Распоредување на безбедна мрежна аналитика на CISCO
Информации за производот
Спецификации:
- Име на производ: Cisco Secure Network Analytics Deployment
- Интеграција: Cisco ISE интеграција за ANC
Распоредување на Cisco Secure Network Analytics и интеграција со Cisco ISE за ANC
Инсталација на SMC
Најавете се на конзолата, напишете ја командата SystemConfig. Внесете ја мрежната конфигурација за апаратот.
Инсталација на јазол за складирање податоци
Најавете се на конзолата, напишете ја командата SystemConfig. Внесете ја мрежната конфигурација за апаратот.
Го конфигуриравме интерфејсот за управување, следниот е втор мрежен интерфејс за комуникација меѓу јазлите за податоци (комуникација со други јазли за податоци).
Инсталација на колектор на проток
Најавете се на конзолата, напишете ја командата SystemConfig. Проверете дали се избрани сите опции за телеметрија.
Конфигурирајте ги портите за телеметрија.
- Мрежниот тек: 2055
- Модул за видливост на мрежата: 2030
- Логови на заштитниот ѕид: 8514
Внесете ја мрежната конфигурација за апаратот.
Инсталација на сензор за проток
Најавете се на конзолата, напишете ја командата SystemConfig. Внесете ја мрежната конфигурација за апаратот.
Инсталација на Cisco Telemetry Broker
Cisco Telemetry Brocker е основната компонента на
Cisco Secure Network Analytics (порано Cisco Stealthwatch) е моќен уред за оптимизирање на телеметријата, кој главно се користи:
- За поедноставување на собирањето и агрегирањето на Netflow, SNMP и Syslog сообраќај.
- Го поедноставува конфигурирањето и испраќањето на податоци од Netflow користејќи еден извозник во вашите мрежни уреди наместо различни извозници, особено кога имате различни анализатори на мрежен проток како што се Cisco Secure Network Analytics, SolarWinds или LiveAction, или во случај да имате повеќе собирачи на проток со Cisco Secure Network Analytics.
- Покрај тоа, го поедноставува телеметрискиот тек при користење на повеќе дестинации и различни решенија за управување со логови.
Архитектурата на Cisco Telemetry Broker се состои од две компоненти:
- Менаџерски јазол
- Брокерски јазол.
Брокерските јазли се управувани од еден менаџер за брокер на Cisco Telemetry користејќи го интерфејсот за управување. На менаџерскиот јазол му е потребен еден мрежен интерфејс за управување со сообраќајот. На брокерскиот јазол му се потребни два мрежни интерфејси. Еден интерфејс за управување за комуникација со менаџерот и интерфејс за телеметрија за испраќање телеметрија до Flow Collector, кој пак испраќа до конфигурираните дестинации како што е SMC Management Console во решението Cisco Secure Network Analytics. IP адресата/портата на Flow Collector од дестинацијата на телеметрискиот сообраќај во решението Cisco Secure Network Analytics се додава на менаџерскиот јазол и се пренесува надолу до брокерскиот јазол преку интерфејсот за управување за да им се даде инструкција каде да го насочат NetFlow сообраќајот.
При инсталирање на брокерскиот јазол, мора да го поврзете со менаџерскиот јазол користејќи ја командата sudo ctb-manage и да ја наведете IP адресата и администраторските акредитиви на менаџерскиот јазол. Откако брокерскиот јазол ќе се додаде во менаџерскиот јазол, Web Графичкиот кориснички интерфејс на менаџерскиот јазол го прикажува додадениот брокерски јазол со неговата IP адреса за управување. За да ја завршите интеграцијата помеѓу брокерскиот јазол и менаџерскиот јазол, треба да го додадете мрежниот интерфејс за податоци или телеметрија на брокерскиот јазол на менаџерскиот јазол. Конечно, мрежните уреди како што се заштитните ѕидови, рутерите и прекинувачите ја користат IP адресата на телеметрискиот интерфејс на брокерскиот јазол како извозник на Netflow.
Распоредете го менаџерскиот јазол
Извршете ја командата sudo ctb-install –init.
Внесете ги следните информации:
- Лозинка за администраторски корисник
- Име на домаќин
- IPv4 адреса, подмрежна маска и стандардна адреса на портал за интерфејсот на мрежата за управување
- IP адреса на DNS именскиот сервер
Распоредете го брокерскиот јазол
Извршете ја командата sudo ctb-install –init.
Внесете ги следните информации:
- Лозинка за администраторски корисник
- Име на домаќин
- IPv4 адреса, подмрежна маска и стандардна адреса на портал за интерфејсот на мрежата за управување
- IP адреса на DNS именскиот сервер
Извршете ја командата sudo ctb-manage.
Внесете ги следните информации:
- IP адреса на менаџерскиот јазол
- Корисничко име на администраторската сметка на менаџерскиот јазол
Најавете се на Cisco Telemetry Broker. Во web Во прелистувачот, внесете ја IP адресата на интерфејсот за управување на менаџерот на јазолот на менаџерот. Од главното мени, изберете Брокерски јазли.
Во табелата Брокерски јазли, кликнете на брокерскиот јазол. Во делот Телеметриски интерфејс, Конфигурирајте го телеметрискиот интерфејс и стандардниот портал.
Сега кога SNA апаратите се конфигурирани со IP адреса за управување, треба да ја завршиме алатката за поставување апарати (AST) на секоја SNA компонента.
Алатката за поставување уреди (AST) ќе ги конфигурира апаратите за да можат да комуницираат со остатокот од распоредувањето на SNA.
SMC
- Пристапете до SMC GUI.
- Променете ги стандардните лозинки за администратор, root и систем администратор.
Нема промени за интерфејсот за управување со мрежата.
Конфигурирајте го името на домаќинот и домените. 
- Конфигурирајте ги DNS серверите.
- Конфигурирајте го NTP серверот.
- Конечно регистрирајте го SMC.
- SMC ќе се рестартира.
Јазол за складирање на податоци
Следете ја истата постапка, единствената разлика е во конфигурацијата на поставките за централно управување. Во овој дел внесете ја IP адресата на SMC 198.19.20.136 и корисничкото име/лозинката.
Колектор на проток
Следете ја истата постапка, единствената разлика е во конфигурацијата на поставките за централно управување. Во овој дел внесете ја IP адресата на SMC 198.19.20.136 и корисничкото име/лозинката.
Сензор за проток
- Следете ја истата постапка, единствената разлика е во конфигурацијата на поставките за централно управување. Во овој дел внесете ја IP адресата на SMC 198.19.20.136 и корисничкото име/лозинката.
- За да ја завршите конфигурацијата, иницијализирајте го јазолот DataStore.
- SSH до јазолот DataStore и извршете ја командата SystemConfig.
- Следете го интерактивниот дијалог за да го иницијализирате јазолот DataStore.
- Пристапете до SMC GUI, во Централното управување можеме да видиме дека сите Cisco SNA апарати се поврзани со SMC.
Конфигурација на Cisco Telemetry Broker
Пристапете до графичкиот кориснички интерфејс на јазолот Cisco Telemetry Broker Manager. Кликнете на Додај дестинација и изберете UDP дестинација. Конфигурирајте ги следните параметри.
- Име на дестинација: SNA-FC
- Одредишна IP адреса: 198.19.20.137
- Одредишен UDP порт: 2055
Кликнете Додај правило. 
- Внесете 2055 како UDP порт за прием.
Кликнете на Додај дестинација и изберете UDP дестинација.
Конфигурирајте ги следните параметри.
- Име на дестинација: Менаџер
- Одредишна IP адреса: 198.19.20.136
- Одредишен UDP порт: 514
- Кликнете Додај правило.
- Внесете 2055 како UDP порт за прием.
Интеграција на Cisco ISE Identity Services Engine
Одете до Администрација > pxGrid > Сертификати.
Пополнете го формуларот на следниов начин:
- Кликнете во полето „Сакам да“ и изберете „Преземи го синџирот на коренски сертификати“
- Кликнете во полето Имиња на домаќини и изберете администратор
- Кликнете во полето Формат за преземање сертификати и изберете ја опцијата PEM
- Кликнете на Креирај
- Преземете го file како ISE-CA-ROOT-CHAIN.zip.
- На SMC GUI, кликнете на Централно управување. На страницата Централно управување, пронајдете го апаратот SMC Manager, а потоа изберете Уреди конфигурација на апаратот.
- Кликнете Општо.
- Скролувајте надолу до Trust Store и кликнете Add New (Додај нов). Изберете CertificateServicesRootCA-admin_.cer fileКликнете на Додај сертификат.
- SMC сега ќе им верува на сертификатите издадени од ISE CA.
- Кликнете на табулаторот „Апарат“. Скролувајте надолу до делот „Дополнителни идентитети на клиенти на SSL/TLS“ и кликнете „Додај нов“.
- Ќе ве праша дали треба да генерирате CSR, изберете Да и кликнете Следно.
Пополнете го CSR на следниов начин:
- Должина на RSA клучот
- Организација
- Организациска единица
- Месност или град
- држава или провинција
- Код на државата
- Адреса на е-пошта
Кликнете на Генерирај CSR, потоа на Преземи CSR.
Пристапете до графичкиот кориснички интерфејс на Cisco ISE. Одете до Администрација > pxGrid > Сертификати.
Користете ги следните информации:
- Во полето Сакам да, изберете Генерирај еден сертификат (со барање за потпишување на сертификат)
- Поминете го CSR во полето „Детали за барање за потпишување сертификат“
- Внесете SMC во полето Опис
- Изберете IP адреса во полето SAN и внесете 198.19.20.136 како поврзана IP адреса
- Изберете PKCS12 формат како опција за Формат за преземање сертификати
- Внесете лозинка
- Кликнете на Креирај
- Зачувајте го сертификатот креиран со име SMC-PXGRID.
Забелешка:
Во некои постоечки распоредувања на Cisco ISE, можеби имате истечени системски сертификати што се користат за администраторски, eap и pxGrid услуги како што е прикажано подолу.
Ова е затоа што внатрешните CA сертификати на Cisco ISE што ги потпишуваат овие системски сертификати се истечени.
За да ги обновите системските сертификати. Одете до Администрација > Сертификати > Барања за потпишување сертификати. Во полето Употреба, изберете ISE Root CA, а потоа кликнете на Замени го синџирот на сертификати на ISE Root CA.
Cisco ISE генерира нови внатрешни CA сертификати. Не заборавајте да го прилагодите полето „Доверливо за“ за соодветните услуги како што е pxGrid.
Сега системските сертификати се валидни.
Пристапете до SMC GUI. Одете во Централно управување. Во табулаторот SMC Appliance Configuration, скролувајте надолу до формуларот Add SSL/TLS Client Identity (Додај идентитет на клиент), а потоа кликнете Choose (Избери). File, изберете го сертификатот SMC-PXGRID.
Во SMC графичкиот кориснички интерфејс, одете до Deploy > Cisco ISE Configuration.
Конфигурирајте ја ISE конфигурацијата со следните параметри:
- Име на кластер: ISE-CLUSTER
- Сертификат: SMC-PXGRID
- Примарен PxGrid јазол: 198.19.20.141
- Име на клиент: SMC-PXGRID
Одете до Монитор > Корисници.
Забележете дека можеме да ги видиме корисничките податоци на SMC.
Политики за адаптивна мрежна контрола (ANC) на ISE
Изберете Операции > Адаптивна мрежна контрола > Список на политики > Додај и внесете SW_QUARANTINE за име на политиката и Карантин за дејството.
Пристапете до SMC GUI. Изберете IP адреса на контролната табла, можеме да видиме дека политиката ISE ANC е пополнета.
- Политиките за глобални исклучоци за овластување ви овозможуваат да дефинирате правила што ги заменуваат сите правила за овластување во сите ваши групи политики. Откако ќе конфигурирате политика за глобални исклучоци за овластување, таа се додава во сите групи политики.
- Правилото за исклучок на локално овластување ги пребришува правилата за глобални исклучоци. Значи, прво се обработува правилото за локален исклучок, потоа правилото за глобален исклучок и, конечно, нормалното правило на политиката за овластување.
- Еден од интересните случаи на употреба на овие Правила за исклучок е кога ја конфигурирате Cisco Secure Network Analytics (Stealth watch) со Cisco ISE за управување со одговори користејќи Adaptive Network Policy (ANC), така што кога ќе се активира аларм, Cisco Secure Network Analytics (Stealth watch) ќе побара од Cisco ISE да го стави домаќинот во карантин со Adaptive Network Control Policy преку Px Grid.
- Најдобрата практика е конфигурирање на Политиката за авторизација на Cisco ISE за да се стави домаќинот во карантин или во Локалниот исклучок или во Глобалниот исклучок.
- Ако сакате да ја примените политиката ANC на сите ваши групи политики, VPN, жични безжични мрежи, односно сите корисници на жични VPN и безжични мрежи, користете го глобалниот исклучок.
- Ако сакате да ја примените политиката на ANC само на VPN корисници или на жичени корисници. Користете ја локалната политика во рамките на VPN политиките или жичениот сет политики, соодветно.
Автоматска акција и одговор со ANC
Сценарио: Една компанија користи Cisco Umbrella како DNS сервер за да спречи интернет закани. Сакаме прилагоден аларм, така што кога внатрешните корисници користат други надворешни DNS сервери, се активира аларм за да се спречи поврзување со лажни DNS сервери кои потенцијално пренасочуваат сообраќај кон надворешни страници за злонамерни цели. Кога ќе се активира аларм, Cisco Secure Network Analytics ќе побара од Cisco ISE да го стави во карантин хостот што користи лажни DNS сервери со Adaptive Network Control Policy преку PxGrid. Одете до Конфигурирај > Управување со хостови. Во родителската група хостови Inside Hosts, креирајте група хостови наречена Corporate Networks за вашите внатрешни мрежи.
Во родителската група на хостови Надворешни хостови, креирајте група на хостови наречена Umbrella DNS сервери за Umbrella IP адресите.
Внатрешните корисници го користат Cisco Umbrella како DNS сервер за да спречат интернет закани. Конфигурирајте прилагоден аларм, така што кога внатрешните корисници користат други надворешни DNS сервери, се активира аларм за да се спречи поврзување со лажен DNS сервер што потенцијално го пренасочува сообраќајот кон надворешни страници за злонамерни цели. Кога ќе се активира аларм, Cisco Secure Network Analytics ќе побара од Cisco ISE да го стави во карантин домаќинот што користи лажни DNS сервери со Adaptive Network Control Policy преку PxGrid.
Одете до Конфигурирај > Управување со политики.
Креирајте прилагодени настани со следниве информации:
- Име: Неовластен DNS сообраќај
- Предметни групи на домаќини: Корпоративни мрежи
- Групи на врсници-хостови: Надворешен хост освен Umbrella DNS серверите
- Врснички порти/протоколи: 53/UDP 53/TCP
Во основа, овој настан се активира кога кој било домаќин во рамките на групата домаќини на корпоративни мрежи комуницира со кој било домаќин во рамките на групата домаќини на надворешни домаќини, освен оние во рамките на групата домаќини на Umbrella DNS сервери, преку 53/UDP или 53/TCP, при што се активира аларм.
Одете до Конфигурирај > Управување со одговори. Кликнете на Дејства.
Изберете ја акцијата за политиката ISE ANC. Дајте име и изберете го кластерот Cisco ISE што треба да се контактира за да се примени политика за карантин за какво било прекршување или поврзување со лажни сервери.
Во делот Правила. Креирај ново Правило. Ова правило ќе ја примени претходната Дејство кога кој било домаќин во внатрешната мрежа се обидува да испрати DNS сообраќај до лажни DNS сервери. Во делот Правилото се активира ако, изберете Тип, скролувајте надолу и изберете го претходно креираниот прилагоден настан. Во Поврзани Дејства, изберете ја претходно креираната ISE ANC акција.
Од внатрешен хост, отворете ја CMD конзолата. Извршете ја командата nslookup, а потоа командата server 8.8.8.8. Внесете неколку адреси за DNS серверот 8.8.8.8 за да го решите проблемот.
Одете до Монитор > Доделување на политики на ISE ANC. Треба да видите дека Cisco Secure Network Analytics применил Адаптивна политика за контрола на мрежата преку PxGrid и ISE за да го стави домаќинот во карантин.
Најчесто поставувани прашања
П: Како да ја комплетирам алатката за поставување на апаратот (AST) на секоја компонента на SNA?
A: Откако SNA апаратите ќе бидат конфигурирани со IP адреса за управување, можете да го завршите AST на секоја компонента следејќи ги специфичните упатства дадени за таа компонента во упатството за користење или упатството за поставување.
Документи / ресурси
 |
Распоредување на безбедна мрежна аналитика на CISCO [pdf] Упатство за употреба Безбедно распоредување на мрежна аналитика, распоредување на мрежна аналитика, распоредување на аналитика, распоредување |