نشر تحليلات الشبكة الآمنة من CISCO

معلومات المنتج

تحديد:

• اسم المنتج: نشر تحليلات الشبكة الآمنة من Cisco
• التكامل: تكامل Cisco ISE لـ ANC

نشر تحليلات الشبكة الآمنة من Cisco وتكامل Cisco ISE لـ ANC

تركيب SMC

سجّل دخولك إلى وحدة التحكم، واكتب الأمر SystemConfig. أدخل إعدادات الشبكة للجهاز.

تثبيت عقدة مخزن البيانات

سجّل دخولك إلى وحدة التحكم، واكتب الأمر SystemConfig. أدخل إعدادات الشبكة للجهاز.

لقد قمنا بتكوين واجهة الإدارة، وفيما يلي واجهة شبكة ثانية للاتصال بين عقد البيانات (الاتصال مع عقد البيانات الأخرى).

تركيب مجمع التدفق

سجّل دخولك إلى وحدة التحكم، واكتب الأمر SystemConfig. تأكد من تحديد جميع خيارات القياس عن بُعد.

تكوين المنافذ للقياس عن بعد.

• صافي التدفق: 2055
• وحدة رؤية الشبكة: 2030
• سجلات جدار الحماية: 8514

أدخل تكوين الشبكة للجهاز.

تركيب مستشعر التدفق

سجّل دخولك إلى وحدة التحكم، واكتب الأمر SystemConfig. أدخل إعدادات الشبكة للجهاز.

تثبيت Cisco Telemetry Broker
Cisco Telemetry Brocker هو المكون الأساسي لـ

Cisco Secure Network Analytics (المعروف سابقًا باسم Cisco Stealthwatch) هو جهاز قوي لتحسين القياس عن بعد، ويستخدم بشكل أساسي:

• لتبسيط عملية جمع وتجميع حركة المرور Netflow وSNMP وSyslog.
• إنه يبسط تكوين بيانات Netflow وإرسالها باستخدام مُصدِّر واحد في أجهزة الشبكة لديك بدلاً من مُصدِّرين مختلفين، خاصةً عندما يكون لديك محللو Netflow متفرقون مثل Cisco Secure Network Analytics أو SolarWinds أو LiveAction، أو في حالة وجود جامعات تدفق متعددة مع Cisco Secure Network Analytics.
• بالإضافة إلى ذلك، فهو يبسط تدفقات القياس عن بعد عند استخدام وجهات متعددة وحلول إدارة سجلات مختلفة.

تتكون بنية Cisco Telemetry Broker من عنصرين: 

• عقدة المدير
• عقدة الوسيط.

تُدار جميع عُقد الوسيط بواسطة مدير وسيط Cisco Telemetry باستخدام واجهة الإدارة. تتطلب عُقدة المدير واجهة شبكة واحدة لإدارة حركة البيانات، بينما تتطلب عُقدة الوسيط واجهتي شبكة. واجهة إدارة للتواصل مع المدير، وواجهة Telemetry لإرسال البيانات إلى Flow Collector، والذي بدوره يُرسلها إلى الوجهات المُهيأة، مثل وحدة تحكم إدارة SMC في حل Cisco Secure Network Analytics. يُضاف عنوان IP/منفذ Destination Flow Collector لحركة البيانات في حل Cisco Secure Network Analytics إلى عُقدة المدير، ويُدفع إلى عُقدة الوسيط عبر واجهة الإدارة لإرشادها إلى وجهة حركة بيانات NetFlow.

عند تثبيت عقدة الوسيط، يجب ربطها بعقدة الإدارة باستخدام أمر sudo ctb-manage، مع توفير عنوان IP وبيانات اعتماد المسؤول لعقدة الإدارة. بمجرد إضافة عقدة الوسيط إلى عقدة الإدارة، Web تعرض واجهة المستخدم الرسومية لعقدة الإدارة عقدة الوسيط المضافة مع عنوان IP الخاص بإدارتها. لإكمال التكامل بين عقدة الوسيط وعقدة الإدارة، يجب إضافة واجهة شبكة البيانات أو القياس عن بُعد الخاصة بعقدة الوسيط إلى عقدة الإدارة. وأخيرًا، تستخدم أجهزة الشبكة، مثل جدران الحماية وأجهزة التوجيه والمفاتيح، عنوان IP الخاص بواجهة القياس عن بُعد الخاصة بعقدة الوسيط كمصدر لتدفق الشبكة.

نشر عقدة المدير
قم بتشغيل الأمر sudo ctb-install –init.

أدخل المعلومات التالية:

• كلمة المرور لمستخدم المسؤول
• اسم المضيف
• عنوان IPv4 وقناع الشبكة الفرعية وعنوان البوابة الافتراضية لواجهة شبكة الإدارة
• عنوان IP لخادم أسماء DNS

نشر عقدة الوسيط
قم بتشغيل الأمر sudo ctb-install –init.

أدخل المعلومات التالية:

• كلمة المرور لمستخدم المسؤول
• اسم المضيف
• عنوان IPv4 وقناع الشبكة الفرعية وعنوان البوابة الافتراضية لواجهة شبكة الإدارة
• عنوان IP لخادم أسماء DNS

قم بتشغيل الأمر sudo ctb-manage. 
أدخل المعلومات التالية:

• عنوان IP لعقدة المدير
• اسم المستخدم لحساب المسؤول لعقدة المدير

سجّل الدخول إلى Cisco Telemetry Broker. في web في المتصفح، أدخل عنوان IP لواجهة إدارة المدير لعقدة المدير. من القائمة الرئيسية، اختر "عقد الوسيط".

في جدول "عُقد الوسيط"، انقر على عقدة الوسيط. في قسم "واجهة القياس عن بُعد"، قم بتكوين واجهة القياس عن بُعد وحدد البوابة الافتراضية.

الآن بعد أن تم تكوين أجهزة SNA باستخدام عنوان IP للإدارة، نحتاج إلى استكمال أداة إعداد الأجهزة (AST) على كل مكونات SNA.

ستقوم أداة إعداد الأجهزة (AST) بتكوين الأجهزة لتكون قادرة على التواصل مع بقية نشر SNA.

شركة إس إم سي

• الوصول إلى واجهة المستخدم الرسومية SMC.
• تغيير كلمات المرور الافتراضية للمسؤول، والجذر، ومسؤول النظام.

• لا يوجد أي تغييرات في واجهة شبكة الإدارة.
• تكوين اسم المضيف والمجالات.
• تكوين خوادم DNS.
• تكوين خادم NTP.
• وأخيرا قم بتسجيل SMC.
• سيتم إعادة تشغيل SMC.

عقدة مخزن البيانات
اتبع نفس الإجراء، والفرق الوحيد هو ضبط إعدادات الإدارة المركزية. في هذا القسم، أدخل عنوان IP الخاص بـ SMC 198.19.20.136 واسم المستخدم/كلمة المرور.

جامع التدفق
اتبع نفس الإجراء، والفرق الوحيد هو ضبط إعدادات الإدارة المركزية. في هذا القسم، أدخل عنوان IP الخاص بـ SMC 198.19.20.136 واسم المستخدم/كلمة المرور.

استشعار التدفق

• اتبع نفس الإجراء، والفرق الوحيد هو ضبط إعدادات الإدارة المركزية. في هذا القسم، أدخل عنوان IP الخاص بـ SMC 198.19.20.136 واسم المستخدم/كلمة المرور.
• لإكمال التكوين، قم بتهيئة عقدة DataStore.
• قم بتسجيل الدخول إلى عقدة DataStore عبر SSH وتشغيل أمر SystemConfig.
• اتبع الحوار التفاعلي لتهيئة عقدة DataStore.
• قم بالوصول إلى واجهة المستخدم الرسومية الخاصة بـ SMC، وفي الإدارة المركزية يمكننا أن نرى أن جميع أجهزة Cisco SNA متصلة بـ SMC.

تكوين وسيط القياس عن بعد من Cisco
ادخل إلى واجهة المستخدم الرسومية لعقدة Cisco Telemetry Broker Manager. انقر على "إضافة وجهة" ثم حدد "وجهة UDP". قم بتكوين المعلمات التالية.

• اسم الوجهة: SNA-FC
• عنوان IP الوجهة: 198.19.20.137
• منفذ UDP الوجهة: 2055
• انقر فوق إضافة قاعدة.
• أدخل 2055 كمنفذ UDP المستقبل.

انقر فوق إضافة وجهة وحدد وجهة UDP.
تكوين المعلمات التالية.

• اسم الوجهة: المدير
• عنوان IP الوجهة: 198.19.20.136
• منفذ UDP الوجهة: 514
• انقر فوق إضافة قاعدة.
• أدخل 2055 كمنفذ UDP المستقبل.

تكامل محرك خدمات هوية Cisco ISE
انتقل إلى الإدارة > pxGrid > الشهادات.

أكمل النموذج على النحو التالي:

• انقر فوق الحقل "أريد" وحدد تنزيل سلسلة شهادة الجذر
• انقر في حقل أسماء المضيفين وحدد المسؤول
• انقر فوق حقل تنسيق تنزيل الشهادة وحدد خيار PEM
• انقر فوق إنشاء
• تنزيل file مثل ISE-CA-ROOT-CHAIN.zip.
• في واجهة SMC الرسومية، انقر على "الإدارة المركزية". في صفحة "الإدارة المركزية"، حدد موقع جهاز SMC Manager، ثم حدد "تحرير تكوين الجهاز".
• انقر فوق عام.
• انتقل لأسفل إلى "مخزن الثقة" وانقر على "إضافة جديد". حدد ملف CertificateServicesRootCA-admin_.cer fileانقر فوق إضافة شهادة.
• سوف تقوم SMC الآن بالثقة في الشهادات الصادرة عن ISE CA.
• انقر على علامة التبويب "الجهاز". انتقل للأسفل إلى قسم "هويات عملاء SSL/TLS الإضافية" وانقر على "إضافة جديد".
• سيسألك إذا كنت بحاجة إلى إنشاء CSR، حدد "نعم" ثم انقر فوق "التالي".

قم بملء نموذج CSR على النحو التالي:

• طول مفتاح RSA
• منظمة
• الوحدة التنظيمية
• المنطقة أو المدينة
• الولاية أو المقاطعة
• رمز الدولة
• عنوان البريد الإلكتروني

انقر فوق إنشاء CSR، ثم تنزيل CSR.

للوصول إلى واجهة Cisco ISE الرسومية، انتقل إلى الإدارة > pxGrid > الشهادات.

استخدم المعلومات التالية:

• في الحقل "أريد"، حدد "إنشاء شهادة واحدة (مع طلب توقيع الشهادة)"
• بعد طلب توقيع الشهادة (CSR) في حقل تفاصيل طلب توقيع الشهادة
• اكتب SMC في حقل الوصف
• حدد عنوان IP في حقل SAN وأدخل 198.19.20.136 كعنوان IP المرتبط
• حدد تنسيق PKCS12 كخيار تنسيق تنزيل الشهادة
• أدخل كلمة المرور
• انقر فوق إنشاء
• احفظ الشهادة التي تم إنشاؤها باسم SMC-PXGRID.

ملحوظة :
في بعض عمليات نشر Cisco ISE الحالية، قد يكون لديك شهادات نظام منتهية الصلاحية تستخدمها لخدمات admin وeap وpxGrid كما هو موضح أدناه.

يرجع السبب في ذلك إلى انتهاء صلاحية شهادات CA الداخلية الخاصة بـ Cisco ISE التي توقع شهادات النظام هذه.

لتجديد شهادات النظام، انتقل إلى الإدارة > الشهادات > طلبات توقيع الشهادات. في حقل "الاستخدام"، حدد جهة التصديق الجذرية لـ ISE، ثم انقر على "استبدال سلسلة شهادات جهة التصديق الجذرية لـ ISE".

يُنشئ Cisco ISE شهادات CA داخلية جديدة. لا تنسَ ضبط حقل "موثوق به" للخدمات المناسبة، مثل pxGrid.

الآن أصبحت شهادات النظام صالحة.

ادخل إلى واجهة SMC الرسومية. انتقل إلى الإدارة المركزية. في علامة تبويب "تكوين جهاز SMC"، مرر للأسفل إلى نموذج "إضافة هوية عميل SSL/TLS"، ثم انقر على "اختيار". File، حدد شهادة SMC-PXGRID.

في واجهة المستخدم الرسومية SMC، انتقل إلى نشر > تكوين Cisco ISE.

قم بتكوين تكوين ISE باستخدام المعلمات التالية:

• اسم المجموعة: ISE-CLUSTER
• الشهادة: SMC-PXGRID
• عقدة PxGrid الأساسية: 198.19.20.141
• اسم العميل: SMC-PXGRID

انتقل إلى المراقبة > المستخدمون.
لاحظ أنه يمكننا رؤية بيانات المستخدم على SMC.

سياسات التحكم التكيفي في الشبكة (ANC) الخاصة بـ ISE
حدد العمليات > التحكم التكيفي في الشبكة > قائمة السياسات > إضافة وأدخل SW_QUARANTINE لاسم السياسة والحجر الصحي للإجراء.

ادخل إلى واجهة SMC الرسومية. اختر عنوان IP من لوحة المعلومات، وستجد أن سياسة ISE ANC مُفعّلة.

سياسات ترخيص ISE

• تُمكّنك سياسات استثناءات التفويض العالمية من تحديد قواعد تتجاوز جميع قواعد التفويض في جميع مجموعات سياساتك. بمجرد تكوين سياسة استثناء تفويض عالمية، تُضاف إلى جميع مجموعات السياسات.
• تُلغي قاعدة استثناء التفويض المحلية قواعد الاستثناء العالمية. لذا، تُعالَج قاعدة الاستثناء المحلية أولًا، ثم قاعدة الاستثناء العالمية، وأخيرًا، القاعدة العادية لسياسة التفويض.
• أحد حالات الاستخدام المثيرة للاهتمام لقواعد الاستثناء هذه هو عندما تقوم بتكوين Cisco Secure Network Analytics (Stealth watch) مع Cisco ISE لإدارة الاستجابة باستخدام Adaptive Network Policy (ANC) بحيث عندما يتم رفع إنذار، سيطلب Cisco Secure Network Analytics (Stealth watch) من Cisco ISE عزل المضيف باستخدام Adaptive Network Control Policy من خلال Px Grid.
• أفضل ممارسة لتكوين سياسة التفويض على Cisco ISE هي عزل المضيف إما في الاستثناء المحلي أو الاستثناء العالمي.
• إذا كنت ترغب في تطبيق سياسة ANC على جميع مجموعات سياساتك، بما في ذلك VPN، والشبكات السلكية واللاسلكية (أي جميع مستخدمي VPN السلكية واللاسلكية)، فاستخدم الاستثناء العالمي.
• إذا كنت ترغب في تطبيق سياسة ANC على مستخدمي VPN فقط أو مستخدمي Wired، فاستخدم السياسة المحلية ضمن مجموعات سياسات VPN أو Wired على التوالي.

الإجراء والاستجابة التلقائية مع ANC
السيناريو: تستخدم شركة Cisco Umbrella كخادم DNS لمنع تهديدات الإنترنت. نريد تنبيهًا مخصصًا، بحيث يُفعّل تنبيه عند استخدام المستخدمين الداخليين لخوادم DNS خارجية أخرى، لمنع الاتصال بخوادم DNS غير موثوقة قد تُعيد توجيه حركة البيانات إلى مواقع خارجية لأغراض ضارة. عند إطلاق التنبيه، سيطلب Cisco Secure Network Analytics من Cisco ISE عزل المضيف الذي يستخدم خوادم DNS غير موثوقة مع سياسة التحكم التكيفي في الشبكة من خلال PxGrid. انتقل إلى "تكوين" > "إدارة المضيف". في مجموعة المضيف الرئيسية "داخل المضيفين"، أنشئ مجموعة مضيفين باسم "شبكات الشركة" لشبكاتك الداخلية.

في مجموعة المضيفين الرئيسيين Outside Hosts، قم بإنشاء مجموعة مضيفين باسم Umbrella DNS Servers لعناوين IP Umbrella.

يستخدم المستخدمون الداخليون Cisco Umbrella كخادم DNS لمنع تهديدات الإنترنت. جهّز إنذارًا مخصصًا بحيث يُفعّل، عند استخدام المستخدمين الداخليين لخوادم DNS خارجية أخرى، إنذارًا لمنع الاتصال بخادم DNS غير موثوق به قد يُعيد توجيه حركة البيانات إلى مواقع خارجية لأغراض خبيثة. عند إطلاق الإنذار، ستطلب Cisco Secure Network Analytics من Cisco ISE عزل المضيف الذي يستخدم خوادم DNS غير موثوقة مع سياسة التحكم التكيفي في الشبكة من خلال PxGrid.

انتقل إلى تكوين > إدارة السياسات.
إنشاء أحداث مخصصة بالمعلومات التالية:

• الاسم: حركة مرور DNS غير المصرح بها
• مجموعات استضافة الموضوع: الشبكات المؤسسية
• مجموعات المضيفين النظيرة: المضيف الخارجي باستثناء خوادم DNS الشاملة
• منفذ/بروتوكولات الأقران: 53/UDP 53/TCP

يتم تشغيل هذا الحدث بشكل أساسي عندما يتواصل أي مضيف ضمن مجموعة مضيفي الشبكات المؤسسية مع أي مضيف ضمن مجموعة مضيفي المضيفين الخارجيين باستثناء تلك الموجودة ضمن مجموعة مضيفي خوادم DNS الشاملة، من خلال 53/UDP أو 53/TCP، يتم رفع إنذار.

انتقل إلى "تكوين" > "إدارة الاستجابة". انقر على "الإجراءات".

حدد إجراء سياسة ISE ANC. أعطِ اسمًا وحدد مجموعة Cisco ISE التي يجب الاتصال بها لتطبيق سياسة الحجر الصحي في حال وجود أي انتهاك أو اتصال بخوادم غير موثوقة.

في قسم "القواعد"، أنشئ قاعدة جديدة. ستُطبّق هذه القاعدة الإجراء السابق عند محاولة أي مُضيف داخل الشبكة الداخلية إرسال حركة مرور DNS إلى خوادم DNS غير موثوقة. في قسم "يتم تشغيل القاعدة إذا"، حدد "النوع"، ثم مرر للأسفل وحدد الحدث المُخصّص الذي تم إنشاؤه سابقًا. ضمن "الإجراءات المُرتبطة"، حدد إجراء ISE ANC الذي تم إنشاؤه سابقًا.

من جهاز داخلي، افتح لوحة تحكم CMD. نفّذ أمر nslookup، ثم أمر server 8.8.8.8. أدخل بعض عناوين خادم DNS 8.8.8.8 المطلوب حلها.

انتقل إلى "مراقبة" > "تعيينات سياسة ISE ANC". ستلاحظ أن Cisco Secure Network Analytics طبّقت سياسة التحكم التكيفي في الشبكة عبر PxGrid وISE لعزل المضيف.

التعليمات

س: كيف يمكنني إكمال أداة إعداد الأجهزة (AST) على كل مكون من مكونات SNA؟
A: بمجرد تكوين أجهزة SNA باستخدام عنوان IP للإدارة، يمكنك إكمال اختبار AST على كل مكون من خلال اتباع الإرشادات المحددة المقدمة لهذا المكون ضمن دليل المستخدم أو دليل الإعداد.

المستندات / الموارد

نشر تحليلات الشبكة الآمنة من CISCO [بي دي اف] دليل التعليمات نشر تحليلات الشبكة الآمنة، نشر تحليلات الشبكة، نشر التحليلات، النشر

مراجع

• دليل المستخدم