martedì 29 novembre 2011

L'angolo della soluzione: Log degli accessi da Cisco e Watchguard verso un syslog server

NOTA STRAMALEDETTAMENTE MOLTO BENE: Le soluzioni che pubblichero' hanno funzionato quando le ho applicate ma non mi assumo assolutamente NESSUNA responsabilita' nel caso in cui una di queste soluzioni vi incasinasse tutta l'azienda anziche' risolvere il problema. Siete stati avvisati e, nel caso ci fosse qualcosa di poco chiaro, siete pregati di rileggere questa nota finche' non vi si fissa nel cranio come si deve (e qua mi rivolgo piu' che altro agli utOnti). :)


Log degli accessi da Cisco e Watchguard verso un syslog server

Lato Cisco

Sul Cisco 2811, sul quale ho fatto le prove, occorre usare questi comandi per abilitare il log verso un syslog esterno:

logging countTimestamp sui messaggi.
logging userinfoImportante altrimenti non vengono registrate le informazioni di accesso in "enable"/"disable".
login block-for 60 attempts 5 within 60Se non c’e' questa regola e' possibile che i login errati non vengano registrati correttamente (almeno da quanto dicono su un forum Cisco).
login on-failure log
login on-success log
logging trap notificationsSe si vogliono registrare solamente gli accessi sbagliati bisogna impostare il logging trap a warning anziché notifications.
logging source-interface FastEthernet0/0Opzionale
logging IP"IP" e' l'IP esterno, nel mio caso del Watchguard, su cui viene fatto un NAT verso l'indirizzo in LAN del syslog server.


Lato Watchguard
Per forwardare i pacchetti syslog del router basta creare una regola di syslog con NAT all'indirizzo interno del syslog server e, MOLTO IMPORTANTE, andare nel Policy Manager -> Setup -> Default Threat Protection -> Blocked Ports e rimuovere la porta 514 altrimenti non passano i pacchetti del syslog.
Per, invece, attivare il log del Watchguard basta andare, sempre nel Policy Manager, in Setup -> Logging e attivare l'opzione del syslog ricordandosi di andare in "Configure" per specificare cosa deve loggare.

Nessun commento:

Posta un commento

Nota. Solo i membri di questo blog possono postare un commento.