【Exemple de configuration】Utilisation de LogCenter V1R1C10 pour l'analyse du service de sécurité sous Par-feu

Dernière réponse ag. 05, 2019 13:00:10 155 4 7 1

L'USG9500 V500R001 est utilisé comme exemple pour décrire comment utiliser le LogCenter pour visualiser les conditions de service de sécurité sur le pare-feu, y compris la défense d'attaque et le contrôle de comportement en ligne.

Exigences de mise en réseau

La protection de la sécurité de l'entreprise A repose principalement sur l'USG9500 (exécutant la version V500R001) déployée à la sortie du réseau de l'entreprise. Les fonctions UTM telles que la prévention des intrusions et l'antivirus sont activées sur le pare-feu pour empêcher les attaques provenant d'Internet. En outre, la fonction de stratégie d'audit permet de surveiller le comportement en ligne des employés. Cependant, les administrateurs réseau ne peuvent pas visualiser intuitivement les conditions de défense contre les attaques, l'utilisation du trafic réseau ou le comportement en ligne des employés.

Pour résoudre ce problème, l'entreprise A déploie le LogCenter, qui peut efficacement collecter les journaux du pare-feu, afficher les conditions de service du pare-feu et tracer et analyser le comportement en ligne des employés en termes de services P2P, messagerie, HTTP, MSN et QQ.

Figure 1 Schéma de réseau 

http://localhost:7890/pages/DEE0603J/02/DEE0603J/02/resources/vsm_cfg/analyze/image/vsm_cfg_analyze_0615_fig017.png

Planification des données

Le tableau 1 montre la planification des données.

Tableau 1 Planification des données

Article

Les données

La description

(1)

Numéro d'interface: GigabitEthernet 0/0/1

Adresse IP: 172.16.0.1/24

Zone de sécurité: Trust

GigabitEthernet 0/0/1 se connecte au commutateur d'agrégation sur le réseau interne.

(2)

Numéro d'interface: GigabitEthernet 0/0/2

Adresse IP: 192.168.0.1/24

Zone de sécurité: DMZ

GigabitEthernet 0/0/2 se connecte à la zone du serveur.

(3)

Numéro d'interface: GigabitEthernet 0/0/3

Adresse IP: 10.1.1.1/24

Zone de sécurité: Untrust

GigabitEthernet 0/0/3 se connecte au routeur de passerelle.

collecteur de journaux

Adresse IP: 192.168.1.1/24

Le collecteur de journaux reçoit les informations de journal d'un périphérique spécifié et est déployé dans la zone démilitarisée.

Analyseur LogCenter

Adresse IP: 192.168.2.1/24

Cet analyseur est déployé dans la zone démilitarisée. Il gère les alarmes, les rapports, les utilisateurs, les NE et les performances du LogCenter .

Console

Adresse IP: 172.16.4.1/24

Vous pouvez accéder au LogCenterpar un navigateur.

Paramètres SNMP

  • Version: v3
  • Utilisateur SNMP: testuser
  • Protocole d'authentification: HMACSHA; mot de passe d'authentification: Auth@123
  • Protocole de cryptage de données: AES; mot de passe de cryptage de données: Priv@123

-

Analyse des exigences

Le pare-feu utilise des stratégies de sécurité pour contrôler le transfert de paquets intrazone ou interzone. Il détecte et filtre le contenu des paquets en référençant les fonctions U****ans les stratégies de sécurité. La plupart des entreprises ont la prévention des intrusions et les fonctions antivirus UTM activées pour se défendre contre les attaques lancées depuis Internet. Si aucune carte de traitement du service de sécurité des applications n'est installée sur le pare-feu, vous pouvez exécuter la commande firewall log im enable pour activer la fonction de journalisation de messagerie instantanée. Si une carte de traitement de service de sécurité d'application a été installée, appliquez la stratégie d'audit pour surveiller de manière plus précise le comportement en ligne des employés de l'entreprise. Cet exemple suppose que la carte de traitement du service de sécurité des applications a été installée.

Pour permettre au LogCenter d'afficher les conditions de service du pare-feu et de suivre le comportement en ligne de l'utilisateur, effectuez les configurations suivantes sur le pare-feu:

  • Définissez les paramètres SNMP afin que LogCenter puisse détecter le pare-feu.

  • Activez les fonctions d'enregistrement du journal et de statistiques de trafic lors de la configuration des stratégies de sécurité et d'audit sur le pare-feu.

  • Définissez les paramètres d'envoi de journaux binaires et de flux de données sur le pare-feu, car les journaux de défense contre les attaques, les journaux de prévention des intrusions, les journaux antivirus et les journaux IM sont exportés vers le collecteur de journaux en tant que journaux de flux de données et les journaux de session exportés en tant que journaux binaires.

Configuration Roadmap

  1. Ajoutez le collecteur de journaux au LogCenter .
  2. Configurez le pare-feu pour envoyer les journaux au collecteur de journaux .
    1. Définissez les paramètres SNMP sur le pare-feu pour les communications avec LogCenter , afin que l'analyseur LogCenter puisse détecter le pare-feu.
    2. Réglez l'heure et le fuseau horaire du pare-feu sur les mêmes valeurs que l'analyseur et le collecteurLogCenter . Si l'heure est différente, les données de journal interrogées sur le LogCenter sont inexactes.
    3. Activez les fonctions UTM sur le pare-feu, configurez les stratégies antivirus et de prévention des intrusions, référencez les stratégies UTM lors de la configuration des stratégies de sécurité et activez l'enregistrement des journaux et les statistiques de trafic. Activer la stratégie d'audit sur le pare-feu et enregistrer les journaux.
    4. Configurez le pare-feu pour envoyer les journaux de session et de service à l'hôte du journal.
  3. Découvrez le pare-feu sur le LogCenter , associez le collecteur de journaux au pare-feu et définissez le mode de collecte des journaux sur DATAFLOW et SESSION sur le pare-feu.

http://localhost:7890/pages/DEE0603J/02/DEE0603J/02/resources/public_sys-resources/icon-note.gif


REMARQUE:

Cet exemple concerne uniquement la configuration de la mise en réseau entre le pare-feu et le LogCenter . Configurez les itinéraires appropriés pour assurer la connectivité IP entre le LogCenter et le pare-feu.

Procédure

  1. Ajoutez le collecteur de journaux au LogCenter .
    1. Ouvrez un navigateur sur le PC pouvant se connecter à l'analyseur LogCenter et entrez https://192.168.2.1:32229 dans la barre d'adresse.

      Si vous avez spécifié un port autre que celui par défaut lors de l'installation, entrez le port spécifié.

    2. Connectez-vous en tant qu'utilisateur admin .

      Le mot de passe initial de l'utilisateur admin est Changeme123 . Une boîte de dialogue s'affiche pour la première connexion et vous invite à changer le mot de passe.

    3. Choisissez Ressources > Gestion des ressources > Gestionnaire des collecteurs .
    4. Cliquez sur http: // localhost: 7890/pages/DEE0603J/02/DEE0603J/02/resources/vsm_cfg/analyse/image/collector_acl.png .
    5. Cliquez sur http: // localhost: 7890 / pages / DEE0603J / 02 / DEE0603J / 02 / resources / vsm_cfg / analyse / image / add_ip.png , entrez l'adresse IP du collecteur de journaux , puis cliquez sur Ajouter .

      http: // localhost: 7890 / pages / DEE0603J / 02 / DEE0603J / 02 / resources / cfgexample / image / logcenter_cfgexample_0003_fig004.png

    6. Dans l'onglet Collecteurs , cliquez sur Créer et définir les paramètres associés pour le collecteur de journaux .

      http: // localhost: 7890 / pages / DEE0603J / 02 / DEE0603J / 02 / resources / vsm_cfg / analyse / image / vsm_cfg_analyze_0615_fig001.png

    7. Cliquez sur OK
  2. Configurez le pare-feu. Cette étape est effectuée sur l'interface utilisateur Web du pare-feu.
    1. Définissez les paramètres SNMP sur le pare-feu afin que LogCenter puisse détecter le pare-feu.

      Choisissez Système > Configuration > SNMP .

      http: // localhost: 7890 / pages / DEE0603J / 02 / DEE0603J / 02 / resources / cfgexample / image / logcenter_cfgexample_0003_fig002.png

    2. Réglez l'heure et le fuseau horaire du pare-feu afin qu'ils soient identiques à ceux de l'analyseur et du collecteur LogCenter .

      Connectez-vous au pare-feu en tant qu'administrateur , choisissez Système > Configuration > Heure, définissez l'heure et le fuseau horaire du pare-feu.

    3. Configurez une stratégie de transfert interzone pour le pare-feu afin de consigner les événements de prévention des intrusions et antivirus.

      Choisissez Stratégie > Stratégie de sécurité > Stratégie de sécurité . Cliquez sur Ajouter , configurez une stratégie de sécurité comme indiqué dans la figure suivante, puis cliquez sur OK .

      http: // localhost: 7890 / pages / DEE0603J / 02 / DEE0603J / 02 / resources / cfgexample / image / logcenter_cfgexample_0003_fig001.png

    4. Connectez-vous à sWeb en tant qu’administrateur d’audit et configurez une stratégie d’audit.

      1. Choisissez Objet > Configuration d'audit , créez un profil d'audit.

        http: // localhost: 7890 / pages / DEE0603J / 02 / DEE0603J / 02 / resources / cfgexample / image / logcenter_cfgexample_0003_fig009.png

      2. Choisissez Stratégie > Stratégie d' audit et créez une stratégie d'audit.

        http: // localhost: 7890 / pages / DEE0603J / 02 / DEE0603J / 02 / resources / cfgexample / image / logcenter_cfgexample_0003_fig010.png

    5. Définissez les paramètres d'envoi des journaux afin que le pare-feu puisse envoyer des journaux de session et de service au collecteur de journaux .

      Choisissez Système > Configuration du journal .

      http: // localhost: 7890 / pages / DEE0603J / 02 / DEE0603J / 02 / resources / cfgexample / image / logcenter_cfgexample_0003_fig003.png

      http: // localhost: 7890 / pages / DEE0603J / 02 / DEE0603J / 02 / resources / public_sys-resources / icon-note.gif REMARQUE:
      • L'adresse IP de l'hôte syslog est la même que celle du collecteur de journaux .

      • Le collecteur de journaux utilise le port 9002 pour recevoir les journaux de session binaires du pare-feu et le port 9903 pour recevoir les journaux de flux de données du pare-feu.
      • Assurez la connectivité IP entre l'interface d'envoi des journaux spécifiés sur le pare-feu et le collecteur de journaux .

  3. Découvrez le pare-feu sur le LogCenter .
    1. Ouvrez un navigateur sur le PC pouvant se connecter à l'analyseur LogCenter et entrez https://192.168.2.1:32229 dans la barre d'adresse.
    2. Connectez-vous en tant qu'utilisateur admin .
    3. Choisissez Ressources > Gestion des ressources > NE .
    4. Définissez les paramètres SNMP pour le LogCenter .

      1. Choisissez Ressources > Gestion des modèles > Modèles SNMP .
      2. Cliquez sur http: // localhost: 7890 / pages / DEE0603J / 02 / DEE0603J / 02 / resources / common / image / create.png pour créer un modèle de paramètre SNMP.

        http: // localhost: 7890 / pages / DEE0603J / 02 / DEE0603J / 02 / resources / cfgexample / image / logcenter_cfgexample_0003_fig005.png

        http: // localhost: 7890 / pages / DEE0603J / 02 / DEE0603J / 02 / resources / public_sys-resources / icon-note.gif REMARQUE:
        Le nom d'utilisateur , le protocole d' authentification, le mot de passe d'authentification , le protocole de cryptage des données et le mot de passe de cryptage des données doivent être identiques à ceux du périphérique.
      3. Cliquez sur OK

    5. Définissez les paramètres de découverte du NE afin que le pare-feu puisse être découvert.

      1. Choisissez Ressources > Gestion des ressources > NE .
      2. Cliquez sur Découverte pour créer des paramètres de découverte.

        http: // localhost: 7890 / pages / DEE0603J / 02 / DEE0603J / 02 / resources / cfgexample / image / logcenter_cfgexample_0003_fig007.png

      3. Cliquez sur Démarrer la découverte .

        Les informations sur les pare-feu découverts sont affichées une fois la découverte de l'environnement de réseau terminée.

      4. Cliquez sur Fermer dans la boîte de dialogue Résultat de la découverte .

  4. Associez le pare-feu au collecteur de journaux .
    1. Choisissez Ressources > Gestion des ressources > Gestionnaire des collecteurs . Cliquez sur http: // localhost: 7890 / pages / DEE0603J / 02 / DEE0603J / 02 / resources / common / image / associate_NE.png à droite du collecteur de journaux . Cliquez sur http: // localhost: 7890 / pages / DEE0603J / 02 / DEE0603J / 02 / resources / common / image / add.png et sélectionnez le pare-feu.

      http: // localhost: 7890 / pages / DEE0603J / 02 / DEE0603J / 02 / resources / cfgexample / image / logcenter_cfgexample_0003_fig008.png

    2. Cliquez sur Suivant . Choisissez SESSION et DATAFLOW comme mode de collecte, puis sélectionnez Activer la fonction UTM .

      http: // localhost: 7890 / pages / DEE0603J / 02 / DEE0603J / 02 / resources / cfgexample / image / logcenter_cfgexample_0003_fig006_logcenter.png
      http: // localhost: 7890 / pages / DEE0603J / 02 / DEE0603J / 02 / resources / public_sys-resources / icon-note.gif REMARQUE:
      La clé de déchiffrement doit être identique à la clé de chiffrement utilisée sur le périphérique.

    3. Cliquez sur Terminer .

Vérification des résultats

Pour vérifier la configuration, procédez comme suit:

  1. Connectez-vous à LogCenter en tant qu'utilisateur admin .
  2. Interrogez les rapports sur les classements d'événements de prévention d'intrusion.
    1. Choisissez Analyse du journal > Analyse de la sécurité réseau > IPS .
    2. Cliquez sur l'onglet Classement des événements , définissez les critères de recherche, puis cliquez sur Rechercher .

      http: // localhost: 7890 / pages / DEE0603J / 02 / DEE0603J / 02 / resources / vsm_cfg / analyse / image / vsm_cfg_analyze_0615_fig011.png

    3. Cliquez sur l'onglet Tendance des événements , définissez les critères de recherche, puis cliquez sur Rechercher .

      http: // localhost: 7890 / pages / DEE0603J / 02 / DEE0603J / 02 / resources / vsm_cfg / analyse / image / vsm_cfg_analyze_0615_fig012.png

  3. Interrogez les rapports sur le classement des événements antivirus.
    1. Choisissez Analyse du journal > Analyse de la sécurité réseau > Anti-Virus .
    2. Cliquez sur l'onglet Classement des événements de virus , définissez les critères de recherche, puis cliquez sur Rechercher .

      http: // localhost: 7890 / pages / DEE0603J / 02 / DEE0603J / 02 / resources / vsm_cfg / analyse / image / vsm_cfg_analyze_0615_fig013.png

    3. Cliquez sur l'onglet Tendance des événements , définissez les critères de recherche, puis cliquez sur Rechercher .

      http: // localhost: 7890 / pages / DEE0603J / 02 / DEE0603J / 02 / resources / vsm_cfg / analyse / image / vsm_cfg_analyze_0615_fig014.png

  4. Interrogez le classement des utilisateurs par volume de trafic.
    1. Choisissez Analyse du journal > Analyse du comportement en ligne > Trafic utilisateur .
    2. Cliquez sur l'onglet Classements utilisateur / adresse IP par volume de trafic , définissez les critères de recherche, puis cliquez sur Rechercher .

      http: // localhost: 7890 / pages / DEE0603J / 02 / DEE0603J / 02 / resources / vsm_cfg / analyse / image / vsm_cfg_analyze_0508_fig001.png

  • x
  • Standard:

aiji1680aiji
publié il y a 2019-6-18 17:42:57 Utile(0) Utile(0)
helpful
  • x
  • Standard:

aiji1680aiji
publié il y a 2019-6-18 17:55:18 Utile(0) Utile(0)
helpful
  • x
  • Standard:

aiji1680aiji
publié il y a 2019-6-18 17:55:34 Utile(0) Utile(0)
helpful
  • x
  • Standard:

eslam_koo
publié il y a 2019-8-5 13:00:10 Utile(0) Utile(0)
utile
  • x
  • Standard:

Responder

envoyer
Connectez-vous pour répondre. Se connecter | Enregistrer

Remarque Remarque : Afin de protéger vos droits et intérêts légitimes, ceux de la communauté et des tiers, ne divulguez aucun contenu qui pourrait présenter des risques juridiques pour toutes les parties. Le contenu interdit comprend, sans toutefois s'y limiter, le contenu politiquement sensible, le contenu lié à la pornographie, aux jeux d'argent, à l'abus et au trafic de drogues, le contenu qui peut divulguer ou enfreindre la propriété intellectuelle d'autrui, y compris les secrets professionnels, les marques commerciales, les droits d'auteur et les brevets, ainsi que la vie privée personnelle. Ne partagez pas votre nom d'utilisateur ou votre mot de passe avec d'autres personnes. Toutes les opérations effectuées à partir de votre compte seront considérées comme vos propres actions, et toutes les conséquences en découlant vous seront imputées. Pour plus de détails, voir « Politique de confidentialité ».
Si le bouton de la pièce-jointe n'est pas disponible, mettez à jour Adobe Flash Player à la dernière version.
Connectez-vous pour participer à la communication et au partage

Connectez-vous pour participer à la communication et au partage

S'identifier