A veces, notamos cambios en la configuración de un equipo en nuestra infraestructura. Muy a menudo, no tenemos tiempo para preguntar quién es el responsable de este cambio y por qué, especialmente si este último ha impactado la producción.
De hecho, implementar una política de auditoría es esencial para tener rastros en los registros. Además, si utilizamos equipos Cisco, tenemos una solución robusta llamada “ACS” que utiliza TACACS+ capaz de recopilar información de contabilidad desde un dispositivo de red.
Implementar una solución como ACS es costosa, especialmente para las PYMES. Sin embargo, podemos configurar una función que permite el registro de archivos conocido en inglés como “archive logging” y en el mundo Cisco como “Cisco as Configuration Notification and Logging“. Esta función es capaz de proporcionarnos información detallada sobre la persona que realizó una configuración exitosa en un equipo Cisco.
Configuración del Registro de Archivo
Suponiendo que tenemos usuarios configurados para autenticarse con SSH en nuestro equipo, el objetivo de esta parte es mostrarle cómo configurar la función “archive logging
“.
En el modo de configuración global de nuestro router, inyectamos la siguiente configuración para habilitar el registro de archivo:
BlogCCNA(config)#archive
BlogCCNA(config-archive)#log config
BlogCCNA(config-archive-log-cfg)#logging enable
Ahora, pasaremos a la fase de pruebas, autenticarnos mediante SSH con un usuario y luego cambiar nuestra configuración, por ejemplo (agregar una ruta estática y configurar una interfaz de loopback).
BlogCCNA(config)#interface loopback 23
BlogCCNA(config-if)#ip add 192.168.1.30 255.255.255.0
BlogCCNA(config-if)#no shutdown
BlogCCNA(config)#ip route 0.0.0.0 0.0.0.0 192.168.90.2
Para determinar qué usuario confirmó la configuración anterior utilizando la función de archivo, escribimos el comando: show archive log config all
El resultado es algo parecido a lo siguiente:
BlogCCNA#show archive log config all
Idx Sess User@Line Logged command
1 1 alex@vty0 logging enable
2 1 alex@vty0 exit
3 1 alex@vty0 exit
4 1 alex@vty0 interface loopback 23
5 1 alex@vty0 ip address 192.168.1.30 255.255.255.0
6 1 alex@vty0 no shutdown
7 1 alex@vty0 exit
8 1 alex@vty0 ip route 0.0.0.0 0.0.0.0 192.168.90.2
La ventaja de este comando de la función archive
es que nos muestra en detalle los últimos cambios realizados en nuestro equipo, incluido el nombre de la persona que realizó la tarea.
Además, podemos enviar los registros grabados en nuestro equipo al servidor Syslog de nuestra empresa (lo cual se recomienda).
Otras opciones de comando:
BlogCCNA(config)#archive
BlogCCNA(config-archive)#log config
BlogCCNA(config-archive-log-cfg)#logging enable
BlogCCNA(config-archive-log-cfg)#logging size 1000
BlogCCNA(config-archive-log-cfg)#hidekeys
- logging size 1000: Define el tamaño del buffer de logs a 1000 entradas.
- hidekeys: Oculta contraseñas y claves secretas en los logs de configuración para mejorar la seguridad.
Conclusión
Para finalizar, te sugiero tomar un router en GNS3 para probar esta configuración. ¡A sus teclados!