Firewall Analyzer

Hôm nay mới làm cái lab để bắt log và phân tích log của firewall ASA cisco, xin chia sẽ cũng các bạn

Làm Lab:

Cho mô hình mạng như sau:

Thông số Firewall

Interface	Zone	Network	IP	Security level
ethernet 1	Inside	192.168.1.0/24	192.168.1.1	100
ethernet 0	Outside	10.0.0.0/24	10.0.0.1	0

· Yêu cầu:

- Cấu hình NAT Web_server 192.168.1.2 ra ngoài với IP là của Outside interface

- Cấu hình cho phép PC (outside) ping và truy cập vào dịch vụ HTTP của server.

- Cấu hình trên Firewall để đổ lưu lượng log về máy ở trong cài Firewall Analyzer để phân tích lưu lượng (máy này cũng chính là máy cài chung WebServer)

· Bài làm:

- Cấu hình các thông số cơ bản trên 2 interface inside/outside của firewall

interface Ethernet0

speed 100

duplex full

nameif outside

security-level 0

ip address 10.0.0.1 255.255.255.0

!

interface Ethernet1

speed 100

duplex full

nameif inside

security-level 100

ip address 192.168.1.1 255.255.255.0

- Cấu hình NAT Web_server 192.168.1.2 ra ngoài với IP là của Outside interface và cho phép host outside truy cập vào web cũng như ping vào địa chỉ đã được public

access-list 101 remark "Cho phep ping va truy cap webpublic" //tạo ACL

access-list 101 extended permit tcp any host 10.0.0.1 eq www

access-list 101 extended permit icmp any host 10.0.0.1

access-group 101 in interface outside // áp ACL vào interface outside

- Cấu hình trên firewall đổ log về máy phân tích

+ Một vấn đề quan trọng trong việc ghi log là thời gian, ta cần show và cấu hình time giữa firewall và máy cài firewall analyzer cho đồng bộ với nhau

Show clock

Clock set hh:mm:ss day month year

+ Cấu hình đổ log theo cú pháp sau:

logging on
logging timestamp
logging trap informational
logging device-id {context-name | hostname | ipaddress interface_name | string text}
logging host interface_name syslog_ip [17/]

Trong đó:

Dòng logging device-id …với các tùy chọn sau tương ứng là phần thể hiện thông tin device gửi log về máy phân tích.

(ví dụ khi xem log ta muốn bảng thể hiện là log được gửi về từ tường lửa có tên “kma” thì ở đây ta cấu hình hostname cho firewall là “mysun” và chọn “hostname”)

Dòng logging host interface_name syslog_ip [17/] thì interface_name chính là interface của tường lửa mà router sẽ đổ log về (ví dụ cổng inside của interface nối với mạng có máy phân tích log, thì ở đây ta sẽ để interface_name chính là inside, còn nếu máy phân tích kết nối tới mạng của interface outside trên firewall thì ta lại để interface_name là outside…)

Còn syslog_ip là địa chỉ của máy cài phần mềm phân tích, syslog_port là port mà máy cài phần mềm phân tích đang lắng nghe lưu lượng đổ về (default là port 1514 và 514)

+ Trở về mô hình trong bài này, ta sẽ cấu hình cụ thể như sau:

logging enable

logging timestamp

logging trap informational

logging device-id hostname

logging host inside 192.168.1.2 17/1514

- Sau khi cấu hình xong (ở đây giả sử ta đã cài phần mềm firewall analyzer lên máy 192.168.1.2 và đăng nhập vào giao diện web với đường dẫn: (http://localhost:8500 và account là: admin/admin)

Ta sẽ thấy có sự đồng bộ và đổ log về từ firewall như sau:

- Như vậy là sau khi cấu hình ta đã có log về firewall, chờ một lúc và chỉnh các tùy chọn time hiển thị trên phần mềm Firewall analyzer cũng như các profile về report tùy ý (nếu muốn, còn không thì ta cũng có log rồi). Qua phần mềm chúng ta nhìn tất cả log, log được phân thành các hạng mục sắp xếp theo lược đồ.

Các bạn tự tìm hiểu thêm nhé.