Implementació d'anàlisi de xarxa segura de CISCO
Informació del producte
Especificacions:
- Nom del producte: Implementació segura d'anàlisi de xarxa de Cisco
- Integració: Integració de Cisco ISE per a ANC
Implementació de Cisco Secure Network Analytics i integració de Cisco ISE per a ANC
Instal·lació de SMC
Inicieu la sessió a la consola i escriviu l'ordre SystemConfig. Introduïu la configuració de xarxa per a l'aplicació.
Instal·lació del node de magatzem de dades
Inicieu la sessió a la consola i escriviu l'ordre SystemConfig. Introduïu la configuració de xarxa per a l'aplicació.
Hem configurat la interfície de gestió. A continuació, es mostra una segona interfície de xarxa per a la comunicació entre nodes de dades (comunicació amb altres nodes de dades).
Instal·lació del col·lector de flux
Inicieu la sessió a la consola i escriviu l'ordre SystemConfig. Assegureu-vos que totes les opcions de telemetria estiguin seleccionades.
Configura els ports per a la telemetria.
- Flux net: 2055
- Mòdul de visibilitat de xarxa: 2030
- Registres del tallafocs: 8514
Introduïu la configuració de xarxa per a l'aparell.
Instal·lació del sensor de flux
Inicieu la sessió a la consola i escriviu l'ordre SystemConfig. Introduïu la configuració de xarxa per a l'aplicació.
Instal·lació de Cisco Telemetry Broker
Cisco Telemetry Brocker, el component principal de
Cisco Secure Network Analytics (anteriorment Cisco Stealthwatch) i un potent dispositiu per optimitzar la telemetria, s'utilitza principalment per:
- Per simplificar la recopilació i agregació del trànsit de Netflow, SNMP i Syslog.
- Simplifica la configuració i l'enviament de dades de Netflow mitjançant un exportador als dispositius de xarxa en lloc de diferents exportadors, especialment quan teniu analitzadors de Netflow dispars com Cisco Secure Network Analytics, SolarWinds o LiveAction, o en cas que tingueu diversos col·lectors de flux amb Cisco Secure Network Analytics.
- A més, simplifica els fluxos de telemetria quan s'utilitzen múltiples destinacions i diferents solucions de gestió de registres.
L'arquitectura de Cisco Telemetry Broker consta de dos components:
- Node de gestor
- Node de broker.
Els nodes de broker són gestionats per un gestor de brokers de telemetria de Cisco mitjançant la interfície de gestió. El node de gestor requereix una interfície de xarxa per al trànsit de gestió. El node de broker requereix dues interfícies de xarxa. Una interfície de gestió per a la comunicació amb el gestor i la interfície de telemetria per enviar telemetria a Flow Collector, que al seu torn l'envia a les destinacions configurades, com ara la consola de gestió SMC, a la solució Cisco Secure Network Analytics. L'adreça IP/port de destinació de Flow Collector del trànsit de telemetria a la solució Cisco Secure Network Analytics s'afegeix al node de gestor i s'envia al node de broker a través de la interfície de gestió per indicar-los on han d'indicar el trànsit de NetFlow.
Quan instal·leu el node del broker, heu d'unir-lo al node del gestor mitjançant l'ordre sudo ctb-manage i proporcionar l'adreça IP i les credencials d'administrador del node del gestor. Un cop afegit el node del broker al node del gestor, el Web La GUI del node gestor mostra el node broker afegit amb la seva adreça IP de gestió. Per completar la integració entre el node broker i el node gestor, cal afegir la interfície de xarxa de dades o telemetria del node broker al node gestor. Finalment, els dispositius de xarxa com ara tallafocs, encaminadors i commutadors utilitzen l'adreça IP de la interfície de telemetria del node broker com a exportador de Netflow.
Implementa el node del gestor
Executeu l'ordre sudo ctb-install –init.
Introduïu la informació següent:
- Contrasenya per a l'usuari administrador
- Nom d'amfitrió
- Adreça IPv4, màscara de subxarxa i adreça de passarel·la predeterminada per a la interfície de xarxa de gestió
- Adreça IP del servidor de noms DNS
Implementa el node del broker
Executeu l'ordre sudo ctb-install –init.
Introduïu la informació següent:
- Contrasenya per a l'usuari administrador
- Nom d'amfitrió
- Adreça IPv4, màscara de subxarxa i adreça de passarel·la predeterminada per a la interfície de xarxa de gestió
- Adreça IP del servidor de noms DNS
Executeu l'ordre sudo ctb-manage.
Introduïu la informació següent:
- Adreça IP del node del gestor
- Nom d'usuari del compte d'administrador del node Manager
Inicieu la sessió a Cisco Telemetry Broker. En un web navegador, introduïu l'adreça IP de la interfície de gestió del node de gestor del gestor. Al menú principal, trieu Nodes de broker.
A la taula Nodes de broker, feu clic al node de broker. A la secció Interfície de telemetria, configureu la interfície de telemetria i la passarel·la per defecte.
Ara que els dispositius SNA estan configurats amb una adreça IP de gestió, cal completar l'eina de configuració d'aplicacions (AST) a cada component SNA.
L'eina de configuració d'aparells (AST) configurarà els aparells perquè puguin comunicar-se amb la resta del desplegament SNA.
SMC
- Accediu a la interfície gràfica d'usuari de l'SMC.
- Canvieu les contrasenyes per defecte per a administrador, root i administrador de sistemes.
No hi ha canvis a la interfície de xarxa de gestió.
Configura el nom de l'amfitrió i els dominis. 
- Configura els servidors DNS.
- Configura el servidor NTP.
- Finalment, registreu l'SMC.
- L'SMC es reiniciarà.
Node de magatzem de dades
Seguiu el mateix procediment, l'única diferència és la configuració dels Configuració de gestió central. En aquesta secció, introduïu l'adreça IP de l'SMC 198.19.20.136 i el nom d'usuari i la contrasenya.
Col·lector de flux
Seguiu el mateix procediment, l'única diferència és la configuració dels Configuració de gestió central. En aquesta secció, introduïu l'adreça IP de l'SMC 198.19.20.136 i el nom d'usuari i la contrasenya.
Sensor de flux
- Seguiu el mateix procediment, l'única diferència és la configuració dels Configuració de gestió central. En aquesta secció, introduïu l'adreça IP de l'SMC 198.19.20.136 i el nom d'usuari i la contrasenya.
- Per completar la configuració, inicialitzeu el node DataStore.
- Connecteu-vos per SSH al node DataStore i executeu l'ordre SystemConfig.
- Seguiu el diàleg interactiu per inicialitzar el node DataStore.
- Accedim a la GUI de SMC. A la Gestió Central podem veure que tots els dispositius Cisco SNA estan connectats a SMC.
Configuració del broker de telemetria de Cisco
Accediu a la GUI del node Cisco Telemetry Broker Manager. Feu clic a Afegeix destinació i seleccioneu Destinació UDP. Configureu els paràmetres següents.
- Nom de la destinació: SNA-FC
- Adreça IP de destinació: 198.19.20.137
- Port UDP de destinació: 2055
Feu clic a Afegeix una regla. 
- Introduïu 2055 com a port UDP de recepció.
Feu clic a Afegeix destinació i seleccioneu Destinació UDP.
Configureu els paràmetres següents.
- Nom de la destinació: Gestor
- Adreça IP de destinació: 198.19.20.136
- Port UDP de destinació: 514
- Feu clic a Afegeix una regla.
- Introduïu 2055 com a port UDP de recepció.
Integració del motor de serveis d'identitat Cisco ISE
Navegueu a Administració > pxGrid > Certificats.
Empleneu el formulari de la següent manera:
- Feu clic al camp Vull i seleccioneu Descarrega la cadena de certificats arrel
- Feu clic al camp Noms d'amfitrió i seleccioneu administrador
- Feu clic al camp Format de descàrrega del certificat i seleccioneu l'opció PEM
- Feu clic a Crear
- Descarrega't el file com a ISE-CA-ROOT-CHAIN.zip.
- A la GUI de SMC, feu clic a Central Management. A la pàgina Central Management, localitzeu el dispositiu SMC Manager i seleccioneu Edit Appliance Configuration.
- Feu clic a General.
- Desplaceu-vos cap avall fins a Trust Store i feu clic a Afegeix nou. Seleccioneu CertificateServicesRootCA-admin_.cer fileFeu clic a Afegeix certificat.
- L'SMC ara confiarà en els certificats emesos per l'ISE CA.
- Feu clic a la pestanya Dispositiu. Desplaceu-vos cap avall fins a la secció Identitats de client SSL/TLS addicionals i feu clic a Afegeix nou.
- Et preguntarà si necessites generar una CSR, selecciona Sí i fes clic a Següent.
Empleneu el CSR de la manera següent:
- Longitud de la clau RSA
- Organització
- Unitat organitzativa
- Localitat o ciutat
- Estat o província
- Codi de país
- Adreça de correu electrònic
Feu clic a Genera CSR i, a continuació, a Descarrega CSR.
Accediu a la GUI de Cisco ISE. Navegueu a Administració > pxGrid > Certificats.
Utilitzeu la informació següent:
- Al camp Vull, seleccioneu Genera un únic certificat (amb sol·licitud de signatura de certificat)
- Enganxeu la CSR al camp Detalls de la sol·licitud de signatura de certificat
- Escriviu SMC al camp Descripció
- Seleccioneu Adreça IP al camp SAN i introduïu 198.19.20.136 com a adreça IP associada.
- Seleccioneu el format PKCS12 com a opció de Format de descàrrega de certificats.
- Introduïu una contrasenya
- Feu clic a Crear
- Deseu el certificat creat amb el nom SMC-PXGRID.
Nota:
En algunes implementacions de Cisco ISE existents, és possible que els certificats del sistema utilitzats per als serveis d'administrador, eap i pxGrid hagin caducat, tal com es mostra a continuació.
Això és degut a que els certificats CA interns de Cisco ISE que signen aquests certificats del sistema han caducat.
Per renovar els certificats del sistema. Aneu a Administració > Certificats > Sol·licituds de signatura de certificats. Al camp Ús, seleccioneu CA arrel ISE i feu clic a Substitueix la cadena de certificats de CA arrel ISE.
El Cisco ISE genera nous certificats d'entitat de certificació interna. No us oblideu d'ajustar el camp "Confiable per" per als serveis adequats, com ara pxGrid.
Ara els certificats del sistema són vàlids.
Accediu a la GUI de SMC. Aneu a Administració central. A la pestanya Configuració de l'aplicació SMC, desplaceu-vos cap avall fins al formulari Afegeix identitat de client SSL/TLS i feu clic a Tria. File, seleccioneu el certificat SMC-PXGRID.
A la GUI de SMC, navegueu fins a Implementa > Configuració de Cisco ISE.
Configureu la configuració ISE amb els paràmetres següents:
- Nom del clúster: ISE-CLUSTER
- Certificat: SMC-PXGRID
- Node PxGrid principal: 198.19.20.141
- Nom del client: SMC-PXGRID
Navegueu a Monitor > Usuaris.
Fixeu-vos que podem veure les dades de l'usuari a SMC.
Polítiques de control de xarxa adaptatiu (ANC) ISE
Seleccioneu Operacions > Control de xarxa adaptatiu > Llista de polítiques > Afegeix i introduïu SW_QUARANTINE com a Nom de la política i Quarantena com a Acció.
Accediu a la GUI de SMC. Seleccioneu una adreça IP al tauler de control; veurem que la política ISE ANC està configurada.
- Les polítiques d'excepció d'autorització global us permeten definir regles que anul·len totes les regles d'autorització de tots els vostres conjunts de polítiques. Un cop configureu una política d'excepció d'autorització global, s'afegeix a tots els conjunts de polítiques.
- La regla d'excepció d'autorització local sobreescriu les regles d'excepció globals. Per tant, primer es processa la regla d'excepció local, després la regla d'excepció global i, finalment, la regla normal de la política d'autorització.
- Un dels casos d'ús interessants d'aquestes regles d'excepció és quan configureu Cisco Secure Network Analytics (Stealth watch) amb Cisco ISE per a la gestió de respostes mitjançant la política de xarxa adaptativa (ANC), de manera que quan es produeixi una alarma, Cisco Secure Network Analytics (Stealth watch) sol·liciti a Cisco ISE que posi en quarantena l'amfitrió amb la política de control de xarxa adaptativa a través de Px Grid.
- La millor pràctica és configurar la política d'autorització a Cisco ISE per posar en quarantena l'amfitrió, ja sigui a l'excepció local o a l'excepció global.
- Si voleu aplicar la política ANC a tots els vostres conjunts de polítiques, VPN, xarxes sense fil amb cable, és a dir, totes les VPN amb cable i usuaris sense fil, utilitzeu l'excepció global.
- Si voleu aplicar la política ANC només a usuaris de VPN o usuaris amb cable, utilitzeu la política local dins dels conjunts de polítiques VPN o del conjunt de polítiques amb cable, respectivament.
Acció i resposta automàtiques amb ANC
Escenari: Una empresa utilitza Cisco Umbrella com a servidor DNS per evitar amenaces d'Internet. Volem una alarma personalitzada perquè quan els usuaris interns utilitzin altres servidors DNS externs, s'activi una alarma per evitar la connexió a servidors DNS nocius que podrien redirigir el trànsit a llocs externs amb finalitats malicioses. Quan es produeix una alarma, Cisco Secure Network Analytics sol·licitarà a Cisco ISE que posi en quarantena l'amfitrió que utilitza servidors DNS nocius amb la política de control de xarxa adaptativa a través de PxGrid. Aneu a Configura > Gestió d'amfitrions. Al grup d'amfitrions principal Dins dels amfitrions, creeu un grup d'amfitrions anomenat Xarxes corporatives per a les vostres xarxes internes.
Al grup d'amfitrions principal Amfitrions externs, creeu un grup d'amfitrions anomenat Servidors DNS Umbrella per a les adreces IP Umbrella.
Els usuaris interns utilitzen Cisco Umbrella com a servidor DNS per evitar amenaces d'Internet. Configureu una alarma personalitzada de manera que quan els usuaris interns utilitzin altres servidors DNS externs, s'activi una alarma per evitar la connexió a un servidor DNS nociu que podria redirigir el trànsit a llocs externs amb finalitats malicioses. Quan es produeixi una alarma, Cisco Secure Network Analytics sol·licitarà a Cisco ISE que posi en quarantena l'amfitrió que utilitza servidors DNS nocius amb la política de control de xarxa adaptativa a través de PxGrid.
Navegueu a Configura > Gestió de polítiques.
Crea un esdeveniment personalitzat amb la informació següent:
- Nom: Trànsit DNS no autoritzat
- Grups d'amfitrió temàtics: Xarxes corporatives
- Grups d'amfitrions iguals: Amfitrió extern excepte servidors DNS paraigua
- Port/Protocols d'igual: 53/UDP 53/TCP
Bàsicament, aquest esdeveniment s'activa quan qualsevol host dins del grup d'hosts de xarxes corporatives es comunica amb qualsevol host dins del grup d'hosts d'hosts externs, excepte els que estan dins del grup d'hosts de servidors DNS paraigües, a través de 53/UDP o 53/TCP, i es produeix una alarma.
Navegueu a Configura > Gestió de respostes. Feu clic a Accions.
Seleccioneu l'acció de política ISE ANC. Doneu un nom i seleccioneu el clúster Cisco ISE amb el qual s'ha de contactar per aplicar una política de quarantena per a qualsevol violació o connexió a servidors no autoritzats.
A la secció Regles. Crea una nova regla. Aquesta regla aplicarà l'acció anterior quan qualsevol host dins de la xarxa interna intenti enviar trànsit DNS a servidors DNS no autoritzats. A la secció La regla s'activa si, selecciona Tipus, desplaça't cap avall i selecciona l'esdeveniment personalitzat creat anteriorment. A Accions associades, selecciona l'acció ISE ANC creada anteriorment.
Des d'un host intern, obriu la consola CMD. Executeu l'ordre nslookup i, a continuació, l'ordre server 8.8.8.8. Escriviu unes quantes adreces perquè el servidor DNS 8.8.8.8 les resolgui.
Navegueu a Monitor > Assignacions de polítiques ISE ANC. Hauríeu de veure que Cisco Secure Network Analytics ha aplicat la política de control de xarxa adaptativa a través de PxGrid i ISE per posar en quarantena l'amfitrió.
Preguntes freqüents
P: Com puc completar l'eina de configuració de l'appliance (AST) a cada component SNA?
A: Un cop configurats els dispositius SNA amb una adreça IP de gestió, podeu completar l'AST a cada component seguint les instruccions específiques que es proporcionen per a aquest component al manual d'usuari o a la guia de configuració.
Documents/Recursos
 |
Implementació d'anàlisi de xarxa segura de CISCO [pdfManual d'instruccions Implementació segura d'anàlisi de xarxa, Implementació d'anàlisi de xarxa, Implementació d'anàlisi, Implementació |