İçeriğe geç

Aruba Controller Syslog – Palo Alto USER-ID

Kablosuz ağ sektörünün en iyilerinden olan Aruba markası ile Güvenlik duvarı sektörünün önde gelenlerinden Palo Alto birçok büyük kuruluşta aynı ağ altyapısında birlikte bulunuyorlar. Palo Alto aruba

Böyle büyük kuruluşlarda ağ güvenliği sistemleri yöneticisi kendi cihazının (firewall) loglarında IP – MAC adresi haricinde kullanıcı adını da görmeyi aşağıdaki sebeplerden dolayı tercih edebilir;

  1. Kullanıcı bazlı erişim izinlerini tanımlama
  2. Son kullanıcı temelli sorunların çözümünde hız kazanma
  3. Daha kaliteli log tutma

Amaç: Bu yazıda PAN-OS’un bize sağladığı Syslog listener özelliği sayesinde Aruba Controller’ın syslog loglarından son kullanıcı domain adı / IP adresi bilgisini Palo Altoya çekeceğiz. Bu anlatım mantıksal topolojinin aşağıda görseldeki gibi olduğu bir ortamda test edilmiştir. Testlerde PAN-OS v.8 , Aruba Controller v. 6.5 sürümlerindeki cihazlar kullanılmıştır.Palo alto aruba controller 1

Aruba AP’ler Aruba Controller’a register olmuş ve çalışır durumdalar. Controllerda 1 adet SSID ayarlanmış olup AP’ler bu SSID’nin yayınını yapmaktalar. Aruba wireless controller’da ayarlanan SSID’de erişim doğrulama kaynağı olarak NAC sunucusu ayarlanmış. NAC sunucusu kablosuz ağa bağlanmaya çalışan kullanıcının Active Directory’deki kullanıcı grubuna göre dinamik vlan ataması yapmakta. DHCP server ise yine Active Directory gibi Sunucular bloğundadır.

Bu senaryoda, kablosuz ağ kullanıcılarının hem kullanıcı adı hemde IP adresi bilgisinin syslog’a yazıldığı tek cihaz Aruba wireless controllerdır. Bu syslog loglarının Palo Alto tarafına gönderilmesi ve Palo Alto’da ise gelen syslog loglarının parse edilmesi ile amacımıza ulaşmış olacağız.

1. Aruba Wireless Controller Tarafında Syslog sunucusu olarak Palo Altonun Ayarlanması

Aruba wireless controller’a SSH ile bağlanıp aşağıdaki komutlar ile sylog içerisindeki “authmgr” loglarının Palo Altoya gönderilmesini sağlayın.

config t

logging level notifications user process authmgr 

logging <Palo Alto IP adresi>

Yukarıdaki komutları girmeniz önceden ayarlanmış syslog sunucusu ayarlarını değiştirmeyecektir. Yapılan ayarları Aruba controller web arayüzünden kontrol ettiğimizde aşağıdaki gibi görünür.

aruba palo alto

Palo Alto’da Packet Capture özelliği ile syslog paketlerinin doğru gelip gelmediğini kontrol etmek için Packet Capture özelliğini kullanabiliriz:

  • Palo Alto web arayüzünden Monitor sekmesine gelin, Packet Capture’a tıklayın.
  • “Configure filtering” kutusunda “Manage Filters” tıklayın.
  • Source: Aruba wireless controller destination: Palo Alto IP adresleri olacak şekilde ayarlayın.packer capture user id
  • OK tuşuna basın, “Configure Filtering” kutusunda Fileringi ON durumuna getirin.
  • “Configure capturing” kutusunda firewall packet capturelarını almak için: Add butonuna basarak yeni bir stage oluşturun.
  • Packet Capture butonunu ON durumuna getirin. Kısa bir süre çalıştırdıktan ve “Captured Files” kutusunda fw adlı dosyanın oluştuğunu gördükten sonra capture’ı kapatın. Fw dosyasını indirin ve wireshark ile açın. Görmeniz gereken log aşağıdaki gibi kullanıcı adı, mac adresi, IP adresi .. bilgilerini içermelidir.

Message [truncated]: Nov 15 13:51:42 2018 ***-7205-1 authmgr[4103]: <522008> <4103> <NOTI> <***-7205-1 10.10.171.51>  User Authentication Successful: username=alperen.soyalp MAC=90:8d:6c:e8:**:** IP=10.10.104.13 role=authenticated VLAN=10

[casoyalp-ad wminh=”” wmaxh=”” mminh=”” mmaxh=””]

2. Syslog Parse Profile Oluşturma

Loglar Palo Altoya geldiğine göre artık Palo Alto tarafında “Syslog Parse Profile” oluşturup gelen logları anlamlı hale getirebiliriz. Device > User Identification > User Mapping sekmesine gelin ve Palo Alto Networks User-ID Agent Setup kutusunun sağ üst köşesindeki ayarlar çarkına tıklayın.

Syslog filters sekmesine gelin. “Add” butonuna basarak yeni “Syslog Parse Profile” oluşturun. 3. Sıradaki type kısmından “Field Identifier” seçin ve ayarları aşağıda gösterildiği gibi yapın.

syslog parse profile

OK butonuna basarak yaptığınız değişiklikleri kaydedin.

3. Palo Alto’da Syslog sender Ayarlama (Aruba Wireless Controller) ayarları

Device > User Identification > User Mapping altına gelin Server Monitoring kutusunda Add butonuna basarak yeni bir tane USER-ID monitored server ekleyin.

Type kısmından Syslog Sender seçin, Network Adres kısmına Aruba Wireless Controller IP adresini yazın. Connection Type için UDP seçin. Filter kısmından 2. Aşamada oluşturduğunuz “Aruba Wireless Controller” syslog parse profilini seçin. Event type’tan da login seçin. Aruba Controller syslog gönderirken kullanıcı adının başına veya sonuna domain adını yazmaz bu yüzden en alt kısımdaki default domain name kısmına domaininizi yazın. OK butonuna basarak kaydedin.

user-id monitor server

4. Palo Alto Interface mgmt Ayarları

Palo Altoya syslog loglarının ulaştığı interface’de  “USER-ID Syslog Listener-UDP”’ye izin verin. Bunun için öncelikle Network > Network Profiles > Interface Mgmt altına gelin. Burada yeni bir interface mgmt profili oluşturun ve bu profilde “USER-ID Syslog Listener-UDP” seçeneğini seçin. Veya Palo Altoda syslogu gönderdiğiniz IP’nin tanımlı olduğu interface’in mevcut interface mgmt profilini düzenleyerek orada “USER-ID Syslog Listener-UDP” seçeneğini seçin.

interface mgmr syslog

Yapılan ayarların çalıştığını teyit etmek için SSH ile Palo Altoya bağlanın, “Show user ip-user-mapping all” komutunu girin. Komut çıktısında From sütunu altında SYSLOG görünenler yukarıda yapılan ayarlar ile parse edilmiş syslog kayıtlarından getirilen kullanıcılardır. Ayrıca kısa bir süre sonra Palo Alto Monitor > Logs > traffic de Source User’larda da bu kullanıcıları görebilirsiniz.

palo alto aruba

[casoyalp-ad wminh=”” wmaxh=”” mminh=”” mmaxh=””]

Diğer Palo Alto yazıları için: https://alperensoyalp.com/category/palo-alto/

Referances: PAN-OS® 8.0 Administrator’s Guide

https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClI1CAK

https://community.arubanetworks.com/t5/Wireless-Access/User-authentication-in-syslog/td-p/152122

Palo Alto Aruba

“Aruba Controller Syslog – Palo Alto USER-ID” hakkında 2 yorum

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir