Lectura de registros de autenticación
Resolution
Desde Samba como controlador de dominio usando syslog Parse
Este artículo es para ayudar a los usuarios de palo alto redes firewalls usuarios con adopción de ID de usuario mediante la integración de un entorno con Samba4 como controlador de dominio.
´ No es el objetivo de este artículo mostrar cómo instalar Linux, Samba u otro software. Aquí vamos a demostrar sólo cómo configurar el software para el envío de logs a NGFW.
Para este artículo, utilicé el siguiente software y versiones:
Linux: Ubuntu 18,04 LTS
Samba: Samba versión 4.7.6-Ubuntu
Firewall: PA220 con PAN-OS 8.0.11
STEP1: configure Samba para escribir registros de eventos de inicio de sesión en una sola línea.
Open SMB. conf:
VI/etc/samba/smb.conf
- Agregue las siguientes líneas al final de la sección [global]:
log Level = 3
syslog = 3
VFS Object = full_audit
full_audit: Success = Connect
full_audit: falla = desconectar
full_audit: prefix =% u% I |% S
full_audit: Facility = local5root @ srvdc01:/etc/samba # CAT SMB. conf
# global Parameters
[global]
DNS reenviador = 8.8.8.8
nombre NetBIOS = srvdc01
Realm = mi dominio.
Función de servidor local = Active Directory controlador de dominio
Workgroup = dominio
idmap_ldb: utilizar rfc2307 = Yes
log Level = 3
syslog = 3
VFS Object = full_audit
full_audit: Success = Connect
f ull_audit: Failure = desconectar
full_audit: prefix =% u% I |% S
full_audit: Facility = local5
- Recargue la configuración de samba:
# smbcontrol All Reload-config
- Compruebe si los registros se registran como se esperaba:
# Cola-f/var/log/messages Jun 28 12:02:33 srvdc01 smbd_audit [1589]: MYDOMAIN\usuario01 192.168.70.51 | IPC_ | Connect | OK | IPC $
Ahora, necesitamos enviar estos registros al cortafuegos de Palo Alto Networks.
- Desplácese al directorio/etc/rsyslog.d/vea que otros archivos ya existen aquí, así que cree el siguiente archivo:
# VI/etc/rsyslog.d/00-Samba.conf
- Inserte la siguiente línea dentro de este archivo:
If $programname = = ' smbd_audit ' y $syslogseverity = = ' 5 ' then @ 192.168.10.6:514
donde 192.168.10.6 es dirección IP de MGMT.
Ahora, Samba está grabando los inicios de eventos en un mejor formato; Rsyslog está leyendo estos registros, filtrando según lo acordado como 00-Samba. conf y enviando a la dirección IP previamente configurada.
- Palo alto ssh Session: ver paquetes syslog:
admin @ PA-220-Lab > tcpdump Filter "src 192.168.70.50 y Port 514"
- Abra una nueva sesión SSH al cortafuegos y vea MGMT. pcap en tiempo real:
admin @ PA-220-Lab > View-pcap seguir Yes MGMT-pcap MGMT. pcap
12:09:30.927704 IP 192.168.70.50.60943 > 192.168.10.6. syslog: SYSLOG local5. Notice, longitud: 102
12:09:56.286576 IP 192.168.70.50.60943 > 192.168.10.6. syslog: syslog local5. Notice, longitud: 95
12:10:06.958614 IP 192.168.70.50.60943 > 192.168.10.6. syslog: SYSLOG local5. Notice, longitud: 98
12:10:08.723756 IP 192.168.70.50.60943 > 192.168.10.6. syslog: syslog local5. aviso, longitud: 99
12:10:08.724217 IP 192.168.70.50.60943 > 192.168.10.6. SYSLOG: syslog daemon. Notice, longitud: 124
12:10:08.724708 IP 192.168.70.50.60943 > 192.168.10.6. syslog: syslog daemon. Notice, longitud: 178
12:10:08.728748 IP 192.168.70.50.60943 > 192.168.10.6. SYSLOG: syslog local5. Notice, longitud: 189
12:10:08.729317 IP 192.168.70.50.60943 > 192.168.10.6. syslog: SYSLOG local5. Notice, longitud: 189
12:10:08.729916 IP 192.168.70.50.60943 > 192.168.10.6. syslog: syslog local5. Notice, longitud: 208
Paso 2: configure el Firewall creando un perfil de análisis syslog, un servidor monitoreado de identificación de usuario y comprobando usuarios de syslog:
- Ir al dispositivo > identificación del usuario, editar la configuración del agente de identificador de usuario de Palo Alto Networks > filtros syslog y haga clic en Agregar.
Usuario regex: MYDOMAIN\\\w * [-. _]? \w + Dirección regex: \d{1, 3} \.\d{1, 3} \.\d{1, 3} \.\d{1} - Cree un objeto de servidor monitoreado de identificación de usuario con la IP del remitente del syslog y añada el perfil de análisis de syslog como filtro.
Después de esto, complete la configuración de ID de usuario en el cortafuegos para permitir la adopción de ID de usuario.
Cuando finalice la configuración del cortafuegos, podrá ver los eventos de inicio de sesión de samba, como se indica a continuación:
Abrir sesión de cortafuegos SSH:
admin @ PA-220-Lab > Mostrar usuario IP-usuario-mapping todo tipo SYSLOG
IP Vsys de usuario IdleTimeout (s) MaxTimeout (s)
---------------------------------------------------------------------------------- -----------------------------------
192.168.70.51 VSYS1 syslog mydomain\usuario01 2696 2696
total: 1 usuarios
Consulte asignación de grupos:
admin @ PA-220-Lab > Mostrar usuario IP 192.168.70.51 IP
Dirección: 192.168.70.51 (vsys1)
usuario: mydomain\usuario01
de: syslog
timeout idle: 2684s
máx. TTL: 2684s
Group (s): mydomain\usuario01 (30)
cn = users, CN = builten, DC = My Domain, DC = local (2147483674)
cn = users Domain, CN = users, DC = My Domain, DC = local (2147483696)
Puede ver la información de SYSLOG en tiempo real en la GUI.
Ir al monitor-> logs-> User-ID
Introduzca este filtro "(DataSource EQ syslog)" y pulse "Enter". Usted verá:
Espero que este artículo ayuda a aumentar la adopción de ID de usuario en la red de palo alto de próxima generación firewalls o NGFW.
Por favor, siéntase libre de dejar comentarios o preguntas a continuación.
Este artículo fue aportado por
@fabianopereira
Sobre el autor
Fabiano trabaja como Coordinador de post ventas para LDC Soluções en Brasil y su principal objetivo es la seguridad de la información, utilizando plataformas compuestas, basadas en NGFW, Endpoint, SaaS y Cloud Technologies.