Toon posts:

Cisco ACL

Pagina: 1
Acties:

donderdag 24 oktober 2013 10:58

Acties:

Verwijderd

Topicstarter
De onderstaande rule, ik wil van deze rule af omdat we geen any ip (als destenation) willen in DMZ.
Afbeeldingslocatie: http://s02.imageupper.com/1_t/10/Y13826022471951597_1.jpg
Afbeeldingslocatie: http://s02.imageupper.com/1_t/10/Y13826022471951597_2.jpg

Punt is alleen dat deze regel nog veel gehit wordt, mogelijk met bepaald productie-verkeer. Zomaar dichtgooien is dus geen optie.
Nu wil ik graag monitoren wat voor verkeer er ge-permit wordt of naar wie het verkeer gaat.
Dus ik dacht: Daar hebben we logging voor, ik selecteer die specifieke regel en druk “show log”:
Afbeeldingslocatie: http://s02.imageupper.com/1_t/10/Y13826022471951597_3.jpg

Afbeeldingslocatie: http://s02.imageupper.com/1_t/10/Y13826022471951597_4.jpg

Niets, nul-komma-nul. En dat is niet alleen bij deze rule zo, maar bij alle ACL’s.
Wat doe ik fout? Dit zijn globaal mijn instellingen:
Afbeeldingslocatie: http://s02.imageupper.com/1_t/10/Y13826022471951597_5.jpg

Afbeeldingslocatie: http://s02.imageupper.com/1_t/10/Y13826022471951597_6.jpg

Verder heb ik een syslogserver waar syslogs heen worden gestuurd. Maar dan nog moet ik via ASDM real-time een ACL kunnen monitoren toch? Volgens mij doe ik iets verkeerd…

donderdag 24 oktober 2013 11:14

Acties:
  • -OPTICAL-
  • Registratie: Augustus 2002
  • Laatst online: 20:00

-OPTICAL-

Wat voor type firewall gaat het om? en welke versie asdm?
als je het commando show logging doet, zie je dan wel dat er iets geregistreerd wordt?

donderdag 24 oktober 2013 11:18

Acties:

Verwijderd

Topicstarter
-OPTICAL- schreef op donderdag 24 oktober 2013 @ 11:14:
Wat voor type firewall gaat het om? en welke versie asdm?
als je het commando show logging doet, zie je dan wel dat er iets geregistreerd wordt?
Cisco ASA 5510. ASDM 6.4

Resultaat show logging:
Result of the command: "show logging"

Syslog logging: enabled
Facility: 20
Timestamp logging: disabled
Standby logging: enabled
Debug-trace logging: disabled
Console logging: disabled
Monitor logging: disabled
Buffer logging: disabled
Trap logging: level errors, facility 20, 11462 messages logged
Logging to inside server1.domain.lan
History logging: level critical, 9019 messages logged
Device ID: disabled
Mail logging: level alerts, 16 messages logged
ASDM logging: level informational, 4055329 messages logged

donderdag 24 oktober 2013 11:42

Acties:
  • plizz
  • Registratie: Juni 2009
  • Laatst online: 22:40

plizz

Je Buffer logging is disabled. Je moet die aanzetten met commando "logging buffered informational". Je logt dan berichten van severity= 3, 4 en 6. Als het klopt zie je nu die log berichten.

[ Voor 3% gewijzigd door plizz op 24-10-2013 11:56 ]

donderdag 24 oktober 2013 12:07

Acties:

Verwijderd

Topicstarter
plizz schreef op donderdag 24 oktober 2013 @ 11:42:
Je Buffer logging is disabled. Je moet die aanzetten met commando "logging buffered informational". Je logt dan berichten van severity= 3, 4 en 6. Als het klopt zie je nu die log berichten.
Ja ik zie dan wel log berichten bij het commando show logging. Maar bij al mijn ACLs krijg ik nog steeds niets te zien als ik op show log bij een ACL klik. Het blijft leeg, terwijl er logging op de rules staan ingesteld en er genoeg verkeer overheen gaat. Volgens mij doe ik nog steeds iets verkeerd.

donderdag 24 oktober 2013 12:32

Acties:
  • plizz
  • Registratie: Juni 2009
  • Laatst online: 22:40

plizz

Zie je de logs ook niet in ASDM via Tab Monitoring -> Logging -> Real Time Log Viewer?

donderdag 24 oktober 2013 13:05

Acties:

Verwijderd

Topicstarter
plizz schreef op donderdag 24 oktober 2013 @ 12:32:
Zie je de logs ook niet in ASDM via Tab Monitoring -> Logging -> Real Time Log Viewer?
Ja dan zie ik een hele lijst met logs met NAT translations etc.. maar geen ACL logs. Het moet op de één of andere manier mogelijk zijn om de Permits/Deny's van een ACL te zien.

donderdag 24 oktober 2013 13:16

Acties:
  • plizz
  • Registratie: Juni 2009
  • Laatst online: 22:40

plizz

Raar, ik zie daar wel Permit/Deny logs voorbij vliegen. Hoe heb je die Permit/Deny ACL logging ingesteld? Dus logging: default, emergincies, alert, etc. Ik heb het getest met een ACL op logging default.

Note: Gebruik wel een ASA 5505 met asdm 7.1.3. Maar dat zou geen probleem moeten zijn.

[ Voor 18% gewijzigd door plizz op 24-10-2013 13:17 ]

donderdag 24 oktober 2013 13:35

Acties:
  • mbaltus
  • Registratie: Augustus 2004
  • Laatst online: 01-12 11:25

mbaltus

Je moet de logging van die ACL regel instellen op bijvoorbeeld informational (of hoger). Dan zou je de hits waarschijnlijk wel zien. Sowieso als je wilt volgen wat voor verkeer het betreft, kun je beter een syslog server inrichten en naar die server loggen. Dan heb je ook wat historie.

The trouble with doing something right the first time is that nobody appreciates how difficult it is

donderdag 24 oktober 2013 15:18

Acties:
  • Insehh
  • Registratie: Juli 2009
  • Laatst online: 20-11 13:53

Insehh

Define good enough.

En monitoring logging aanzetten ?

De enige ekte...

Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq