Implementazione di l'analisi di rete sicura di CISCO

Informazione di u produttu

Specificazioni:

• Nome di u produttu: Cisco Secure Network Analytics Deployment
• Integrazione: Integrazione Cisco ISE per ANC

Implementazione di Cisco Secure Network Analytics è Integrazione Cisco ISE per ANC

Installazione di SMC

Cunnettatevi à a cunsola, scrivite u cumandamentu SystemConfig. Inserite a cunfigurazione di rete per l'appliance.

Installazione di u Nodu di u Datastore

Cunnettatevi à a cunsola, scrivite u cumandamentu SystemConfig. Inserite a cunfigurazione di rete per l'appliance.

Avemu cunfiguratu l'interfaccia di gestione, quì sottu hè una seconda interfaccia di rete per a cumunicazione inter-Nodi di Dati (cumunicazione cù altri nodi di dati).

Installazione di u Cullettore di Flussu

Cunnettatevi à a cunsola, scrivite u cumandamentu SystemConfig. Assicuratevi chì tutte l'opzioni di telemetria sianu selezziunate.

Cunfigurà i porti per a telemetria.

• Flussu netu: 2055
• Modulu di Visibilità di a Rete: 2030
• Registri di u firewall: 8514

Inserite a cunfigurazione di rete per l'apparechju.

Installazione di u Sensore di Flussu

Cunnettatevi à a cunsola, scrivite u cumandamentu SystemConfig. Inserite a cunfigurazione di rete per l'appliance.

Installazione di Cisco Telemetry Broker
Cisco Telemetry Broker, u cumpunente principale di

Cisco Secure Network Analytics (Prima Cisco Stealthwatch) è un dispusitivu putente per ottimizà a telemetria, hè principalmente adupratu:

• Per simplificà a cullezzione è l'aggregazione di u trafficu Netflow, SNMP è Syslog.
• Simplifica a cunfigurazione è l'inviu di dati Netflow aduprendu un esportatore in i vostri Dispositivi di Rete invece di diversi esportatori, in particulare quandu avete analizzatori di netflow disparati cum'è Cisco Secure Network Analytics, SolarWinds o LiveAction, o in casu chì avete parechji cullettori di flussu cù Cisco Secure Network Analytics.
• Inoltre, simplifica i flussi di telemetria quandu si utilizanu parechje destinazioni è diverse soluzioni di gestione di logs.

L'architettura di Cisco Telemetry Broker hè cumposta da dui cumpunenti: 

• Nodu di Manager
• Nodu di Broker.

I Nodi Broker sò tutti gestiti da un gestore di Broker di Telemetria Cisco utilizendu l'Interfaccia di Gestione. U Nodu Manager richiede una interfaccia di rete per u trafficu di gestione. U Nodu Broker richiede duie interfacce di rete. Una interfaccia di gestione per a cumunicazione cù u gestore è l'interfaccia di Telemetria per mandà a Telemetria à Flow Collector chì à u so tornu a invia à e destinazioni configurate cum'è SMC Management Console in a suluzione Cisco Secure Network Analytics. L'indirizzu IP/Porta di Destination Flow Collector di u trafficu di telemetria in a suluzione Cisco Secure Network Analytics hè aghjuntu à u Nodu Manager è spintu finu à u Nodu Broker attraversu l'interfaccia di gestione per struisceli induve andà à u trafficu NetFlow.

Quandu installate u Nodu Broker, duvete cunnette lu à u Nodu manager cù u cumandamentu sudo ctb-manage è furnisce l'indirizzu IP è e credenziali d'amministratore di u Nodu Manager. Una volta chì u Nodu Broker hè aghjuntu à u Nodu Manager, u Web L'interfaccia grafica di u Nodu Manager mostra u Nodu Broker aghjuntu cù u so indirizzu IP di gestione. Per compie l'integrazione trà u Nodu Broker è u Nodu Manager, avete bisognu di aghjunghje l'Interfaccia di Rete di Dati o di Telemetria di u Nodu Broker à u Nodu Manager. Infine, i Dispositivi di Rete cum'è i firewall, i Router è i Switch utilizanu l'Indirizzu IP di l'Interfaccia di Telemetria di u Nodu Broker cum'è Esportatore Netflow.

Implementà u Nodu di Manager
Eseguite u cumandamentu sudo ctb-install –init.

Inserite l'infurmazioni seguenti:

• Password per l'utilizatore amministratore
• Hostname
• Indirizzu IPv4, maschera di sotturete è indirizzu di gateway predefinitu per l'interfaccia di a rete di gestione
• Indirizzu IP di u servitore di nomi DNS

Implementà u Nodu di u Broker
Eseguite u cumandamentu sudo ctb-install –init.

Inserite l'infurmazioni seguenti:

• Password per l'utilizatore amministratore
• Hostname
• Indirizzu IPv4, maschera di sotturete è indirizzu di gateway predefinitu per l'interfaccia di a rete di gestione
• Indirizzu IP di u servitore di nomi DNS

Eseguite u cumandamentu sudo ctb-manage. 
Inserite l'infurmazioni seguenti:

• Indirizzu IP di u nodu Manager
• Nome d'utilizatore di u contu amministratore di u nodu Manager

Cunnettatevi à Cisco Telemetry Broker. In un web navigatore, inserite l'indirizzu IP di l'interfaccia di gestione di u Manager di u nodu di manager. Da u menu principale, sceglite Nodi Broker.

In a tabella Broker Nodes, cliccate nant'à u nodu di u broker. In a sezzione Telemetry Interface, cunfigurà l'Interfaccia di Telemetry è u gateway predefinitu.

Avà chì l'apparecchi SNA sò cunfigurati cù un indirizzu IP di gestione, ci vole à compie l'Appliance Setup Tool (AST) nantu à ogni cumpunente SNA.

U Strumentu di Cunfigurazione di l'Appliance (AST) cunfigurerà l'apparecchi per pudè cumunicà cù u restu di a distribuzione SNA.

SMC

• Accede à l'interfaccia grafica di SMC.
• Cambiate e password predefinite per admin, root è sysadmin.

• Nisun cambiamentu per l'interfaccia di rete di gestione.
• Configurate u Nome di l'Ospite è i Domini.
• Configurate i servitori DNS.
• Cunfigurà u servitore NTP.
• Infine registrate u SMC.
• L'SMC si riavvierà.

Nodu di u Datastore
Seguitate a listessa prucedura, l'unica differenza hè a cunfigurazione di i paràmetri di gestione cintrali. In questa sezione inserite l'indirizzu IP di SMC 198.19.20.136 è u nome d'utilizatore/password.

Cullettore di flussu
Seguitate a listessa prucedura, l'unica differenza hè a cunfigurazione di i paràmetri di gestione cintrali. In questa sezione inserite l'indirizzu IP di SMC 198.19.20.136 è u nome d'utilizatore/password.

Sensore di flussu

• Seguitate a listessa prucedura, l'unica differenza hè a cunfigurazione di i paràmetri di gestione cintrali. In questa sezione inserite l'indirizzu IP di SMC 198.19.20.136 è u nome d'utilizatore/password.
• Per compie a cunfigurazione, inizializate u nodu DataStore.
• Cunnettevi à u nodu DataStore cù SSH è eseguite u cumandamentu SystemConfig.
• Segui a finestra di dialogu interattiva per inizializà u nodu DataStore.
• Accede à l'interfaccia grafica di SMC, in a Gestione Centrale pudemu vede chì tutti l'apparecchi Cisco SNA sò cunnessi à SMC.

Cunfigurazione di u Broker di Telemetria Cisco
Accede à l'interfaccia grafica di u nodu Cisco Telemetry Broker Manager. Cliccate Aggiungi destinazione è selezziunate Destinazione UDP. Configurate i seguenti parametri.

• Nome di destinazione: SNA-FC
• Indirizzu IP di destinazione: 198.19.20.137
• Portu UDP di destinazione: 2055
• Cliccate Add Rule.
• Inserite 2055 cum'è u portu UDP di ricezione.

Cliccate nant'à Aggiungi Destinazione è selezziunate Destinazione UDP.
Configurate i seguenti paràmetri.

• Nome di destinazione: Manager
• Indirizzu IP di destinazione: 198.19.20.136
• Portu UDP di destinazione: 514
• Cliccate Add Rule.
• Inserite 2055 cum'è u portu UDP di ricezione.

Integrazione di u mutore di servizii d'identità Cisco ISE
Navigate à Amministrazione > pxGrid > Certificati.

Riempite u furmulariu cum'è quì sottu:

• Cliccate in u campu Vogliu è selezziunate Scaricà a catena di certificati radice
• Cliccate in u campu Nomi di l'ospiti è selezziunate admin
• Cliccate nant'à u campu Formatu di Scaricamentu di u Certificatu è selezziunate l'opzione PEM
• Cliccate Crea
• Scaricate u file cum'è ISE-CA-ROOT-CHAIN.zip.
• In l'interfaccia grafica di SMC, cliccate nant'à Gestione Centrale. In a pagina di Gestione Centrale, truvate l'appliance SMC Manager, dopu selezziunate Mudificà a Cunfigurazione di l'Appliance.
• Cliccate Generale.
• Scrollate finu à Trust Store è cliccate nant'à Aggiungi Novu. Selezziunate CertificateServicesRootCA-admin_.cer fileCliccate Aggiungi Certificatu.
• U SMC avà si fidarà di i certificati emessi da l'ISE CA.
• Cliccate nant'à a tabulazione Appliance. Scorrite finu à a sezzione Additional SSL/TLS Client Identities è cliccate nant'à Add New.
• Vi dumanderà s'ellu ci vole à generà una CSR, selezziunate Iè è cliccate nant'à Next.

Riempite u CSR cum'è quì sottu:

• Lunghezza di a chjave RSA
• Urganisazione
• Unità urganisazione
• Località o Cità
• Statu o Pruvincia
• Codice di u Paese
• Indirizzu mail

Cliccate nant'à Genera CSR, dopu nant'à Scaricà CSR.

Accede à l'interfaccia grafica di Cisco ISE. Navigate à Amministrazione > pxGrid > Certificati.

Aduprate l'infurmazioni seguenti:

• In u campu Vogliu, selezziunate Generà un unicu certificatu (cù dumanda di firma di certificatu)
• Passate u CSR in u campu Dettagli di a dumanda di firma di certificatu
• Scrivite SMC in u campu Descrizzione
• Selezziunate l'indirizzu IP in u campu SAN è inserite 198.19.20.136 cum'è l'indirizzu IP assuciatu.
• Selezziunate u furmatu PKCS12 cum'è l'opzione di furmatu di scaricamentu di u certificatu.
• Inserite una password
• Cliccate Crea
• Salvate u certificatu creatu cù u nome SMC-PXGRID.

Nota :
In certi implementazioni Cisco ISE esistenti, pudete avè certificati di sistema scaduti utilizati per i servizii admin, eap è pxGrid cum'è mostratu quì sottu.

Questu hè perchè i certificati CA interni di Cisco ISE chì firmanu questi certificati di sistema sò scaduti.

Per rinnuvà i certificati di sistema. Andate à Amministrazione > Certificati > Richieste di Firma di Certificati. In u campu Usu, selezziunate ISE Root CA, dopu cliccate nant'à Rimpiazzà a Catena di Certificati ISE Root CA.

U Cisco ISE genera novi certificati CA interni. Ùn vi scurdate di aghjustà u campu Trusted For per i servizii adatti cum'è pxGrid.

Avà i certificati di sistema sò validi.

Accede à l'interfaccia grafica di SMC. Andate à Gestione Centrale. In a tabulazione Configurazione di l'Appliance SMC, scorri finu à u furmulariu Aggiungi identità Cliente SSL/TLS, dopu cliccate nantu à Sceglie File, selezziunate u certificatu SMC-PXGRID.

In l'interfaccia grafica di SMC, navigate à Deploy > Cisco ISE Configuration.

Cunfigurà a cunfigurazione ISE cù i seguenti parametri:

• Nome di u Cluster: ISE-CLUSTER
• Certificatu: SMC-PXGRID
• Nodu PxGrid Primariu: 198.19.20.141
• Nome di u Cliente: SMC-PXGRID

Navigate à Monitor> Utilizatori.
Nutate chì pudemu vede i dati di l'utilizatori nantu à SMC.

Pulitiche di cuntrollu di rete adattativu (ANC) ISE
Selezziunate Operazioni > Cuntrollu di Rete Adattivu > Lista di Pulitiche > Aggiungi è inserite SW_QUARANTINE per u Nome di a Pulitica è Quarantena per l'Azione.

Accede à l'interfaccia grafica di SMC. Selezziunate un indirizzu IP in u dashboard, pudemu vede chì a pulitica ISE ANC hè stata cumpletata.

Pulitiche d'autorizazione ISE

• E pulitiche d'eccezzione d'autorizazione glubale vi permettenu di definisce e regule chì sovrascrivenu tutte e regule d'autorizazione in tutti i vostri insemi di pulitiche. Una volta cunfigurata una pulitica d'eccezzione d'autorizazione glubale, hè aghjunta à tutti l'insemi di pulitiche.
• A regula d'eccezzione d'autorizazione lucale sovrascrive e regule d'eccezzione glubale. Cusì a regula d'eccezzione lucale hè trattata prima, dopu a regula d'eccezzione glubale, è infine, a regula nurmale di a pulitica d'autorizazione.
• Unu di i casi d'usu interessanti di queste Regole d'Eccezione hè quandu si cunfigura Cisco Secure Network Analytics (Stealth watch) cù Cisco ISE per a Gestione di Risposte utilizendu Adaptive Network Policy (ANC) in modu chì quandu un allarme hè suscitatu, Cisco Secure Network Analytics (Stealth watch) dumanderà à Cisco ISE di mette in quarantena l'ospite cù Adaptive Network Control Policy attraversu Px Grid.
• A megliu pratica hè di cunfigurà a Politica d'Autorizazione nantu à Cisco ISE per mette in quarantena l'ospite sia in l'Eccezzione Locale sia in l'Eccezzione Globale.
• Sè vo vulete applicà a Pulitica ANC à tutti i vostri insemi di pulitiche, VPN, wireless cablati, vale à dì tutti i VPN cablati è l'utilizatori wireless. Aduprate l'Eccezzione Globale.
• Sè vo vulete applicà a Pulitica ANC solu à l'utilizatori VPN o à l'utilizatori Wired. Aduprate a Pulitica Locale in i Set di Pulitiche VPN o in u Set di Pulitiche Wired rispettivamente.

Azione è risposta automatica cù ANC
Scenariu: Una sucietà usa Cisco Umbrella cum'è servitore DNS per impedisce e minacce internet. Vulemu un allarme persunalizatu affinchì, quandu l'utilizatori interni utilizanu altri servitori DNS esterni, un allarme sia attivatu per impedisce a cunnessione à servitori DNS rogue chì potenzialmente ridirigenu u trafficu versu siti esterni per scopi maliziosi. Quandu un allarme hè suscitatu, Cisco Secure Network Analytics dumanderà à Cisco ISE di mette in quarantena l'host chì usa servitori DNS rogue cù Adaptive Network Control Policy attraversu PxGrid. Navigate à Configurazione > Gestione di l'host. In u gruppu host parente Inside Hosts, create un Gruppu Host chjamatu Corporate Networks per e vostre rete interne.

In u gruppu d'ospiti parenti Outside Hosts, create un gruppu d'ospiti chjamatu Umbrella DNS Servers per l'indirizzi IP Umbrella.

L'utilizatori interni utilizanu Cisco Umbrella cum'è servitore DNS per impedisce e minacce d'Internet. Cunfigurà un alarme persunalizatu in modu chì quandu l'utilizatori interni utilizanu altri servitori DNS esterni, un alarme sia attivatu per impedisce a cunnessione à un servitore DNS rogue chì puderia ridirizionà u trafficu versu siti esterni per scopi maliziosi. Quandu un alarme hè suscitatu, Cisco Secure Network Analytics dumanderà à Cisco ISE di mette in quarantena l'host chì utilizza servitori DNS rogue cù una Politica di Cuntrollu di Rete Adattivu attraversu PxGrid.

Navigate à Configurazione > Gestione di Pulitiche.
Crea un avvenimentu persunalizatu cù l'infurmazioni seguenti:

• Nome: Trafficu DNS micca autorizatu
• Gruppi d'ospiti di sughjetti: Reti aziendali
• Gruppi di host pari: Host esternu eccettu i servitori DNS Umbrella
• Portu/Protocolli di pari: 53/UDP 53/TCP

In sostanza, questu avvenimentu hè attivatu quandu qualsiasi host in u Gruppu Host di e Reti Aziendali cumunica cù qualsiasi host in u Gruppu Host di Host Esterni, eccettu quelli in u Gruppu Host di Server DNS Umbrella, via 53/UDP o 53/TCP, un allarme hè suscitatu.

Navigate à Configurazione > Gestione di e Risposte. Cliccate nant'à Azzioni.

Selezziunate l'azione di pulitica ISE ANC. Date un nome è selezziunate u cluster Cisco ISE chì deve esse cuntattatu per applicà una pulitica di quarantena per qualsiasi violazione o cunnessione à servitori rogue.

Sottu à a sezzione Regole. Crea una nova Regula. Sta regula applicherà l'azione precedente quandu qualsiasi host in a rete interna prova à mandà u trafficu DNS à i servitori DNS rogue. In a sezzione A regula hè attivata se, selezziunate Tipu, scorri in giù è selezziunate l'eventu persunalizatu creatu prima. Sottu à l'Azioni Associate, selezziunate l'azione ISE ANC creata prima.

Da un host internu, apre a cunsola CMD. Eseguite u cumandamentu nslookup, dopu u cumandamentu server 8.8.8.8. Scrivite uni pochi d'indirizzi per chì u servitore DNS 8.8.8.8 li risolva.

Navigate à Monitor > ISE ANC Policy Assignments. Duvete vede chì Cisco Secure Network Analytics hà applicatu a Adaptive Network Control Policy via PxGrid è ISE per mette in quarantena l'Host.

FAQ

D: Cumu possu cumpletà l'Appliance Setup Tool (AST) nantu à ogni cumpunente SNA?
A: Una volta chì l'apparecchi SNA sò cunfigurati cù un indirizzu IP di gestione, pudete cumpletà l'AST nantu à ogni cumpunente seguendu l'istruzzioni specifiche furnite per quellu cumpunente in u manuale di l'utente o in a guida di cunfigurazione.

Documenti / Risorse

Implementazione di l'analisi di rete sicura di CISCO [pdfManuale d'istruzzioni Implementazione Sicura di l'Analisi di Rete, Implementazione di l'Analisi di Rete, Implementazione di l'Analisi, Implementazione

Referenze

• Manuale d'usu