【Ejemplo de configuración】Uso de LogCenter V1R1C10 para Security Service Analysis on Fir

60 0 0 0

USG9500 V500R001 se usa como un ejemplo para describir cómo usar LogCenter para ver las condiciones del servicio de seguridad en el firewall, incluida la defensa de ataques y el control de comportamiento en línea.

 

Requisitos de red

 

La protección de seguridad de la empresa A se basa principalmente en el USG9500 (que ejecuta V500R001) implementado en la salida de la red empresarial. Las funciones UTM, como la prevención de intrusiones y el antivirus, están habilitadas en el firewall para evitar ataques desde Internet. Además, la función de política de auditoría está habilitada para monitorear el comportamiento en línea de los empleados.

Pero los administradores de red no pueden ver de manera intuitiva las condiciones de defensa contra ataques, el uso del tráfico de red o el comportamiento en línea de los empleados.

Para resolver este problema, la empresa A implementa LogCenter, que puede recopilar de manera eficiente los registros del cortafuegos, mostrar las condiciones del servicio del cortafuegos y rastrear y analizar el comportamiento en línea de los empleados en términos de servicios P2P, correo electrónico, HTTP, MSN y QQ.

Figura 1 diagrama de redes

http: // localhost: 7890 / pages / DEE0603J / 02 / DEE0603J / 02 / resources / vsm_cfg / analyse / image / vsm_cfg_analyze_0615_fig017.png Planificación de datos La tabla 1 muestra la planificación de los datos.

Tabla 1 Planificación de datos

Item

Datos

Descripcion

(1)

Numero de la interfaz: GigabitEthernet 0/0/1

GigabitEthernet 0/0/1 se   conecta al conmutador de agregación en la red interna.

Direccion IP: 172.16.0.1/24

Zona de seguridad: Trust

(2)

Numero de la interfaz: GigabitEthernet 0/0/2


  GigabitEthernet 0/0/2 se conecta al área del servidor.

Direccion IP: 192.168.0.1/24

Zona de seguridad: DMZ

(3)

Numero de la interfaz: GigabitEthernet 0/0/3


  GigabitEthernet 0/0/3 se conecta al enrutador de la puerta de enlace.

Direccion IP: 10.1.1.1/24

Zona de seguridad: Untrust

log collector

IP address: 192.168.1.1/24

The log collector receives log information from a   specified device and is deployed in the DMZ.

LogCenter analyzer

IP address: 192.168.2.1/24

This analyzer is deployed in the DMZ. It manages the   alarms, reports, users, NEs, and performance of the LogCenter.

Console

IP address: 172.16.4.1/24

You can access the LogCenter by a browser.

Parametros SNMP

Version: v3

-

Usuario SNMP: testuser

Potocolo de Autenticacion: HMACSHA; contraseña de   Autenticacion: Auth@123


  Protocolo de cifrado de datos: AES; contraseña de cifrado de datos: Priv @   123

 

 

Análisis de requerimientos

El firewall usa políticas de seguridad para controlar el reenvío de paquetes entre zonas o zonas intermedias y detecta y filtra el contenido de los paquetes haciendo referencia a las funciones UTM en las políticas de seguridad. La mayoría de las empresas tienen la función de prevención de intrusiones y las funciones antivirus UTM habilitadas para defenderse de los ataques iniciados desde Internet. Si no hay una tarjeta de procesamiento del servicio de seguridad de la aplicación instalada en el firewall, puede ejecutar el comando firewall log im enable para habilitar la función de registro de IM. Si se ha instalado una tarjeta de procesamiento del servicio de seguridad de la aplicación, aplique la política de auditoría para monitorear el comportamiento en línea de los empleados de la empresa de una manera refinada. Este ejemplo asume que la tarjeta de procesamiento del servicio de seguridad de la aplicación se ha instalado.

 

Para permitir que LogCenter muestre las condiciones del servicio de firewall y rastree el comportamiento en línea del usuario, realice las siguientes configuraciones en el firewall:

 

Establezca los parámetros SNMP para que LogCenter pueda descubrir el firewall.

Habilite las funciones de registro de registro y estadísticas de tráfico al configurar políticas de seguridad y auditoría en el firewall.

Establezca el flujo de datos y los parámetros de envío de registros binarios en el firewall porque los registros de defensa de ataque, los registros de prevención de intrusos, los registros de antivirus y los registros de IM se exportan al recopilador de registros, ya que los registros de flujo de datos y de sesión se exportan como registros binarios.

Mapa de configuración

Agregue el recolector de registros al LogCenter.

Configure el firewall para enviar registros al recolector de registros.

Establezca los parámetros de SNMP en el firewall para las comunicaciones con LogCenter, de modo que el analizador de LogCenter pueda detectar el firewall.

Ajuste la zona horaria y la zona horaria del firewall a los mismos valores en el analizador y colector LogCenter. Si el tiempo es diferente, los datos de registro consultados en LogCenter son inexactos.

Active las funciones de UTM en el firewall, configure las políticas de prevención de intrusiones y antivirus, haga referencia a las políticas de UTM al configurar políticas de seguridad y habilite las estadísticas de registro y tráfico. Habilitar la política de auditoría en el firewall y los registros de registro.

Configure el firewall para enviar registros de sesión y servicio al host de registro.

Descubra el servidor de seguridad en LogCenter, asocie el recopilador de registros con el servidor de seguridad y configure el modo de recopilación de registros en DATAFLOW y SESSION en el servidor de seguridad.

http://localhost:7890/pages/DEE0603J/02/DEE0603J/02/resources/public_sys-resources/icon-note.gif NOTA:

Este ejemplo se centra solo en la configuración de la red entre el firewall y el LogCenter. Configure las rutas adecuadas para garantizar la conectividad IP entre LogCenter y el firewall.

 

Procedimiento

Agregue el recolector de registros al LogCenter.

Abra un navegador en la PC que pueda conectarse al analizador LogCenter e ingrese https://192.168.2.1:32229 en la barra de direcciones.

Si ha especificado un puerto diferente al predeterminado durante la instalación, ingrese el puerto especificado.


 

Inicie sesión con el usuario admin.

La contraseña inicial del usuario admin es Changeme123. Se mostrará un cuadro de diálogo para el primer inicio de sesión para pedirle que cambie la contraseña.

Seleccione Resources > Resources Management > Collector Manager.

Hacer clic:

http://localhost:7890/pages/DEE0603J/02/DEE0603J/02/resources/vsm_cfg/analyze/image/collector_acl.png.

Click http://localhost:7890/pages/DEE0603J/02/DEE0603J/02/resources/vsm_cfg/analyze/image/add_ip.png,

Introduzca la dirección IP del recopilador de registros y haga clic en Add

http://localhost:7890/pages/DEE0603J/02/DEE0603J/02/resources/cfgexample/image/logcenter_cfgexample_0003_fig004.png.

En la pestaña Collectors, haga clic en Create y establezca los parámetros relacionados para el recopilador de registros.

http://localhost:7890/pages/DEE0603J/02/DEE0603J/02/resources/vsm_cfg/analyze/image/vsm_cfg_analyze_0615_fig001.png

 

Haga clic en OK.

Configurar el firewall. Este paso se realiza en la interfaz de usuario web del firewall.

Establezca los parámetros de SNMP en el firewall, para que LogCenter pueda descubrir el firewall.

Elija System > Setup > SNMP.

http://localhost:7890/pages/DEE0603J/02/DEE0603J/02/resources/cfgexample/image/logcenter_cfgexample_0003_fig002.png

Ajuste la hora y la zona horaria del firewall para que sean las mismas que las del analizador y colector LogCenter.

Inicie sesión en el servidor de seguridad con el usuario admin, elija System > Setup > Time, configure la hora y la zona horaria del servidor de seguridad.

 

Configure una política de reenvío entre zonas para que el firewall registre la prevención de intrusiones y los eventos antivirus.

Seleccione Policy > Security Policy > Security Policy. Haga clic en Add, configure una política de seguridad como se indica en la siguiente figura y haga clic en OK.

http://localhost:7890/pages/DEE0603J/02/DEE0603J/02/resources/cfgexample/image/logcenter_cfgexample_0003_fig001.png

Inicie sesión en sWeb como administrador de auditoría y configure una política de auditoría.

Elija Object > Audit Configuration, cree un perfil de auditoría.

http://localhost:7890/pages/DEE0603J/02/DEE0603J/02/resources/cfgexample/image/logcenter_cfgexample_0003_fig009.png

Seleccione Policy > Audit Policy y cree una política de auditoría.

http://localhost:7890/pages/DEE0603J/02/DEE0603J/02/resources/cfgexample/image/logcenter_cfgexample_0003_fig010.png

Establezca los parámetros de envío de registros, de modo que el firewall pueda enviar registros de sesión y servicios al recopilador de registros.

Elija System > Log Configuration.

 

http://localhost:7890/pages/DEE0603J/02/DEE0603J/02/resources/cfgexample/image/logcenter_cfgexample_0003_fig003.png

 

http://localhost:7890/pages/DEE0603J/02/DEE0603J/02/resources/public_sys-resources/icon-note.gif NOTA:

La dirección IP del host de syslog es la misma que la del recolector de registros.

El recolector de registros usa el puerto 9002 para recibir registros de sesión binarios del firewall y el puerto 9903 para recibir registros de flujo de datos del firewall.

Asegúrese de la conectividad IP entre la interfaz para enviar los registros especificados en el firewall y el recolector de registros.

 


Descubre el firewall en el LogCenter.

Abra un navegador en la PC que pueda conectarse al analizador LogCenter e ingrese https://192.168.2.1:32229 en la barra de direcciones.

Inicie sesión como admin

Seleccione Resources > Resources Management > NEs.

Establecer los parámetros SNMP para el LogCenter.

Seleccione Resources > Template Management > SNMP Templates.

Haga click en http://localhost:7890/pages/DEE0603J/02/DEE0603J/02/resources/common/image/create.png

para crear una plantilla de parámetros SNMP.

http://localhost:7890/pages/DEE0603J/02/DEE0603J/02/resources/cfgexample/image/logcenter_cfgexample_0003_fig005.png

http://localhost:7890/pages/DEE0603J/02/DEE0603J/02/resources/public_sys-resources/icon-note.gif

 

NOTA:

 

El nombre de usuario, el protocolo de autenticación, la contraseña de autenticación, el protocolo de cifrado de datos y la contraseña de cifrado de datos deben ser los mismos que los del dispositivo.

Haga clic en OK.

Establezca los parámetros de descubrimiento de NE, de modo que se pueda descubrir el firewall.

Seleccione Resources > Resources Management > NEs.

Haga clic en Discovery para crear parámetros de descubrimiento.

http://localhost:7890/pages/DEE0603J/02/DEE0603J/02/resources/cfgexample/image/logcenter_cfgexample_0003_fig007.png

 

Haga clic en Start Discovery..

La información sobre los cortafuegos descubiertos se muestra después de que se completa el descubrimiento de NE.

 

Haga clic en Close en el cuadro de diálogo Discovery Result.

Asocie el firewall con el recolector de registros.

Seleccione Resources > Resources Management > Collector Manager Hacer clic en http://localhost:7890/pages/DEE0603J/02/DEE0603J/02/resources/common/image/associate_NE.png a la derecha en el colector de log. Clic en http://localhost:7890/pages/DEE0603J/02/DEE0603J/02/resources/common/image/add.png y seleccioane el Firewall.

http://localhost:7890/pages/DEE0603J/02/DEE0603J/02/resources/cfgexample/image/logcenter_cfgexample_0003_fig008.png

 

Haga clic en Next. Elija SESSION y DATAFLOW para el modo de colección y seleccione Enable the UTM feature.

http://localhost:7890/pages/DEE0603J/02/DEE0603J/02/resources/cfgexample/image/logcenter_cfgexample_0003_fig006_logcenter.png

http://localhost:7890/pages/DEE0603J/02/DEE0603J/02/resources/public_sys-resources/icon-note.gif

NOTA:


La clave de descifrado debe ser la misma que la clave de cifrado utilizada en el dispositivo.

Haga clic en Finish.

Verificación de resultados

Para verificar la configuración, realice los siguientes pasos:

Inicie sesión en LogCenter como el usuario admin

Consulta los informes sobre clasificaciones de eventos de prevención de intrusiones.

Seleccione Log Analysis > Network Security Analysis > IPS.

Haga clic en la pestaña Event Rankings, establezca los criterios de búsqueda y haga clic en Search.

http://localhost:7890/pages/DEE0603J/02/DEE0603J/02/resources/vsm_cfg/analisis/image/vsm_cfg_analyze_0615_fig011.png

Haga clic en la pestaña Event Trend, establezca los criterios de búsqueda y haga clic en Search.

http://localhost:7890/pages/DEE0603J/02/DEE0603J/02/resources/vsm_cfg/analisis/image/vsm_cfg_analyze_0615_fig012.png

Consulta los informes sobre clasificaciones de eventos antivirus.

Seleccione Log Analysis > Network Security Analysis > Anti-Virus

Haga clic en la pestaña Virus-Event Rankings, establezca los criterios de búsqueda y haga clic en Search.

http://localhost:7890/pages/DEE0603J/02/DEE0603J/02/resources/vsm_cfg/analisis/image/vsm_cfg_analyze_0615_fig013.png

Haga clic en la pestaña Event Trend, establezca los criterios de búsqueda y haga clic en Search.

http://localhost:7890/pages/DEE0603J/02/DEE0603J/02/resources/vsm_cfg/analisis/image/vsm_cfg_analyze_0615_fig014.png

Consulta las clasificaciones de usuarios por volumen de tráfico.

Seleccione Log Analysis > Online Behavior Analysis > User Traffic.

Haga clic en la pestaña User/IP Address Rankings by Traffic Volume, establezca los criterios de búsqueda y haga clic en Search.

http://localhost:7890/pages/DEE0603J/02/DEE0603J/02/resources/vsm_cfg/analyse/image/vsm_cfg_analyze_


  • x
  • convención:

Responder

Responder
Debe iniciar sesión para responder la publicación Inicio de sesi | Registrarse

Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente

¡Ingresa y disfruta de todos los beneficios para los miembros!

Aterrizaje
Respuesta rápida Desplácese hasta arriba