En una red empresarial, SASE Orchestrator admite la recopilación de los registros de firewall y los eventos enlazados de SASE Orchestrator procedentes de las instancias de SD-WAN Edge de la empresa en uno o varios recopiladores de Syslog remotos centralizados (servidores) en el formato Syslog nativo. Para que el recopilador de Syslog reciba registros de firewall y eventos enlazados de SASE Orchestrator procedentes de las instancias de Edge configuradas en una empresa, en el nivel de perfil, realice los pasos de este procedimiento para configurar los detalles del recopilador de Syslog por segmento en SASE Orchestrator.

Requisitos previos

  • Asegúrese de que se haya configurado la red privada virtual de nube (configuración de VPN de sucursal a sucursal) para SD-WAN Edge (desde donde se originan los eventos enlazados de SASE Orchestrator) con el fin de establecer una ruta entre SD-WAN Edge y los recopiladores de Syslog. Para obtener más información, consulte Configurar VPN de nube para perfiles.

Procedimiento

  1. En el servicio SD-WAN del portal de empresas, haga clic en Configurar (Configure) > Perfiles (Profiles). La página Perfiles (Profiles) muestra los perfiles existentes.
  2. Para configurar un perfil, haga clic en el vínculo al perfil o haga clic en el vínculo Ver (View) de la columna Dispositivo (Device) del perfil. Las opciones de configuración se muestran en la pestaña Dispositivo (Device).
  3. En el menú desplegable Configurar segmento (Configure Segment), seleccione un segmento de perfil para configurar los ajustes de Syslog. De forma predeterminada, la opción Segmento global [regular] (Global Segment [Regular]) se encuentra seleccionada.
  4. En Telemetría (Telemetry), vaya al área Configuración de Syslog (Syslog Settings) y configure los siguientes detalles.
    1. En el menú desplegable Recurso (Facility), seleccione un valor estándar de Syslog que se asigne al modo en el que el servidor Syslog utiliza el campo de componentes para administrar los mensajes de todos los eventos de las instancias de SD-WAN Edge. Los valores permitidos abarcan de local0 a local7.
      Nota: El campo Recurso (Facility) solo se puede configurar para la opción Segmento global (Global Segment), independientemente de la configuración de Syslog del perfil. Los otros segmentos heredarán el valor de código de recurso del segmento global.
    2. Seleccione la casilla de verificación Habilitar Syslog (Enable Syslog).
    3. Haga clic en el botón +AGREGAR (+ADD) y configure los siguientes detalles:
      Campo Descripción
      IP Escriba la dirección IP de destino del recopilador Syslog.
      Protocolo Seleccione TCP o UDP como protocolo Syslog en el menú desplegable.
      Puerto Introduzca el número de puerto del recopilador Syslog. El valor predeterminado es 514.
      Interfaz de origen (Source Interface) Dado que las interfaces de Edge no se encuentran disponibles en el nivel de perfil, el campo Interfaz de origen (Source Interface) se establece en Automática (Auto). Edge seleccionará automáticamente una interfaz con el campo “Anunciar” (Advertise) establecido como la interfaz de origen.
      Funciones Seleccione una de las opciones siguientes:
      • EVENTO DE EDGE (EDGE EVENT)
      • EVENTO DE FIREWALL (FIREWALL EVENT)
      • EVENTO DE EDGE Y FIREWALL (EDGE AND FIREWALL EVENT)
      Nivel de Syslog Seleccione el nivel de gravedad de Syslog que se debe configurar. Por ejemplo, si se establece en CRÍTICO (CRITICAL), SD-WAN Edge enviará todos los eventos configurados como críticos, alertas o emergencias.
      Nota: De forma predeterminada, los registros de eventos del firewall se reenvían con el nivel de gravedad de Syslog INFORMACIÓN (INFO).

      Los niveles de gravedad de Syslog permitidos son:

      • EMERGENCIA (EMERGENCY)
      • ALERTA (ALERT)
      • CRÍTICO (CRITICAL)
      • ERROR
      • ADVERTENCIA (WARNING)
      • AVISO (NOTICE)
      • INFORMACIÓN (INFO)
      • DEPURACIÓN (DEBUG)
      Etiqueta De forma opcional, introduzca una etiqueta para syslog. La etiqueta de Syslog se puede utilizar para diferenciar los diversos tipos de eventos en el recopilador de Syslog. La longitud máxima de caracteres permitida es 32, delimitados por puntos.
      Todos los segmentos Al configurar un recopilador de Syslog con la función EVENTO DE FIREWALL (FIREWALL EVENT) o EVENTO DE EDGE Y FIREWALL (EDGE AND FIREWALL EVENT), seleccione la casilla de verificación Todos los segmentos (All Segments) si desea que el recopilador de Syslog reciba registros de firewall de todos los segmentos. Si la casilla de verificación no se encuentra seleccionada, el recopilador de Syslog recibirá registros de firewall únicamente del segmento específico en el que se configuró el recopilador.
      Nota: Cuando la función es EVENTO DE EDGE (EDGE EVENT), el recopilador de Syslog configurado en cualquier segmento recibirá registros de eventos de Edge de forma predeterminada.
  5. Haga clic en el botón +AGREGAR (+ADD) para agregar otro recopilador Syslog, o bien haga clic en Guardar cambios (Save Changes). Se configurará el recopilador de Syslog remoto en SASE Orchestrator.
    Nota: Puede configurar un máximo de dos recopiladores de Syslog por segmento y 10 recopiladores de Syslog por instancia de Edge. Cuando la cantidad de recopiladores configurados alcance el límite máximo permitido, se desactivará el botón +.
    Nota: Según la función seleccionada, Edge exportará los registros correspondientes en el nivel de gravedad especificado al recopilador de Syslog remoto. Si desea que los eventos locales de SASE Orchestrator generados automáticamente se reciban en el recopilador de Syslog, debe configurar Syslog en el nivel de SASE Orchestrator mediante las propiedades del sistema log.syslog.backend y log.syslog.upload.
    Para comprender el formato de un mensaje de syslog para los registros del firewall, consulte Formato de mensaje de syslog para registros de firewall.

Qué hacer a continuación

SASE Orchestrator permite activar la función Enrutamiento de Syslog (Syslog Forwarding) en el nivel de perfil y de Edge. En la página Firewall de la configuración del perfil, active el botón Enrutamiento de Syslog (Syslog Forwarding) si desea reenviar los registros de firewall procedentes de las instancias de SD-WAN Edge de la empresa a los recopiladores Syslog configurados.
Nota: De forma predeterminada, el botón Enrutamiento de Syslog (Syslog Forwarding) está disponible en la página Firewall de la configuración de Edge o de perfil, pero se encuentra desactivado.

Para obtener más información sobre la configuración del firewall en el nivel de perfil, consulte Configurar el firewall de perfil.

Compatibilidad con el enrutamiento de Syslog seguro

La versión 5.0 admite la capacidad de enrutamiento de Syslog seguro. Es necesario garantizar la seguridad del enrutamiento de Syslog para las certificaciones federales, así como cumplir los requisitos de protección de Edge de las grandes empresas. El proceso de enrutamiento de Syslog seguro comienza con un servidor syslog compatible con TLS. En este momento, SASE Orchestrator permite reenviar registros a un servidor Syslog que admita TLS. La versión 5.0 permite a SASE Orchestrator controlar el enrutamiento de Syslog y realizar la comprobación de seguridad predeterminada, como la verificación de PKI jerárquica, la validación de CRL y demás. Además, también permite personalizar la seguridad del enrutamiento mediante la definición de conjuntos de claves de cifrado compatibles, no permitir certificados autofirmados, etc.

Otro aspecto del enrutamiento de syslog seguro es cómo recopilar o integrar la información de revocación. Ahora, SASE Orchestrator puede permitir la entrada de información de revocación desde un operador que se puede recuperar de forma manual o a través de un proceso externo. SASE Orchestrator seleccionará esa información de CRL y la utilizará para comprobar la seguridad del enrutamiento antes de que se establezcan todas las conexiones. Además, SASE Orchestrator recuperará esa información de CRL de forma regular y la utilizará al validar la conexión.

Propiedades del sistema

El enrutamiento de Syslog seguro comienza con la configuración de los parámetros de enrutamiento de Syslog de SASE Orchestrator para permitir que se conecte con un servidor Syslog. Para ello, SASE Orchestrator acepta una cadena con formato JSON para cumplir con los siguientes parámetros de configuración, los cuales se configuran en las propiedades del sistema.

Es posible configurar las siguientes propiedades del sistema, como se muestra en la siguiente lista y en la siguiente imagen:
  • log.syslog.backend: configuración de integración de Syslog del servicio de back-end
  • log.syslog.portal: configuración de integración de syslog del servicio del portal
  • log.syslog.upload: configuración de integración de syslog del servicio de carga

Al configurar las propiedades del sistema, se puede utilizar la siguiente cadena JSON de configuración de Syslog seguro.

  • config <Object>
    • enable: <true> <false> Active o desactive el enrutamiento de Syslog. Tenga en cuenta que este parámetro controla el enrutamiento de Syslog general incluso si el enrutamiento seguro está activado.
    • options <Object>
      • host: <string> El host que ejecuta syslog; el valor predeterminado es localhost.
      • port: <number> El puerto del host en el que se ejecuta syslog; el valor predeterminado es el puerto predeterminado de syslog.
      • protocol: <string> tcp4, udp4, tls4. Nota: tls4 permite el enrutamiento de Syslog seguro con la configuración predeterminada. Para configurarlo, consulte el siguiente objeto de opciones seguras.
      • pid: <number> PID del proceso del que provienen los mensajes de registro (valor predeterminado: process.pid).
      • localhost: <string> Host que indica de dónde proceden los mensajes de registro (valor predeterminado: localhost).
      • app_name: <string> El nombre de la aplicación (node-portal, node-backend, etc.) (valor predeterminado: process.title).
    • secureOptions <Object>
      • disableServerIdentityCheck: <boolean> Opcionalmente se omite la comprobación de SAN durante la validación; es decir, se puede utilizar si la certificación del servidor no tiene una SAN para certificados autofirmados. Valor predeterminado: false.
      • fetchCRLEnabled: <boolean> Si no es false, SASE Orchestrator recupera la información de CRL que está integrada en las entidades de certificación proporcionadas. Predeterminado: true
      • rejectUnauthorized: <boolean> Si no es "false", SASE Orchestrator aplica la validación jerárquica de PKI en la lista de entidades de certificación proporcionadas. Valor predeterminado: true. (Esto es mayormente necesario para realizar pruebas. No lo utilice en producción).
      • caCertificate: <string> SASE Orchestrator puede aceptar una cadena que contenga certificados con formato PEM para anular de forma opcional los certificados de entidades de certificación de confianza (puede contener varias CRL en un formulario concatenado que acepte openssl). El valor predeterminado es confiar en las entidades de certificación conocidas que selecciona Mozilla. Esta opción se puede utilizar para permitir que acepte una entidad de certificación local que rija la entidad. Por ejemplo, para clientes locales que tienen sus propias entidades de certificación y PKI.
      • crlPem:<string> SASE Orchestrator puede aceptar una cadena que contenga CRL con formato PEM (puede contener varias CRL en un formulario concatenado que acepte openssl). Esta opción se puede utilizar para permitir aceptar CRL guardadas en local. Si fetchCRLEnabled se establece como "true", SASE Orchestrator combinará esta información con las CRL recuperadas. Esto es principalmente necesario para un escenario específico en el que los certificados no contienen información del punto de distribución de CRL.
      • crlDistributionPoints: <Array> SASE Orchestrator puede aceptar de forma opcional un URI de puntos de distribución de CRL de matriz en el protocolo "http". SASE Orchestrator no acepta ningún URI "https".
      • crlPollIntervalMinutes: <number> Si fetchCRLEnabled no se establece como "false", SASE Orchestrator sondeará las CRL cada 12 horas. Sin embargo, este parámetro puede anular de forma opcional este comportamiento predeterminado y actualizar la CRL según el número proporcionado.

Configurar un ejemplo de enrutamiento de Syslog seguro

SASE Orchestrator tiene las siguientes opciones de propiedad del sistema para organizar los parámetros descritos de manera que permita el enrutamiento de Syslog seguro.
Nota: El siguiente ejemplo debe modificarse según la confianza de la estructura de la cadena.

{"enable": true,"options": {"appName": "node-portal","protocol": "tls","port": 8000,"host": "host.docker.internal","localhost": "localhost"},"secureOptions": {"caCertificate": "-----BEGIN CERTIFICATE-----MIID6TCCAtGgAwIBAgIUaauyk0AJ1ZK/U10OXl0GPGXxahQwDQYJKoZIhvcNAQELBQAwYDELMAkGA1UEBhMCVVMxCzAJBgNVBAgMAkNBMQ8wDQYDVQQHDAZ2bXdhcmUxDzANBgNVBAoMBnZtd2FyZTEPMA0GA1UECwwGdm13YXJlMREwDwYDVQQDDAhyb290Q2VydDAgFw0yMTA5MjgxOTMzMjVaGA8yMDczMTAwNTE5MzMyNVowYDELMAkGA1UEBhMCVVMxCzAJBgNVBAgMAkNBMQ8wDQYDVQQHDAZ2bXdhcmUxDzANBgNVBAoMBnZtd2FyZTEPMA0GA1UECwwGdm13YXJlMREwDwYDVQQDDAhyb290Q2VydDCCASIwDQYJKoZIhvcNAQEBBQADggEPADCCAQoCggEBAMwG+Xyp5wnoTDxpRRUmE63DUnaJcAIMVABm0xKoBEbOKoW0rnl3nFu3l0u6FZzfq+HBJwnOtrBO0lf/sges2/QeUduCeBC/bqs5VzIRQdNaFXVtundWU+7Tn0ZDKXv4aRC0vsvjejU0H7DCXLg4yGF4KbM6f0gVBgj4iFyIjcy4+aMsvYufDV518RRB3MIHuLdyQXIe253fVSBHA5NCn9NGEF1e6Nxt3hbzy3Xe4TwGDQfpXx7sRt9tNbnxemJ8A2ou8XzxHPc44G4O0eN/DGIwkP1GZpKcihFFMMxMlzAvotNqE25gxN/O04/JP7jfQDhqKrLKwmnAmgH9SqvV0F8CAwEAAaOBmDCBlTAdBgNVHQ4EFgQUSpavxf80w/I3bdLzubsFZnwzpcMwHwYDVR0jBBgwFoAUSpavxf80w/I3bdLzubsFZnwzpcMwDwYDVR0TAQH/BAUwAwEB/zAOBgNVHQ8BAf8EBAMCAYYwMgYDVR0fBCswKTAnoCWgI4YhaHR0cDovL2xvY2FsaG9zdDo1NDgzL2NybFJvb3QucGVtMA0GCSqGSIb3DQEBCwUAA4IBAQBrYkmg+4x2FrC4W8eU0S62DVrsCtA26wKTVDtor8QAvi2sPGKNlv1nu3F2AOTBXIY+9QV/Zvg9oKunRy917BEVx8sBuwrHW9IvbThVk+NtT/5fxFQwCjO9l7/DiEkCRTsrY4WEy8AW1CcaBwEscFXXgliwWLYMpkFxsNBTrUIUfpIR0Wiogdtc+ccYWDSSPomWZHUmgumWIikLue9/sOvV9eWy56fZnQNBrOf5wUs0suJyLhi0hhFOAMdEJuL4WnYthX5d+ifNon8ylXGO6cOzXoA0DlvSmAS+NOEekFo6R1Arrws0/nk6otGH/Be5+/WXFmp0nzT5cwnspbpA1seO-----END CERTIFICATE-----","disableServerIdentityCheck": true,"fetchCRLEnabled":true,"rejectUnauthorized": true,"crlDistributionPoints": http://cacerts.digicert.com/DigiCertTLSHybridECCSHA3842020CA1-1.crt

Para configurar el enrutamiento de Syslog, consulte el siguiente objeto JSON como un ejemplo (imagen a continuación).

Si la configuración se realiza correctamente, SASE Orchestrator generará el siguiente registro y comenzará el enrutamiento.

[portal:watch] 2021-10-19T20:08:47.150Z - info: [process.logger.163467409.0] [660] El registro remoto se ha configurado correctamente para las siguientes opciones {"appName":"node-portal","protocol":"tls","port":8000,"host":"host.docker.internal","localhost":"localhost"}

Enrutamiento de Syslog seguro en modo FIPS

Cuando el modo FIPS está activado para el enrutamiento de Syslog seguro, la conexión se rechazará si el servidor syslog no ofrece los siguientes conjuntos de claves de cifrado: "TLS_AES_256_GCM_SHA384:TLS_AES_128_GCM_SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256." Además, independientemente del modo FIPS, si el certificado del servidor syslog no tiene un campo de uso de claves ampliado que establezca el atributo "ServerAuth", se rechazará la conexión.

Recuperación de información de CRL constante

Si fetchCRLEnabled no se establece como "false", SASE Orchestrator actualizará de forma regular la información de la CRL cada 12 horas a través del mecanismo de trabajo de back-end. La información de CRL recuperada se almacenará en la propiedad del sistema correspondiente titulada log.syslog.lastFetchedCRL.{serverName}. Esta información de la CRL se comprobará en cada intento de conexión con el servidor syslog. Si se produce un error durante la recuperación, SASE Orchestrator generará un evento de operador.

Si fetchCRLEnabled se establece en true, habrá tres propiedades del sistema adicionales para seguir el estado de la CRL, como se indica a continuación: log.syslog.lastFetchedCRL.backend, log.syslog.lastFetchedCRL.portal, log.syslog.lastFetchedCRL.upload, como se muestra en la siguiente imagen. Esta información mostrará la hora de la última actualización de la CRL y la información de la CRL.

Registro

Si la opción "fetchCRLEnabled" se establece como "true", SASE Orchestrator intentará recuperar las CRL. Si se produce un error, SASE Orchestrator generará un evento y se mostrará en la página Eventos de operador (Operator Events).