Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
Nesta página
 

Configure o Syslog no TLS

SUMMARY Saiba como configurar seu dispositivo para transportar mensagens de log do sistema (também conhecidas como mensagens de syslog) com segurança pelo protocolo de segurança de camada de transporte (TLS).

Logs de plano de controle

Control plane logs, also called system logs, include events that occur on the routing platform. The system sends control plane events to the eventd process on the Routing Engine, which then handles the events by using Junos OS policies, by generating system log messages, or by doing both. You can choose to send control plane logs to a file, user terminal, routing platform console, or remote machine. To generate control plane logs, use the syslog statement at the [system] hierarchy level.

Exemplo: Configure o Syslog no TLS

Este exemplo mostra como configurar um dispositivo da Juniper Networks para transportar mensagens de syslog (logs de plano de controle) com segurança sobre o TLS.

Requisitos

Este exemplo usa os seguintes componentes de hardware e software:

  • Versão Junos OS 21.2R1 ou posterior

  • Junos OS Evolved Release 23.4R1 ou posterior

  • Dispositivo em execução Junos OS ou Junos OS Evolved (cliente do syslog)

  • Servidor Syslog

Visão geral

Você usa o protocolo TLS para permitir o transporte seguro de mensagens de log do sistema (logs de plano de controle) do cliente do syslog até o servidor syslog. O TLS usa certificados para autenticar e criptografar a comunicação.

  • Autenticação de servidor (ou TLS unidiretório) — O cliente verifica a identificação do servidor e confia no servidor.
  • Autenticação mútua — tanto o servidor quanto o cliente confiam uns nos outros.

Você pode escolher a autenticação do servidor ou a autenticação mútua, dependendo da sua rede. Para acessar rapidamente as informações de que precisa, clique nos links da Tabela 1.

Tabela 1: Modos de autenticação TLS

Modo de autenticação

Procedimento

Seção onde as informações estão localizadas

Autenticação de servidor

Configure PKI

Configure o dispositivo

Autenticação de servidor

Configuração

No exemplo a seguir, usamos o protocolo TLS para transportar mensagens de syslog com segurança (logs de plano de controle) do dispositivo juniper para o servidor de syslog remoto. A Figura 1 mostra a topologia básica usada neste exemplo.

Figura 1: Syslog sobre TLSSyslog sobre TLS
Visão geral da configuração de infraestrutura de chave pública (PKI)

Para configurar o PKI no dispositivo:

  1. Crie um perfil de autoridade de certificação (CA) e associe um identificador de CA com o perfil da CA. Veja exemplo: Configurando um perfil de CA.
  2. (Opcional) Crie uma verificação de revogação para especificar um método para validar o certificado. Você pode usar listas de revogação de certificados (CRLs) ou o Online Certificate Status Protocol (OCSP). Consulte a revogação do certificado.
  3. (Opcional) Crie um grupo de CA confiável e adicione o perfil de CA ao grupo de confiança. Veja a configuração de um grupo de CA confiável.
  4. Carregue o certificado ca no dispositivo. Você pode carregar o certificado manualmente. Veja exemplo: Carregamento manual de CA e certificados locais. Com base no seu ambiente de implantação, você pode usar o Protocolo de Gerenciamento de Certificados versão 2 (CMPv2) ou o Protocolo simples de inscrição de certificados (SCEP) para a inscrição on-line de certificados. Consulte a inscrição de um certificado de CA on-line usando o SCEP e a inscrição de certificados de compreensão com o CMPv2.
  5. (Opcional para autenticação mútua) Carregue o certificado local no dispositivo. Você pode carregar o certificado local manualmente. Com base no seu ambiente de implantação, você pode usar CMPv2 ou SCEP para a inscrição on-line de certificados. Consulte a inscrição de um certificado local on-line usando o SCEP e a inscrição de certificados de compreensão com o CMPv2.
  6. Verifique se os certificados estão carregados com sucesso. Use o comando de verificação do certificado pki ca de segurança de solicitação para verificar se o certificado ca carregou com sucesso. Use o comando de verificação local pki de segurança de solicitação para verificar se o certificado local foi carregado com sucesso.
Configure a autenticação do servidor em seu dispositivo
Procedimento passo a passo

O procedimento a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter informações sobre como navegar na CLI, consulte Usando o Editor de CLI no modo de configuração.

Para configurar o dispositivo:

  1. Especifique o servidor de syslog que recebe as mensagens de log do sistema. Você pode especificar o endereço IP do servidor de syslog ou um nome de host totalmente qualificado. Neste exemplo, use 10.102.70.233 como endereço IP do servidor syslog.

  2. Especifique o número de porta do servidor de syslog.

  3. Especifique o protocolo de transporte de syslog para o dispositivo. Neste exemplo, use o TLS como protocolo de transporte.

  4. Especifique o nome do grupo de autoridade de certificado confiável (CA) ou especifique o nome do perfil ca a ser usado. Neste exemplo, use o exemplo-ca como o perfil ca.

  5. Configure o dispositivo para enviar todas as mensagens de log.

  6. Confirmar a configuração.

Resultados

No modo de configuração, confirme sua configuração usando o show system syslog comando.

Verificação

Para verificar se a configuração está funcionando corretamente, insira o show log comando no servidor do syslog.

Consulte também

Logs de plano de dados

Data plane logs, also called security logs, include security events that are handled inside the data plane. Security logs can be in text or binary format, and you can save them locally (event mode) or configure your device to send the logs to an external server (stream mode). You require binary format for stream mode. We recommend binary format to conserve log space in event mode.

Exemplo: Configure o protocolo de syslog TLS em firewalls da Série SRX

Este exemplo mostra como configurar o protocolo de syslog de segurança de camada de transporte (TLS) em firewalls da Série SRX para receber eventos de syslog criptografados de dispositivos de rede que oferecem suporte ao encaminhamento de eventos de syslog TLS.

Requisitos

Antes de começar, habilite recursos de verificação e criptografia ou descriptografia de certificados de servidor.

Visão geral

O protocolo de syslog TLS permite que uma fonte de log receba eventos de syslog criptografados de dispositivos de rede que oferecem suporte ao encaminhamento de eventos de syslog TLS. A fonte de log cria uma porta de escuta para eventos de syslog TLS de entrada e gera um arquivo de certificado para os dispositivos de rede.

Neste exemplo, você configura um coletor de syslog associado a um perfil SSL-I. Cada perfil SSL-I permite que o usuário especifique coisas como suíte de cifras preferidas e certificados de CA confiáveis. Você pode configurar vários perfis SSL-I e associar os perfis a diferentes servidores de coletor.

Configuração

Procedimento
Configuração rápida da CLI

Para configurar rapidamente esta seção do exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere quaisquer detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos no CLI no nível de hierarquia e, em seguida, entrar no [edit]commit modo de configuração.

Procedimento passo a passo

O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, veja Usando o Editor de CLI no modo de configuração no Guia do usuário da CLI.

Para configurar o protocolo de syslog TLS:

  1. Defina o modo de log para transmitir.

  2. Especifique o formato de log de sistema estruturado (sd-syslog) para registrar mensagens de segurança remota.

  3. Definir o número da interface de origem do host.

  4. Especifique o TLS como o protocolo de transporte de log de segurança a ser usado para registrar os dados.

  5. Especifique o nome do perfil do TLS.

  6. Configure o fluxo de log para usar o formato de syslog estruturado para enviar logs ao servidor 1.

  7. Definir a categoria de registro de servidor 1 para todos.

  8. Especifique os parâmetros do host do servidor digitando o nome do servidor ou endereço IP.

  9. Defina a versão de protocolo para o perfil de acesso de iniciação SSL.

  10. Conecte todos os grupos de perfil de CA ao perfil de iniciação SSL para usar ao solicitar um certificado do peer.

  11. Configure o perfil de acesso de iniciação SSL para ignorar a falha de autenticação do servidor.

Resultados

No modo de configuração, verifique sua configuração usando o show security log comando. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.

Se você terminar de configurar o dispositivo, entre no commit modo de configuração.

Verificação

Para verificar se a configuração está funcionando corretamente, insira o show log comando no servidor do syslog.