Implimentazzjoni ta' Analitika tan-Netwerk Sikura tas-CISCO

Informazzjoni dwar il-Prodott

Speċifikazzjonijiet:

• Isem tal-Prodott: Implimentazzjoni tal-Analitika tan-Netwerk Sikur ta' Cisco
• Integrazzjoni: Integrazzjoni ta' Cisco ISE għal ANC

Implimentazzjoni ta' Cisco Secure Network Analytics u Integrazzjoni ta' Cisco ISE għal ANC

Installazzjoni ta' SMC

Idħol fil-console, ittajpja l-kmand SystemConfig. Daħħal il-konfigurazzjoni tan-netwerk għall-apparat.

Installazzjoni tan-Nodu tad-Datastore

Idħol fil-console, ittajpja l-kmand SystemConfig. Daħħal il-konfigurazzjoni tan-netwerk għall-apparat.

Aħna kkonfigurajna l-interfaċċja tal-ġestjoni, li ġejja hija t-tieni interfaċċja tan-netwerk għall-komunikazzjoni inter-Data Node (komunikazzjoni ma' data nodes oħra).

Installazzjoni ta' Kollettur tal-Fluss

Idħol fil-console, ittajpja l-kmand SystemConfig. Kun żgur li l-għażliet kollha tat-telemetrija huma magħżula.

Ikkonfigura l-portijiet għat-telemetrija.

• Fluss Nett: 2055
• Modulu tal-Viżibilità tan-Netwerk: 2030
• Reġistri tal-Firewall: 8514

Daħħal il-konfigurazzjoni tan-netwerk għall-apparat.

Installazzjoni tas-Sensor tal-Fluss

Idħol fil-console, ittajpja l-kmand SystemConfig. Daħħal il-konfigurazzjoni tan-netwerk għall-apparat.

Installazzjoni ta' Cisco Telemetry Broker
Cisco Telemetry Brocker il-komponent ewlieni ta'

Cisco Secure Network Analytics (li qabel kien magħruf bħala Cisco Stealthwatch) u apparat qawwi biex jottimizza t-telemetrija, jintuża prinċipalment għal:

• Biex tissimplifika l-ġbir u l-aggregazzjoni tat-traffiku ta' Netflow, SNMP u Syslog.
• Jissimplifika l-konfigurazzjoni u t-trażmissjoni tad-dejta Netflow bl-użu ta' esportatur wieħed fit-Tagħmir tan-Netwerk tiegħek minflok esportaturi differenti, speċjalment meta jkollok analizzaturi netflow differenti bħal Cisco Secure Network Analytics, SolarWinds jew LiveAction, jew f'każ li jkollok kolletturi tal-fluss multipli b'Cisco Secure Network Analytics.
• Barra minn hekk, jissimplifika t-Telemetry Streams meta jintużaw destinazzjonijiet multipli u soluzzjonijiet differenti għall-ġestjoni tal-logs.

L-arkitettura ta' Cisco Telemetry Broker tikkonsisti f'żewġ komponenti: 

• Nodu tal-Maniġer
• Nodu tal-Broker.

In-Nodi tal-Broker huma kollha ġestiti minn maniġer wieħed tal-Broker tat-Telemetrija ta' Cisco bl-użu tal-Interfaċċja tal-Ġestjoni. In-Nodu tal-Maniġer jeħtieġ interface tan-netwerk waħda għat-traffiku tal-ġestjoni. In-Nodu tal-Broker jeħtieġ żewġ interfaces tan-netwerk. Interfaċċja ta' ġestjoni waħda għall-komunikazzjoni mal-maniġer u l-interface tat-Telemetrija biex jibgħat it-Telemetrija lil Flow Collector li min-naħa tiegħu jibgħatha lid-destinazzjonijiet ikkonfigurati bħall-SMC Management Console fis-soluzzjoni ta' Cisco Secure Network Analytics. L-Indirizz IP/Port tad-Destinazzjoni tal-Flow Collector tat-traffiku tat-telemetrija fis-soluzzjoni ta' Cisco Secure Network Analytics jiżdied fuq in-Nodu tal-Maniġer u jiġi mbuttat 'l isfel lejn in-Nodu tal-Broker permezz tal-interface tal-ġestjoni biex jingħataw struzzjonijiet dwar fejn għandhom jużaw it-traffiku NetFlow.

Meta tinstalla l-Broker Node, trid tgħaqqdu man-Manager Node billi tuża l-kmand sudo ctb-manage u tipprovdi l-Indirizz IP u l-kredenzjali tal-amministratur tal-Manager Node. Ladarba l-Broker Node jiżdied man-Manager Node, il- Web Il-GUI tal-Maniġer tan-Nodu juri l-Broker Node miżjud bl-Indirizz IP tal-ġestjoni tiegħu. Biex titlesta l-integrazzjoni bejn il-Broker Node u l-Maniġer tan-Nodu, trid iżżid l-Interfaċċja tan-Netwerk tad-Data jew tat-Telemetrija tal-Broker Node mal-Maniġer tan-Nodu. Fl-aħħar nett, l-Apparati tan-Netwerk bħal firewalls, Routers u Switches jużaw l-Indirizz IP tal-Interfaċċja tat-Telemetrija tal-Broker Node bħala n-Netflow Exporter.

Implimenta n-Nodu tal-Maniġer
Mexxi l-kmand sudo ctb-install –init.

Daħħal l-informazzjoni li ġejja:

• Password għall-utent amministratur
• L-isem tal-ospitant
• Indirizz IPv4, maskra tas-subnet, u indirizz tal-gateway awtomatiku għall-interfaċċja tan-Netwerk tal-Ġestjoni
• Indirizz IP tas-server tan-name DNS

Implimenta n-Nodu tal-Broker
Mexxi l-kmand sudo ctb-install –init.

Daħħal l-informazzjoni li ġejja:

• Password għall-utent amministratur
• L-isem tal-ospitant
• Indirizz IPv4, maskra tas-subnet, u indirizz tal-gateway awtomatiku għall-interfaċċja tan-Netwerk tal-Ġestjoni
• Indirizz IP tas-server tan-name DNS

Mexxi l-kmand sudo ctb-manage. 
Daħħal l-informazzjoni li ġejja:

• Indirizz IP tan-nodu tal-Maniġer
• Isem tal-utent tal-kont tal-amministratur tan-nodu tal-Maniġer

Idħol f'Cisco Telemetry Broker. F'a web fil-browser, daħħal l-indirizz IP tal-interfaċċja tal-ġestjoni tal-Maniġer tan-nodu tal-maniġer. Mill-menu prinċipali, agħżel Nodi tal-Broker.

Fit-tabella tan-Nodi tal-Broker, ikklikkja fuq in-nodu tal-broker. Fit-taqsima tal-Interfaċċja tat-Telemetrija, Ikkonfigura l-Interfaċċja tat-Telemetrija u l-gateway awtomatiku.

Issa li l-apparati SNA huma kkonfigurati b'indirizz IP ta' ġestjoni, irridu nlestu l-Għodda tas-Setup tal-Appliance (AST) fuq kull komponent SNA.

L-Għodda tas-Setup tal-Appliance (AST) se tikkonfigura l-apparati biex ikunu jistgħu jikkomunikaw mal-bqija tal-iskjerament tal-SNA.

SMC

• Aċċessa l-GUI tal-SMC.
• Ibdel il-Passwords Default għal admin, root, u sysadmin.

• L-ebda tibdil għall-Interfaċċja tan-Netwerk tal-Ġestjoni.
• Ikkonfigura l-Isem tal-Host u d-Dominji.
• Ikkonfigura s-Servers tad-DNS.
• Ikkonfigura s-Server NTP.
• Fl-aħħar irreġistra l-SMC.
• L-SMC se jerġa' jibda.

Nodu tal-Ħażna tad-Data
Segwi l-istess proċedura, l-unika differenza hija l-konfigurazzjoni tas-Settings tal-Ġestjoni Ċentrali. F'din it-taqsima daħħal l-indirizz IP tal-SMC 198.19.20.136 u l-username/password.

Kollettur tal-Fluss
Segwi l-istess proċedura, l-unika differenza hija l-konfigurazzjoni tas-Settings tal-Ġestjoni Ċentrali. F'din it-taqsima daħħal l-indirizz IP tal-SMC 198.19.20.136 u l-username/password.

Sensor tal-fluss

• Segwi l-istess proċedura, l-unika differenza hija l-konfigurazzjoni tas-Settings tal-Ġestjoni Ċentrali. F'din it-taqsima daħħal l-indirizz IP tal-SMC 198.19.20.136 u l-username/password.
• Biex tlesti l-konfigurazzjoni, Inizjalizza n-nodu tad-DataStore.
• SSH man-nodu tad-DataStore u mexxi l-kmand tas-SystemConfig.
• Segwi d-djalogu interattiv biex tinizjalizza n-nodu tad-DataStore.
• Aċċessa l-GUI tal-SMC, fil-Ġestjoni Ċentrali nistgħu naraw li l-apparati kollha tas-Cisco SNA huma konnessi mal-SMC.

Konfigurazzjoni tas-Sensar tat-Telemetrija ta' Cisco
Aċċessa l-GUI tan-nodu Cisco Telemetry Broker Manager. Ikklikkja Żid Destinazzjoni u agħżel Destinazzjoni UDP. Ikkonfigura l-parametri li ġejjin.

• Isem tad-Destinazzjoni: SNA-FC
• Indirizz IP tad-Destinazzjoni: 198.19.20.137
• Port UDP tad-Destinazzjoni: 2055
• Ikklikkja Żid Regola.
• Daħħal 2055 bħala l-Port UDP li Jirċievi.

Ikklikkja Żid Destinazzjoni u agħżel Destinazzjoni UDP.
Ikkonfigura l-parametri li ġejjin.

• Isem tad-Destinazzjoni: Maniġer
• Indirizz IP tad-Destinazzjoni: 198.19.20.136
• Port UDP tad-Destinazzjoni: 514
• Ikklikkja Żid Regola.
• Daħħal 2055 bħala l-Port UDP li Jirċievi.

Integrazzjoni tal-Magna tas-Servizzi tal-Identità Cisco ISE
Innaviga għal Amministrazzjoni > pxGrid > Ċertifikati.

Imla l-formola kif ġej:

• Ikklikkja fil-qasam Irrid u agħżel Niżżel il-Katina taċ-Ċertifikat Root
• Ikklikkja fil-qasam tal-Ismijiet tal-Host u agħżel admin
• Ikklikkja fil-qasam tal-Format tat-Tniżżil taċ-Ċertifikat u agħżel l-għażla PEM
• Ikklikkja Oħloq
• Niżżel il- file bħala ISE-CA-ROOT-CHAIN.zip.
• Fuq il-GUI tal-SMC, ikklikkja fuq Central Management. Fil-paġna ta' Central Management, sib l-apparat SMC Manager, imbagħad agħżel Edit Appliance Configuration.
• Ikklikkja Ġenerali.
• Skrolla 'l isfel għal Trust Store u kklikkja Żid Ġdid. Agħżel is-CertificateServicesRootCA-admin_.cer fileIkklikkja Żid Ċertifikat.
• L-SMC issa se jafda ċ-ċertifikati maħruġa mill-ISE CA.
• Ikklikkja t-tab Appliance. Skrolla 'l isfel sas-sezzjoni Additional SSL/TLS Client Identities u kklikkja Additional New.
• Se jistaqsik jekk teħtieġx tiġġenera CSR, agħżel Iva u kklikkja Li jmiss.

Imla s-CSR kif ġej:

• Tul taċ-Ċavetta RSA
• Organizzazzjoni
• Unità Organizzativa
• Lokalità jew Belt
• Stat jew Provinċja
• Kodiċi tal-Pajjiż
• Indirizz elettroniku

Ikklikkja Iġġenera CSR, imbagħad Niżżel CSR.

Aċċessa l-GUI tas-Cisco ISE. Innaviga għal Amministrazzjoni > pxGrid > Ċertifikati.

Uża l-informazzjoni li ġejja:

• Fil-qasam Irrid, agħżel Iġġenera ċertifikat wieħed (b'talba għall-iffirmar taċ-ċertifikat)
• Għaddi s-CSR fil-qasam tad-Dettalji tat-Talba għall-Iffirmar taċ-Ċertifikat
• Ittajpja SMC fil-qasam Deskrizzjoni
• Agħżel Indirizz IP fil-qasam SAN u daħħal 198.19.20.136 bħala l-Indirizz IP assoċjat
• Agħżel il-format PKCS12 bħala l-għażla tal-Format tat-Tniżżil taċ-Ċertifikat
• Daħħal password
• Ikklikkja Oħloq
• Issejvja ċ-ċertifikat maħluq bl-isem SMC-PXGRID.

Nota:
F'xi skjerament eżistenti ta' Cisco ISE, jista' jkun li għandek ċertifikati tas-sistema skaduti użati għas-servizzi admin, eap u pxGrid kif muri hawn taħt.

Dan għaliex iċ-ċertifikati interni tas-CA ta' Cisco ISE li jiffirmaw dawn iċ-ċertifikati tas-sistema huma skaduti.

Biex iġġedded iċ-ċertifikati tas-sistema. Mur f'Amministrazzjoni > Ċertifikati > Talbiet għall-Iffirmar ta' Ċertifikati. Fil-qasam Użu, agħżel ISE Root CA, imbagħad ikklikkja fuq Ibdel il-Katina taċ-Ċertifikati ISE Root CA.

Is-Cisco ISE jiġġenera ċertifikati interni ġodda tas-CA. Tinsiex taġġusta l-qasam Trusted For għas-servizzi xierqa bħal pxGrid.

Issa ċ-ċertifikati tas-sistema huma validi.

Aċċessa l-GUI tal-SMC. Mur f'Ġestjoni Ċentrali. Fit-tab Konfigurazzjoni tal-Appliance tal-SMC, skrollja 'l isfel sal-formola Żid Identità tal-Klijent SSL/TLS, imbagħad ikklikkja Agħżel File, agħżel iċ-ċertifikat SMC-PXGRID.

Fil-GUI tal-SMC, naviga għal Deploy > Cisco ISE Configuration.

Ikkonfigura l-Konfigurazzjoni tal-ISE bil-parametri li ġejjin:

• Isem tal-Klaster: ISE-CLUSTER
• Ċertifikat: SMC-PXGRID
• Nodu PxGrid Primarju: 198.19.20.141
• Isem tal-Klijent: SMC-PXGRID

Innaviga għal Monitor > Utenti.
Innota li nistgħu naraw id-dejta tal-Utent fuq l-SMC.

Politiki tal-Kontroll tan-Netwerk Adattiv (ANC) tal-ISE
Agħżel Operazzjonijiet > Kontroll tan-Netwerk Adattiv > Lista ta' Politiki > Żid u daħħal SW_QUARANTINE għall-Isem tal-Politika u Kwarantina għall-Azzjoni.

Aċċessa l-GUI tal-SMC. Agħżel indirizz IP fid-dashboard, nistgħu naraw li l-Politika tal-ISE ANC hija mimlija.

Politiki ta' Awtorizzazzjoni tal-ISE

• Il-politiki ta' eċċezzjoni ta' awtorizzazzjoni globali jippermettulek tiddefinixxi regoli li jegħlbu r-regoli kollha ta' awtorizzazzjoni fis-settijiet ta' politiki kollha tiegħek. Ladarba tikkonfigura politika ta' eċċezzjoni ta' awtorizzazzjoni globali, din tiżdied mas-settijiet ta' politiki kollha.
• Ir-regola ta' eċċezzjoni ta' awtorizzazzjoni lokali tissostitwixxi r-regoli ta' eċċezzjoni globali. Għalhekk ir-regola ta' eċċezzjoni lokali tiġi pproċessata l-ewwel, imbagħad ir-regola ta' eċċezzjoni globali, u fl-aħħar, ir-regola normali tal-politika ta' awtorizzazzjoni.
• Wieħed mill-każijiet ta' użu interessanti ta' dawn ir-Regoli ta' Eċċezzjoni huwa meta tikkonfigura Cisco Secure Network Analytics (Stealth watch) ma' Cisco ISE għall-Ġestjoni tar-Rispons bl-użu tal-Politika tan-Netwerk Adattiva (ANC) sabiex meta tinqala' allarm, Cisco Secure Network Analytics (Stealth watch) jitlob lil Cisco ISE biex ipoġġi l-host fi kwarantina bl-Politika ta' Kontroll tan-Netwerk Adattiva permezz ta' Px Grid.
• L-aħjar prattika hija li tikkonfigura l-Politika ta' Awtorizzazzjoni fuq Cisco ISE biex tpoġġi l-host fi kwarantina jew fl-Eċċezzjoni Lokali jew fl-Eċċezzjoni Globali.
• Jekk trid tapplika l-Politika ANC għas-settijiet kollha tal-politika tiegħek, VPN, wireless bil-fili, jiġifieri l-utenti kollha tal-VPN bil-fili u wireless. Uża l-Eċċezzjoni Globali.
• Jekk trid tapplika l-Politika ANC biss għal utenti VPN jew utenti bil-Wajer. Uża l-Politika Lokali ġewwa s-Settijiet tal-Politika VPN jew is-Sett tal-Politika bil-Wajer rispettivament.

Azzjoni u Rispons Awtomatiċi bl-ANC
Xenarju: Kumpanija qed tuża Cisco Umbrella bħala s-server tad-DNS biex tipprevjeni theddid fuq l-internet. Irridu allarm apposta sabiex meta utenti interni jkunu qed jużaw servers tad-DNS esterni oħra, jiġi attivat allarm biex jipprevjeni konnessjoni ma' servers tad-DNS mhux mixtieqa li potenzjalment jidderieġu t-traffiku lejn siti esterni għal skopijiet malizzjużi. Meta jiġi attivat allarm, Cisco Secure Network Analytics se titlob lil Cisco ISE biex ipoġġi fi kwarantina l-host li juża Servers tad-DNS mhux mixtieqa b'Adaptive Network Control Policy permezz ta' PxGrid. Innaviga għal Configure > Host Management. Fil-grupp tal-host prinċipali Inside Hosts, oħloq Grupp ta' Hosts bl-isem Corporate Networks għan-netwerks interni tiegħek.

Fil-grupp ta' hosts prinċipali Outside Hosts, oħloq Grupp ta' Hosts bl-isem Umbrella DNS Servers għall-indirizzi IP ta' Umbrella.

L-utenti interni qed jużaw Cisco Umbrella bħala s-server tad-DNS biex jipprevjenu theddid fuq l-internet. Ikkonfigura allarm apposta sabiex meta utenti interni jkunu qed jużaw servers tad-DNS esterni oħra, jiġi attivat allarm biex jipprevjeni konnessjoni ma' server tad-DNS mhux xieraq li potenzjalment jidderieġi t-traffiku lejn siti esterni għal skopijiet malizzjużi. Meta tinħoloq allarm, Cisco Secure Network Analytics titlob lil Cisco ISE biex ipoġġi fi kwarantina l-host li juża Servers tad-DNS mhux xierqa b'Adaptive Network Control Policy permezz ta' PxGrid.

Innaviga għal Ikkonfigura > Ġestjoni tal-Politika.
Oħloq Avvenimenti Personalizzati bl-informazzjoni li ġejja:

• Isem: Traffiku DNS Mhux Awtorizzat
• Gruppi Ospitanti tas-Suġġett: Netwerks Korporattivi
• Gruppi ta' Ospitanti Pari: Ospitanti Esterni Ħlief Servers DNS Umbrella
• Port/Protokolli tal-Pari: 53/UDP 53/TCP

Bażikament dan l-avveniment jiġi attivat meta kwalunkwe host fi ħdan il-Grupp ta' Hosts tan-Netwerks Korporattivi jikkomunika ma' kwalunkwe host fi ħdan il-Grupp ta' Hosts ta' Hosts Esterni ħlief dawk fi ħdan il-Grupp ta' Hosts tas-Servers DNS Umbrella, permezz ta' 53/UDP jew 53/TCP, jinqala' allarm.

Innaviga għal Konfigura > Ġestjoni tar-Rispons. Ikklikkja fuq Azzjonijiet.

Agħżel l-Azzjoni tal-Politika ISE ANC. Agħti isem u agħżel il-cluster Cisco ISE li għandu jiġi kkuntattjat biex tiġi applikata politika ta' kwarantina għal kwalunkwe ksur jew konnessjoni ma' servers mhux awtorizzati.

Taħt it-taqsima Regoli. Oħloq Regola ġdida. Din ir-regola tapplika l-Azzjoni preċedenti meta kwalunkwe host fin-netwerk intern jipprova jibgħat traffiku DNS lil Servers DNS mhux awtorizzati. Fit-taqsima Ir-Regola tiġi attivata jekk, agħżel Tip, skrollja 'l isfel u agħżel l-avveniment tad-dwana maħluq qabel. Taħt l-Azzjonijiet Assoċjati, agħżel l-azzjoni ISE ANC maħluqa qabel.

Minn host intern, iftaħ il-console tas-CMD. Eżegwixxi l-kmand nslookup, imbagħad il-kmand server 8.8.8.8. Ittajpja ftit indirizzi biex is-server DNS 8.8.8.8 jirriżolvi.

Innaviga għal Monitor > ISE ANC Policy Assignments. Għandek tara li Cisco Secure Network Analytics applika l-Adaptive Network Control Policy permezz ta' PxGrid u ISE biex ipoġġi l-Host fi kwarantina.

FAQ

M: Kif nista' nlesti l-Għodda tas-Setup tal-Appliance (AST) fuq kull komponent tal-SNA?
A: Ladarba l-apparati SNA jkunu kkonfigurati b'indirizz IP ta' ġestjoni, tista' tlesti l-AST fuq kull komponent billi ssegwi l-istruzzjonijiet speċifiċi pprovduti għal dak il-komponent fil-manwal tal-utent jew fil-gwida tas-setup.

Dokumenti / Riżorsi

Implimentazzjoni ta' Analitika tan-Netwerk Sikura tas-CISCO [pdfManwal tal-Istruzzjonijiet Implimentazzjoni Sikura tal-Analitika tan-Netwerk, Implimentazzjoni tal-Analitika tan-Netwerk, Implimentazzjoni tal-Analitika, Implimentazzjoni

Referenzi

• Manwal għall-Utent