	  ___           ___           ___           ___           ___           ___     
     /\  \         /\__\         /\  \         /\__\         /\  \         /\  \    
     \:\  \       /:/  /        /::\  \       /::|  |       /::\  \       /::\  \   
      \:\  \     /:/__/        /:/\:\  \     /:|:|  |      /:/\:\  \     /:/\ \  \  
      /::\  \   /::\  \ ___   /:/  \:\  \   /:/|:|__|__   /::\~\:\  \   _\:\~\ \  \ 
     /:/\:\__\ /:/\:\  /\__\ /:/__/ \:\__\ /:/ |::::\__\ /:/\:\ \:\__\ /\ \:\ \ \__\
    /:/  \/__/ \/__\:\/:/  / \:\  \ /:/  / \/__/~~/:/  / \/__\:\/:/  / \:\ \:\ \/__/
   /:/  /           \::/  /   \:\  /:/  /        /:/  /       \::/  /   \:\ \:\__\  
   \/__/            /:/  /     \:\/:/  /        /:/  /        /:/  /     \:\/:/  /  
                   /:/  /       \::/  /        /:/  /        /:/  /       \::/  /   
                   \/__/         \/__/         \/__/         \/__/         \/__/    
				   .openmod.org



mise en place de logs du traffic sur routeur CISCO 17xx Series


=============================
Au programme...
=============================


-|- A. Introduction



-|- B. Shéma



-|- C. Parametrage CISCO 1721



-|- D. Parametrage KiwiSyslog



-|- E. Conclusion











-|- A. Introduction


Le log sous CISCO peut parfois s'apparenter a un veritable parcours du combatant au regard du 
baratin present sur leur site WEB ou dans la mediocre doc founir avec leur materiel.
Logger sur un CISCO Pix ne pose en general pas vraiment de difficultés, il existe en effet de 
nombreux tutoriaux expliquant precisement la manipulation a operer. En revanche, cela devient bien 
plus compliqué lorsque que l'on decide de mettre en place les logs sur un routeur type cisco 1721.

Avant de commencer directement dans L'IOS, il convient d'etablir une "strategie" reseau. Je suis 
partisant du 'moins j'en ouvre mieux mon reseau se porte'. Je n'ouvre donc que les ports 
strictement necessaire et y applique une politique de LOG sur ces ports. Ceci dans un souci de 
securité, de coup et de quantité de logs a analyser.



-|- B. Schema


Reprenons le shema suivant.


parc info + routeur 17XX =====>INTERNET=======>routeur + parc info




-|- C. Parametrage CISCO 1721


Le principe reste relativement simple, le CISCO 1721 route l'integralité des packets vers
l'exterieur suivant une politique pres defini. Le cisco va donc repertorier et classer l'ensemble
de ces packets suivant leur destination finale, le port utilisé, ainsi que la source emettrice 
du paquet. L'integralité du traffic entrant et sortant sera repertorié. A l'inverse du PIX le 
1721 ne permet pas encore (peut etre dans un IOS futur...) de stocker en son sein l'analyse de 
son traffic. Il vous fodra installer sur une machine annexe un serveur KIWI SYSLOG c'est ce 
dernier qui va stocker en temps reel les traces receuilli par le 1721.

En mode console il convient simplement d'inscrire les lignes suivantes :

logging history debugging
logging trap debugging
logging facility local2
logging source-interface Ethernet0
logging IP_DU_SERVEUR_KIWI_SYSLOG

Inutile je pense de vous commenter ces quelques lignes. Elles sont assez explicite.

De plus il convient de definir une access-list :

access-list 100 permit tcp any any range 0 65535 log
access-list 100 permit udp any any range 0 65535 log
access-list 100 permit ip any any log

via cette access-list nous indiquons au cisco que nous desirons logguer l'integralité du traffic
TCP et UDP des ports 0 > 65535


Dans cette hypothese, pas la peine d'epiloguer bien longtemps. Il sagit d'une simple regle
renvoyant l'integralité du flux sur un serveur kiwi syslog. Attention cependant à la quantité
de traces recoltées !! Recuperer l'integralité du traffic n'est pas une mince affaire. N'oubliez 
pas l'addage suivant, en matiere de log une regle est a observé, + il y a de log + c'est la merde.


Ainsi dans notre cher 1721 il convient tout simplement de mettre en place ceci afin de limiter
les ports a logguer. Pour ce faire on ajoute une simple access-list du type :

access-list 110 permit udp VOTRE_CLASSE_IP (ex:192.168.0.0) 0.0.0.255 any eq domain
access-list 110 permit tcp VOTRE_CLASSE_IP 0.0.0.255 any eq www
access-list 110 permit tcp VOTRE_CLASSE_IP 0.0.0.255 any eq 443
access-list 110 permit tcp VOTRE_CLASSE_IP 0.0.0.255 any eq ftp



-|- D. Parametrage du Serveur KIWI Syslog


L'installation du kiwi syslog deamon se fait de maniere tout a fait classic. Dans cette exemple 
nous allons installer la version 8.2.1.

Choisissez l'installation "AS SERVICE". Une fois l'installation terminé

happy syslogging !

L'edition freeware dispose d'options tout a fait suffisante pour notre tutorial, En revanche la 
version registered dispose quand a elle d'un bon paquet d'options supplementaire tout à fait 
interessante. c'est le cas notamment avec la possibilité de pouvoir appliquer des nombreux filtres 
sur les logs recuperer, ce qui s'avere extrement utilise pour se retrouver dans le flots permetuel 
de LOG. D'autes option tel la possibilité de vous envoyer les logs douteux via SMS ou ICQ sont 
disponible... bref tout a tas d'options aussi inutiles qu'indispensable.

L'integralité du parametrage du deamon kiwi syslog se fait dans la parti FILE > SETUP.

Pour un usage classique laissé les options par defauts exepté le point > LOG TO FILE.
dans cette option je vous conseil fortement d'indiquer le log fil format : 3Com 3CDeadmon format 
(BSD space delimited) Plus claire et beaucoup plus pratique a exploiter par la suite si besoin...

Dans l'option DNS resolution, je vous conseil vivement de cocher Resolve the IP adress of
the sending device.
Dans l'option INPUTS coché UDP, TCP et SNMP.

n'hesitez pas a sauvegarder votre configuration et a l'exporter sur un autre syslog afin de vous
eviter de vous casser la tete a nouveau.



-|- E. Conclusion

Votre serveur de log doit maintenant etre operationnel. l'integralité du flux sortant y sera 
archivé suivant la politique que vous avez decidé.


N'hésitez pas à me faire part de vos remarques !

a+ !