Konfiguracja NetFlow na CISCO ASA

[ArturB]

Netflow na Cisco ASA może zostać wywołany przez trzy typy zdarzeń i zawierać do 18 komunikatów w pojedynczym pakiecie.
Te zdarzenia to:

• flow-create
  
  
• flow-denied
  
  
• flow-teardown
  

Podczas konfiguracji urządzenia ASA określamy adres IP urządzenia na które będą wysyłane flowy wraz z kilkoma innymi poleceniami.

Potrzebne będzie również konfiguracja Service Policy wskazująca gdzie zostaną przekazane dane. Zakładając że nasze urządzenie korzysta z domyślnej Global Policy możemy to zrobić z poziomu konsoli CLI używając następujących komend:

KOD: ZAZNACZ CAŁY

Code:

Policy-map global_policy
Class-default
Flow-export event-type all destination x.x.x.x

Cisco ASA pozwala również na konfigurację flowów przy wykorzystaniu graficznego interfejsu jakim jest Cisco ASDM GUI.
Konfigurację może wykonać wchodząc w kolejno:

Configuration -> Firewall -> Service Policy Rules, a następnie klikamy Add i wybieramy „Use class-default as the trafficclass” -> Netflow. Następnie naciskamy Add i podajemy adres urządzenia na który będą wysyłane flows.



Przykładowa konfiguracja NetFlow na urządzeniu Cisco ASA
Host1 - 10.1.1.1
Host2 - 10.2.2.2
192.168.100.1 urządzenie zbierające netflow w sieci wewnętrznej pomiędzy urządzeniami host1 i host2.

KOD: ZAZNACZ CAŁY

Code:

ASA(config)# flow-export destination insi de 192.168.100.1 2055
ASA(config)# flow template timeout-rate 1
ASA(config)# access-list flow_expor_acl permit ip host 10.1.1.1 host 10.2.2.2
ASA(config)# class-map flow_export_class
ASA(config-cmap)# match access-list flow_export_acl
ASA(config)# policy-map flow_export_policy
ASA(config-pmap)# class flow_export_class
ASA(config-pmap-c)# flow-export event-type flow-creation destination 192.168.100.1

Po skonfigurowaniu NetFlow na urządzeniu możemy przejść do Scrutinizera i w zakładce Status przeglądać flowy generowane pomiędzy tymi urządzeniami.