Deplwaman Analiz Rezo Sekirize CISCO
Enfòmasyon sou pwodwi
Espesifikasyon:
- Non pwodwi: Cisco Secure Network Analytics Deployment
- Entegrasyon: Entegrasyon Cisco ISE pou ANC
Deplwaman Cisco Secure Network Analytics ak Entegrasyon Cisco ISE pou ANC
Enstalasyon SMC a
Konekte nan konsole a, tape kòmand SystemConfig la. Antre konfigirasyon rezo a pou aparèy la.
Enstalasyon Nœud Depo Done a
Konekte nan konsole a, tape kòmand SystemConfig la. Antre konfigirasyon rezo a pou aparèy la.
Nou fin konfigire koòdone jesyon an, sa ki annapre a se yon dezyèm koòdone rezo pou kominikasyon ant nœud done yo (kominikasyon ak lòt nœud done yo).
Enstalasyon Kolektè Flow la
Konekte nan konsole a, tape kòmand SystemConfig la. Asire w ke tout opsyon telemetri yo chwazi.
Konfigire pò yo pou telemetri a.
- Netflow: 2055
- Modil Vizibilite Rezo: 2030
- Jounal pare-feu: 8514
Antre konfigirasyon rezo a pou aparèy la.
Enstalasyon Capteur Flow la
Konekte nan konsole a, tape kòmand SystemConfig la. Antre konfigirasyon rezo a pou aparèy la.
Enstalasyon Cisco Telemetry Broker
Cisco Telemetry Broker, eleman prensipal la
Cisco Secure Network Analytics (Ansyen Cisco Stealthwatch) se yon aparèy pwisan pou optimize telemetri, li sitou itilize pou:
- Pou senplifye koleksyon ak agregasyon trafik Netflow, SNMP ak Syslog.
- Li senplifye konfigirasyon ak voye done Netflow lè l sèvi avèk yon sèl ekspòtatè nan Aparèy Rezo ou yo olye de diferan ekspòtatè, sitou lè ou gen diferan analizè netflow tankou Cisco Secure Network Analytics, SolarWinds oswa LiveAction, oubyen si ou gen plizyè kolektè koule ak Cisco Secure Network Analytics.
- Anplis de sa, li senplifye kouran telemetri yo lè w ap itilize plizyè destinasyon ak diferan solisyon jesyon jounal.
Achitekti Cisco Telemetry Broker a gen de eleman:
- Nœd Manadjè
- Nœd koutye.
Tout Nœuds Koutye yo jere pa yon sèl manadjè Broker Telemetry Cisco lè l sèvi avèk Entèfas Jesyon an. Nœud Manadjè a bezwen yon koòdone rezo pou trafik jesyon an. Nœud Koutye a bezwen de koòdone rezo. Yon koòdone jesyon pou kominikasyon avèk manadjè a ak koòdone Telemetry a pou voye Telemetry bay Flow Collector ki voye l bay destinasyon yo konfigire tankou SMC Management Console nan solisyon Cisco Secure Network Analytics la. Adrès IP/Pò Destinasyon Flow Collector pou trafik telemetry nan solisyon Cisco Secure Network Analytics la ajoute sou Nœud Manadjè a epi li pouse desann nan Nœud Koutye a atravè koòdone jesyon an pou enstwi yo ki kote pou yo trafik NetFlow.
Lè w ap enstale Broker Node la, ou dwe konekte li ak Manager Node la avèk kòmand sudo ctb-manage la epi bay adrès IP ak kalifikasyon administratè Manager Node la. Yon fwa ou ajoute Broker Node la nan Manager Node la, Web Entèfas grafik Nœud Manadjè a montre Nœud Broker ki te ajoute a ak adrès IP jesyon li. Pou fini entegrasyon ant Nœud Broker la ak Nœud Manadjè a, ou bezwen ajoute Entèfas Rezo Done oswa Telemetri Nœud Broker la nan Nœud Manadjè a. Finalman, Aparèy Rezo yo tankou pare-feu, Routeur ak Switch itilize Adrès IP Entèfas Telemetri Nœud Broker la kòm Ekspòtatè Netflow la.
Deplwaye Nœd Manadjè a
Egzekite kòmandman sudo ctb-install –init la.
Antre enfòmasyon sa yo:
- Modpas pou itilizatè administratè a
- Non animatè
- Adrès IPv4, mask sou-rezo, ak adrès pòtay default pou koòdone Rezo Jesyon an
- Adrès IP sèvè non DNS
Deplwaye Nœd Broker la
Egzekite kòmandman sudo ctb-install –init la.
Antre enfòmasyon sa yo:
- Modpas pou itilizatè administratè a
- Non animatè
- Adrès IPv4, mask sou-rezo, ak adrès pòtay default pou koòdone Rezo Jesyon an
- Adrès IP sèvè non DNS
Egzekite kòmandman sudo ctb-manage la.
Antre enfòmasyon sa yo:
- Adrès IP ne Manadjè a
- Non itilizatè kont administratè nœd Manadjè a
Konekte sou Cisco Telemetry Broker. Nan yon web navigatè a, antre adrès IP entèfas jesyon Manadjè a pou nœud manadjè a. Nan meni prensipal la, chwazi Nœud Broker yo.
Nan tablo Nœuds Broker yo, klike sou nœud broker la. Nan seksyon Entèfas Telemetri a, konfigire Entèfas Telemetri a ak pòtay default la.
Kounye a ke aparèy SNA yo configuré ak yon adrès IP jesyon, nou bezwen konplete Zouti Konfigirasyon Aparèy (AST) la sou chak konpozan SNA.
Zouti Enstalasyon Aparèy la (AST) pral konfigire aparèy yo pou yo kapab kominike avèk rès deplwaman SNA a.
SMC
- Jwenn aksè nan koòdone itilizatè grafik SMC a.
- Chanje modpas defo yo pou admin, root, ak sysadmin.
Pa gen chanjman pou Entèfas Rezo Jesyon an.
Konfigire Non Host la ak Domèn yo. 
- Konfigire sèvè DNS yo.
- Konfigire sèvè NTP a.
- Finalman anrejistre SMC a.
- SMC a pral rekòmanse.
Nœud depo done
Swiv menm pwosedi a, sèl diferans lan se konfigirasyon Anviwònman Jesyon Santral yo. Nan seksyon sa a, antre adrès IP SMC a 198.19.20.136 ak non itilizatè/modpas la.
Koule Pèseptè
Swiv menm pwosedi a, sèl diferans lan se konfigirasyon Anviwònman Jesyon Santral yo. Nan seksyon sa a, antre adrès IP SMC a 198.19.20.136 ak non itilizatè/modpas la.
Koule Capteur
- Swiv menm pwosedi a, sèl diferans lan se konfigirasyon Anviwònman Jesyon Santral yo. Nan seksyon sa a, antre adrès IP SMC a 198.19.20.136 ak non itilizatè/modpas la.
- Pou konplete konfigirasyon an, inisyalize nœd DataStore la.
- Konekte sou SSH nan nœd DataStore la epi egzekite kòmand SystemConfig la.
- Swiv dyalòg entèaktif la pou inisyalize nœd DataStore la.
- Jwenn aksè nan koòdone grafik SMC a, nan Jesyon Santral la nou ka wè tout aparèy Cisco SNA yo konekte ak SMC.
Konfigirasyon Broker Telemetri Cisco a
Jwenn aksè nan koòdone itilizatè grafik Cisco Telemetry Broker Manager la. Klike sou Ajoute Destinasyon epi chwazi Destinasyon UDP. Konfigire paramèt sa yo.
- Non Destinasyon: SNA-FC
- Adrès IP Destinasyon: 198.19.20.137
- Pò UDP Destinasyon: 2055
Klike sou Ajoute Règ. 
- Antre 2055 kòm pò UDP reseptè a.
Klike sou Ajoute Destinasyon epi chwazi Destinasyon UDP.
Configured paramèt sa yo.
- Non Destinasyon: Manadjè
- Adrès IP Destinasyon: 198.19.20.136
- Pò UDP Destinasyon: 514
- Klike sou Ajoute Règ.
- Antre 2055 kòm pò UDP reseptè a.
Entegrasyon Motè Sèvis Idantite Cisco ISE
Ale nan Administrasyon > pxGrid > Sètifika.
Ranpli fòm lan jan sa a:
- Klike nan chan Mwen vle a epi chwazi Telechaje Chèn Sètifika Rasin lan.
- Klike nan jaden Non Host yo epi chwazi admin
- Klike nan chan Fòma Telechajman Sètifika a epi chwazi opsyon PEM lan.
- Klike sou Kreye
- Telechaje la file kòm ISE-CA-ROOT-CHAIN.zip.
- Sou koòdone itilizatè grafik SMC a, klike sou Jesyon Santral. Sou paj Jesyon Santral la, lokalize aparèy SMC Manager la, answit chwazi Modifye Konfigirasyon Aparèy la.
- Klike sou Jeneral.
- Desann jis rive nan Trust Store epi klike sou Ajoute Nouvo. Chwazi CertificateServicesRootCA-admin_.cer la. fileKlike sou Ajoute Sètifika.
- Kounye a, SMC a pral fè sètifika ISE CA a bay yo konfyans.
- Klike sou onglet Aparèy la. Desann nan seksyon Idantite Kliyan SSL/TLS Siplemantè epi klike sou Ajoute Nouvo.
- Li pral mande w si w bezwen jenere yon CSR, chwazi Wi epi klike sou Pwochen.
Ranpli CSR a jan sa a:
- Longè kle RSA a
- Òganizasyon
- Inite òganizasyonèl
- Lokalite oswa Vil
- Eta oswa Pwovens
- Kòd Peyi
- Adrès Imèl
Klike sou Jenere CSR, apresa Telechaje CSR.
Ale nan entèfas grafik Cisco ISE a. Ale nan Administrasyon > pxGrid > Sètifika.
Sèvi ak enfòmasyon sa yo:
- Nan chan Mwen vle a, chwazi Jenere yon sèl sètifika (avèk demann siyati sètifika)
- Pase CSR a nan chan Detay Demann Siyati Sètifika a
- Tape SMC nan chan Deskripsyon an
- Chwazi Adrès IP nan chan SAN an epi antre 198.19.20.136 kòm Adrès IP ki asosye a.
- Chwazi fòma PKCS12 kòm opsyon Fòma Telechaje Sètifika a.
- Mete yon modpas
- Klike sou Kreye
- Sove sètifika ki te kreye a avèk non SMC-PXGRID la.
Nòt:
Nan kèk deplwaman Cisco ISE ki deja egziste, ou ka gen sètifika sistèm ki ekspire pou sèvis admin, eap ak pxGrid jan yo montre anba a.
Sa a se paske sètifika CA entèn Cisco ISE ki siyen sètifika sistèm sa yo ekspire.
Pou renouvle sètifika sistèm yo. Ale nan Administrasyon > Sètifika > Demann Siyati Sètifika. Nan chan Itilizasyon an, chwazi ISE Root CA, answit klike sou Ranplase Chèn Sètifika ISE Root CA.
Cisco ISE a jenere nouvo sètifika CA entèn. Pa bliye ajiste chan "Fyab pou" a pou sèvis ki apwopriye yo tankou pxGrid.
Kounye a sètifika sistèm yo valab.
Jwenn aksè nan GUI SMC a. Ale nan Jesyon Santral. Nan onglet Konfigirasyon Aparèy SMC a, desann jiska fòm Ajoute Idantite Kliyan SSL/TLS la, answit klike sou Chwazi. File, chwazi sètifika SMC-PXGRID la.
Nan GUI SMC a, ale nan Deplwaye > Konfigirasyon Cisco ISE.
Konfigire Konfigirasyon ISE a avèk paramèt sa yo:
- Non Gwoupman: ISE-CLUSTER
- Sètifika: SMC-PXGRID
- Nœd PxGrid Prensipal: 198.19.20.141
- Non Kliyan: SMC-PXGRID
Ale nan Monitè > Itilizatè.
Remake byen ke nou ka wè done itilizatè yo sou SMC.
Règleman Kontwòl Rezo Adaptatif ISE (ANC)
Chwazi Operasyon > Kontwòl Rezo Adaptatif > Lis Règleman > Ajoute epi antre SW_QUARANTINE pou Non Règleman an ak Karantèn pou Aksyon an.
Jwenn aksè nan koòdone grafik SMC a. Chwazi yon adrès IP nan tablodbò a, nou ka wè ke règleman ISE ANC la ranpli.
- Règleman eksepsyon otorizasyon global yo pèmèt ou defini règ ki ranplase tout règ otorizasyon nan tout ansanm règleman ou yo. Yon fwa ou konfigire yon règleman eksepsyon otorizasyon global, li ajoute nan tout ansanm règleman yo.
- Règ eksepsyon otorizasyon lokal la ranplase règ eksepsyon global yo. Kidonk, règ eksepsyon lokal la trete an premye, answit règ eksepsyon global la, epi finalman, règ nòmal politik otorizasyon an.
- Youn nan ka itilizasyon enteresan Règ Eksepsyon sa yo se lè ou konfigire Cisco Secure Network Analytics (Stealth watch) ak Cisco ISE pou Jesyon Repons lè l sèvi avèk Adaptive Network Policy (ANC) pou lè yon alam sonnen, Cisco Secure Network Analytics (Stealth watch) ap mande Cisco ISE pou mete lame a an karantèn ak Adaptive Network Control Policy atravè Px Grid.
- Pi bon pratik pou konfigire Règleman Otorizasyon an sou Cisco ISE pou mete lame a an karantèn swa nan Eksepsyon Lokal la oswa nan Eksepsyon Global la.
- Si ou vle aplike Règleman ANC a nan tout ansanm règleman ou yo, VPN, san fil filaire oswa tout itilizatè VPN filaire ak san fil. Sèvi ak Eksepsyon Global la.
- Si ou vle aplike Règleman ANC a sèlman pou itilizatè VPN oswa itilizatè Wired. Sèvi ak Règleman Lokal la ki andedan Ansanm Règleman VPN yo oswa Ansanm Règleman Wired yo respektivman.
Aksyon ak Repons Otomatik ak ANC
Senaryo: Yon konpayi ap itilize Cisco Umbrella kòm sèvè DNS pou anpeche menas entènèt. Nou vle yon alam pèsonalize pou lè itilizatè entèn yo ap itilize lòt sèvè DNS ekstèn, yon alam deklanche pou anpeche koneksyon ak sèvè DNS vakabon ki potansyèlman redireksyon trafik sou sit ekstèn pou rezon move. Lè yon alam sonnen, Cisco Secure Network Analytics ap mande Cisco ISE pou mete lame ki itilize sèvè DNS vakabon ak Règleman Kontwòl Rezo Adaptab atravè PxGrid an karantèn. Ale nan Konfigirasyon > Jesyon Lame. Nan gwoup lame paran Anndan Lame yo, kreye yon Gwoup Lame ki rele Rezo Kòporatif pou rezo entèn ou yo.
Nan gwoup òt paran yo ki rele Outside Hosts (Òt Eksteryè yo), kreye yon gwoup òt ki rele Umbrella DNS Servers (Sèvè DNS Umbrella) pou adrès IP Umbrella yo.
Itilizatè entèn yo ap itilize Cisco Umbrella kòm sèvè DNS pou anpeche menas entènèt yo. Konfigire yon alam pèsonalize pou lè itilizatè entèn yo ap itilize lòt sèvè DNS ekstèn, yon alam deklanche pou anpeche koneksyon ak sèvè DNS vakabon ki potansyèlman redireksyon trafik sou sit ekstèn pou rezon move. Lè yon alam sonnen, Cisco Secure Network Analytics ap mande Cisco ISE pou mete an karantèn lame ki itilize sèvè DNS vakabon ak Règleman Kontwòl Rezo Adaptab atravè PxGrid.
Ale nan Konfigirasyon > Jesyon Règleman.
Kreye yon Evènman Pèsonalize avèk enfòmasyon sa yo:
- Non: Trafik DNS san otorizasyon
- Gwoup Akèy Sijè yo: Rezo Antrepriz yo
- Gwoup òt kanmarad yo: Òt ekstèn eksepte sèvè DNS parapli yo
- Pò/Pwotokòl kanmarad: 53/UDP 53/TCP
Fondamantalman, evènman sa a deklanche lè nenpòt òdinatè nan Gwoup Otè Rezo Kòporasyon an kominike avèk nenpòt òdinatè nan Gwoup Otè Otè Eksteryè yo, eksepte sa yo ki nan Gwoup Otè Sèvè DNS Parapluie yo, atravè 53/UDP oswa 53/TCP, yon alam sonnen.
Ale nan Konfigire > Jesyon Repons. Klike sou Aksyon.
Chwazi Aksyon Règleman ISE ANC la. Bay yon non epi chwazi gwoup Cisco ISE a pou kontakte pou aplike yon règleman karantèn pou nenpòt vyolasyon oswa koneksyon ak sèvè vakabon.
Anba seksyon Règ yo. Kreye yon nouvo Règ. Règ sa a pral aplike Aksyon anvan an lè nenpòt òdinatè andedan rezo entèn lan ap eseye voye trafik DNS bay sèvè DNS vakabon. Nan seksyon Règ la deklanche si, chwazi Kalite, desann epi chwazi evènman pèsonalize ki te kreye anvan an. Anba Aksyon ki asosye yo, chwazi aksyon ISE ANC ki te kreye anvan an.
Apati yon òdinatè anndan, ouvri konsole CMD a. Egzekite kòmand nslookup la, answit kòmand server 8.8.8.8 la. Tape kèk adrès pou sèvè DNS 8.8.8.8 la rezoud pwoblèm nan.
Ale nan Monitè > Asignasyon Règleman ISE ANC. Ou ta dwe wè ke Cisco Secure Network Analytics te aplike Règleman Kontwòl Rezo Adaptatif atravè PxGrid ak ISE pou mete Host la an karantèn.
FAQ
K: Kouman pou mwen konplete Zouti Enstalasyon Aparèy (AST) la sou chak konpozan SNA?
A: Yon fwa aparèy SNA yo konfigire ak yon adrès IP jesyon, ou ka konplete AST a sou chak konpozan lè w suiv enstriksyon espesifik yo bay pou konpozan sa a nan manyèl itilizatè a oswa gid konfigirasyon an.
Dokiman / Resous
 |
Deplwaman Analiz Rezo Sekirize CISCO [pdfManyèl Enstriksyon Deplwaman Analiz Rezo An Sekirite, Deplwaman Analiz Rezo, Deplwaman Analiz, Deplwaman |