Guía de configuración de la Seguridad de Cisco IOS: Sujeción del avión de los datos, versión 12.2SR
Correlación del ACL syslog
6 Agosto 2013 - Traducción Automática | Otras Versiones: PDFpdf 219 KB | Inglés (13 Octubre 2008) | Comentarios

Contenidos

Correlación del ACL syslog

Encontrar la información de la característica

Contenido

Requisitos previos para la correlación del ACL syslog

Información sobre la correlación del ACL syslog

Correlation Tag del ACL syslog

Mensajes de Syslog de ACE

Cómo configurar la correlación del ACL syslog

Habilitar la generación del valor de troceo en un router

Ejemplos

Inhabilitar la generación del valor de troceo en un router

Ejemplos

Configurar la correlación del ACL syslog usando un Cookie definido por el usario

Restricciones

Ejemplos

Configurar la correlación del ACL syslog usando un valor de troceo

Ejemplos

Cambio del valor del Correlation Tag del ACL syslog

Consejos de Troubleshooting

Ejemplos de configuración para la correlación del ACL syslog

Ejemplo: Configurar la correlación del ACL syslog usando un Cookie definido por el usario

Ejemplo: Configurar la correlación del ACL syslog usando un valor de troceo

Ejemplo: Cambio del valor del Correlation Tag del ACL syslog

Referencias adicionales

Documentos Relacionados

Estándares

MIB

RFC

Asistencia Técnica

Información de la característica para la correlación del ACL syslog


Correlación del ACL syslog


Primera publicación: De octubre el 10 de 2008
Última actualización: De octubre el 10 de 2008

La característica de la correlación del Syslog de la lista de control de acceso (ACL) añade una etiqueta al final del fichero (un Cookie definido por el usario o un valor de troceo router-generado MD5) a las entradas de syslog de la Entrada de control de acceso (ACE). Esta etiqueta identifica únicamente ACE, dentro del ACL, que generó la entrada de syslog.

Encontrar la información de la característica

Su versión de software puede no soportar todas las características documentadas en este módulo. Para la últimas información y advertencias de la característica, vea los Release Note para su plataforma y versión de software. Para encontrar la información sobre las características documentadas en este módulo, y ver una lista de las versiones en las cuales se soporta cada característica, vea “información de la característica para la sección de la correlación del ACL syslog”.

Utilice Cisco Feature Navigator para buscar información sobre el soporte de plataformas y el soporte de imágenes del software Cisco IOS y Catalyst OS. Para acceder a Cisco Feature Navigator, vaya a http://www.cisco.com/go/cfn. Una cuenta en el cisco.com no se requiere.

Contenido

Requisitos previos para la correlación del ACL syslog

Información sobre la correlación del ACL syslog

Cómo configurar la correlación del ACL syslog

Ejemplos de configuración para la correlación del ACL syslog

Referencias adicionales

Información de la característica para la correlación del ACL syslog

Requisitos previos para la correlación del ACL syslog

Antes de que usted configure la característica de la correlación del ACL syslog usted debe entender los conceptos en “el módulo de la descripción de la lista de IP Access”.

La característica de la correlación del ACL syslog añade un Cookie definido por el usario o un valor de troceo al final del fichero router-generado a los mensajes de ACE en el Syslog. Estos valores se añaden al final del fichero solamente a los mensajes de ACE cuando la opción del registro se habilita para ACE.

Información sobre la correlación del ACL syslog

Correlation Tag del ACL syslog

Mensajes de Syslog de ACE

Correlation Tag del ACL syslog

La característica de la correlación del ACL syslog añade una etiqueta al final del fichero (un Cookie definido por el usario o un valor de troceo router-generado MD5) a las entradas de syslog de ACE. Esta etiqueta identifica únicamente ACE que generó la entrada de syslog.

El Network Management Software puede utilizar la etiqueta para identificar qué ACE generó un evento de syslog específico. Por ejemplo, los administradores de la red pueden seleccionar ACE gobiernan en la aplicación de administración de red y pueden entonces ver los eventos de syslog correspondientes para esa regla de ACE.

Para añadir una etiqueta al final del fichero al mensaje de Syslog, ACE que genera el evento de syslog debe tener la opción del registro habilitada. El sistema añade solamente un tipo al final del fichero de etiqueta (un Cookie definido por el usario o un valor de troceo router-generado MD5) a cada mensaje.

Para especificar una etiqueta definida por el usario del Cookie, el usuario debe ingresar el valor del Cookie al configurar la opción del registro ACE. El Cookie debe estar en la forma alfanumérica, no puede ser mayor de 64 caracteres, y no puede comenzar con la notación hex.-decimal (tal como 0x).

Para especificar una etiqueta router-generada del valor de troceo MD5, el mecanismo de la hash-generación se debe habilitar en el router y el usuario no debe ingresar un valor del Cookie mientras que configura la opción del registro ACE.

Mensajes de Syslog de ACE

Cuando un paquete se corresponde con contra ACE en un ACL, las revisiones del sistema si la opción del registro está habilitada para ese evento. Si se habilita la opción del registro y la característica de la correlación del ACL syslog se configura en el router, el sistema asocia la etiqueta al mensaje de Syslog. La etiqueta se visualiza en el extremo del mensaje de Syslog, además de la información estándar.

Lo que sigue es un mensaje de Syslog de la muestra que muestra una etiqueta definida por el usario del Cookie:

Jun 5 12:55:44.359: %SEC-6-IPACCESSLOGP: list logacl permitted tcp 192.168.16.1(38402) -> 
192.168.16.2(23), 1 packet [User_permiited_ACE]

Lo que sigue es un mensaje de Syslog de la muestra que muestra una etiqueta del valor de troceo:

Jun 5 12:55:44.359: %SEC-6-IPACCESSLOGP: list logacl permitted tcp 192.168.16.1(38402) -> 
192.168.16.2(23), 1 packet [0x723E6E12]

Cómo configurar la correlación del ACL syslog

Habilitar la generación del valor de troceo en un router

Inhabilitar la generación del valor de troceo en un router

Configurar la correlación del ACL syslog usando un Cookie definido por el usario

Configurar la correlación del ACL syslog usando un valor de troceo

Cambio del valor del Correlation Tag del ACL syslog

Habilitar la generación del valor de troceo en un router

Realice esta tarea de configurar al router para generar un valor de troceo MD5 para cada ACE registro-habilitado en el sistema que no se configura con un Cookie definido por el usario.

Cuando se habilita la configuración de la generación del valor de troceo, las revisiones del sistema todas los ACE existentes y generan un valor de troceo para cada ACE que requiera uno. Cuando se inhabilita la configuración de la generación del valor de troceo, todos los valores de troceo previamente generados se quitan del sistema.

PASOS SUMARIOS

1. enable

2. configure terminal

3. ip access-list logging hash-generation

4. end

5.show ip access-list []access-list-number | access-list-name

PASOS DETALLADOS

 
Comando o acción
Propósito

Paso 1 

enable

Example:

Router> enable

Habilita el modo EXEC privilegiado.

Ingrese su contraseña si se le pide que lo haga.

Paso 2 

configure terminal

Example:

Router# configure terminal

Ingresa en el modo de configuración global.

Paso 3 

ip access-list logging hash-generation

Example:

Router(config)# ip access-list logging hash-generation

Habilita la generación del valor de troceo en el router.

Si existe ACE que es registro habilitado, y requiere un valor de troceo, el router genera automáticamente el valor y visualiza el valor en la consola.

Paso 4 

end

Example:

Router(config)# end

(Opcional) Sale del modo de configuración global y vuelve al modo EXEC privilegiado.

Paso 5 

show ip access-list access-list-number 

o

show ip access-list access-list-name

Example:

Router# show ip access-list 101

o

Example:

Router# show ip access-list acl

(Opcional) visualiza el contenido de la lista de IP Access numerada o nombrada.

Revise la salida para confirmar que la lista de acceso para ACE registro-habilitado incluye el valor de troceo generado.

Ejemplos

Lo que sigue es salida de muestra show ip access-list del comando cuando la generación del hash se habilita para la lista de acceso especificada.

Router# show ip access-list 101

Extended IP access list 101
10 permit tcp any any log (hash = 0x75F078B9)

Router# show ip access-list acl

Extended IP access list acl
10 permit tcp any any log (hash = 0x3027EB26)

Inhabilitar la generación del valor de troceo en un router

Realice esta tarea de inhabilitar la generación del valor de troceo en el router. Cuando se inhabilita la configuración de la generación del valor de troceo, todos los valores de troceo previamente generados se quitan del sistema.

PASOS SUMARIOS

1. enable

2. configure terminal

3. no ip access-list logging hash-generation

4. end

5.show ip access-list []access-list-number | access-list-name

PASOS DETALLADOS

 
Comando o acción
Propósito

Paso 1 

enable

Example:

Router> enable

Habilita el modo EXEC privilegiado.

Ingrese su contraseña si se le pide que lo haga.

Paso 2 

configure terminal

Example:

Router# configure terminal

Ingresa en el modo de configuración global.

Paso 3 

no ip access-list logging hash-generation

Example:

Router(config)# no ip access-list logging hash-generation

Inhabilita la generación del valor de troceo en el router.

El sistema quita cualquier valor de troceo previamente creado del sistema.

Paso 4 

end

Example:

Router(config)# end

(Opcional) Sale del modo de configuración global y vuelve al modo EXEC privilegiado.

Paso 5 

show ip access-list access-list-number 

o

show ip access-list access-list-name

Example:

Router# show ip access-list 101

o

Example:

Router# show ip access-list acl

(Opcional) Muestra el contenido de la lista de acceso IP.

Revise la salida para confirmar que la lista de acceso para ACE registro-habilitado no tiene un valor de troceo generado.

Ejemplos

Lo que sigue es salida de muestra show ip access-list del comando cuando se inhabilita la generación del hash y no se ha especificado ningún valor del Cookie.

Router# show ip access-list 101

Extended IP access list 101
10 permit tcp any any log

Router# show ip access-list acl

Extended IP access list acl
10 permit tcp any any log

Configurar la correlación del ACL syslog usando un Cookie definido por el usario

Realice esta tarea de configurar la característica de la correlación del ACL syslog en un router para una lista de acceso específica, usando un Cookie definido por el usario como la etiqueta del mensaje de Syslog.

El ejemplo en esta sección muestra cómo configurar la característica de la correlación del ACL syslog usando un Cookie definido por el usario para una lista de acceso numerada. Sin embargo, usted puede configurar la característica de la correlación del ACL syslog usando un Cookie definido por el usario para numerado y las listas de acceso denominadas, y para el estándar y las listas de acceso ampliadas.

Restricciones

Las restricciones siguientes se aplican al elegir el valor definido por el usario del Cookie:

El número máximo de caracteres es 64.

El Cookie no puede comenzar con la notación hexadecimal (tal como 0x).

El Cookie no puede ser lo mismo como, o un subconjunto de, las palabras claves siguientes: reflect fragment time-range. Por ejemplo, refleje y la referencia es valores inválidos. Sin embargo, el Cookie puede comenzar con las palabras claves. Por ejemplo, el reflectedACE y fragment_33 son valores válidos

La necesidad del Cookie contiene solamente los caracteres alfanuméricos.

PASOS SUMARIOS

1. enable

2. configure terminal

3.access-list access-list-number permit protocol source destination registro word

4. end

5. show ip access-list access-list-number

PASOS DETALLADOS

 
Comando o acción
Propósito

Paso 1 

enable

Example:

Router> enable

Habilita el modo EXEC privilegiado.

Ingrese su contraseña si se le pide que lo haga.

Paso 2 

configure terminal

Example:

Router# configure terminal

Ingresa en el modo de configuración global.

Paso 3 

access-list access-list-number permit protocol source destination log word

Example:

Router(config)# access-list 101 permit tcp host 10.1.1.1 host 10.1.1.2 log UserDefinedValue

Define una lista de acceso IP ampliado y un valor definido por el usario del Cookie.

Ingrese el valor del Cookie como word el argumento.

Paso 4 

end

Example:

Router(config)# end

(Opcional) Sale del modo de configuración global y vuelve al modo EXEC privilegiado.

Paso 5 

show ip access-list access-list-number

Example:

Router# show ip access-list 101

(Opcional) Muestra el contenido de la lista de acceso IP.

Revise la salida para confirmar que la lista de acceso incluye el valor definido por el usario del Cookie.

Ejemplos

Lo que sigue es salida de muestra show ip access-list del comando para una lista de acceso con un valor definido por el usario del Cookie.

Router# show ip access-list 101

Extended IP access list 101
30 permit tcp host 10.1.1.1 host 10.1.1.2 log (tag = UserDefinedValue)

Configurar la correlación del ACL syslog usando un valor de troceo

Realice esta tarea de configurar la característica de la correlación del ACL syslog en un router para una lista de acceso específica, usando un valor de troceo router-generado como la etiqueta del mensaje de Syslog.

Los pasos en esta sección muestran cómo configurar la característica de la correlación del ACL syslog usando un valor de troceo router-generado para una lista de acceso numerada. Sin embargo, usted puede configurar la característica de la correlación del ACL syslog usando un valor de troceo router-generado para numerado y las listas de acceso denominadas, y para el estándar y las listas de acceso ampliadas.

PASOS SUMARIOS

1. enable

2. configure terminal

3. ip access-list logging hash-generation

4.access-list access-list-number permit protocol source destination registro

5. end

6. show ip access-list access-list-number

PASOS DETALLADOS

 
Comando o acción
Propósito

Paso 1 

enable

Example:

Router> enable

Habilita el modo EXEC privilegiado.

Ingrese su contraseña si se le pide que lo haga.

Paso 2 

configure terminal

Example:

Router# configure terminal

Ingresa en el modo de configuración global.

Paso 3 

ip access-list logging hash-generation

Example:

Router(config)# ip access-list logging hash-generation

Habilita la generación del valor de troceo en el router.

Si existe ACE que es registro habilitado, y requiere un valor de troceo, el router genera automáticamente el valor y visualiza el valor en la consola.

Paso 4 

access-list access-list-number permit protocol source destination log

Example:

Router(config)# access-list 102 permit tcp host 10.1.1.1 host 10.1.1.2 log

Define una lista de acceso IP ampliado.

Habilite la opción del registro para la lista de acceso, pero no especifique un valor del Cookie.

El router genera automáticamente un valor de troceo para la lista de acceso nuevamente definida.

Paso 5 

end

Example:

Router(config)# end

(Opcional) Sale del modo de configuración global y vuelve al modo EXEC privilegiado.

Paso 6 

show ip access-list access-list-number

Example:

Router# show ip access-list 102

(Opcional) Muestra el contenido de la lista de acceso IP.

Revise la salida para confirmar que la lista de acceso incluye el valor de troceo router-generado.

Ejemplos

Lo que sigue es salida de muestra show ip access-list del comando para una lista de acceso con un valor de troceo router-generado.

Router# show ip access-list 102
Extended IP access list 102
10 permit tcp host 10.1.1.1 host 10.1.1.2 log (hash = 0x7F9CF6B9)

Cambio del valor del Correlation Tag del ACL syslog

Realice esta tarea de cambiar el valor del Cookie definido por el usario o de substituir un valor de troceo router-generado por un Cookie definido por el usario.

Los pasos en esta sección muestran cómo cambiar el valor del Correlation Tag del ACL syslog en una lista de acceso numerada. Sin embargo, usted puede cambiar el valor del Correlation Tag del ACL syslog para numerado y las listas de acceso denominadas, y para el estándar y las listas de acceso ampliadas.

PASOS SUMARIOS

1. enable

2. show access-list

3. configure terminal

4. access-list access-list-number permit protocol source destination log word

5. end

6. show ip access-list access-list-number

PASOS DETALLADOS

 
Comando o acción
Propósito

Paso 1 

enable

Example:

Router> enable

Habilita el modo EXEC privilegiado.

Ingrese su contraseña si se le pide que lo haga.

Paso 2 

show access-list

Example:

Router(config)# show access-list

(Opcional) Muestra el contenido de la lista de acceso.

Paso 3 

configure terminal

Example:

Router# configure terminal

Ingresa en el modo de configuración global.

Paso 4 

access-list access-list-number permit protocol source destination log word

Example:

Router(config)# access-list 101 permit tcp host 10.1.1.1 host 10.1.1.2 log NewUDV

OR


Router(config)# access-list 101 permit tcp any any log replacehash

Modifica el Cookie o cambia el valor de troceo a un Cookie.

Usted debe ingresar el comando access list configuration entero, substituyendo el valor anterior de la etiqueta por el nuevo valor de la etiqueta.

Paso 5 

end

Example:

Router(config)# end

(Opcional) Sale del modo de configuración global y vuelve al modo EXEC privilegiado.

Paso 6 

show ip access-list access-list-number

Example:

Router# show ip access-list 101

(Opcional) Muestra el contenido de la lista de acceso IP.

Revise la salida para confirmar los cambios.

Consejos de Troubleshooting

Utilice debug ip access-list hash-generation el comando de visualizar la información del debug de la lista de acceso. Lo que sigue es un ejemplo debug de la salida de comando:

Router# debug ip access-list hash-generation
 Syslog hash code generation debugging is on
Router# show debug
IP ACL:
 Syslog hash code generation debugging is on
Router# no debug ip access-list hash-generation 
 Syslog hash code generation debugging is off
Router# show debug
Router#

Ejemplos de configuración para la correlación del ACL syslog

Ejemplo: Configurar la correlación del ACL syslog usando un Cookie definido por el usario

Ejemplo: Configurar la correlación del ACL syslog usando un valor de troceo

Ejemplo: Cambio del valor del Correlation Tag del ACL syslog

Ejemplo: Configurar la correlación del ACL syslog usando un Cookie definido por el usario

Las demostraciones del siguiente ejemplo cómo configurar la característica de la correlación del ACL syslog en un router que usa un Cookie definido por el usario.

Router#
Router# debug ip access-list hash-generation
Syslog MD5 hash code generation debugging is on
Router# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)# access-list 33 permit 10.10.10.6 log cook_33_std
Router(config)# do show ip access 33
Standard IP access list 33
10 permit 10.10.10.6 log (tag = cook_33_std)
Router(config)# end
Router#

Ejemplo: Configurar la correlación del ACL syslog usando un valor de troceo

Las demostraciones de los siguientes ejemplos cómo configurar la característica de la correlación del ACL syslog en un router que usa un valor de troceo router-generado.

Router# debug ip access-list hash-generation
Syslog MD5 hash code generation debugging is on
Router# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)# access-list 33 permit 10.10.10.7 log
Router(config)#
*Nov 7 13:51:23.615: %IPACL-HASHGEN: Hash Input: 33 standard permit 10.10.10.7
Hash Output: 0xCE87F535
Router(config)# do show ip access 33 
Standard IP access list 33
    10 permit 10.10.10.6 log (tag = cook_33_std)
    20 permit 10.10.10.7 log (hash = 0xCE87F535)
Router(config)#

Ejemplo: Cambio del valor del Correlation Tag del ACL syslog

Las demostraciones del siguiente ejemplo cómo substituir un Cookie definido por el usario de la lista de acceso existente por un nuevo valor del Cookie, y cómo substituir un valor de troceo router-generado por un valor definido por el usario del Cookie.

Router# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)# do show ip access-list 101
Extended IP access list 101
    10 permit tcp host 10.1.1.1 host 10.1.1.2 log (tag = MyCookie)
    20 permit tcp any any log (hash = 0x75F078B9)
Router(config)# access-list 101 permit tcp host 10.1.1.1 host 10.1.1.2 log NewUDV
Router(config)# do show access-list
Extended IP access list 101
    10 permit tcp host 10.1.1.1 host 10.1.1.2 log (tag = NewUDV)
    20 permit tcp any any log (hash = 0x75F078B9)
Router(config)# access-list 101 permit tcp any any log replacehash
Router(config)# do show access-list
Extended IP access list 101
    10 permit tcp host 10.1.1.1 host 10.1.1.2 log (tag = NewUDV)
    20 permit tcp any any log (tag = replacehash)

Referencias adicionales

Documentos Relacionados

Tema relacionado
Título del documento

Comandos de Cisco IOS

El Cisco IOS domina los comandos list, todos las versiones

Comandos acl

Referencia de Comandos de Seguridad de Cisco IOS

Configurando y creando los ACL

Creando una lista de IP Access y la aplicación de ella a una interfaz


Estándares

Estándar
Título

No los nuevos o modificados estándares son soportados por esta característica, y el soporte para los estándares existentes no ha sido modificado por esta característica


MIB

MIB
Link del MIB

Ninguno

Para localizar y descargar MIB de plataformas, versiones de Cisco IOS y conjuntos de funciones seleccionados, utilice Cisco MIB Locator, que se encuentra en la siguiente URL:

http://www.cisco.com/cisco/web/LA/support/index.html


RFC

RFC
Título

Ninguno


Asistencia Técnica

Descripción
Link

El Web site del soporte y de la documentación de Cisco proporciona los recursos en línea para descargar la documentación, el software, y las herramientas. Utilice estos recursos para instalar y para configurar el software y para resolver problemas y para resolver los problemas técnicos con los Productos Cisco y las Tecnologías. El acceso a la mayoría de las herramientas en el Web site del soporte y de la documentación de Cisco requiere una identificación del usuario y una contraseña del cisco.com.

http://www.cisco.com/cisco/web/LA/support/index.html


Información de la característica para la correlación del ACL syslog

La tabla 1 muestra las funciones de este módulo y proporciona links a información de configuración específica.

Utilice el Cisco Feature Navigator para encontrar la información sobre el soporte del Soporte de la plataforma y de la imagen del software. El Cisco Feature Navigator le permite para determinar qué imágenes del software soportan una versión de software, un conjunto de características, o una plataforma específico. Para acceder a Cisco Feature Navigator, vaya a http://www.cisco.com/go/cfn. Una cuenta en el cisco.com no se requiere.


Observelas listas del cuadro 1 solamente la versión de software que introdujo el soporte para una característica dada en un tren de versión de software dado. A menos que se indicare en forma diferente, las versiones posteriores de ese tren de versión de software también soportan esa característica.


Información de la característica del cuadro 1 para la correlación del ACL syslog 

Nombre de la función
Versiones
Información sobre la Función

Correlación del ACL syslog

12.4(22)T

Se han insertado o modificado los siguientes comandos: hash-generación del registro de la lista de acceso del IP, hash-generación de la lista de acceso del IP del debug, lista de acceso (IP extendido), lista de acceso (estándar IP), permiso, permiso (Catalyst 6500 Series Switch), permiso (IP).