日志记录是记录设备活动和跟踪网络安全事件的重要机制。它使管理员能够查看日志中的可疑活动并调查事件。设备上不完整的日志记录配置可能导致信息丢失或不准确,并且难以关联设备或网络上发生的事件。正确的日志记录包括将日志发送到多个远程日志服务器,将时钟同步到多个经过身份验证的时间源,以及实施日志管理策略和过程。安全信息和事件管理(SIEM)系统可用于聚合和分析远程日志服务器收到的日志。日志应按照管理和预算办公室(OMB)备忘录M-21-31的建议保留。
6.1 启用日志记录仅当启用日志记录时,才会在网络设备上生成日志消息。应将设备配置为同时将日志消息发送到本地日志缓冲区和集中式日志服务器。
NSA建议启用syslog日志记录,将本地日志缓冲区设置为16MB或更大,并建立一个过程来验证日志是否定期接收和查看。大多数设备应该能够支持较大的缓冲区大小,但如果内存不足,则可以针对特定设备减小缓冲区大小。
确保使用以下配置命令启用系统日志日志记录:
logging on
使用以下配置命令增加最大本地日志缓冲区:
logging buffered 16777216 informational
注意:这还会将日志记录级别更改为信息级别,因为必须同时设置这两个值。
6.2 建立集中式远程日志服务器发送到远程日志服务器的日志消息不易受到损害或删除,从而确保在设备受到威胁、重新启动或本地日志缓冲区已满时,消息不会受到影响。在防御 DoS 影响和减少单点故障时,多个日志服务器至关重要。
NSA建议至少建立两个远程集中式日志服务器,以确保设备日志消息的监视、冗余和可用性。如果支持,请确保在传输过程中对日志消息进行加密,以防止未经授权泄露敏感信息。出站系统日志消息只能在 Cisco IOS 设备上加密,方法是在设备和远程系统日志服务器之间创建 IPsec 隧道,如2.6 限制和加密虚拟专用网络 (VPN) 中所述。
使用以下配置命令配置至少两个远程日志服务器:
logging host <IP_ADDRESS_1>
logging host <IP_ADDRESS_2>
6.3 捕获必要的日志信息在日志中配置了足够信息的设备为管理员提供了分析与事件相关的事件所需的信息,包括关联多个事件或其他设备上发生的事件。
NSA建议将每个设备上的陷阱和缓冲区日志记录级别至少设置为syslog级别“信息”(代码6),以收集所有必要的信息。可以将设备配置为“调试”(代码7),但生成的消息数量的增加可能会减慢日志审查过程。使用以下配置命令将陷阱和缓冲区日志记录级别都设置为信息性:
logging trap informational logging buffered 16777216 informational
注意:这还将设置本地日志缓冲区的最大值,因为必须同时设置这两个值。
还可以分别使用控制台和监视器关键字在控制台和VTY 行上启用日志记录。这些方法将立即提醒已登录的管理员,但不会保留消息。除非管理员需要,否则不必为这些方法启用日志记录。可以使用以下配置命令禁用这些日志记录机制:
no logging console no logging monitor
NSA还建议使用协调世界时(UTC)作为时区,尤其是在网络跨越多个时区的情况下。所有日志消息都应包含正确配置的时间戳,其中包含完整日期(包括年份)、时间(包括秒和毫秒)以及时区。确保正确设置了时区,并使用以下配置命令启用上面列出的所有功能:
clock timezone UTC 0 0
service timestamps log datetime msec localtime show-timezone year service timestamps debug datetime msec localtime show-timezone year
最后,NSA 还建议启用日志消息,以指示用户登录系统的时间是成功还是失败。即使这些事件在正确配置记账时记录在集中式 AAA 服务器上,此信息也不会记录在本地缓冲区中。确保使用以下配置命令记录这些事件:
login on-failure log login on-success log
网络时间协议 (NTP) 用于同步全球范围内的设备时钟,并确保日志消息中包含的时间戳相当准确。为了提供这种可靠性,每个设备应至少与两个受信任的时间源同步。这种准确性对于确保日志消息时间戳可以跨地理位置分散的时区轻松关联,并用于集体跟踪从一台设备到另一台设备的网络事件至关重要。
NSA建议每个设备和远程日志服务器至少使用两个值得信赖和可靠的时间服务器,以确保信息的准确性和可用性。应将内部时间服务器确定为所有设备的主要源,这些设备随后应与权威的外部源同步。此设计减少了外部请求的数量,并确保在无法访问外部时间服务器时时间戳的一致性。在网络上部署时间服务器时,管理员应确认设备可以访问时间服务器,并且在应用配置后同步时钟。
NSA还建议在所有设备上启用 NTP 身份验证,以防止时钟篡改,并在设备与其指定的时间源之间配置强大、唯一的 NTP 身份验证密钥。
使用以下配置命令建立受信任的 NTP 密钥并启用 NTP 身份验证:
ntp authentication-key <#1> md5 <KEY>ntp trusted-key <#1>
ntp authentication-key <#2> md5 <KEY>ntp trusted-key <#2>
ntp authenticate
可以建立任意数量的可信密钥。请注意,NTP 身份验证密钥将作为类型 7 密码存储在配置中。NTP身份验证不支持类型 6 AES 加密的密码。
使用以下配置命令将设备与至少两个不同的 NTP 服务器同步:
ntp server <IP_ADDRESS_1> key <#1>
ntp server <IP_ADDRESS_2> key <#2>
注:每个命令末尾的数字是用于对该特定服务器进行身份验证的受信任 NTP 密钥。
等待时钟同步后,使用以下 exec 命令验证 NTP 服务器的同步和状态:
show ntp status
show ntp associations
注意:每次 NTP 配置更改后,都必须验证时钟同步,并且可能需要几个小时才能正确同步。
