日志告警模块关于对安全策略当中deny日志源接口地址的溯源解决,(可以给类似工具开发的朋友一个参考)

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了日志告警模块关于对安全策略当中deny日志源接口地址的溯源解决,(可以给类似工具开发的朋友一个参考)相关的知识,希望对你有一定的参考价值。

一、场景说明
日志监控监测模块,通过收集网络设备发送的syslog中关于deny日志信息,来溯源到发出大量deny访问日志的设备所连接的二层设备的接口,通过降云产品平台有效对大量非法访问或攻击行为通过shutdown接入层接口的方式来阻断攻击蔓延,有效的保护内网安全。

二、已调研的产品支持范围

网络环境主要存在以下厂家的产品:
技术分享图片

随着网络规模越来越大,网络设备种类繁多,并且各自的配置错综复杂,对网络管理能力的要求也越来越高。传统网络管理系统多数只能分析到三层网络拓扑结构,无法确定网络设备的详细拓扑信息、是否存在配置冲突等。因此需要有一个标准的二层信息交流协议。
LLDP提供了一种标准的链路层发现方式。通过LLDP获取的设备二层信息能够快速获取相连设备的拓扑状态;显示出客户端、交换机、路由器、应用服务器以及网络服务器之间的路径;检测设备间的配置冲突、查询网络失败的原因。企业网用户可以通过使用网管系统,对支持运行LLDP协议的设备进行链路状态监控,在网络发生故障的时候快速进行故障定位。
思科发现协议(Cisco Discovery Protocol,简称:CDP)基本上是用来获取相邻设备的协议地址以及发现这些设备的平台。CDP 也可为路由器的使 用提供相关接口信息。CDP 是一种独立媒体协议,运行在所有思科本身制造的设备上,包括路由器、网桥、接入服务器和交换机。需要注意的是,CDP是工作在Layer2的协议,默认情况下,每60秒以01-00-0c-cc-cc-cc为目的地址发送一次组播通告,当达到180秒的holdtime上限后仍未获得邻居设备的通告时,将清除邻居设备信息。
三、拓扑展示
场景一:2个跳跃点
技术分享图片

场景一主要描述了客户环境为二层架构的时候体现,用户的核心层与接入层交换数据.
场景二:3个跳跃点
技术分享图片

场景三主要描述了客户网络环境为三层结构,主要体现为多楼层及网络分层的场景。

四、溯源接口流程
技术分享图片

实现方式
以下以目前降云环境为例;
第一步:平台收到一条deny 日志告警;
Sep 15 18:43:49.322 beijing: %SEC-6-IPACCESSLOGDP: list logtsh-test denied icmp 100.7.101.100 (Vlan3 28d2.4412.d722) -> 0.91.218.99 (8/0), 1 packet
第二步:通过日志获取到源设备的mac地址为28d2.4412.d722
第三步:平台登录到核心交换机查询该mac地址
技术分享图片
注意cisco与h3c MAC地址表现形式不一样,Cisco:28d2.4412.d722
H3C: 28d2-4412-d722
第四步:通过查询发现该mac地址是通过核心交换机的G1/0/4口学习到,继续执行网络邻接协议(LLDP)
<S5120-48P-EI-HX>display lldp neighbor-information
找到G1/0/4的领接关系:
技术分享图片
找到核心交换机个G1/0/4的邻居为cisco 3750,管理地址为100.7.101.3
第五步:登录到查询到的领接二层设备,执行Mac地址查询
技术分享图片
登录到二层设备执行 WS-C3750v2-48TS#show mac address-table | in 28d2.4412.d722
确认该MAC地址为二层设备的Fa1/0/26口
六、命令集整合
华为设备开启lldp命令:
<HUAWEI> system-view
[HUAWEI] sysname SwitchA
[SwitchA] lldp enable
华为兼容CDP命令:
执行命令system-view,进入系统视图。
执行命令interface?interface-type?interface-number,进入接口视图。
执行命令lldp compliance cdp receive,使能LLDP兼容CDP协议的功能。
缺省情况下,LLDP兼容CDP的功能未使能。
CISCO LLDP 协议开启命令:
Switch# configure terminal
Switch(config)# lldp run
Switch(config)# end
CISCO cdp 默认开启

以上是关于日志告警模块关于对安全策略当中deny日志源接口地址的溯源解决,(可以给类似工具开发的朋友一个参考)的主要内容,如果未能解决你的问题,请参考以下文章

90行代码,搞定日志监控框架

关于Aborted connection告警日志的分析

ElastAlert规则

cephfs中告警盘点

Logback异常日志监控告警

关于logback日志级别的配置