Log degli accessi da Cisco e Watchguard verso un syslog server
Lato Cisco
Sul Cisco 2811, sul quale ho fatto le prove, occorre usare questi comandi per abilitare il log verso un syslog esterno:
logging count | Timestamp sui messaggi. |
logging userinfo | Importante altrimenti non vengono registrate le informazioni di accesso in "enable"/"disable". |
login block-for 60 attempts 5 within 60 | Se non c’e' questa regola e' possibile che i login errati non vengano registrati correttamente (almeno da quanto dicono su un forum Cisco). |
login on-failure log | |
login on-success log | |
logging trap notifications | Se si vogliono registrare solamente gli accessi sbagliati bisogna impostare il logging trap a warning anziché notifications. |
logging source-interface FastEthernet0/0 | Opzionale |
logging IP | "IP" e' l'IP esterno, nel mio caso del Watchguard, su cui viene fatto un NAT verso l'indirizzo in LAN del syslog server. |
Lato Watchguard
Per forwardare i pacchetti syslog del router basta creare una regola di syslog con NAT all'indirizzo interno del syslog server e, MOLTO IMPORTANTE, andare nel Policy Manager -> Setup -> Default Threat Protection -> Blocked Ports e rimuovere la porta 514 altrimenti non passano i pacchetti del syslog.
Per, invece, attivare il log del Watchguard basta andare, sempre nel Policy Manager, in Setup -> Logging e attivare l'opzione del syslog ricordandosi di andare in "Configure" per specificare cosa deve loggare.
Nessun commento:
Posta un commento
Nota. Solo i membri di questo blog possono postare un commento.