Cómo configurar un router/switch Cisco (y compatible) para que envíe los log/eventos a un SIEM, en concreto a Splunk, mediante UDP. Utilizaremos un switch Cisco C3725 pero el proceso es válido para la gran parte de modelos de Cisco y compatibles. Aunque usaremos Splunk como SIEM, el proceso es similar para otros SIEM.

Requisitos iniciales para enviar eventos de switch Cisco a Splunk

Deberemos disponer, como es lógico, de uno o varios switches/routers Cisco o compatibles, que serán los que monitorizaremos con Splunk.

Por otro lado, necesitaremos disponer de un servidor de SIEM con Splunk. En el siguiente enlace explicamos cómo montarlo en Linux/Windows:

Necesitaremos conocer la IP del servidor SIEM Splunk (en nuestro caso 192.168.1.26) y la del router/switch Cisco, para acceso a su gestión (en nuestro caso 192.168.1.100).

El equipo del SIEM Splunk tendrá que tener visibilidad en la red con el dispositivo Cisco, al menos por el puerto que decidamos usar.

Configurar receptor de datos UDP en SIEM Splunk

En el servidor de SIEM Splunk, desde la consola de gestión web, agregaremos un data input de tipo UDP. Para ello, desde la consola web de Splunk, pulsaremos en «Settings» – «Data inputs»:

Configurar receptor de datos UDP en SIEM Splunk

Pulsaremos en «UDP»:

Configurar receptor de datos UDP en SIEM Splunk

Pulsaremos en «New Local UDP»:

Configurar receptor de datos UDP en SIEM Splunk

Introduciremos los datos del input, en este caso, dado que usaremos este input para todos nuestros swiches, estableceremos un puerto, por ejemplo el 516 (usaremos este puerto para todos los switches de nuestra red, de esta forma podremos identificar el tipo de fuente para futuros filtros en Splunk) y no especificaremos una dirección IP dado que queremos que todos puedan enviar datos. Tampoco estableceremos un nombre de origen (source name), por el mismo motivo, dejaremos vacíos ambos campos, de modo que aceptaremos envío de datos desde cualquier IP y en el nombre de la fuente nos rellenará la IP y el puerto cuando se inicien los envíos:

Configurar receptor de datos UDP en SIEM Splunk

En el tipo de fuente, si no es una estándar que ya exista en Splunk, pulsaremos en «New» [1]. Introduciremos el nombre del tipo de fuente en «Source Type» [2], por ejemplo «sw_cisco». En «Source Type Category» [3], elegiremos «Network & Security» y en «Source Type Description» [4], introduciremos, por ejemplo, «Switch Cisco»:

Configurar receptor de datos UDP en SIEM Splunk

El asistente para agregar un nuevo input data nos mostrará un resumen de los valores elegidos, si son correctos pulsaremos en «Submit» para crearlo definitivamente:

Configurar receptor de datos UDP en SIEM Splunk

Configurar switch/router Cisco para envío de log/eventos a SIEM

Una vez creado el data input en Splunk, el siguiente paso será configurar los router/switches de cisco y compatibles para que envíen los datos de log/eventos al SIEM. Para ello deberemos acceder a la consola de gestión del switch, bien por SSH o bien por Telnet (según el método de acceso que tengamos configurado).

Una vez en la consola, entraremos en modo EXEC privilegiado introduciendo el comando:

(abreviado en)

A continuación entraremos en la configuración con el comando:

(abreviado config t)

Nos mostrará el mensaje:

Enter configuration commands, one per line. End with CNTL/Z.

Introduciremos los siguientes comandos para activar el envío de log/eventos al SIEM Splunk:

En los comandos anteriores hemos indicado la IP del servidor de SIEM Splunk (en nuestro caso 192.168.1.26) y el puerto establecido anteriormente para este input en Splunk (el 516):

Configurar switch/router Cisco para envío de log/eventos a SIEM

El switch devolverá el mensaje:

*Mar 2 21:35:32.420: %SYS-5-CONFIG_I: Configured from console by console
*Mar 2 21:35:33.420: %SYS-6-LOGGINGHOST_STARTSTOP: Logging to host 192.168.1.2

Los posibles niveles de log son:

  • emergencies.
  • alerts.
  • critical.
  • errors.
  • warnings.
  • notifications.
  • informational (nivel por defecto).
  • debugging.

A partir de este momento, el switch quedará «conectado» con Splunk y realizará el envío de log al SIEM automáticamente. Según el nivel de log establecido enviará unos eventos u otros.

Realizaremos esta misma configuración en todos los switches de nuestra red que queramos monitorizar.

Consultar eventos/log recibidos de los switches en SIEM Splunk

Para consultar los log/eventos de todos los switches de nuestra red, una vez configurados, accederemos a la consola web de Splunk y pulsaremos en «Search & Reporting»:

Consultar eventos/log recibidos de los switches en SIEM Splunk

Introduciremos un filtro, por ejemplo, dado que hemos establecido el nombre del tipo de fuente (source type) a sw_cisco para todo lo que venga por UDP y el puerto 516, introduciremos el filtro:

sourcetype=»sw_cisco»

Nos mostrará todos los log/eventos que hayan enviado los swtiches:

Consultar eventos/log recibidos de los switches en SIEM Splunk

Podremos filtrar por host (por IP del switch) o por source (udp:516) o por cualquier otro campo identificativo de estos eventos.

Como vemos, cuando habilitamos el logging en los router Cisco, envía un par de eventos al SIEM de «verificación» de conexión, que son los mismos que muestra en la consola del switch.