Cisco PIX/ASA Security Agent

Cisco PIX/ASA Security Agent Guía de Usuario

1.6VMC-TSN

VISUAL Message Center Cisco PIX/ASA Security Agent Guía de Usuario

El software descrito en este documento se distribuye bajo un contracto de licencia y puede utilizarse

únicamente de acuerdo a los términos de uso de dicho acuerdo.

Aviso de Copyright

Copyright © 2013 Tango/04. Todos los derechos reservados.

Fecha de documento: Agosto 2012

Versión de documento: 1.03

Versión de producto: 1.6

Ninguna parte de esta publicación puede reproducirse, transmitirse, transcribirse, almacenarse en un

sistema de recuperación o traducirse a ningún idioma o lenguaje de programación, de ninguna forma ni

medio, electrónico, mecánico, magnético, óptico, químico, manual, o de cualquier otro tipo, sin el

permiso por escrito previo de Tango/04.

Marcas Registradas

Cualquier referencia a nombres de productos registrados son propiedad de las respectivas empresas.

Soporte Técnico

Para soporte técnico visite nuestra página web en www.tango04.com.

Tango/04 Computing Group S.L.

Avda. Meridiana 358, 5 A-B

Barcelona 08027

España

Teléfono: +34 93 274 0051

http://www.tango04.com

http://www.tango04.com

Tabla de Contenidos

Tabla de Contenidos

Tabla de Contenidos.......................................................................... III

Cómo Usar esta Guía.......................................................................... V

Capítulo 1

Introducción ..................................................................................... 11.1. ¿Qué Encontrará en esta Guía de Usuario? ..................................................2

Capítulo 2

Antes de Empezar ............................................................................. 3

Capítulo 3

Configuración de Logging en Cisco PIX/ASA.......................................... 43.1. Configurar el Logging del Firewall ..................................................................4

3.1.1. Entrar al Modo Privilegiado .......................................................................4

3.1.2. Entrar al Modo Configuración ..................................................................4

3.1.3. Habilitar el Logging ...................................................................................4

3.1.4. Configurar la Salida de Logging a Syslog .................................................5

3.1.5. Añadir timestamp a los mensajes .............................................................6

3.1.6. Añadir el ID de Dispositivo a los mensajes ..............................................6

3.1.7. Ver la configuración de logging ................................................................6

3.1.8. Cola de Logging ........................................................................................6

3.1.9. Filtrar mensajes utilizando el ID de Mensaje ............................................7

3.1.10. Filtrar mensajes utilizando la clase de mensaje......................................7

3.1.11. Definir la lista de mensajes personalizada..............................................9

© 2013 Tango/04 Computing Group Página III

Tabla de Contenidos

3.1.12. Más información......................................................................................9

Capítulo 4

Configuración del Paquete de Seguridad ............................................ 104.1. General Parameters .....................................................................................10

4.2. Scopes ..........................................................................................................11

4.3. Event Categories ..........................................................................................12

4.4. Event Exclusion Filters..................................................................................14

Capítulo 5

Configuración Común ....................................................................... 155.1. Configuración de Origen de Datos................................................................15

5.2. Configuración del Monitor ............................................................................16

5.2.1. General settings .....................................................................................17

5.2.2. Filtros ......................................................................................................17

5.2.3. Ajustes de Salud por Defecto..................................................................18

5.2.4. Additional Parameters.............................................................................19

5.2.5. Plantillas de Mensaje por Defecto...........................................................19

5.2.6. Lista de Variables del Cisco PIX/ASA Security ThinAgent .....................19

5.2.7. Mapeo de Campos SmartConsole – ThinkServer...................................20

5.3. Configuración Avanzada del Monitor ...........................................................21

Apéndice

Apéndice A: Contactar con Tango/04 ................................................. 23

Acerca de Tango/04 Computing Group ............................................... 25

Aviso Legal...................................................................................... 26

© 2013 Tango/04 Computing Group Página IV

Cómo Usar esta Guía

© 2013 Tango/04 Computing Group Página V

Cómo Usar esta Guía

Este capítulo explica cómo usar las Guías de Usuario de Tango/04 y comprender las convenciones

tipográficas usadas en toda la documentación de Tango/04.

Convenciones Tipográficas

Los siguientes términos, formatos de texto y símbolos convencionales se utilizan en toda la

documentación impresa de Tango/04:

Convention Description

Negrita Mandatos, botones en pantalla y opciones de menú.

Cursiva azul Referencias y enlaces a otras secciones en el manual o a otra documentación que contiene información relevante.

Cursiva Texto mostrado en pantalla, o variables donde el usuario debe sustituir sus propios detalles.

Monospacia Mandatos de entrada como mandatos o código System i, o texto que los usuarios deben teclear.

MAYUSCULA Claves de teclado, como CTRL para la tecla Control y F5 para la tecla de función que está etiquetada como F5.

Notas e información adicional de utilidad.

Consejos y pistas que mejoran la experiencia de usuario al trabajar con este producto.

Importante: información adicional que es altamente recomendable que el usuario tenga en cuenta.

Aviso: El no seguir esta información podría derivar potencialmente en serios problemas.

Introducción

Capítulo 11 Introducción

La seguridad de redes es un aspecto muy importante de la seguridad de las empresas. Actualmente la

mayoría de las empresas protegen sus redes utilizando firewalls. Cisco Systems es uno de los líderes

mundiales en dispositivos de red. Entre sus productos, destacan los firewalls PIX y ASA.

Tango/04 ha desarrollado un ThinAgent específicamente para monitorizar estos firewalls Cisco. El

Cisco PIX/ASA Security ThinAgent monitoriza cada evento de sus dispositivos de firewall Cisco

categorizándolos y proporcionando información detallada.

El Cisco PIX/ASA Security ThinAgent está basado en el syslog ThinAgent y recupera la información a

través de syslog.

Syslog es un protocolo de red que permite a una máquina enviar notificaciones de eventos a través de

redes IP a recolectores de mensajes – también conocidos como servidores syslog o daemons syslog.

En otras palabras, una máquina o dispositivo puede configurarse de manera que genere un mensaje

Syslog y lo envíe a un daemon syslog (servidor) específico ejecutándose en otro ordenador. El Cisco

PIX/ASA Security ThinAgent es un ejemplo de dicho servicio. Procesa mensajes UDP entrantes

enviado por un daemon syslog remoto.

Algunas funcionalidades importantes proporcionadas con este ThinAgent son:

• Información de mensaje parseada

• Categorización personalizada de mensajes

• Filtrado avanzado de eventos

• Explicación completa de mensajes Cisco

• Sugerencia de Cisco para cada mensaje

• Nombre y descripción de clase Cisco para cada mensaje

Este ThinAgent es compatible con dispositivos Cisco PIX y ASA ejecutando las versiones del software

7.0, 7.1, 7.2, 8.0 o 8.1.

El ThinAgent también puede funcionar con dispositivos que no ejecuten esas versiones de software

específicas, pero funcionalidades adicionales proporcionadas por el ThinAgent no estarán disponibles.

© 2013 Tango/04 Computing Group Página 1

Introducción

1.1 ¿Qué Encontrará en esta Guía de Usuario?Esta Guía de Uso describe la finalidad del Cisco PIX/ASA Security ThinAgent y todas las variables que

vienen preconfiguradas. También explica los ajustes de configuración mínimos necesarios para obtener

información de seguridad importante de sus firewalls. Para una descripción completa de las

funcionalidades de VISUAL Message Center ThinkServer diríjase a la Guía de Uso de VISUAL

Message Center ThinkServer.

El capítulo de configuración Cisco PIX/ASA cubre la configuración básica que debería ajustar en sus

firewalls, pero también explica algunos otros aspectos que debe tener en cuenta para una

monitorización avanzada.

El capítulo Configuración de Cisco Security Package explica como configurar sus filtros para reducir la

cantidad de información mostrada y como configurar y personalizar las categorías de evento. Esto

ayuda a especificar la entrega de información basándose en sus requisitos particulares.

El capítulo Configuración Común cubre la configuración común de orígenes de datos y monitores.

Los siguientes capítulos ofrecen una descripción detallada del ThinAgents, la configuración y las

variables por defecto. Puede utilizar estas variables para asignar condiciones de Salud, configurar

acciones, crear plantillas, y enviar mensajes a la VISUAL Message Center SmartConsole. También

existen algunas variables genéricas disponibles para todos los ThinAgents, que se describen en la Guía

de Usuario de VISUAL Message Center ThinkServer.

Además encontrará un mapeo para el ThinAgent describiendo los valores tal y como aparecen en la

SmartConsole y ThinkServer.

Este documento solo describe el ThinAgent específico para Cisco PIX/ASA. De todas maneras existe

otros ThinAgents que pueden ser de utilidad cuando monitorice dispositivos de red. Por ejemplo los

Network ThinAgents incluyen monitores para SNMP y Red. Estos ThinAgents deben considerarse para

una completa monitorización de sus dispositivos de red. Para más detalles diríjase a la Guía de Usuario

de Network Basic Agent.


http://customers.tango04.com/node/614







Antes de Empezar


Capítulo 22 Antes de Empezar

El Cisco PIX/ASA Security ThinAgent se basa en el logging de seguridad de Cisco PIX/ASA. Antes de

utilizar este ThinAgent, asegúrese que su dispositivo Cisco está configurado para registrar información

de seguridad y enviarla a través de syslog a la máquina donde se está ejecutando VISUAL Message

Center ThinkServer.

El siguiente capitulo explica como configurar su firewall para cumplir los requerimientos mínimos para

utilizar el Cisco PIX/ASA Security ThinAgent.

Configuración de Logging en Cisco PIX/ASA

Capítulo 33 Configuración de Logging en Cisco PIX/ASA

Los firewalls Cisco PIX/ASA disponen de una funcionalidad de logging. Existen diferentes tipos de

salida de logging, pero sólo necesitaremos habilitar la salida de logging a syslog.

En este capítulo introduciremos algunos de los mandatos utilizados más comúnmente.

3.1 Configurar el Logging del FirewallLa configuración del logging del firewall consta de tres pasos importantes:

Paso 1. Entrar al modo de configuración.

Paso 2. Habilitar el logging.

Paso 3. Habilitar y configurar la salida a syslog.

Adicionalmente puede configurar otros ajustes, como crear condiciones de filtrado o listas de mensaje

personalizadas, cambiar ajustes de facility, etc. De todas maneras, estos son ajustes adicionales y no

son un requisito para el uso de Cisco PIX/ASA Security ThinAgent.

3.1.1 Entrar al Modo PrivilegiadoPara entrar al modo privilegiado, ejecute el mandato enable como en el siguiente ejemplo:

firewall> enable

Password: *******

firewall#

Tras ejecutar el mandato, el prompt de mandato cambiará de > a #.

3.1.2 Entrar al Modo Configuración Para entrar al modo de configuración, debe estar en modo privilegiado y ejecutar el mandato

configure terminal:

firewall# configure terminal

Tras ejecutar este mandato, el prompt de mandato cambiará de > a (config):

firewall(config)#

3.1.3 Habilitar el Logging



Para habilitar el logging en el Firewall Cisco entre al modo privilegiado y ejecute el mandato logging

enable:

firewall(config)# logging enable

Para deshabilitar el logging, ejecute el mandato no logging enable:

firewall(config)# no logging enable

3.1.4 Configurar la Salida de Logging a SyslogPara habilitar la salida de logging a syslog deben realizarse las siguientes acciones:

Paso 1. Asignar el nivel de logging mediante la ejecución del mandato logging trap:

firewall(config)# logging trap informational

Paso 2. Configure el host al que se enviarán los mensajes.

firewall(config)# logging host inside 10.1.1.2

Paso 3. Asigne el número de facility para los mensajes de syslog.

Paso 4. Este paso es opcional.

firewall(config)# logging facility 16

La facility por defecto utilizada para enviar mensajes se asigna a 20.

Por defecto, se utiliza el puerto 514 para enviar mensajes al servidor syslog. El puerto puede cambiarse

utilizando la siguiente sintaxis:

logging host interface_name ip_address [tcp[/port] | udp[/port]]

Para deshabilitar la salida de logging a syslog, ejecute:

firewall(config)# no logging trap

Nota

Los niveles disponibles para la salida de logging a syslog son los siguientes:

• 0 - emergencies – El sistema no es usable

• 1 - alerts – Es necesaria una acción inmediata

• 2 - critical – Existen condiciones críticas

• 3 - errors – Exixten condiciones de Error

• 4 - warnings – Existen condiciones de Aviso

• 5 - notification – Existen condiciones normales, pero significativas

• 6 - informational – Mensajes informativos

• 7 - debugging – Mensajes de depuración

Si se asigna un nivel de syslog particular, todos los niveles inferiores, también se incluye.

Así que si asignó el nivel en el paso uno como informational, los niveles 0-5 también se

incluirán.

Importante

La palabra clave para habilitar la salida de syslog es trap como se muestra en el primer

mandato



3.1.5 Añadir timestamp a los mensajesAñadir un timestamp a los mensajes e muy útil para saber el momento exacto en que se produce un

evento en el dispositivo firewall. Aunque este es un paso opcional, es altamente recomendado.

Para añadir el timestamp a mensajes ejecute el siguiente mandato:

firewall(config)# logging timestamp

3.1.6 Añadir el ID de Dispositivo a los mensajes Si está monitorizando varios dispositivos, puede ser útil añadir el ID de dispositivo a los mensajes. Esto

ayuda a determinar el nombre de host del firewall en cada mensaje. Aunque este es un paso opcional,

es altamente recomendado.

Para añadir el ID de Dispositivo a los mensajes, ejecute el siguiente mandato:

firewall(config)# logging device‐id hostname

También puede asignar otro tipo de ID de Dispositivo en lugar del nombre. Por ejemplo puede asignar

cualquier otra palabra como ID de Dispositivo ejecutando lo siguiente:

firewall(config)# logging device‐id string MyPIXFirewall

El ejemplo anterior define MyPIXFirewall como ID de Dispositivo.

3.1.7 Ver la configuración de logging Para ver la configuración de logging completa, puede ejecutar el siguiente mandato show logging:

pixfirewall(config)# show logging

Puede ver una salida de ejemplo a continuación:

Como puede ver, la salida le ofrece detalles sobre cada configuración de logging.

3.1.8 Cola de LoggingOtro parámetro muy importante es la cola de logging. Aunque este es un paso opcional, es altamente

recomendado. El valor por defecto para la cola de logging es 512 mensajes.

Puede comprobarse el tamaño de la cola ejecutando el mandato show logging queue:

Syslog logging: enabled

Facility: 20

Timestamp logging: enabled

Standby logging: disabled

Deny Conn when Queue Full: disabled

Console logging: disabled

Monitor logging: disabled

Buffer logging: disabled

Trap logging: level informational, facility 20, 96 messages logged

Logging to inside 10.1.1.2 errors: 2 dropped: 5

History logging: disabled

Device ID: hostname "firewall"

Mail logging: disabled

ASDM logging: level informational, 96 messages loggeD



firewall# show logging queue

Puede ver una salida de ejemplo a continuación:

En este ejemplo el número promedio de mensajes generados por el sistema es 23 y no hay ningún

problema para enviarlos. De todas maneras, si el valor de xxx msgs most on queue es igual o mayor

que 512, significa que el firewall deberá excluir algunos mensajes.

Puede ajustar el tamaño de la cola manualmente ejecutando el siguiente mandato:

firewall(config)# logging queue 1024

El tamaño de la cola puede estar entre 0 y 8192 mensajes. Si asigna este parámetro a 0 el tamaño de la

cola no tiene límite (hasta la memoria disponible).

3.1.9 Filtrar mensajes utilizando el ID de MensajeEsta es una configuración opcional en caso de que conozca los mensajes que desea excluir del logging

syslog.

Aunque el ThinAgent tiene una configuración de filtro (diríjase a la sección 4.4 - Event Exclusion Filters

en la página 14), el filtrado explicado en esta sección, se realiza en el dispositivo firewall, de manera

que los mensajes no aparecerán en el syslog. Utilizando esta funcionalidad de filtrado se puede reducir

sustancialmente el tráfico de syslog y el uso recursos del ThinAgent.

Para filtrar por mensajes específicos, ejecute el mandato no logging message msg_number:

firewall(config)# no logging message msg_number

Para comprobar si un mensaje específico se ha registrado, puede ejecutar el siguiente mandato:

firewall(config)# show logging message msg_number

3.1.10 Filtrar mensajes utilizando la clase de mensajeAdemás de filtrar por ID de Mensaje, puede utilizar las clases de mensaje como filtros. Las clases de

mensaje agrupan varios IDs de mensaje, así que si excluye una clase, excluirá todos los IDs de

mensaje en ella. LA implementación correcta de este método de filtrado, puede reducir sustancialmente

el tráfico de syslog dando como resultado un mejor rendimiento y uso de recursos del ThinAgent. Todas

las clases se definen en la documentación de Cisco.

Logging Queue length limit : 512 msg(s)

0 msg(s) discarded due to queue overflow

0 msg(s) discarded due to memory allocation failure

Current 0 msg on queue, 23 msgs most on queue

Aviso

Si los mensajes se generan más rápido de lo que son enviados al servidor syslog, el firewall

comenzará a excluir mensajes. Para evitarlo, la cola de logging deberá ajustarse a un valor

superior.

Nota

Esta configuración de filtrado excluirá el mensaje de todas las salidas de logging, no sólo de

la de syslog. Si desea filtrar un mensaje particular de la salida a syslog pero registrarlo en

otra salida, deberá utilizar las opciones de filtro de Cisco Security Package. Diríjase a la

sección 4.3 - Event Categories en la página 12 para más información.



Este paso no se requiere en la configuración general.

Por ejemplo, las clases para la versión 8.1 del software son:

Revise la documentación de Cisco para su versión de software, ya que algunas clases pueden ser

diferentes entre versiones.

Clase DefiniciónID de mensaje (que comienzan con

estos dígitos)

auth User Authentication 109, 113

bridge Transparent Firewall 110, 220

caPKI Certification Author‐ity

717

config Command Interface 111, 112, 208, 308

dap Dynamic Access Policies 734

e-mail E‐mail Proxy 719

haHigh Availability (Failover)

101, 102, 103, 104, 210, 211, 709

Ip IP Stack 209, 215, 313, 317, 408

IpsIntrusion Protection Ser‐vice

400, 401, 415

np Network Processor 319

npssl NP SSL 725

ospf OSPF Routing 318, 409, 503, 613

rip RIP Routing 107, 312

rm Resource Manager 321

session User Session

106, 108, 201, 202, 204, 302, 303, 304, 305, 314, 405, 406, 407, 500, 502, 607, 608, 609, 616, 620, 703, 710

snmp SNMP 212

sys System199, 211, 214, 216, 306, 307, 315, 414, 604, 605, 606, 610, 612, 614, 615, 701, 711

vpdn PPTP and L2TP Sessions 213, 403, 603

vpn IKE and IPSEC316, 320, 402, 404, 501, 602, 702, 713, 714, 715

vpnc VPN Client 611

vpnfo VPN Failover 720

vpnlb VPN Load Balancing 718

webvpn Web‐based VPN 716



Para filtrar una clase de mensajes en particular, ejecute el siguiente mandato:

firewall(config)# no logging class msg_class

3.1.11 Definir la lista de mensajes personalizadaPara definir una lista, por ejemplo para incluir todos los mensajes con severidad 3 (error), y además los

mensajes de 611101 a 611323, ejecute los siguientes mandatos:

firewall(config)# logging list my_message_list level 3

firewall(config)# logging list my_message_list message 611101‐611323

Para enviar su lista personalizada a la salida a syslog, ejecute el siguiente mandato:

firewall(config)# logging trap my_message_list

Este paso no es necesario para la configuración general.

3.1.12 Más informaciónEste capítulo no tiene como finalidad ser una guía completa a la configuración del logging del firewall.

Para más información sobre la configuración de logging, consulte la documentación de Cisco para su

dispositivo o versión de software en particular:

• Cisco Security Appliance System Log Messages, Version 7.0 - Configuring Logging on the

Security Appliance:

http://www.cisco.com/en/US/docs/security/asa/asa70/system/message/logconf.html

• Cisco Security Appliance System Log Messages, Version 7.1 - Configuring Logging on the

Security Appliance:


• Cisco Security Appliance System Log Messages, Version 7.2 - Configuring Logging and

SNMP:


• Cisco Security Appliance Command Line Configuration Guide, Version 8.0 - Monitoring the

Security Appliance:

http://www.cisco.com/en/US/docs/security/asa/asa80/configuration/guide/monitor.html

• Cisco Security Appliance Command Line Configuration Guide, Version 8.1 - Monitoring the

Security Appliance:

http://www.cisco.com/en/US/docs/security/asa/asa81/config/guide/monitor.html

• PIX/ASA 7.x and later with Syslog Configuration Example (Cisco Document ID: 63884):

http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/products_configuration_example09186a00805a2e04.shtml

Nota

El mandato de lista de logging sólo está disponible en versiones del software 7.2 y

posteriores.


Configuración del Paquete de Seguridad

Capítulo 44 Configuración del Paquete de Seguridad

Para sacar partido de todas las funcionalidades del Cisco PIX/ASA Security ThinAgent deberá

configurar algunos parámetros del Cisco Security Package. Este es un módulo Python que añade lógica

avanzada al ThinAgent.

El Security Packages Configurator se utiliza para configurar los parámetros del paquete. Para ejecutar

esta herramienta diríjase a Inicio > Programas > Tango04 > VISUAL Message Center ThinkServer >

Tools > Security Packages Configurator.

La herramienta le permite configurar también otros paquetes de seguridad, pero sólo debe utilizar las

opciones disponibles en la pestaña Cisco Pix & Asa Security.

4.1 General Parameters En esta pestaña puede configurar la funcionalidad de logging del módulo de Seguridad Cisco.

Estas opciones sólo deben usarse en caso de que se produzcan errores o un comportamiento

incorrecto para determinar la razón subyacente.

Existen dos opciones diferentes de traza:

• General Trace: Registra toda la información relacionada con el módulo Python Cisco Security

y todas sus actividades.

• Garbage Collector: Registra información relacionada con los objetos en memoria sólo para

perfilar y depurar internamente.

Para cada opción de traza, pueden seleccionarse el nivel de detalle y el método de salida.

Existen tres métodos de salida posibles:

• File: Escribe la información de logging en el siguiente archivo:

%ThinkServerDir%\PythonLib\Lib\TSExtensions\CiscoSecurity\CiscoSecurityTrace.log

• Windows Debugging Service: Usa OutputDebugString para escribir información. Puede

capturar esta información con herramientas como Sysinternals DebugView.

Importante

El Security Packages Configurator requiere las versión 2.0 o superior de Windows .NET

framework.



• Both: Utiliza ambos métodos de salida.

Figura 1 – Security Packages Configurator: Pestaña Cisco Pix & Asa Security

4.2 ScopesAntes de explicar el resto de configuraciones del Security Packages Configurator, primero deberá

comprender el concepto scope utilizado en este ThinAgent.

Imagine que este es el esquema de red que está monitorizando:

Figura 2 – Un ejemplo de red que contiene 2 scopes

Aviso

No active estas trazas a menos que se lo pida un Consultor Técnico de Tango/04. Estas

trazas pueden generar una gran cantidad de información y en algunos casos puede

degradar el rendimiento del ThinAgent.



En este caso, la red tiene tres dispositivos de firewall. Dos de ellos han sido definidos para pertenecer a

un scope denominado SUBNET1 y el otro al scope SUBNET2.

Como puede ver, un scope es simplemente una manera lógica de agrupar sus dispositivos de firewall

en la red. Puede asignarse cualquier nombre a los scopes que encaje en su estructura de

monitorización, pero el nombre se limita a una única palabra. Posteriormente en esta Guía de Usuario

verá como definir diferentes scopes en su red para asignarles firewalls.

¿Porqué utilizar scopes?

Pueden utilizarse scopes personalizados para proporcionar diferentes categorías y subcategorías para

diferentes dispositivos o grupos de dispositivos. Además, crear diferentes listas de exclusión para

diferentes scopes permite un filtrado más potente. Finalmente, los scopes le permiten crear un conjunto

más descriptivo de Business Views en VISUAL Message Center SmartConsole utilizando filtros con el

nombre de scope como variable para agrupar claramente dispositivos.

Los scopes también son muy útiles para implementaciones en redes con un número elevado de

dispositivos de firewall.

El scope por defecto en el Cisco Security se llama GENERAL. Este scope por defecto se utiliza si no hay

otros scopes configurados. Además, Tango/04 le ofrece algunas categorías y subcategorías estándar

para este scope por defecto.

DE todas maneras el uso del scope por defecto implica que los dispositivos no se agruparán de ninguna

manera.

4.3 Event CategoriesLa pestaña Event Categories le permite crear y configurar diferentes categorías y subcategorías para

cada scope definido. Las categorías y subcategorías se utilizan para agrupar IDs de mensaje.

Si se ha seleccionado el scope por defecto, el monitor hará automáticamente que todas las categorías y

subcategorías sean también las existentes por defecto.

Para configurar scope y categorías para IDs de mensajes:

Paso 1. Desde la lista desplegable de Scope seleccione un scope predefinido.

Paso 2. Desde la lista desplegable de Categorías seleccione una categoría predefinida.

Paso 3. Desde la lista desplegable de Subcategoría seleccione una subcategoría predefinida.

Paso 4. En la lista desplegable de Versión, seleccione un número de versión o seleccione all

para incluir todas las versiones disponibles.

Paso 5. Finalmente añada IDs de mensaje en la sección Lista de IDs para seleccionar los

mensajes a incluir.



Figura 3 – Security Packages Configurator: Pestaña Event Categories

De forma alternativa, pueden añadirse nuevas entradas simplemente entrando un Nuevo nombre en el

campo de la lista desplegable y pulsando el botón Add. De la misma manera, pueden realizarse

cambios a las propiedades predefinidas utilizando el botón Delete.

Cuando se han definido las cuatro opciones pueden añadirse IDs de mensaje a la sección lista de IDs

de la derecha. Para añadir IDs simplemente introduzca el número de ID en el campo input y pulse el

botón Add. De la misma manera, los IDs de mensaje pueden eliminarse fácilmente de un scope

pulsando el botón Delete.

Puede existir una instancia donde un mensaje solo pertenece a una categoría pero a ninguna

subcategoría. En dicho caso, debe asignarse la categoría correcta, y se utilizará NA como subcategoría

(es decir No disponible).

Las categorías pueden asignarse a cualquier versión de software disponible y también a las

específicas. Por ejemplo, puede desear tener diferentes listas de IDs de mensajes para una versión

antigua del software y para la última versión. Para hacerlo simplemente deberá asignar el mismo scope,

categoría y subcategoría a las IDs y entonces asignar versiones separadas.

Un mensaje en particular puede no tener ni categoría ni subcategoría, de misma manera que podría no

estar en ninguna lista. Dichos mensajes se asignarán a categoría NA y subcategoría NA. Puede excluir

fácilmente todos esos mensajes seleccionando la casilla Do not store events without category.

Para obtener una mejor visión general de las categorías de eventos se proporciona otra vista. Puede

accederse a esta vista pulsando el botón Tree Preview. Aparecerá la ventana Tree Preview mostrando

la lista completa de categorías y subcategorías con la lista de IDs completa tal y como se muestra en la

Figura 4.

Se muestra una vista jerárquica del árbol. Pueden expandirse los ítems para ver la lista completa de

mensajes de cada criterio.

Nota

Utilizando este filtro de exclusión rápido puede disminuir la cantidad de mensajes en la

solución. Pero sea cuidadoso, porque pueden excluirse mensajes importantes, simplemente

porque no asignó las IDs a ninguna categoría o subcategoría o no sabía que existía.



Figura 4 – Security Packages Configurator: Tree Preview

4.4 Event Exclusion FiltersLos dispositivos de firewall Cisco pueden generar una gran cantidad de mensajes en un corto periodo.

Debido a ello, es muy importante filtrar los mensajes cuidadosamente. Como se muestra en el Capítulo

3 - Configuración de Logging en Cisco PIX/ASA en la página 4, los mensajes pueden filtrarse

directamente en el dispositivo firewall. Adicionalmente, el Cisco Security Package le permite añadir

filtros más específicos para cada scope y versión del software. Los filtros pueden configurarse

utilizando el ID de mensaje o la severidad.

Si desea crear filtros globales, no para un scope o versión en particular, use la combinación de scope

GENERAL y versión ALL. Todos los IDs y severidades que le añada serán utilizados como filtros globales.

Figura 5 – Cisco Pix & Asa Security: Pestaña Event Exclusion Filters


Configuración Común

Capítulo 55 Configuración Común

Ahora que el dispositivo firewall se ha configurado correctamente y se han configurado los security

packages, debe configurarse el ThinAgent en si mismo.

5.1 Configuración de Origen de DatosDeben configurarse unos pocos parámetros para configurar correctamente el Origen de datos Cisco

PIX/ASA Security Syslog. Este origen de datos trabaja de la misma manera que lo hacen los orígenes

de datos Linux / Unix (para ver más detalles sobre ellos diríjase a la Guía de Usuario de Unix / Linux

Security Agent).

Figura 6 – Editar origen de datos: Origen de datos Cisco PIX/ASA Security Syslog



Main information

Por defecto se utiliza el nombre del ThinAgent como nombre del origen de datos, pero puede cambiarse

para adaptarlo a sus necesidades de monitorización. Adicionalmente, puede añadirse una descripción

más detallada del origen de datos.

El origen de datos puede configurarse para recibir mensajes sólo de uno o varios servidores, utilizando

un filtro de DNS o dirección IP. De todas maneras, la cos recibirá todos los eventos y los enviará a cada

monitor enlazado con él.

Syslog UDP Settings

Puede configurar la interface de red IP donde el servicio UDP estará escuchando por mensajes (sólo si

desea utilizar una interface específica para esta tarea) y el puerto UDP. En la configuración por defecto

el campo Interface IP está en blanco, lo que indica que el daemon escuchará en todas las interfaces IP

disponibles.

Pueden configurarse varios orígenes de datos para utilizar la misma IP de interface y puertos UDP, pero

sólo se abrirá un socket para cada puerto UDP configurado. Los mensajes se redirigirán a todos los

orígenes de datos dependiendo del filtro de Dirección IP/Nombre DNS definido en su configuración.

5.2 Configuración del Monitor Una vez que haya seleccionado un origen de datos, aparecerá la ventana de configuración del monitor.

Variables de Configuración y Valores por Defecto

Descripción

NameCisco PIX/ASA Secu‐rity Syslog Data‐Source

Use el valor por defecto proporcionado o introduzca un Nuevo nombre para el ori-gen de datos. Es muy útil añadir el nom-bre del dispositivo que está monitorizando para ayudarle a identifi-carlo rápidamente cuando aparecen pro-blemas.

Description Introduzca una descripción para el ori-gen de datos

Filter Remote Host IP or DNS

name

Valor opcional para filtrar el host del que desea recibir mensajes. Este filtro debe ser una expresión regular, por ejemplo: 192\.168\.1\.1


Descripción

Interface IP Interface de red IP donde va a escuchar el servicio UDP.

UDP port number

514Número de puerto utilizado para enlazar el servicio.



Figura 7 – Configuración del Monitor Cisco PIX/ASA Security

5.2.1 General settings Primero, introduzca un nombre para el monitor y añada una descripción. Por defecto el monitor utiliza el

nombre del ThinAgent, pero puede cambiarse para que encaje mejor en sus necesidades de

monitorización.

Para cambiar a otro origen de datos, pulse el botón Select Data Source y seleccione un origen de

datos de la lista que aparece. Para editar el origen de datos seleccionado, pulse el botón Edit Data

Source.

5.2.2 Filtros


Descripción

NameCisco PIX/ASA Security Monitor

Introduzca un nombre para su monitor

Description Introduzca una descripción de su moni-tor



Existen cuatro filtros disponibles: Facility, Severidad, Nombre/IP de origen y Filtro de Mensaje. Todos

los filtros utilizan el formato de expresiones regulares.

5.2.3 Ajustes de Salud por DefectoPor defecto la Saluda se asigna como:

• Critical si la severidad del mensaje es emergency, alert, critical o error, o si la categoría del

mensaje es IDS‐IPS y la subcategoría es CONFIRMED ATTACK.

• Warning si la severidad del mensaje es warning.

• Minor si la severidad del mensaje es notice.

• Success en el resto de casos.

Las reglas de salud por defecto pueden cambiarse para cumplir sus necesidades de monitorización.

Cualquiera de las categorías y/o subcategorías o cualquier otra variable pueden utilizarse con el

Security Packages Configurator para cambiar las condiciones de salud.

Figura 8 – Set Asignar Salud y Acciones: Reglas de Salud

Aviso

No le recomendamos cambiar el Filtro de Mensaje. El filtro está preparado para obtener

únicamente mensajes PIX o ASA. Si se cambia el filtro, puede perder mensajes o recibir

mensajes procedentes de otros dispositivos que no sean PIX/ASA. Esto podría incrementar

innecesariamente la carga en su red y dispositivos.

El filtro IP/Nombre de origen debe usarse para filtrar mensajes procedentes de un

dispositivo en particular. Por ejemplo para obtener únicamente mensajes procedentes de la

IP 192.168.1.10, debe configurar la expresión como 192\.168\.1\.10.



5.2.4 Additional ParametersLa pestaña Additional Parameters le permite asignar un valor inicial para las variables que se pasan a l

script del monitor. Existen dos parámetros muy importantes que necesita configurar: Scope y

SofwareVersion.

Por defecto cada monitor utiliza el scopee GENERAL y la versión de software 7.1.

Si va a agrupar dispositivos utilizando scopes (diríjase a la sección 4.2 - Scopes en la página 11),

ponga el valor del scope al que pertenece el dispositivo.

El valor del campo versión de software debe ser la versión del dispositivo firewall monitorizado. Es

importante que este valor sea correcto porque información adicional proporcionada por el ThinAgent a

los mensajes depende de la versión de software del dispositivo. Si se borra el parámetro

SoftwareVersion, se utilizará la versión ALL. Esto permite al monitor asignar categorías y subcategorías

a los eventos, pero no se proporcionará información adicional (explicaciones y sugerencias).

Figura 9 – Asignar Salud y Acciones: Parámetros Adicionales

5.2.5 Plantillas de Mensaje por DefectoCon el Cisco PIX/ASA Security ThinAgent no se utiliza el asistente de plantillas mensajes de salud. Los

mensajes se envían desde el ThinAgent exactamente como se reciben, de manera que cualquier

cambio realizado a la plantilla se ignora.

Si desea cambiar los mensajes recibidos, dichos cambios deben realizarse utilizando Python en la

pestaña Advanced de los ajustes de Salud y Acciones. Además las variables no deberían cambiarse si

se van a utilizar las configuraciones y reportes predefinidos de VISUAL Message Center SmartConsole.

5.2.6 Lista de Variables del Cisco PIX/ASA Security ThinAgentAquí puede ver una lista de las variables más importantes para el Cisco PIX/ASA Security ThinAgent.

Estas variables pueden utilizarse, por ejemplo, para asignar valores de salud.

Variable Descripción

Host Nombre del Host

IPAddress Dirección IP del host

MsgSlog_DateTime Fecha y Hora del Mensaje

MsgSlog_Facility Facility del Mensaje



5.2.7 Mapeo de Campos SmartConsole – ThinkServerEl ThinkServer envía un mensaje a la SmartConsole utilizando el siguiente orden de variables por

defecto:

MsgSlog_FacilityDescription Descripción de la Facility del mensaje

MsgSlog_Severity Severidad de Mensaje

MsgSlog_SeverityDescription Descripción de la Severidad del Mensaje

MsgSlog_FullMessage Mensaje completo en bruto

Category Categoría del Mensaje

SubCategory Subcategoría del Mensaje

MsgExplanationExplicación del Mensaje (de la documentación de Mensajes de Cisco System)

MsgSuggestionSugerencia del Mensaje (de la documentación de Mensajes de Cisco System)

CiscoSevertyDescDescripción de la severidad del Mensaje Cisco

CiscoTimeStamp Fecha y Hora del Mensaje Cisco

CiscoClass Clase del mensaje Cisco

CiscoClassDesc Descripción de la Clase del mensaje Cisco

CiscoFacility Facility de mensaje Cisco

CiscoSeverityNum Severidad del mensaje Cisco

MsgID ID de mensaje Cisco

CiscoMessage Mensaje Cisco (texto del mensaje parseado)

Variable Descripción

SmartConsole ThinkServer Descripción

VAR01 VSMScriptID Nombre del Script

VAR02 Host Nombre del Host

VAR03 IPAddress Dirección IP del host

VAR04 MsgSlog_DateTime Fecha y Hora del Mensaje

VAR05 MsgSlog_Facility Facility del Mensaje

VAR06MsgSlog_FacilityDescription

Descripción de la Facility del mensaje

VAR07 MsgSlog_Severity Severidad de Mensaje

VAR08MsgSlog_SeverityDescription

Descripción de la Severidad del Mensaje



5.3 Configuración Avanzada del Monitor El ThinAgent utiliza un modulo Python llamado Cisco Security. Este modulo proporciona al ThinAgent

funcionalidades avanzadas para parsear los mensajes de Cisco PIX y ASA, añadir información útil,

categorizar mensajes, etc.

VAR09 MsgSlog_FullMessage Mensaje completo en bruto

VAR10 Category Categoría del Mensaje

VAR11 SubCategory Subcategoría del Mensaje

VAR12 MsgExplanationExplicación del Mensaje (de la documentación de Mensajes de Cisco System)

VAR13 MsgSuggestionSugerencia del Mensaje (de la documentación de Mensajes de Cisco System)

VAR14 CiscoSevertyDescDescripción de la severidad del Mensaje Cisco

VAR15 CiscoTimeStamp

Fecha y Hora del Mensaje Cisco (Formato DD/MM/YYYY hh:mm:ss. Esta variable puede no aparecer dependiendo del formato del mensaje)

VAR16 CiscoClass Clase del mensaje Cisco

VAR17 CiscoClassDescDescripción de la Clase del men-saje Cisco

VAR18 CiscoFacility Facility de mensaje Cisco

VAR19 CiscoSeverityNum Severidad del mensaje Cisco

VAR20 MsgID ID de mensaje Cisco

VAR21 CiscoMessageMensaje Cisco (texto del men-saje parseado)

VAR22 ‐‐‐‐Fecha y Hora del Mensaje Cisco (en formato syslog)

VAR23 ‐‐‐‐ ID de dispositivo Cisco

SmartConsole ThinkServer Descripción

Nota

La variable 1 no puede cambiarse, pero el resto sí. Recuerde que cambiar el orden de estas

variables por defecto puede afectar a la configuración por defecto de SmartConsole Cisco

PIX/ASA.



Figura 10 – Editar acciones de Pre-Salud

El ThinAgent viene por defecto con entradas realizadas con código Python. Estas entradas no pueden

cambiarse ya que afectarían el rendimiento del monitor. De todas maneras puede añadirse nuevo

código al existente para mejorar las acciones o cumplir funcionalidades más avanzadas con el monitor.


Apéndice A : Contactar con Tango/04

Apéndice AApéndice A: Contactar con Tango/04

North America

Tango/04 North America

PO Box 3301

NH 03458 Peterborough USA

Phone: 1-800-304-6872 / 603-924-7391

Fax: 858-428-2864

[email protected]

www.tango04.com

EMEA

Tango/04 Computing Group S.L.

Avda. Meridiana 358, 5 A-B

08027 Barcelona Spain

Phone: +34 93 274 0051

Fax: +34 93 345 1329

[email protected]

www.tango04.com

Italy

Tango/04 Italy

Viale Garibaldi 51/53

13100 Vercelli Italy

Phone: +39 0161 56922

Fax: +39 0161 259277

[email protected]

www.tango04.it

Sales Office in France

Tango/04 France

La Grande Arche

Paroi Nord 15ème étage

92044 Paris La Défense France

Phone: +33 01 40 90 34 49

Fax: +33 01 40 90 31 01

[email protected]

www.tango04.fr

Sales Office in Switzerland

Tango/04 Switzerland

18, Avenue Louis Casaï

CH-1209 Genève

Switzerland

Phone: +41 (0)22 747 7866

Fax: +41 (0)22 747 7999

[email protected]

www.tango04.fr

Latin American Headquarters

Barcelona/04 Computing Group SRL (Argentina)

Avda. Federico Lacroze 2252, Piso 6

1426 Buenos Aires Capital Federal

Argentina

Phone: +54 11 4774-0112

Fax: +54 11 4773-9163

[email protected]

www.barcelona04.com


Mailto:[email protected]

www.tango04.com


www.tango04.com


www.tango04.it


www.tango04.fr


www.tango04.fr


www.barcelona04.com

Apéndice A : Contactar con Tango/04

Sales Office in Peru

Barcelona/04 PERÚ

Centro Empresarial Real

Av. Víctor A. Belaúnde 147, Vía Principal 140 Edificio Real Seis, Piso 6

L 27 Lima

Perú

Phone: +51 1 211-2690

Fax: +51 1 211-2526

[email protected]

www.barcelona04.com

Sales Office in Chile

Barcelona/04 Chile

Nueva de Lyon 096 Oficina 702,

Providencia

Santiago

Chile

Phone: +56 2 234-0898

Fax: +56 2 2340865

[email protected]

www.barcelona04.com

© 2013 Tango/04Computing Group Página 24


www.barcelona04.com


www.barcelona04.com

Acerca de Tango/04 Computing Group

Acerca de Tango/04 Computing Group

Tango/04 Computing Group es una de las principales empresas desarrolladoras de software de gestión

y automatización de sistemas informáticos. El software de Tango/04 ayuda a las empresas a mantener

la salud operativa de sus procesos de negocio, mejorar sus niveles de servicio, incrementar su

productividad y reducir costes mediante una gestión inteligente de su infraestructura informática.

Fundada en 1991 en Barcelona, Tango/04 es IBM Business Partner y miembro de la iniciativa

estratégica IBM Autonomic Computing. Además de recibir numerosos reconocimientos de la industria,

las soluciones Tango/04 han sido validadas por IBM y tienen la designación IBM ServerProven™.

Tango/04 tiene más de mil clientes y mantiene operaciones en todo el mundo a través de una red de 35

Business Partners

Alianzas

Premios

Partnerships IBM Business Partner

IBM Autonomic Computing Business Partner

IBM PartnerWorld for Developers Advanced Membership

IBM ISV Advantage Agreement

IBM Early code release

IBM Direct Technical Liaison

Microsoft Developer Network

Microsoft Early Code Release


Aviso Legal

Aviso Legal

Este documento y su contenido son propiedad de Tango/04 Computing Group o de sus respectivos propietarios cuando así se

indique. Cualquier utilización de este documento con una finalidad distinta de aquella con la cual ha sido creado está prohibida sin la

autorización expresa de su propietario. Asimismo queda prohibida la reproducción total o parcial de este documento por cualquier

medio físico, óptico, magnético, impreso, telemático, etc., sin la autorización expresa de su propietario.

La información técnica aquí contenida fue obtenida utilizando equipamiento e instalaciones específicas, y su aplicación se limita a

esas combinaciones especiales de productos y niveles de versiones de hardware y software. Cualquier referencia en este documento

a productos, software o servicios de Tango/04 Computing Group, no implica que Tango/04 Computing Group planee introducir esos

productos, software o servicios en cada uno de los países en los que opera o está representada. Cualquier referencia a productos de

software, hardware o servicios de Tango/04 Computing Group no está hecha con el propósito de expresar que solamente pueden

utilizarse productos o servicios de Tango/04 Computing Group. Cualquier producto o servicio funcionalmente equivalente que no

infrinja la propiedad intelectual o condiciones de licenciamiento específicas se podría utilizar en reemplazo de productos, software o

servicios de Tango/04 Computing Group.

Tango/04 Computing Group puede tener patentes o estar pendiente de obtención de patentes que cubren asuntos tratados en este

documento. La entrega de este documento no otorga ninguna licencia de esas patentes. La información contenida en este

documento no ha sido sometida a ningún test formal por Tango/04 Computing Group y se distribuye tal como está. El uso de esta

información o la implementación de cualquiera de las técnicas, productos, tecnologías, ideas o servicios explicitados o sugeridos por

el presente documento es responsabilidad exclusiva del cliente a quien está dirigido este documento, y es el cliente quien debe

evaluar y determinar la aplicabilidad y consecuencias de integrar esas técnicas, productos, tecnologías, ideas o servicios en su

entorno operativo.

Si bien cada ítem puede haber sido revisado por Tango/04 Computing Group en cuanto a su exactitud en una situación específica, no

existe ni se otorga ninguna garantía de que los mismos o similares resultados puedan ser obtenidos en otras situaciones o

instalaciones. Los clientes que intenten adaptar esas técnicas en sus propias instalaciones lo hacen bajo su propia cuenta,

responsabilidad y riesgo. Tango/04 Computing Group no será en ningún caso responsable directo o indirecto de cualquier daño o

perjuicio causado por el uso de las técnicas explicitadas o sugeridas en este documento, incluso si se han efectuado notificaciones

de la posibilidad de esos daños.

Este documento puede contener errores técnicos y/o errores tipográficos. Todas las referencias en esta publicación a entidades

externas o sitios web han sido provistas para su comodidad solamente, y en ningún caso implican una validación, garantía o respaldo

a esas entidades o sitios.

Las marcas siguientes son propiedad de International Business Machines Corporation en los Estados Unidos y/o otros países: AS/

400, AS/400e, System i, iSeries, e (logo)Server, i5, Operating System/400, OS/400, i5/OS.

Microsoft, SQL Server, Windows, Windows NT, Windows XP y el logotipo de Windows son marcas registradas de Microsoft

Corporation en los Estados Unidos y/o otros países. Java y todos los logotipos y marcas basadas en Java son propiedad de Sun

Microsystems, Inc. en los Estados Unidos y otros países. UNIX es una marca registrada en los Estados Unidos y otros países y se

licencia exclusivamente a través de The Open Group. Oracle es una marca registrada de Oracle Corporation. Otras marcas,

productos o servicios pueden ser marcas registradas de otras empresas.


Documents

Cisco PIX/ASA Security Agent