168.1.1                                                
#                                                                               
 firewall session log-type binary host 1 192.168.1.1 9002                         
 firewall session log-type binary source 192.168.0.1 1616         
#              
 firewall statistic system enable                                               
 firewall log stream enable                      
#                                                                               
acl number 2000                                                                 
 rule 5 permit                                                                  
#                                                                               
interface GigabitEthernet0/0/1                                                  
 ip address 172.16.0.1 255.255.255.0                                        
#                                                                               
interface GigabitEthernet0/0/2                                                  
 ip address 192.168.0.1 255.255.255.0                                         
#                                                                               
interface GigabitEthernet0/0/3                                                  
 ip address 10.1.1.1 255.255.255.0                                         
#                                                                               
firewall zone local                                                             
 set priority 100                                                               
#                                                                               
firewall zone trust                                                             
 set priority 85                                                                
 add interface GigabitEthernet0/0/1                                             
#                                                                               
firewall zone untrust                                                           
 set priority 5                                                                 
 add interface GigabitEthernet0/0/3                                             
#                                                                               
firewall zone dmz                                                               
 set priority 50                                                                
 add interface GigabitEthernet0/0/2                                             
#                                                                               
firewall interzone trust untrust                                                
 session log enable acl-number 2000 inbound                                     
 session log enable acl-number 2000 outbound                                    
#                                                                               
policy interzone trust untrust outbound                                         
 policy 1                                                                       
  action permit                                                                 
  policy logging                                                                
  policy source 172.16.4.0 0.0.0.255                                            
# 

 

  • x
  • convención:

Comentar

Responder
Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse

Aviso Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente
¡Ingresa y disfruta de todos los beneficios para los miembros!

¡Ingresa y disfruta de todos los beneficios para los miembros!

Inicia sesión