Настройка SYSLOG TLS на Catalyst 9000

Tim Glen

Содержание [Содержание]
[Резюме]
[Поддержка]
[Шаги по настройке]
[Установка сертификата на коммутаторе Catalyst]
[Установка сертификата на сервере SYSLOG]
[Настройка Cat 9K для SYSLOG TLS]
[Дополнительно Настройка определенных наборов шифров]
[Проверка]
[Сертификат Cat 9000]
[Сертификат Windows Server]
[Показать журнал]
[Одно соединение] Резюме
SYSLOG UDP является и остается проверенным и надежным методом сбора сообщений от IOS XE и других устройств на протяжении десятилетий. SYSLOG UDP использует udp/512 для транспортировки. Отправитель передает сообщения в открытом виде на сервер. Поскольку в отрасли все чаще применяется принцип «шифрование везде», мы должны следовать этому примеру. SYSLOG TLS — это более современный метод передачи этих сообщений от отправителя к серверу. SYSLOG TLS использует Transport Layer Security для обеспечения безопасной передачи сообщений SYSLOG по протоколу TCP. TLS обеспечивает конфиденциальность и целостность сообщений, а также взаимную аутентификацию отправителя и получателя.
В наших примерах коммутатор Catalyst 9000 всегда будет «отправителем транспорта» или «клиентом TLS». Сервер SYSLOG будет «получателем транспорта» или «сервером TLS».
Поддержка
SYSLOG TLS определен в RFC 5425
Я полагаю, что поддержка SYSLOG TLS была введена в Catalyst 9000 в версии 17.2.
Большинство современных серверов SYSLOG поддерживают SYSLOG TLS.
Порт SYSLOG TLS по умолчанию — tcp/6415
Для аутентификации поддерживаются сертификаты от корпоративного центра сертификации, а также самоподписанные сертификаты. В этом документе объясняется, как использовать сертификаты от корпоративного центра сертификации.
Шаги по настройке
Установка сертификата на коммутаторе Catalyst
SYSLOG TLS требует наличия сертификатов как на стороне отправителя (Cat9k), так и на стороне получателя (сервер SYSLOG). Вы можете воспользоваться
[этим руководством]
для ручной регистрации сертификата. Сертификат на Cat 9000 должен иметь EKU Client Auth. Подробности см. ниже в разделе «Проверка».
Установка сертификата на сервере SYSLOG
Сертификат на Cat 9000 должен иметь EKU Server Auth. Метод выполнения этой операции будет зависеть от вашего сервера SYSLOG.
Настройка Cat 9K для SYSLOG TLS
Создайте профиль ведения журнала
Обязательно укажите в качестве доверенного объекта сертификат, созданный в шаге 1. Я принудительно использую TLS1.2 в первую очередь потому, что TLSv1.1 по возможности никогда не следует использовать.
!
configure terminal
logging tls-profile SYSLOG-TLS
tls-version TLSv1.2
client-id-trustpoint TRUSTPOINT
!
end
!
Дополнительно Настройте определенные наборы шифров
Перед включением этой функции в TLS-PROFILE проверьте, какие наборы шифров поддерживает ваш сервер SYSLOG TLS. Наборы шифров перечислены в следующем порядке: обмен ключами, аутентификация, массовое шифрование, аутентификация сообщений
. Наборы шифров перечислены здесь в порядке убывания прочности, на мой взгляд.
TLSv1.2
ecdhe-ecdsa-aes-gcm-sha2
ecdhe-rsa-aes-gcm-sha2
ecdhe-rsa-aes-cbc-sha2
rsa-aes-gcm-sha2
dhe-aes-gcm-sha2
rsa-aes-cbc-sha2
dhe-aes-cbc-sha2
!
configure terminal
logging tls-profile
ciphersuite ecdhe-ecdsa-aes-gcm-sha2 ecdhe-rsa-aes-cbc-sha2 <other ciphers="">
!
end
!
Настройка ведения журнала на сервере SYSLOG TLS
!
configure terminal
logging host SYSLOG-TLS-IP-ADDR transport tls profile SYSLOG-TLS
!
end
!
Готово! Теперь у вас есть Cat 9K, который безопасно отправляет сообщения SYSLOG на сервер с поддержкой SYSLOG TLS!
Продолжайте читать, чтобы узнать о некоторых шагах по проверке.
Проверка
Сертификат Cat 9000
Используйте команду show crypto pki certificates verbose TRUSTPOINT для проверки сертификата
![show crypto pki cert verb 1 (WEB1).png]
Сертификат CA в Trustpoint, Запишите серийный номер! Именно его мы будем искать на сервере SYSLOG
![show crypto pki cert verb 2 (WEB).png]
Сертификат Windows Server
Давайте рассмотрим сертификат идентификации на сервере SYSLOG.
![files.theglens.net (WEB).png]
В сертификате выше мы видим следующее.
TheGlens-Root-CA выдал сертификат TheGlens-Issuing-CA.
TheGlens-Issuing-CA выдал сертификат files.thetheglens.net
Но помните, Cat9K не доверяет files.theglens.net, Cat9K доверяет TheGlens-Issuing-CA, промежуточному сертификату.
Давайте продолжим изучение, дважды щелкните по промежуточному CA.
Это сертификат промежуточного центра. Мы можем увидеть это в поле «Выдан».
![theglens-issuing-ca (WEB).png]
Теперь щелкните «Сведения», а затем «Серийный номер».
Теперь мы видим, что серийный номер CA, выдавшего сертификат серверу SYSLOG, совпадает с серийным номером CA, выдавшего сертификат Cat9k.
Мы установили доверие.
![theglens-issuing-ca SN (WEB).png]
Показать ведение журнала
Команда show logging на коммутаторе показывает нам соответствующую конфигурацию для SYSLOG TLS.
![show logging (WEB).png]
Одно соединение
SYSLOG TLS открывает TCP-соединение и поддерживает его открытым. Все сообщения SYSLOG проходят через эту TCP-сессию.
Ниже приведен вывод команды show tcp brief, который показывает открытые TCP-соединения с коммутатора.
Обратите внимание, что на первом снимке экрана время 13:36. Исходный порт TCP — 48994.
![1-show tcp brief(WEB).png]
Обратите внимание, что на втором снимке экрана время 13:59. Исходный порт TCP — 48994. Это то же самое TCP-соединение.
![2-show tcp brief (WEB).png]</other>

kerstin-534

Какая версия будет работать? Я пробовал версии 17.9.5 и 17.12.3. Обе версии устанавливают TLS-сессию с сервером syslog, но не ведут журнал, никакие строки не записываются. Возврат к транспорту TCP также не работает.

x147893

Неверно ли, что «стандартный порт SYSLOG TLS — TCP/6415»? Согласно веб-сайту
https://www.speedguide.net/port.php?port=6514 я обнаружил, что на самом деле это TCP/6514.