Aruba Controller Syslog – Palo Alto USER-ID

Alperen Soyalp 15 Kasım 2018 Network, Palo Alto2

Kablosuz ağ sektörünün en iyilerinden olan Aruba markası ile Güvenlik duvarı sektörünün önde gelenlerinden Palo Alto birçok büyük kuruluşta aynı ağ altyapısında birlikte bulunuyorlar. Palo Alto aruba

Böyle büyük kuruluşlarda ağ güvenliği sistemleri yöneticisi kendi cihazının (firewall) loglarında IP – MAC adresi haricinde kullanıcı adını da görmeyi aşağıdaki sebeplerden dolayı tercih edebilir;

Kullanıcı bazlı erişim izinlerini tanımlama
Son kullanıcı temelli sorunların çözümünde hız kazanma
Daha kaliteli log tutma

Amaç: Bu yazıda PAN-OS’un bize sağladığı Syslog listener özelliği sayesinde Aruba Controller’ın syslog loglarından son kullanıcı domain adı / IP adresi bilgisini Palo Altoya çekeceğiz. Bu anlatım mantıksal topolojinin aşağıda görseldeki gibi olduğu bir ortamda test edilmiştir. Testlerde PAN-OS v.8 , Aruba Controller v. 6.5 sürümlerindeki cihazlar kullanılmıştır.

Aruba AP’ler Aruba Controller’a register olmuş ve çalışır durumdalar. Controllerda 1 adet SSID ayarlanmış olup AP’ler bu SSID’nin yayınını yapmaktalar. Aruba wireless controller’da ayarlanan SSID’de erişim doğrulama kaynağı olarak NAC sunucusu ayarlanmış. NAC sunucusu kablosuz ağa bağlanmaya çalışan kullanıcının Active Directory’deki kullanıcı grubuna göre dinamik vlan ataması yapmakta. DHCP server ise yine Active Directory gibi Sunucular bloğundadır.

Bu senaryoda, kablosuz ağ kullanıcılarının hem kullanıcı adı hemde IP adresi bilgisinin syslog’a yazıldığı tek cihaz Aruba wireless controllerdır. Bu syslog loglarının Palo Alto tarafına gönderilmesi ve Palo Alto’da ise gelen syslog loglarının parse edilmesi ile amacımıza ulaşmış olacağız.

1. Aruba Wireless Controller Tarafında Syslog sunucusu olarak Palo Altonun Ayarlanması

Aruba wireless controller’a SSH ile bağlanıp aşağıdaki komutlar ile sylog içerisindeki “authmgr” loglarının Palo Altoya gönderilmesini sağlayın.

config t
logging level notifications user process authmgr
logging <Palo Alto IP adresi>

Yukarıdaki komutları girmeniz önceden ayarlanmış syslog sunucusu ayarlarını değiştirmeyecektir. Yapılan ayarları Aruba controller web arayüzünden kontrol ettiğimizde aşağıdaki gibi görünür.

Palo Alto’da Packet Capture özelliği ile syslog paketlerinin doğru gelip gelmediğini kontrol etmek için Packet Capture özelliğini kullanabiliriz:

Palo Alto web arayüzünden Monitor sekmesine gelin, Packet Capture’a tıklayın.
“Configure filtering” kutusunda “Manage Filters” tıklayın.
Source: Aruba wireless controller destination: Palo Alto IP adresleri olacak şekilde ayarlayın.
OK tuşuna basın, “Configure Filtering” kutusunda Fileringi ON durumuna getirin.
“Configure capturing” kutusunda firewall packet capturelarını almak için: Add butonuna basarak yeni bir stage oluşturun.
Packet Capture butonunu ON durumuna getirin. Kısa bir süre çalıştırdıktan ve “Captured Files” kutusunda fw adlı dosyanın oluştuğunu gördükten sonra capture’ı kapatın. Fw dosyasını indirin ve wireshark ile açın. Görmeniz gereken log aşağıdaki gibi kullanıcı adı, mac adresi, IP adresi .. bilgilerini içermelidir.

Message [truncated]: Nov 15 13:51:42 2018 ***-7205-1 authmgr[4103]: <522008> <4103> <NOTI> <***-7205-1 10.10.171.51> User Authentication Successful: username=alperen.soyalp MAC=90:8d:6c:e8:**:** IP=10.10.104.13 role=authenticated VLAN=10

2. Syslog Parse Profile Oluşturma

Loglar Palo Altoya geldiğine göre artık Palo Alto tarafında “Syslog Parse Profile” oluşturup gelen logları anlamlı hale getirebiliriz. Device > User Identification > User Mapping sekmesine gelin ve Palo Alto Networks User-ID Agent Setup kutusunun sağ üst köşesindeki ayarlar çarkına tıklayın.

Syslog filters sekmesine gelin. “Add” butonuna basarak yeni “Syslog Parse Profile” oluşturun. 3. Sıradaki type kısmından “Field Identifier” seçin ve ayarları aşağıda gösterildiği gibi yapın.

OK butonuna basarak yaptığınız değişiklikleri kaydedin.

3. Palo Alto’da Syslog sender Ayarlama (Aruba Wireless Controller) ayarları

Device > User Identification > User Mapping altına gelin Server Monitoring kutusunda Add butonuna basarak yeni bir tane USER-ID monitored server ekleyin.

Type kısmından Syslog Sender seçin, Network Adres kısmına Aruba Wireless Controller IP adresini yazın. Connection Type için UDP seçin. Filter kısmından 2. Aşamada oluşturduğunuz “Aruba Wireless Controller” syslog parse profilini seçin. Event type’tan da login seçin. Aruba Controller syslog gönderirken kullanıcı adının başına veya sonuna domain adını yazmaz bu yüzden en alt kısımdaki default domain name kısmına domaininizi yazın. OK butonuna basarak kaydedin.

4. Palo Alto Interface mgmt Ayarları

Palo Altoya syslog loglarının ulaştığı interface’de “USER-ID Syslog Listener-UDP”’ye izin verin. Bunun için öncelikle Network > Network Profiles > Interface Mgmt altına gelin. Burada yeni bir interface mgmt profili oluşturun ve bu profilde “USER-ID Syslog Listener-UDP” seçeneğini seçin. Veya Palo Altoda syslogu gönderdiğiniz IP’nin tanımlı olduğu interface’in mevcut interface mgmt profilini düzenleyerek orada “USER-ID Syslog Listener-UDP” seçeneğini seçin.

Yapılan ayarların çalıştığını teyit etmek için SSH ile Palo Altoya bağlanın, “Show user ip-user-mapping all” komutunu girin. Komut çıktısında From sütunu altında SYSLOG görünenler yukarıda yapılan ayarlar ile parse edilmiş syslog kayıtlarından getirilen kullanıcılardır. Ayrıca kısa bir süre sonra Palo Alto Monitor > Logs > traffic de Source User’larda da bu kullanıcıları görebilirsiniz.