Configuración de registros de inserción de SCP en SWA con Microsoft Server

Introducción

Este documento describe los pasos para configurar Secure Copy (SCP) para copiar automáticamente los registros en Secure Web Appliance (SWA) a otro servidor.

Prerequisites

Requirements

Cisco recomienda que tenga conocimiento sobre estos temas:

• Cómo funciona SCP
• administración SWA
• Administración del sistema operativo Microsoft Windows o Linux

Cisco recomienda que tenga:

• SWA físico o virtual instalado.
• Licencia activada o instalada.
• El asistente de configuración ha finalizado.

• Acceso administrativo a la interfaz gráfica de usuario (GUI) de SWA.
• Microsoft Windows (al menos Windows Server 2019 o Windows 10 (versión 1809).) o sistema Linux instalado.

Componentes Utilizados

Este documento no tiene restricciones específicas en cuanto a versiones de software y de hardware.

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.

SCP

El comportamiento de Secure Copy (SCP) es similar al de la copia remota (RCP), que proviene del conjunto de herramientas R de Berkeley (propio conjunto de aplicaciones de red de la universidad de Berkeley), excepto en que SCP depende de Secure Shell (SSH) para la seguridad. Además, SCP requiere que se configure la autorización de autenticación, autorización y contabilidad (AAA) para que el dispositivo pueda determinar si el usuario tiene el nivel de privilegio correcto

El método SCP on Remote Server (equivalente a SCP Push) envía periódicamente archivos de registro mediante el protocolo de copia segura a un servidor SCP remoto. Este método requiere un servidor SSH SCP en un equipo remoto con el protocolo SSH2. La suscripción requiere un nombre de usuario, clave SSH y directorio de destino en el equipo remoto. Los archivos de registro se transfieren en función de una programación de renovación establecida por el usuario.

Suscripción a registro SWA 

Puede crear varias suscripciones a registros para cada tipo de archivo de registro. Las suscripciones incluyen detalles de configuración para archivado y almacenamiento, entre los que se incluyen los siguientes:

• Configuración de reversión, que determina cuándo se archivan los archivos de registro
• Configuración de compresión para los archive logs
• Configuración de recuperación para los archive logs, que especifica si los logs se archivan en un servidor remoto o se almacenan en el dispositivo

Archivando archivos de registro

AsyncOS archiva (revierte) las suscripciones de registro cuando un archivo de registro actual alcanza un límite especificado por el usuario de tamaño máximo de archivo o tiempo máximo desde la última reversión.

Esta configuración de archivo se incluye en las suscripciones a registros:

• Renovación por tamaño de archivo
• Reversión por tiempo
• Compresión de registros
• Método de recuperación

También puede archivar manualmente los archivos de registro (rollover).
Paso 1. Elija Administración del sistema > Suscripciones de registro.
Paso 2. Active la casilla de verificación de la columna Sustitución de las suscripciones de registro que desea archivar o active la casilla de verificación Todos para seleccionar todas las suscripciones.
Paso 3 .Haga clic en Rollover Now para archivar los registros seleccionados.

Imagen - Renovar ahora GUI

Configuración de la recuperación de registros mediante SCP en el servidor remoto 

Existen dos pasos principales para la recuperación de registros en un servidor remoto con SCP desde SWA:

1. Configure SWA para enviar los registros.
2. Configure el servidor remoto para recibir los registros.

Configuración de SWA para enviar los registros al servidor remoto de SCP desde la GUI

Paso 1. Inicie sesión en SWA y, en Administración del sistema, elija Registrar suscripciones.

Imagen: elija Suscripciones de registro

Paso 2. En la página Suscripciones a registros, elija Agregar suscripción a registros:

Imagen - Seleccione Agregar suscripción a registro

Paso 3. Elija el tipo de registro. En este ejemplo, se ha seleccionado el registro de acceso.

Paso 4. Introduzca un nombre para la suscripción al registro .

Paso 5. (Opcional) Puede cambiar la sustitución incremental por tamaño de archivo.

Paso 6. En el método de recuperación, elija SCP en el servidor remoto.

Paso 7. Introduzca esta información para los servidores remotos:

• El nombre de host o la dirección IP de SCP
• El número de puerto de escucha en el servidor remoto que escucha SSH (el predeterminado es TCP/22) 
• Nombre del directorio 
• Nombre de usuario para conectarse al servidor remoto 

Imagen - Configurar parámetros de registro

Nota: En este ejemplo, el nombre de usuario es wsascp y el servidor remoto es el sistema operativo Microsoft Windows. Se creó una carpeta wsa01 en la carpeta c:\users\wccpscp (que es la carpeta de perfil de usuario de Microsoft).

Consejo: Simplemente puede escribir el nombre de la carpeta; en este ejemplo, es wsa01.

Paso 8. Envíe los cambios.

Paso 9. Guarde la clave SSH en un archivo de texto para su uso posterior en la sección de configuración del servidor SCP remoto.

Nota: Debe copiar ambas líneas que comienzan con ssh- y terminan con root@<nombre de host SWA> .

Imagen: guarde la clave SSH para utilizarla más adelante.

Paso 10. Realice los cambios. 

Configuración de Microsoft Windows como servidor remoto de SCP 

Paso 10. Para crear un usuario para el servicio SCP, acceda a Administración de equipos: 

Nota: Si ya tiene un usuario para SCP, vaya al paso 16.

Paso 11. Seleccione Usuarios locales y grupos, luego elija Usuarios en el panel izquierdo.

Paso 12. Haga clic con el botón derecho del ratón en la página principal y elija un nuevo usuario.

Imagen: creación de un usuario para el servicio SCP.

Paso 13. Introduzca el nombre de usuario y la contraseña deseada. 

Paso 14. Elija Password Never Expired. 

Paso 15. Haga clic en Crear y luego cierre la ventana.

Imagen: introduzca la información del nuevo usuario.

Paso 16. Inicie sesión en el servidor SCP remoto con el usuario recién creado para que se cree el directorio de perfiles. 

Nota: Si tiene OpenSSL instalado en el servidor SCP remoto, vaya directamente al paso 19.

Paso 17. Abra PowerShell con privilegios de administrador (Ejecutar como administrador) y ejecute este comando para comprobar los requisitos previos:

(New-Object Security.Principal.WindowsPrincipal([Security.Principal.WindowsIdentity]::GetCurrent())).IsInRole([Security.Principal.WindowsBuiltInRole]::Administrator)

Si el resultado es True, puede continuar. De lo contrario, consulte al equipo de soporte técnico de Microsoft,

Paso 18. Para instalar OpenSSH mediante PowerShell con privilegios de administrador (Ejecutar como administrador), ejecute:

# Install the OpenSSH Client
Add-WindowsCapability -Online -Name OpenSSH.Client~~~~0.0.1.0

# Install the OpenSSH Server
Add-WindowsCapability -Online -Name OpenSSH.Server~~~~0.0.1.0

A continuación se muestra una muestra de resultados satisfactorios: 

Path          :
Online        : True
RestartNeeded : False

Imagen- Instalar OpenSSH en PowerShell

Precaución: Si RestartNeeded se establece en True, reinicie Windows.

Para obtener más información sobre la instalación en otras versiones de Microsoft Windows, visite Introducción a OpenSSH para Windows | Microsoft Learn.

Paso 19.Abra una sesión normal (no elevada) de PowerShell y genere un par de claves RSA mediante el comando:

ssh-keygen -t RSA

Una vez finalizado el comando, puede ver que la carpeta .ssh ha creado su directorio de perfil de usuario.

Imagen - Generar clave RSA

Paso 20. Inicie el servicio SSH desde PowerShell con el privilegio de administrador ( Ejecutar como administrador ).

Start-Service sshd

Paso 21. (Opcional pero recomendado) Cambie el tipo de inicio del servicio a Automático, con privilegio de administrador Ejecutar como administrador). 

Set-Service -Name sshd -StartupType 'Automatic'

Paso 22. Confirme que se ha creado la regla de firewall para permitir el acceso al puerto TCP 22.

if (!(Get-NetFirewallRule -Name "OpenSSH-Server-In-TCP" -ErrorAction SilentlyContinue | Select-Object Name, Enabled)) {
    Write-Output "Firewall Rule 'OpenSSH-Server-In-TCP' does not exist, creating it..."
    New-NetFirewallRule -Name 'OpenSSH-Server-In-TCP' -DisplayName 'OpenSSH Server (sshd)' -Enabled True -Direction Inbound -Protocol TCP -Action Allow -LocalPort 22
} else {
    Write-Output "Firewall rule 'OpenSSH-Server-In-TCP' has been created and exists."
}

Paso 23. Edite el archivo de configuración SSH ubicado en : %programdata%\ssh\sshd_config en el Bloc de notas, eliminando el # para RSA y DSA.

HostKey __PROGRAMDATA__/ssh/ssh_host_rsa_key
HostKey __PROGRAMDATA__/ssh/ssh_host_dsa_key
#HostKey __PROGRAMDATA__/ssh/ssh_host_ecdsa_key
#HostKey __PROGRAMDATA__/ssh/ssh_host_ed25519_key

Paso 24. Edite las condiciones de conexión en %programdata%\ssh\sshd_config. En este ejemplo, la dirección de escucha es para la dirección de todas las interfaces. Puede personalizarlo gracias a su diseño.

Port 22
#AddressFamily any
ListenAddress 0.0.0.0

Paso 25. Marque estas dos líneas al final del archivo %programdata%\ssh\sshd_config agregando # al principio de cada línea:

# Match Group administrators
#       AuthorizedKeysFile __PROGRAMDATA__/ssh/administrators_authorized_keys

Paso 26.(Opcional) Edite los Modos Estrictos en %programdata%\ssh\sshd_config, De forma predeterminada, este modo está habilitado y evita la autenticación basada en claves SSH si las claves privada y pública no están protegidas correctamente.

Anule el comentario de la línea #StrictModes sí y cámbiela a StrictModes no:

StrictModes No

Paso 27. Quite el # de esta línea a %programdata%\ssh\sshd_config para permitir la autenticación de clave pública

PubkeyAuthentication yes

Paso 28. Cree un archivo de texto authorized_keys en la carpeta .ssh y pegue la clave RSA pública SWA (que se recopiló en el paso 9):

Imagen: clave pública SWA

Nota: copie la línea completa, empezando con ssh-rsa y terminando con root@<your_SWA_hostname>.

Consejo: Dado que RSA está instalado en el servidor SCP, no es necesario pegar la clave ssh-dss.

Paso 29. Habilite OpenSSH Authentication Agent en PowerShell con privilegios de administrador (Ejecutar como administrador).

Set-Service -Name ssh-agent -StartupType 'Automatic'
Start-Service ssh-agent

Imagen - Habilitar Agente de autenticación SSH abierto

Paso 30.(Opcional) Agregue esta línea a %programdata%\ssh\sshd_config para permitir tipos de clave:

PubkeyAcceptedKeyTypes ssh-ed25519-cert-v01@openssh.com,ssh-rsa-cert-v01@openssh.com,ssh-ed25519,ssh-rsa,ssh-dss

Paso 31. Reinicie el servicio SSH. Puede utilizar este comando desde PowerShell con el privilegio de administrador (Ejecutar como administrador

 restart-Service -Name sshd

Paso 32. Para probar si la inserción de SCP está configurada correctamente, traslade los registros configurados, puede hacerlo desde la GUI o la CLI (comando rollovernow):

WSA_CLI> rollovernow scpal

Nota: En este ejemplo, el nombre del registro es "scpal".

Puede confirmar que los registros se copian en la carpeta definida, que en este ejemplo era c:/Users/wsascp/wsa01.

Inserción de registros de SCP en una unidad diferente

en caso de que necesite enviar los registros a una unidad diferente que no sea C:, cree un vínculo desde la carpeta de perfil de usuario a la unidad deseada. En este ejemplo, los registros se envían a D:\WSA_Logs\WSA01 .

Paso 1. Cree las carpetas en la unidad deseada.

Paso 2. Abra el símbolo del sistema con privilegios de administrador (Ejecutar como administrador).

Paso 3. Ejecute este comando para crear el enlace:

mklink /d c:\users\wsascp\wsa01 D:\WSA_Logs\WSA01 

Imagen: enlace Crear SYM

Nota: En este ejemplo, SWA está configurado para enviar los registros a la carpeta WSA01 en C:\Users\wsascp y el servidor SCP tiene la carpeta WSA01 como enlace simbólico a D:\WSA_Logs\WSA01.

Para obtener más información sobre Microsoft Symbol Link, visite: mklink | Microsoft Learn

Troubleshooting de SCP Log Push

Ver registros en SWA

Para resolver problemas de la inserción de registro de SCP, verifique los errores en:

1. CLI > mostraralertas 

2. Registros_del_sistema

Nota: Para leer system_logs, puede utilizar el comando grep en la CLI . Elija el número asociado a system_logs y responda a la pregunta en el asistente.

Ver registros en el servidor SCP

Puede leer los registros del servidor SCP en el Visor de eventos de Microsoft, en Registros de aplicaciones y servicios > OpenSSH > Operativo:

Imagen - PreAuth Failed

"Error de verificación de clave de host"

Este error indica que la clave pública del servidor SCP almacenada en SWA no es válida.

A continuación se muestra un ejemplo de error de la salida de displayAlerts en CLI:

02 Jan 2024 16:52:35 +0100    Log Error: Push error for subscription scpal: SCP failed to transfer to 10.48.48.195:22:
Last message occurred 68 times between Tue Jan  2 15:53:01 2024 and Tue Jan  2 16:52:31 2024.

Log Error: Push error for subscription scpal: SCP failed to transfer to 10.48.48.195:22: Host key verification failed.
Last message occurred 46 times between Tue Jan  2 16:30:19 2024 and Tue Jan  2 16:52:31 2024.

Log Error: Push error for subscription scpal: SCP failed to transfer to 10.48.48.195:22: lost connection
Last message occurred 68 times between Tue Jan  2 15:53:01 2024 and Tue Jan  2 16:52:31 2024.

Log Error: Push error for subscription scpal: SCP failed to transfer to 10.48.48.195:22: ssh: connect to host 10.48.48.195 port 22: Operation timed out
Last message occurred 22 times between Tue Jan  2 15:53:01 2024 and Tue Jan  2 16:29:18 2024.

Aquí hay algunos ejemplos del error en system_logs :

Tue Jan  2 19:49:50 2024 Critical: Log Error: Push error for subscription scp: SCP failed to transfer to 10.48.48.195:22:
Tue Jan  2 19:49:50 2024 Critical: Log Error: Push error for subscription scp: SCP failed to transfer to 10.48.48.195:22: lost connection
Tue Jan  2 19:49:50 2024 Critical: Log Error: Push error for subscription scp: SCP failed to transfer to 10.48.48.195:22: Host key verification failed.

Para resolver este problema, puede copiar el host del servidor SCP y pegarlo en la página de suscripción de registros SCP. Consulte el paso 7 en Configure SWA para Enviar los Registros al Servidor Remoto SCP desde la GUI o puede comunicarse con el TAC de Cisco para quitar la Clave de Host del backend.

"Permiso denegado (clave pública,contraseña,teclado interactivo)"

Este error suele indicar que el nombre de usuario proporcionado en SWA no es válido.

Aquí hay un ejemplo de registro de errores en system_logs :

Tue Jan  2 20:41:40 2024 Critical: Log Error: Push error for subscription scpal: SCP failed to transfer to 10.48.48.195:22:
Tue Jan  2 20:41:40 2024 Critical: Log Error: Push error for subscription scpal: SCP failed to transfer to 10.48.48.195:22: lost connection
Tue Jan  2 20:41:40 2024 Critical: Log Error: Push error for subscription scpal: SCP failed to transfer to 10.48.48.195:22: scp@10.48.48.195: Permission denied (publickey,password,keyboard-interactive).

A continuación se muestra un ejemplo de error del servidor SCP: "SCP de usuario no válido desde el puerto <SWA_IP address> <TCP port SWA connect to SCP server>".

Imagen - Usuario no válido

Para solucionar este error, revise la ortografía y compruebe que el usuario (configurado en SWA para insertar los registros) está habilitado en el servidor SCP.

"No existe tal archivo o directorio"

Este error indica que la ruta proporcionada en la sección de suscripción de registros SWA no es válida.

A continuación se muestra un ejemplo de error de system_logs:

Tue Jan  2 20:47:18 2024 Critical: Log Error: Push error for subscription scpal: SCP failed to transfer to 10.48.48.195:22:
Tue Jan  2 20:47:18 2024 Critical: Log Error: Push error for subscription scpal: SCP failed to transfer to 10.48.48.195:22: scp: Userswsascpwsa01/aclog.@20240102T204508.s: No such file or directory
Tue Jan  2 20:47:18 2024 Critical: Log Error: Push error for subscription scpal: SCP failed to transfer to 10.48.48.195:22: Sink: C0660 255 aclog.@20240102T204508.s

Para resolver este problema, compruebe la ortografía y asegúrese de que la ruta de acceso es correcta y válida en el servidor SCP.

"Error de transferencia de SCP"

Este error podría ser un indicador de un error de comunicación. Este es el ejemplo de error:

03 Jan 2024 13:23:27 +0100    Log Error: Push error for subscription scp: SCP failed to transfer to 10.48.48.195:22:

Para solucionar problemas de conectividad, utilice el comando telnet en la CLI de SWA: 

SWA_CLI> telnet

Please select which interface you want to telnet from.
1. Auto
2. Management (10.48.48.187/24: SWA_man.csico.com)
[1]> 2

Enter the remote hostname or IP address.
[]> 10.48.48.195

Enter the remote port.
[23]> 22

Trying 10.48.48.195...

En este ejemplo, la conexión no se ha establecido. La conexión exitosa es como:

SWA_CLI> telnet

Please select which interface you want to telnet from.
1. Auto
2. Management (10.48.48.187/24: rishi2Man.calo.lab)
[1]> 2
Enter the remote hostname or IP address.
[]> 10.48.48.195
Enter the remote port.
[23]> 22

Trying 10.48.48.195...
Connected to 10.48.48.195.
Escape character is '^]'.
SSH-2.0-OpenSSH_for_Windows_SCP

Si el telnet no está conectado:

1. Compruebe si el firewall del servidor SCP está bloqueando el acceso.
2. [Compruebe si hay algún firewall en la ruta desde SWA al servidor SCP que bloquee el acceso.
3. Verifique si el puerto TCP 22 está en estado de escucha en el servidor SCP .
4. Ejecute la captura de paquetes en el servidor SWA y SCP para realizar un análisis más detallado.  

A continuación se muestra un ejemplo de la captura de paquetes de una conexión exitosa:

Imagen - Captura de paquetes de conexión correcta

"No se ha encontrado ningún tipo de clave de host coincidente"

Este error indica que los algoritmos de clave de host, proporcionados por SWA en la fase de intercambio de claves de cliente, no coinciden en el servidor SCP.

Wed Feb 12 20:21:40 2025 Critical: Log Error: Push error for subscription al: SCP failed to transfer to 10.48.48.192:22:
Wed Feb 12 20:21:40 2025 Critical: Log Error: Push error for subscription al: SCP failed to transfer to 10.48.48.192:22: lost connection
Wed Feb 12 20:21:40 2025 Critical: Log Error: Push error for subscription al: SCP failed to transfer to 10.48.48.192:22: info: Unable to negotiate with 10.48.48.192 port 22: no matching host key type found. Their offer: rsa-sha2-512,rsa-sha2-256,ecdsa-sha2-nistp256,ssh-ed25519

Para resolver este problema, puede seguir estos pasos:

Paso 1. Iniciar una captura de paquetes en SWA y filtrar por la dirección IP del servidor SCP

Paso 2. Desplácese por el archivo de registro para asegurarse de que SWA envía los archivos al servidor SCP

Paso 3. Detenga la captura de paquetes y abra el archivo.

Paso 4. En el archivo de captura, busque un paquete con "Client: Key Exchange Init" en la sección Info. 

Paso 5. Expanda el Protocolo SSH y navegue hasta la sección "Algoritmos".

Paso 6. Verifique la cadena server_host_key_algoritms (por ejemplo: cadena server_host_key_algoritms: ssh-rsa)

Paso 7. Navegue hasta el servidor SCP y edite el archivo sshd_config.

Paso 8. Busque una línea que comience con HostKeyAlgorithms y agregue al archivo la clave de host admitida que se menciona en el "Paso 6". (En este ejemplo: AlgoritmosDeClaveDeHost (ssh-rsa)

Nota: Si no hay líneas iniciadas con HostKeyAlgorithms, puede agregar la línea al final del archivo.

Paso 9. Guarde los cambios y reinicie el servicio SSHD.

Referencias

• Directrices sobre prácticas recomendadas de Cisco Web Security Appliance: Cisco
• BRKSEC-3303 (CiscoLive)
• Guía del usuario de AsyncOS 14.5 para Cisco Secure Web Appliance - GD (implementación general) - Conexión, instalación y configuración [Cisco Secure Web Appliance] - Cisco
• Introducción a OpenSSH para Windows | Microsoft Learn
• Configuración de SSH Public Key Authentication en Windows | Windows OS Hub (woshub.com)
• Autenticación basada en claves en OpenSSH para Windows | Microsoft Learn