En una red empresarial, SD-WAN Orchestrator admite la recopilación de los registros de firewall y los eventos enlazados de SD-WAN Orchestrator procedentes de las instancias de SD-WAN Edge de la empresa en uno o varios recopiladores de Syslog remotos centralizados (servidores) en el formato Syslog nativo. Para que el recopilador de Syslog reciba registros de firewall y eventos enlazados de SD-WAN Orchestrator procedentes de las instancias de Edge configuradas en una empresa, en el nivel de perfil, realice los pasos de este procedimiento para configurar los detalles del recopilador de Syslog por segmento en SD-WAN Orchestrator.

Requisitos previos

  • Asegúrese de que se haya configurado la red privada virtual de nube (configuración de VPN de sucursal a sucursal) para SD-WAN Edge (desde donde se originan los eventos enlazados de SD-WAN Orchestrator) con el fin de establecer una ruta entre SD-WAN Edge y los recopiladores de Syslog. Para obtener más información, consulte Configurar VPN de nube para perfiles.

Procedimiento

  1. En SD-WAN Orchestrator, vaya a Configurar (Configure) > Perfiles (Profiles).
    Al realizar esta acción, aparece la página Perfiles de configuración (Configuration Profiles).
  2. Seleccione el perfil en el que desee configurar los ajustes de Syslog y haga clic en el icono de la columna Dispositivo (Device).
    Se mostrará la página Configuración del dispositivo (Device Settings) para el perfil seleccionado.
  3. En el menú desplegable Configurar segmento (Configure Segment), seleccione un segmento de perfil para configurar los ajustes de Syslog. De forma predeterminada, la opción Segmento global [regular] (Global Segment [Regular]) se encuentra seleccionada.
  4. Vaya al área Configuración de Syslog (Syslog Settings) y configure los siguientes detalles.
    1. En el menú desplegable Código de recurso (Facility Code), seleccione un valor estándar de Syslog que se asigne al modo en el que el servidor Syslog utiliza el campo de componentes para administrar los mensajes de todos los eventos de las instancias de SD-WAN Edge. Los valores permitidos abarcan de local0 a local7.
      Nota: El campo Código de recurso (Facility Code) solo se puede configurar para la opción Segmento global (Global Segment), independientemente de que la configuración de Syslog se encuentre habilitada o no para el perfil. Los otros segmentos heredarán el valor de código de recurso del segmento global.
    2. Seleccione la casilla de verificación Syslog habilitado (Syslog Enabled).
    3. En el cuadro de texto IP, introduzca la dirección IP de destino del recopilador de Syslog.
    4. En el menú desplegable Protocolo (Protocol), seleccione TCP o UDP como el protocolo Syslog.
    5. En el cuadro de texto Puerto (Port), introduzca el número de puerto del recopilador de Syslog. El valor predeterminado es 514.
    6. Dado que las interfaces de Edge no se encuentran disponibles en el nivel de perfil, el campo Interfaz de origen (Source Interface) se establece en Automática (Auto). Edge seleccionará automáticamente una interfaz con el campo “Anunciar” (Advertise) establecido como la interfaz de origen.
    7. En el menú desplegable Funciones (Roles), seleccione una de las siguientes opciones:
      • EVENTO DE EDGE (EDGE EVENT)
      • EVENTO DE FIREWALL (FIREWALL EVENT)
      • EVENTO DE EDGE Y FIREWALL (EDGE AND FIREWALL EVENT)
    8. En el menú desplegable Nivel de Syslog (Syslog Level), seleccione el nivel de gravedad de Syslog que se debe configurar. Por ejemplo, si se establece en CRÍTICO (CRITICAL), SD-WAN Edge enviará todos los eventos configurados como críticos, alertas o emergencias.
      Nota: De forma predeterminada, los registros de eventos del firewall se reenvían con el nivel de gravedad de Syslog INFORMACIÓN (INFO).

      Los niveles de gravedad de Syslog permitidos son:

      • EMERGENCIA (EMERGENCY)
      • ALERTA (ALERT)
      • CRÍTICO (CRITICAL)
      • ERROR
      • ADVERTENCIA (WARNING)
      • AVISO (NOTICE)
      • INFORMACIÓN (INFO)
      • DEPURACIÓN (DEBUG)
    9. De forma opcional, en el cuadro de texto Etiqueta (Tag), introduzca una etiqueta para Syslog. La etiqueta de Syslog se puede utilizar para diferenciar los diversos tipos de eventos en el recopilador de Syslog. La longitud máxima de caracteres permitida es 32, delimitados por puntos.
    10. Al configurar un recopilador de Syslog con la función EVENTO DE FIREWALL (FIREWALL EVENT) o EVENTO DE EDGE Y FIREWALL (EDGE AND FIREWALL EVENT), seleccione la casilla de verificación Todos los segmentos (All Segments) si desea que el recopilador de Syslog reciba registros de firewall de todos los segmentos. Si la casilla de verificación no se encuentra seleccionada, el recopilador de Syslog recibirá registros de firewall únicamente del segmento específico en el que se configuró el recopilador.
      Nota: Cuando la función es EVENTO DE EDGE (EDGE EVENT), el recopilador de Syslog configurado en cualquier segmento recibirá registros de eventos de Edge de forma predeterminada.
  5. Haga clic en el botón + para agregar otro recopilador de Syslog, o bien haga clic en Guardar cambios (Save Changes). Se configurará el recopilador de Syslog remoto en SD-WAN Orchestrator.
    Nota: Puede configurar un máximo de dos recopiladores de Syslog por segmento y 10 recopiladores de Syslog por instancia de Edge. Cuando la cantidad de recopiladores configurados alcance el límite máximo permitido, se desactivará el botón +.
    Nota: Según la función seleccionada, Edge exportará los registros correspondientes en el nivel de gravedad especificado al recopilador de Syslog remoto. Si desea que los eventos locales de SD-WAN Orchestrator generados automáticamente se reciban en el recopilador de Syslog, debe configurar Syslog en el nivel de SD-WAN Orchestrator mediante las propiedades del sistema log.syslog.backend y log.syslog.upload.
    Para comprender el formato de un mensaje de syslog para los registros del firewall, consulte Formato de mensaje de syslog para registros de firewall.

Qué hacer a continuación

SD-WAN Orchestrator permite habilitar la función Enrutamiento de Syslog (Syslog Forwarding) en el nivel de perfil y de Edge. En la página Firewall de la configuración del perfil, habilite el botón Enrutamiento de Syslog (Syslog Forwarding) si desea reenviar los registros de firewall procedentes de las instancias de SD-WAN Edge de la empresa a los recopiladores de Syslog configurados.
Nota: De forma predeterminada, el botón Enrutamiento de Syslog (Syslog Forwarding) está disponible en la página Firewall de la configuración de Edge o de perfil, pero se encuentra desactivado.

Para obtener más información sobre la configuración del firewall en el nivel de perfil, consulte Configurar el firewall para los perfiles.

Compatibilidad con el enrutamiento de Syslog seguro

La versión 5.0 admite la capacidad de enrutamiento de Syslog seguro. Es necesario garantizar la seguridad del enrutamiento de Syslog para las certificaciones federales, así como cumplir los requisitos de protección de Edge de las grandes empresas. El proceso de enrutamiento de Syslog seguro comienza con un servidor syslog compatible con TLS. Actualmente, SD-WAN Orchestrator permite reenviar registros a un servidor syslog que admita TLS. La versión 5.0 permite a SD-WAN Orchestrator controlar el enrutamiento de syslog y realizar la comprobación de seguridad predeterminada, como la verificación de PKI jerárquica, la validación de CRL, etc. Además, también permite personalizar la seguridad del enrutamiento mediante la definición de conjuntos de claves de cifrado compatibles, no permitir certificados autofirmados, etc.

Otro aspecto del enrutamiento de syslog seguro es cómo recopilar o integrar la información de revocación. SD-WAN Orchestrator ahora puede habilitar la entrada de información de revocación desde un operador que se puede recuperar manualmente o a través de un proceso externo. SD-WAN Orchestrator seleccionará esa información de CRL y la utilizará para comprobar la seguridad del enrutamiento antes de que se establezcan todas las conexiones. Además, SD-WAN Orchestrator recuperará esa información de CRL regularmente y la utilizará al validar la conexión.

Propiedades del sistema

El enrutamiento de syslog seguro comienza con la configuración de los parámetros de enrutamiento de syslog de SD-WAN Orchestrator para permitir que se conecte con un servidor syslog. Para ello, SD-WAN Orchestrator acepta una cadena con formato JSON para tener los siguientes parámetros de configuración, los cuales se configuran en las propiedades del sistema.

Es posible configurar las siguientes propiedades del sistema, como se muestra en la siguiente lista y en la siguiente imagen:
  • dendrochronological: configuración de integración de syslog del servicio de back-end
  • log.syslog.portal: configuración de integración de syslog del servicio del portal
  • log.syslog.upload: configuración de integración de syslog del servicio de carga

Al configurar las propiedades del sistema, se puede utilizar la siguiente cadena JSON de configuración de Syslog seguro.

  • config <Object>
    • enable: <true> <false> Active o desactive el enrutamiento de Syslog. Tenga en cuenta que este parámetro controla el enrutamiento de Syslog general incluso si el enrutamiento seguro está habilitado.
    • options <Object>
      • host: <string> El host que ejecuta syslog; el valor predeterminado es localhost.
      • port: <number> El puerto del host en el que se ejecuta syslog; el valor predeterminado es el puerto predeterminado de syslog.
      • protocol: <string> tcp4, udp4, tls4. Nota: tls4 habilita el enrutamiento de Syslog seguro con la configuración predeterminada. Para configurarlo, consulte el siguiente objeto secureOptions.
      • pid: <number> PID del proceso del que provienen los mensajes de registro (valor predeterminado: process.pid).
      • localhost: <string> Host que indica de dónde proceden los mensajes de registro (valor predeterminado: localhost).
      • app_name: <string> El nombre de la aplicación (node-portal, node-backend, etc.) (valor predeterminado: process.title).
    • secureOptions <Object>
      • disableServerIdentityCheck: <boolean> Opcionalmente se omite la comprobación de SAN durante la validación; es decir, se puede utilizar si la certificación del servidor no tiene una SAN para certificados autofirmados. Valor predeterminado: false.
      • fetchCRLEnabled: <boolean> Si no es false, SD-WAN Orchestrator recupera la información de CRL que está integrada en las entidades de certificación proporcionadas. Predeterminado: true
      • rejectUnauthorized: <boolean> Si no es false, SD-WAN Orchestrator aplica la validación jerárquica de PKI en la lista de entidades de certificación proporcionadas. Valor predeterminado: true. (Esto es mayormente necesario para realizar pruebas. No lo utilice en producción).
      • caCertificate: <string> SD-WAN Orchestrator puede aceptar una cadena que contenga certificados con formato PEM para anular de forma opcional los certificados de entidades de certificación de confianza (puede contener varias CRL en un formulario concatenado que acepte openssl). El valor predeterminado es confiar en las entidades de certificación conocidas que selecciona Mozilla. Esta opción se puede utilizar para permitir que acepte una entidad de certificación local que rija la entidad. Por ejemplo, para clientes locales que tienen sus propias entidades de certificación y PKI.
      • crlPem:<string> SD-WAN Orchestrator puede aceptar una cadena que contenga CRL con formato PEM (puede contener varias CRL en un formulario concatenado que acepte openssl). Esta opción se puede utilizar para permitir aceptar CRL guardadas en local. Si fetchCRLEnabled se establece en true, SD-WAN Orchestrator combinará esta información con las CRL recuperadas. Esto es principalmente necesario para un escenario específico en el que los certificados no contienen información del punto de distribución de CRL.
      • crlDistributionPoints: <Array> SD-WAN Orchestrator puede aceptar opcionalmente un URI de puntos de distribución de CRL de matriz en el protocolo "http". SD-WAN Orchestrator no acepta ningún URI "https"
      • crlPollIntervalMinutes: <number> si fetchCRLEnabled no se establece en false, SD-WAN Orchestrator sondeará las CRL cada 12 horas. Sin embargo, este parámetro puede anular de forma opcional este comportamiento predeterminado y actualizar la CRL según el número proporcionado.

Configurar un ejemplo de enrutamiento de Syslog seguro

SD-WAN Orchestrator tiene las siguientes opciones de propiedad del sistema para organizar los parámetros descritos de manera que se habilite el enrutamiento de Syslog seguro.
Nota: El siguiente ejemplo debe modificarse según la confianza de la estructura de la cadena.

{"enable": true,"options": {"appName": "node-portal","protocol": "tls","port": 8000,"host": "host.docker.internal","localhost": "localhost"},"secureOptions": {"caCertificate": "-----BEGIN CERTIFICATE-----MIID6TCCAtGgAwIBAgIUaauyk0AJ1ZK/U10OXl0GPGXxahQwDQYJKoZIhvcNAQELBQAwYDELMAkGA1UEBhMCVVMxCzAJBgNVBAgMAkNBMQ8wDQYDVQQHDAZ2bXdhcmUxDzANBgNVBAoMBnZtd2FyZTEPMA0GA1UECwwGdm13YXJlMREwDwYDVQQDDAhyb290Q2VydDAgFw0yMTA5MjgxOTMzMjVaGA8yMDczMTAwNTE5MzMyNVowYDELMAkGA1UEBhMCVVMxCzAJBgNVBAgMAkNBMQ8wDQYDVQQHDAZ2bXdhcmUxDzANBgNVBAoMBnZtd2FyZTEPMA0GA1UECwwGdm13YXJlMREwDwYDVQQDDAhyb290Q2VydDCCASIwDQYJKoZIhvcNAQEBBQADggEPADCCAQoCggEBAMwG+Xyp5wnoTDxpRRUmE63DUnaJcAIMVABm0xKoBEbOKoW0rnl3nFu3l0u6FZzfq+HBJwnOtrBO0lf/sges2/QeUduCeBC/bqs5VzIRQdNaFXVtundWU+7Tn0ZDKXv4aRC0vsvjejU0H7DCXLg4yGF4KbM6f0gVBgj4iFyIjcy4+aMsvYufDV518RRB3MIHuLdyQXIe253fVSBHA5NCn9NGEF1e6Nxt3hbzy3Xe4TwGDQfpXx7sRt9tNbnxemJ8A2ou8XzxHPc44G4O0eN/DGIwkP1GZpKcihFFMMxMlzAvotNqE25gxN/O04/JP7jfQDhqKrLKwmnAmgH9SqvV0F8CAwEAAaOBmDCBlTAdBgNVHQ4EFgQUSpavxf80w/I3bdLzubsFZnwzpcMwHwYDVR0jBBgwFoAUSpavxf80w/I3bdLzubsFZnwzpcMwDwYDVR0TAQH/BAUwAwEB/zAOBgNVHQ8BAf8EBAMCAYYwMgYDVR0fBCswKTAnoCWgI4YhaHR0cDovL2xvY2FsaG9zdDo1NDgzL2NybFJvb3QucGVtMA0GCSqGSIb3DQEBCwUAA4IBAQBrYkmg+4x2FrC4W8eU0S62DVrsCtA26wKTVDtor8QAvi2sPGKNlv1nu3F2AOTBXIY+9QV/Zvg9oKunRy917BEVx8sBuwrHW9IvbThVk+NtT/5fxFQwCjO9l7/DiEkCRTsrY4WEy8AW1CcaBwEscFXXgliwWLYMpkFxsNBTrUIUfpIR0Wiogdtc+ccYWDSSPomWZHUmgumWIikLue9/sOvV9eWy56fZnQNBrOf5wUs0suJyLhi0hhFOAMdEJuL4WnYthX5d+ifNon8ylXGO6cOzXoA0DlvSmAS+NOEekFo6R1Arrws0/nk6otGH/Be5+/WXFmp0nzT5cwnspbpA1seO-----END CERTIFICATE-----","disableServerIdentityCheck": true,"fetchCRLEnabled":true,"rejectUnauthorized": true,"crlDistributionPoints": http://cacerts.digicert.com/DigiCertTLSHybridECCSHA3842020CA1-1.crt

Para configurar el enrutamiento de Syslog, consulte el siguiente objeto JSON como un ejemplo (imagen a continuación).

Si la configuración se realiza correctamente, SD-WAN Orchestrator generará el siguiente registro y comenzará el enrutamiento.

[portal:watch] 2021-10-19T20:08:47.150Z - info: [process.logger.163467409.0] [660] El registro remoto se ha configurado correctamente para las siguientes opciones {"appName":"node-portal","protocol":"tls","port":8000,"host":"host.docker.internal","localhost":"localhost"}

Enrutamiento de Syslog seguro en modo FIPS

Cuando el modo FIPS está habilitado para el enrutamiento de Syslog seguro, la conexión se rechazará si el servidor syslog no ofrece los siguientes conjuntos de claves de cifrado: "TLS_AES_256_GCM_SHA384:TLS_AES_128_GCM_SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256." Además, independientemente del modo FIPS, si el certificado del servidor syslog no tiene un campo de uso de claves ampliado que establezca el atributo "ServerAuth", se rechazará la conexión.

Recuperación de información de CRL constante

Si fetchCRLEnabled no se establece en false, SD-WAN Orchestrator actualizará regularmente la información de la CRL cada 12 horas a través del mecanismo de trabajo de back-end. La información de CRL recuperada se almacenará en la propiedad del sistema correspondiente titulada log.syslog.lastFetchedCRL.{serverName}. Esta información de la CRL se comprobará en cada intento de conexión con el servidor syslog. Si se produce un error durante la recuperación, SD-WAN Orchestrator generará un evento de operador.

Si fetchCRLEnabled se establece en true, habrá tres propiedades del sistema adicionales para seguir el estado de la CRL, como se indica a continuación: log.syslog.lastFetchedCRL.backend, log.syslog.lastFetchedCRL.portal, log.syslog.lastFetchedCRL.upload, como se muestra en la siguiente imagen. Esta información mostrará la hora de la última actualización de la CRL y la información de la CRL.

Registro

Si la opción "fetchCRLEnabled" se establece en true, SD-WAN Orchestrator intentará recuperar las CRL. Si se produce un error, SD-WAN Orchestrator generará un evento, como se muestra en la siguiente imagen.