CISCO-ի անվտանգ ցանցային վերլուծության տեղակայում

Ապրանքի մասին տեղեկատվություն

Տեխնիկական պայմաններ:

• Ապրանքի անվանում՝ Cisco Secure Network Analytics Deployment
• Ինտեգրացիա. Cisco ISE ինտեգրացիա ANC-ի համար

Cisco Secure Network Analytics-ի տեղակայում և Cisco ISE ինտեգրում ANC-ի համար

SMC-ի տեղադրում

Մուտք գործեք կոնսոլ, մուտքագրեք SystemConfig հրամանը: Մուտքագրեք սարքի ցանցային կարգավորումները:

Տվյալների պահեստի հանգույցի տեղադրում

Մուտք գործեք կոնսոլ, մուտքագրեք SystemConfig հրամանը: Մուտքագրեք սարքի ցանցային կարգավորումները:

Մենք կարգավորել ենք կառավարման ինտերֆեյսը, ստորև ներկայացված է երկրորդ ցանցային ինտերֆեյսը տվյալների հանգույցների միջև հաղորդակցության համար (հաղորդակցություն այլ տվյալների հանգույցների հետ):

Հոսքի կոլեկտորի տեղադրում

Մուտք գործեք կոնսոլ, մուտքագրեք SystemConfig հրամանը: Համոզվեք, որ բոլոր հեռաչափման տարբերակները ընտրված են:

Կարգավորեք հեռաչափման համար նախատեսված միացքները։

• Ցանցային հոսք՝ 2055
• Ցանցի տեսանելիության մոդուլ՝ 2030
• Firewall-ի գրանցամատյաններ՝ 8514

Մուտքագրեք սարքի ցանցային կարգավորումները։

Հոսքի սենսորի տեղադրում

Մուտք գործեք կոնսոլ, մուտքագրեք SystemConfig հրամանը: Մուտքագրեք սարքի ցանցային կարգավորումները:

Cisco Telemetry Broker-ի տեղադրում
Cisco Telemetry Brocker-ը հիմնական բաղադրիչն է

Cisco Secure Network Analytics-ը (նախկինում՝ Cisco Stealthwatch) և հեռաչափման օպտիմալացման հզոր սարք է, այն հիմնականում օգտագործվում է.

• Netflow, SNMP և Syslog տրաֆիկի հավաքագրումը և ագրեգացումը պարզեցնելու համար։
• Այն պարզեցնում է Netflow տվյալների կարգավորումը և ուղարկումը՝ օգտագործելով ձեր ցանցային սարքերում մեկ արտահանող՝ տարբեր արտահանողների փոխարեն, հատկապես, երբ դուք ունեք տարբեր ցանցային հոսքի վերլուծիչներ, ինչպիսիք են Cisco Secure Network Analytics-ը, SolarWinds-ը կամ LiveAction-ը, կամ եթե դուք ունեք մի քանի հոսքի հավաքիչներ՝ Cisco Secure Network Analytics-ով։
• Բացի այդ, այն պարզեցնում է հեռաչափման հոսքերը՝ օգտագործելով բազմաթիվ ուղղություններ և տարբեր գրանցամատյանների կառավարման լուծումներ։

Cisco Telemetry Broker-ի ճարտարապետությունը բաղկացած է երկու բաղադրիչից՝ 

• Կառավարչի հանգույց
• Բրոքերային հանգույց։

Բրոքերային հանգույցները բոլորը կառավարվում են մեկ Cisco Telemetry Broker մենեջերի կողմից՝ օգտագործելով կառավարման ինտերֆեյսը: Կառավարիչ հանգույցը պահանջում է մեկ ցանցային ինտերֆեյս՝ երթևեկության կառավարման համար: Բրոքերային հանգույցը պահանջում է երկու ցանցային ինտերֆեյս: Մեկ կառավարման ինտերֆեյս՝ մենեջերի հետ հաղորդակցվելու համար, և Telemetry ինտերֆեյս՝ Telemetry-ն Flow Collector-ին ուղարկելու համար, որն իր հերթին ուղարկում է կարգավորված նպատակակետերին, ինչպիսիք են SMC կառավարման կոնսոլը Cisco Secure Network Analytics լուծման մեջ: Cisco Secure Network Analytics լուծման հեռաչափման երթևեկության Destination Flow Collector IP հասցեն/պորտը ավելացվում է մենեջերային հանգույցին և կառավարման ինտերֆեյսի միջոցով ուղարկվում է Broker հանգույց՝ նրանց հրահանգելու համար, թե որտեղ ուղղորդել NetFlow երթևեկությունը:

Բրոքերային հանգույցը տեղադրելիս դուք պետք է այն միացնեք կառավարիչ հանգույցին՝ օգտագործելով sudo ctb-manage հրամանը և տրամադրեք կառավարիչ հանգույցի IP հասցեն և ադմինիստրատորի տվյալները: Երբ բրոքերային հանգույցը ավելացվի կառավարիչ հանգույցին, Web Կառավարիչ հանգույցի գրաֆիկական ինտերֆեյսը ցուցադրում է ավելացված բրոքերային հանգույցը՝ իր կառավարման IP հասցեով: Բրոքերային հանգույցի և կառավարիչ հանգույցի միջև ինտեգրացիան ավարտելու համար անհրաժեշտ է կառավարիչ հանգույցին ավելացնել բրոքերային հանգույցի տվյալների կամ հեռաչափման ցանցային ինտերֆեյսը: Վերջապես, ցանցային սարքերը, ինչպիսիք են firewall-ները, ռաութերները և կոմուտատորները, օգտագործում են բրոքերային հանգույցի հեռաչափման ինտերֆեյսի IP հասցեն որպես ցանցային հոսքի արտահանող:

Տեղակայել կառավարչի հանգույցը
Գործարկեք sudo ctb-install –init հրամանը։

Մուտքագրեք հետևյալ տեղեկությունները.

• Գաղտնաբառ ադմինիստրատորի համար
• Հյուրընկալողի անունը
• Կառավարման ցանցի ինտերֆեյսի IPv4 հասցեն, ենթացանցի դիմակը և լռելյայն դարպասի հասցեն
• DNS անվան սերվերի IP հասցե

Տեղակայել բրոքերային հանգույցը
Գործարկեք sudo ctb-install –init հրամանը։

Մուտքագրեք հետևյալ տեղեկությունները.

• Գաղտնաբառ ադմինիստրատորի համար
• Հյուրընկալողի անունը
• Կառավարման ցանցի ինտերֆեյսի IPv4 հասցեն, ենթացանցի դիմակը և լռելյայն դարպասի հասցեն
• DNS անվան սերվերի IP հասցե

Գործարկեք sudo ctb-manage հրամանը։ 
Մուտքագրեք հետևյալ տեղեկությունները.

• Մենեջեր հանգույցի IP հասցեն
• Մենեջեր հանգույցի ադմինիստրատորի հաշվի օգտատիրոջ անունը

Մուտք գործեք Cisco Telemetry Broker: web Բրաուզերում մուտքագրեք կառավարիչ հանգույցի կառավարչի կառավարման ինտերֆեյսի IP հասցեն: Գլխավոր ցանկից ընտրեք «Բրոքերային հանգույցներ»:

«Բրոքերային հանգույցներ» աղյուսակում սեղմեք բրոքերային հանգույցի վրա։ «Տելեմետրիայի ինտերֆեյս» բաժնում ընտրեք «Կարգավորել հեռեմետրիայի ինտերֆեյսը և լռելյայն դարպասը»։

Այժմ, երբ SNA սարքերը կարգավորված են կառավարման IP հասցեով, մենք պետք է լրացնենք սարքի կարգավորման գործիքը (AST) SNA-ի յուրաքանչյուր բաղադրիչի համար։

Կենցաղային տեխնիկայի կարգավորման գործիքը (AST) կկարգավորի կենցաղային տեխնիկան այնպես, որ այն կարողանա հաղորդակցվել SNA տեղակայման մնացած մասի հետ։

SMC

• Մուտք գործեք SMC GUI:
• Փոխեք admin-ի, root-ի և sysadmin-ի լռելյայն գաղտնաբառերը։

• Կառավարման ցանցային ինտերֆեյսի համար փոփոխություններ չկան։
• Կարգավորեք հոսթի անունը և տիրույթները։
• Կարգավորեք DNS սերվերները։
• Կարգավորեք NTP սերվերը։
• Վերջապես գրանցեք SMC-ն։
• SMC-ն կվերագործարկվի։

Տվյալների պահեստի հանգույց
Հետևեք նույն ընթացակարգին, միակ տարբերությունը Կենտրոնական կառավարման կարգավորումների կարգավորումն է: Այս բաժնում մուտքագրեք SMC-ի IP հասցեն՝ 198.19.20.136 և օգտագործողի անունը/գաղտնաբառը:

Հոսքի կոլեկցիոներ
Հետևեք նույն ընթացակարգին, միակ տարբերությունը Կենտրոնական կառավարման կարգավորումների կարգավորումն է: Այս բաժնում մուտքագրեք SMC-ի IP հասցեն՝ 198.19.20.136 և օգտագործողի անունը/գաղտնաբառը:

Հոսքի ցուցիչ

• Հետևեք նույն ընթացակարգին, միակ տարբերությունը Կենտրոնական կառավարման կարգավորումների կարգավորումն է: Այս բաժնում մուտքագրեք SMC-ի IP հասցեն՝ 198.19.20.136 և օգտագործողի անունը/գաղտնաբառը:
• Կարգավորումն ավարտելու համար նախնականացրեք DataStore հանգույցը։
• SSH կապ հաստատեք DataStore հանգույցի հետ և գործարկեք SystemConfig հրամանը։
• Հետևեք ինտերակտիվ երկխոսության պատուհանին՝ DataStore հանգույցը նախնականացնելու համար։
• Մուտք գործեք SMC GUI, կենտրոնական կառավարման բաժնում կարող ենք տեսնել, որ բոլոր Cisco SNA սարքավորումները միացված են SMC-ին։

Cisco Telemetry Broker-ի կարգավորում
Մուտք գործեք Cisco Telemetry Broker Manager հանգույցի GUI: Սեղմեք «Ավելացնել նպատակակետ» և ընտրեք UDP նպատակակետ: Կարգավորեք հետևյալ պարամետրերը:

• Նպատակակետի անվանումը՝ SNA-FC
• Նպատակակետի IP հասցե՝ 198.19.20.137
• Նպատակակետի UDP նավահանգիստ՝ 2055
• Սեղմեք Ավելացնել կանոն:
• Մուտքագրեք 2055-ը որպես ընդունող UDP միացք։

Սեղմեք «Ավելացնել նպատակակետ» և ընտրեք UDP նպատակակետ։
Կարգավորեք հետևյալ պարամետրերը.

• Նպատակակետի անվանումը՝ մենեջեր
• Նպատակակետի IP հասցե՝ 198.19.20.136
• Նպատակակետի UDP նավահանգիստ՝ 514
• Սեղմեք Ավելացնել կանոն:
• Մուտքագրեք 2055-ը որպես ընդունող UDP միացք։

Cisco ISE նույնականացման ծառայությունների շարժիչի ինտեգրում
Անցեք «Ադմինիստրացիա» > «pxGrid» > «Վկայագրեր» բաժին։

Լրացրեք ձևը հետևյալ կերպ.

• Սեղմեք «Ես ուզում եմ» դաշտում և ընտրեք «Ներբեռնել արմատային վկայականի շղթան»
• Սեղմեք «Հոսթի անուններ» դաշտում և ընտրեք «ադմինիստրատոր»
• Սեղմեք «Վկայականի ներբեռնման ձևաչափ» դաշտում և ընտրեք PEM տարբերակը։
• Սեղմեք Ստեղծել
• Ներբեռնեք file որպես ISE-CA-ROOT-CHAIN.zip:
• SMC GUI-ում սեղմեք «Կենտրոնական կառավարում» կոճակը։ «Կենտրոնական կառավարում» էջում գտեք SMC Manager սարքը, այնուհետև ընտրեք «Խմբագրել սարքի կարգավորումը»։
• Սեղմեք Ընդհանուր:
• Գլորեք ներքև դեպի Trust Store և սեղմեք Add New (Ավելացնել նոր): Ընտրեք CertificateServicesRootCA-admin_.cer fileՍեղմեք «Ավելացնել վկայական» կոճակը։
• SMC-ն այժմ կվստահի ISE CA-ի կողմից տրված վկայականներին։
• Սեղմեք «Սարքավորում» ներդիրը։ Գլորեք ներքև մինչև «Լրացուցիչ SSL/TLS հաճախորդի նույնականացումներ» բաժինը և սեղմեք «Ավելացնել նոր»։
• Այն կհարցնի, թե արդյոք անհրաժեշտ է ստեղծել CSR, ընտրեք Այո և սեղմեք Հաջորդը։

Լրացրեք ՀԿՀ-ն հետևյալ կերպ.

• RSA բանալու երկարությունը
• Կազմակերպություն
• Կազմակերպչական միավոր
• Բնակավայր կամ քաղաք
• Նահանգ կամ նահանգ
• Երկրի կոդը
• Էլփոստի հասցե

Սեղմեք «Ստեղծել CSR», ապա՝ «Ներբեռնել CSR»:

Մուտք գործեք Cisco ISE GUI: Անցեք Administration > pxGrid > Certificates բաժին:

Օգտագործեք հետևյալ տեղեկությունները.

• «Ես ուզում եմ» դաշտում ընտրեք «Ստեղծել մեկ վկայական (վկայականի ստորագրման հայտով)»
• Անցեք CSR-ը «Վկայագրի ստորագրման հարցման մանրամասներ» դաշտում
• Մուտքագրեք SMC «Նկարագրություն» դաշտում
• SAN դաշտում ընտրեք IP հասցեն և մուտքագրեք 198.19.20.136 որպես կից IP հասցե։
• Ընտրեք PKCS12 ձևաչափը որպես վկայականի ներբեռնման ձևաչափի տարբերակ
• Մուտքագրեք գաղտնաբառ
• Սեղմեք Ստեղծել
• Պահպանեք SMC-PXGRID անունով ստեղծված վկայականը։

Նշում.
Որոշ առկա Cisco ISE տեղակայումներում, ինչպես ցույց է տրված ստորև, կարող են լինել ժամկետանց համակարգային վկայականներ, որոնք օգտագործվում են admin, eap և pxGrid ծառայությունների համար։

Սա պայմանավորված է նրանով, որ այս համակարգի վկայականները ստորագրող Cisco ISE ներքին CA վկայականները ժամկետանց են։

Համակարգի վկայականները երկարաձգելու համար անցեք «Ադմինիստրացիա» > «Վկայականներ» > «Վկայականի ստորագրման հարցումներ» բաժինը: «Օգտագործում» դաշտում ընտրեք ISE Root CA-ն, այնուհետև սեղմեք «Փոխարինել ISE Root CA վկայականների շղթան»:

Cisco ISE-ը ստեղծում է նոր ներքին CA վկայականներ: Մի մոռացեք կարգավորել «Վստահելի է» դաշտը համապատասխան ծառայությունների համար, ինչպիսին է pxGrid-ը:

Այժմ համակարգի վկայականները վավեր են։

Մուտք գործեք SMC GUI: Անցեք «Կենտրոնական կառավարում» բաժին: SMC սարքի կարգավորում ներդիրում գլորեք ներքև՝ «Ավելացնել SSL/TLS հաճախորդի նույնականացում» ձևաթղթին հասնելու համար, այնուհետև սեղմեք «Ընտրել»: File, ընտրեք SMC-PXGRID վկայականը։

SMC GUI-ում անցեք Deploy > Cisco ISE Configuration բաժին։

Կարգավորեք ISE կարգավորումը հետևյալ պարամետրերով.

• Կլաստերի անունը՝ ISE-CLUSTER
• Վկայական՝ SMC-PXGRID
• PxGrid-ի հիմնական հանգույց՝ 198.19.20.141
• Հաճախորդի անուն՝ SMC-PXGRID

Անցեք Մոնիտոր > Օգտատերեր բաժին։
Նկատի ունեցեք, որ մենք կարող ենք տեսնել օգտատիրոջ տվյալները SMC-ում։

ISE ադապտիվ ցանցի կառավարման (ANC) քաղաքականություններ
Ընտրեք Գործողություններ > Ադապտիվ ցանցի կառավարում > Քաղաքականության ցանկ > Ավելացնել և քաղաքականության անվան համար մուտքագրեք SW_QUARANTINE, իսկ գործողության համար՝ Quarantine։

Մուտք գործեք SMC GUI: Ընտրեք IP հասցե վահանակում, մենք կտեսնենք, որ ISE ANC քաղաքականությունը լրացված է:

ISE լիազորման քաղաքականություն

• Գլոբալ լիազորման բացառության քաղաքականությունները թույլ են տալիս սահմանել կանոններ, որոնք գերակշռում են ձեր բոլոր քաղաքականությունների հավաքածուների բոլոր լիազորման կանոններին: Երբ դուք կարգավորում եք գլոբալ լիազորման բացառության քաղաքականությունը, այն ավելացվում է բոլոր քաղաքականությունների հավաքածուներին:
• Տեղական լիազորման բացառության կանոնը փոխարինում է գլոբալ բացառության կանոններին։ Այսպիսով, նախ մշակվում է տեղական բացառության կանոնը, ապա գլոբալ բացառության կանոնը և վերջապես՝ լիազորման քաղաքականության սովորական կանոնը։
• Այս բացառության կանոնների հետաքրքիր օգտագործման դեպքերից մեկն այն է, երբ դուք կարգավորում եք Cisco Secure Network Analytics-ը (Stealth watch) Cisco ISE-ի հետ՝ Response Management-ի համար՝ օգտագործելով Adaptive Network Policy (ANC)-ը, այնպես որ, երբ տագնապ է բարձրացվում, Cisco Secure Network Analytics-ը (Stealth watch) կխնդրի Cisco ISE-ին կարանտինացնել հոսթը Adaptive Network Control Policy-ի միջոցով՝ Px Grid-ի միջոցով:
• Cisco ISE-ում լիազորման քաղաքականությունը կարգավորելու լավագույն պրակտիկան հոսթը տեղական կամ գլոբալ բացառության մեջ կարանտինացնելու համար է։
• Եթե ​​​​ցանկանում եք կիրառել ANC քաղաքականությունը ձեր բոլոր քաղաքականությունների հավաքածուների համար՝ VPN, լարային անլար, այսինքն՝ բոլոր լարային VPN և անլար օգտատերերի, օգտագործեք գլոբալ բացառությունը։
• Եթե ​​​​ցանկանում եք ANC քաղաքականությունը կիրառել միայն VPN կամ Wired օգտատերերի համար, օգտագործեք համապատասխանաբար VPN քաղաքականության հավաքածուների կամ Wired քաղաքականության հավաքածուի ներսում գտնվող տեղական քաղաքականությունը։

Ավտոմատ գործողություն և արձագանք ANC-ի հետ
Սցենար. Ընկերությունն օգտագործում է Cisco Umbrella-ն որպես DNS սերվեր՝ ինտերնետային սպառնալիքները կանխելու համար: Մենք ցանկանում ենք ունենալ հատուկ տագնապ, որպեսզի, երբ ներքին օգտատերերը օգտագործում են այլ արտաքին DNS սերվերներ, տագնապ ակտիվանա՝ կանխելու համար կապը խարդախ DNS սերվերների հետ, որոնք կարող են վնասաբեր նպատակներով վերահղել երթևեկությունը դեպի արտաքին կայքեր: Երբ տագնապ է բարձրացվում, Cisco Secure Network Analytics-ը կխնդրի Cisco ISE-ին կարանտինացնել այն հոսթը, որն օգտագործում է խարդախ DNS սերվերներ՝ PxGrid-ի միջոցով Adaptive Network Control Policy-ով: Անցեք Configure > Host Management բաժին: Inside Hosts մայր հոսթ խմբում ստեղծեք Corporate Networks անունով հոսթ խումբ ձեր ներքին ցանցերի համար:

«Արտաքին հոսթինգներ» ծնողական հոսթ խմբում ստեղծեք «Umbrella DNS սերվերներ» անունով հոսթ խումբ՝ Umbrella IP հասցեների համար։

Ներքին օգտատերերը օգտագործում են Cisco Umbrella-ն որպես DNS սերվեր՝ ինտերնետային սպառնալիքները կանխելու համար: Կարգավորեք հատուկ ահազանգ, որպեսզի, երբ ներքին օգտատերերը օգտագործում են այլ արտաքին DNS սերվերներ, ահազանգը միանա՝ կանխելու համար կապը խարդախ DNS սերվերի հետ, որը կարող է երթևեկությունը վերահղել արտաքին կայքեր՝ չարամիտ նպատակներով: Երբ ահազանգ է հնչում, Cisco Secure Network Analytics-ը կխնդրի Cisco ISE-ին կարանտինացնել այն հոսթը, որն օգտագործում է խարդախ DNS սերվերներ՝ PxGrid-ի միջոցով Adaptive Network Control Policy-ով:

Անցեք Կարգավորել > Քաղաքականության կառավարում բաժին։
Ստեղծեք հատուկ իրադարձություններ հետևյալ տեղեկություններով՝

• Անուն՝ չարտոնված DNS տրաֆիկ
• Թեմատիկ հոսթինգային խմբեր՝ կորպորատիվ ցանցեր
• Հասակակից հոսթ խմբեր. Արտաքին հոսթ, բացառությամբ Umbrella DNS սերվերների
• Հասակակիցների միացք/արձանագրություններ՝ 53/UDP 53/TCP

Հիմնականում այս իրադարձությունը ակտիվանում է, երբ կորպորատիվ ցանցերի հոսթ խմբի որևէ հոսթ կապվում է արտաքին հոսթերի հոսթ խմբի որևէ հոսթի հետ, բացառությամբ Umbrella DNS սերվերների հոսթ խմբի մեջ մտնողների, 53/UDP կամ 53/TCP միջոցով, երբ տագնապ է բարձրացվում։

Անցեք Կարգավորել > Պատասխանների կառավարում բաժին։ Սեղմեք Գործողություններ։

Ընտրեք ISE ANC քաղաքականության գործողությունը: Տվեք անուն և ընտրեք Cisco ISE կլաստերը, որի հետ պետք է կապ հաստատել՝ ցանկացած խախտման կամ չարամիտ սերվերների հետ կապի դեպքում կարանտինային քաղաքականություն կիրառելու համար:

«Կանոններ» բաժնում ստեղծեք նոր կանոն։ Այս կանոնը կկիրառի նախորդ գործողությունը, երբ ներքին ցանցի ներսում գտնվող որևէ հոսթ փորձում է DNS երթևեկություն ուղարկել խարդախ DNS սերվերների։ «Կանոնը ակտիվանում է, եթե» բաժնում ընտրեք «Տեսակ», գլորեք ներքև և ընտրեք նախկինում ստեղծված հատուկ իրադարձությունը։ «Կապակցված գործողություններ» բաժնում ընտրեք նախկինում ստեղծված ISE ANC գործողությունը։

Ներքին հոսթից բացեք CMD կոնսոլը: Կատարեք nslookup հրամանը, ապա server 8.8.8.8 հրամանը: Մուտքագրեք մի քանի հասցեներ 8.8.8.8 DNS սերվերի համար՝ խնդիրը լուծելու համար:

Անցեք Մոնիտոր > ISE ANC քաղաքականության նշանակումներ բաժին։ Դուք պետք է տեսնեք, որ Cisco Secure Network Analytics-ը կիրառել է Adaptive Network Control Policy PxGrid-ի և ISE-ի միջոցով՝ հոսթը մեկուսացնելու համար։

ՀՏՀ

Հարց. Ինչպե՞ս կարող եմ լրացնել սարքի կարգավորման գործիքը (AST) յուրաքանչյուր SNA բաղադրիչի համար:
A: Երբ SNA սարքերը կարգավորվեն կառավարման IP հասցեով, դուք կարող եք լրացնել AST-ը յուրաքանչյուր բաղադրիչի համար՝ հետևելով օգտագործողի ձեռնարկում կամ կարգավորման ուղեցույցում այդ բաղադրիչի համար տրամադրված հատուկ հրահանգներին:

Փաստաթղթեր / ռեսուրսներ

CISCO-ի անվտանգ ցանցային վերլուծության տեղակայում [pdf] Հրահանգների ձեռնարկ Անվտանգ ցանցային վերլուծության տեղակայում, ցանցային վերլուծության տեղակայում, վերլուծության տեղակայում, տեղակայում

Հղումներ

• Օգտագործողի ձեռնարկ