Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
EN ESTA PÁGINA
 

Configurar Syslog a través de TLS

SUMMARY Obtenga información sobre cómo configurar el dispositivo para transportar mensajes de registro del sistema (también conocidos como mensajes syslog) de forma segura a través del protocolo Seguridad de la capa de transporte (TLS).

Registros del plano de control

Control plane logs, also called system logs, include events that occur on the routing platform. The system sends control plane events to the eventd process on the Routing Engine, which then handles the events by using Junos OS policies, by generating system log messages, or by doing both. You can choose to send control plane logs to a file, user terminal, routing platform console, or remote machine. To generate control plane logs, use the syslog statement at the [system] hierarchy level.

Ejemplo: Configurar Syslog a través de TLS

En este ejemplo se muestra cómo configurar un dispositivo de Juniper Networks para transportar mensajes syslog (registros del plano de control) de forma segura a través de TLS.

Requisitos

En este ejemplo, se utilizan los siguientes componentes de hardware y software:

  • Junos OS versión 21.2R1 o posterior

  • Junos OS Evolved versión 23.4R1 o posterior

  • Dispositivo con Junos OS o Junos OS evolucionado (cliente syslog)

  • Servidor Syslog

Descripción general

Utilice el protocolo TLS para habilitar el transporte seguro de mensajes de registro del sistema (registros del plano de control) desde el cliente syslog al servidor syslog. TLS utiliza certificados para autenticar y cifrar la comunicación.

  • Autenticación del servidor (o TLS unidireccional): el cliente verifica la identidad del servidor y confía en el servidor.
  • Autenticación mutua: tanto el servidor como el cliente confían el uno en el otro.

Puede elegir entre autenticación de servidor o autenticación mutua dependiendo de su red. Para acceder rápidamente a la información que necesita, haga clic en los vínculos de la Tabla 1.

Tabla 1: Modos de autenticación TLS

Modo de autenticación

Procedimiento

Sección donde se encuentra la información

Autenticación del servidor

Configurar PKI

Configurar el dispositivo

Autenticación del servidor

Configuración

En el siguiente ejemplo, usamos el protocolo TLS para transportar de forma segura mensajes syslog (registros del plano de control) desde el dispositivo Juniper al servidor syslog remoto. La figura 1 muestra la topología básica utilizada en este ejemplo.

Figura 1: Syslog a través de TLSSyslog a través de TLS
Descripción general de la configuración de la infraestructura de clave pública (PKI)

Para configurar PKI en el dispositivo:

  1. Cree un perfil de entidad de certificación (CA) y asocie un identificador de CA al perfil de CA. Consulte Ejemplo: Configuración de un perfil de CA.
  2. (Opcional) Cree una comprobación de revocación para especificar un método para validar el certificado. Puede usar listas de revocación de certificados (CRL) o el Protocolo de estado de certificado en línea (OCSP). Consulte Revocación de certificados.
  3. (Opcional) Cree un grupo de CA de confianza y agregue el perfil de CA al grupo de confianza. Consulte Configuración de un grupo de CA de confianza.
  4. Cargue el certificado de CA en el dispositivo. Puede cargar el certificado manualmente. Consulte Ejemplo: Cargar certificados locales y de CA manualmente. En función del entorno de implementación, puede usar el Protocolo de administración de certificados versión 2 (CMPv2) o el Protocolo simple de inscripción de certificados (SCEP) para la inscripción de certificados en línea. Consulte Inscripción de un certificado de CA en línea mediante SCEP y Descripción de la inscripción de certificados con CMPv2.
  5. (Opcional para autenticación mutua) Cargue el certificado local en el dispositivo. Puede cargar el certificado local manualmente. En función del entorno de implementación, puede usar CMPv2 o SCEP para la inscripción de certificados en línea. Consulte Inscripción de un certificado local en línea mediante SCEP y Descripción de la inscripción de certificados con CMPv2.
  6. Compruebe que los certificados se cargan correctamente. Utilice el comando request security pki ca-certificate verify para comprobar si el certificado de CA se ha cargado correctamente. Utilice el comando request security pki local-certificate verify para comprobar que el certificado local se ha cargado correctamente.
Configurar la autenticación del servidor en el dispositivo
Procedimiento paso a paso

El siguiente procedimiento requiere que navegue por varios niveles en la jerarquía de configuración. Para obtener información acerca de cómo navegar por la CLI, consulte Uso del editor de CLI en modo de configuración.

Para configurar el dispositivo:

  1. Especifique el servidor syslog que recibe los mensajes de registro del sistema. Puede especificar la dirección IP del servidor syslog o un nombre de host completo. En este ejemplo, utilice 10.102.70.233 como dirección IP del servidor syslog.

  2. Especifique el número de puerto del servidor syslog.

  3. Especifique el protocolo de transporte syslog para el dispositivo. En este ejemplo, use TLS como protocolo de transporte.

  4. Especifique el nombre del grupo de entidades emisoras de certificados (CA) de confianza o especifique el nombre del perfil de CA que se va a utilizar. En este ejemplo, utilice example-ca como perfil de CA.

  5. Configure el dispositivo para enviar todos los mensajes de registro.

  6. Confirme la configuración.

Resultados

En el modo de configuración, confirme la configuración mediante el show system syslog comando.

Verificación

Para comprobar que la configuración funciona correctamente, escriba el show log comando en el servidor syslog.

Consulte también

Registros del plano de datos

Data plane logs, also called security logs, include security events that are handled inside the data plane. Security logs can be in text or binary format, and you can save them locally (event mode) or configure your device to send the logs to an external server (stream mode). You require binary format for stream mode. We recommend binary format to conserve log space in event mode.

Ejemplo: Configurar el protocolo TLS Syslog en firewalls de la serie SRX

En este ejemplo se muestra cómo configurar el protocolo syslog de Seguridad de la capa de transporte (TLS) en firewalls de la serie SRX para recibir eventos syslog cifrados de dispositivos de red que admiten el reenvío de eventos syslog TLS.

Requisitos

Antes de comenzar, habilite las capacidades de cifrado o descifrado y comprobación de certificados de servidor.

Descripción general

El protocolo syslog TLS permite que un origen de registro reciba eventos syslog cifrados de dispositivos de red que admiten el reenvío de eventos syslog TLS. El origen del registro crea un puerto de escucha para eventos syslog TLS entrantes y genera un archivo de certificado para los dispositivos de red.

En este ejemplo, se configura un recopilador syslog asociado a un perfil SSL-I. Cada perfil SSL-I permite al usuario especificar cosas como el conjunto de cifrados preferidos y los certificados de CA de confianza. Puede configurar varios perfiles SSL-I y asociar los perfiles con diferentes servidores recopiladores.

Configuración

Procedimiento
Configuración rápida de CLI

Para configurar rápidamente esta sección del ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía [edit] y, luego, ingrese commit desde el modo de configuración.

Procedimiento paso a paso

En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacer eso, consulte Uso del editor de CLI en el modo de configuración de la Guía del usuario de CLI.

Para configurar el protocolo syslog TLS:

  1. Establezca el modo de registro en stream.

  2. Especifique el formato de registro del sistema estructurado (sd-syslog) para el registro remoto de mensajes de seguridad.

  3. Establezca el número de interfaz de origen del host.

  4. Especifique TLS como protocolo de transporte del registro de seguridad que se utilizará para registrar los datos.

  5. Especifique el nombre del perfil TLS.

  6. Establezca la secuencia de registro para que utilice el formato syslog estructurado para enviar registros al servidor 1.

  7. Establezca la categoría de registro del servidor 1 en todos.

  8. Especifique los parámetros de host del servidor introduciendo el nombre del servidor o la dirección IP.

  9. Defina la versión del protocolo para el perfil de acceso de iniciación SSL.

  10. Adjunte todos los grupos de perfiles de CA al perfil de iniciación de SSL para usarlos al solicitar un certificado del mismo nivel.

  11. Configure el perfil de acceso de iniciación SSL para omitir el error de autenticación del servidor.

Resultados

En el modo de configuración, compruebe la configuración mediante el show security log comando. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Cuando termine de configurar el dispositivo, ingrese commit en el modo de configuración.

Verificación

Para comprobar que la configuración funciona correctamente, escriba el show log comando en el servidor syslog.