Implantação de análise de rede segura da CISCO

Informações do produto

Especificações:

• Nome do produto: Implantação do Cisco Secure Network Analytics
• Integração: Integração Cisco ISE para ANC

Implantação do Cisco Secure Network Analytics e integração do Cisco ISE para ANC

Instalação do SMC

Efetue login no console, digite o comando SystemConfig e insira a configuração de rede do dispositivo.

Instalação do nó de armazenamento de dados

Efetue login no console, digite o comando SystemConfig e insira a configuração de rede do dispositivo.

Configuramos a interface de gerenciamento, a seguir está uma segunda interface de rede para a comunicação entre nós de dados (comunicação com outros nós de dados).

Instalação do Coletor de Fluxo

Efetue login no console, digite o comando SystemConfig. Certifique-se de que todas as opções de telemetria estejam selecionadas.

Configure as portas para a telemetria.

• Fluxo líquido: 2055
• Módulo de Visibilidade da Rede: 2030
• Registros de Firewal: 8514

Insira a configuração de rede do dispositivo.

Instalação do sensor de fluxo

Efetue login no console, digite o comando SystemConfig e insira a configuração de rede do dispositivo.

Instalação do Cisco Telemetry Broker
Cisco Telemetry Brocker o componente principal do

Cisco Secure Network Analytics (antigo Cisco Stealthwatch) e um poderoso dispositivo para otimizar a telemetria, é usado principalmente:

• Para simplificar a coleta e agregação de tráfego Netflow, SNMP e Syslog.
• Ele simplifica a configuração e o envio de dados do Netflow usando um exportador em seus dispositivos de rede em vez de exportadores diferentes, especialmente quando você tem analisadores de Netflow diferentes, como Cisco Secure Network Analytics, SolarWinds ou LiveAction, ou caso tenha vários coletores de fluxo com Cisco Secure Network Analytics.
• Além disso, ele simplifica os Telemetry Streams ao usar vários destinos e diferentes soluções de gerenciamento de logs.

A arquitetura do Cisco Telemetry Broker consiste em dois componentes: 

• Nó do Gerenciador
• Nó do corretor.

Os nós do Broker são gerenciados por um único gerenciador do Cisco Telemetry Broker usando a Interface de Gerenciamento. O nó do gerenciador requer uma interface de rede para o tráfego de gerenciamento. O nó do Broker requer duas interfaces de rede. Uma interface de gerenciamento para comunicação com o gerenciador e a interface de telemetria para enviar a telemetria para o Flow Collector, que, por sua vez, a envia para os destinos configurados, como o SMC Management Console na solução Cisco Secure Network Analytics. O endereço IP/porta do Destination Flow Collector do tráfego de telemetria na solução Cisco Secure Network Analytics é adicionado ao nó do gerenciador e enviado ao nó do Broker por meio da interface de gerenciamento para instruí-lo sobre onde direcionar o tráfego NetFlow.

Ao instalar o nó do Broker, você deve conectá-lo ao nó do gerenciador usando o comando sudo ctb-manage e fornecer o endereço IP e as credenciais de administrador do nó do gerenciador. Assim que o nó do Broker for adicionado ao nó do gerenciador, o Web A interface gráfica do nó do gerenciador exibe o nó do Broker adicionado com seu endereço IP de gerenciamento. Para concluir a integração entre o nó do Broker e o nó do gerenciador, você precisa adicionar a interface de rede de dados ou telemetria do nó do Broker ao nó do gerenciador. Por fim, os dispositivos de rede, como firewalls, roteadores e switches, usam o endereço IP da interface de telemetria do nó do Broker como exportador do Netflow.

Implantar o nó do gerenciador
Execute o comando sudo ctb-install –init.

Insira as seguintes informações:

• Senha para o usuário administrador
• Nome do host
• Endereço IPv4, máscara de sub-rede e endereço de gateway padrão para a interface de rede de gerenciamento
• Endereço IP do servidor de nomes DNS

Implantar o nó do corretor
Execute o comando sudo ctb-install –init.

Insira as seguintes informações:

• Senha para o usuário administrador
• Nome do host
• Endereço IPv4, máscara de sub-rede e endereço de gateway padrão para a interface de rede de gerenciamento
• Endereço IP do servidor de nomes DNS

Execute o comando sudo ctb-manage. 
Insira as seguintes informações:

• Endereço IP do nó do gerenciador
• Nome de usuário da conta de administrador do nó do Gerenciador

Faça login no Cisco Telemetry Broker. Em um web No navegador, insira o endereço IP da interface de gerenciamento do Manager do nó do gerenciador. No menu principal, selecione Nós do Broker.

Na tabela "Nós do Broker", clique no nó do Broker. Na seção "Interface de Telemetria", configure a Interface de Telemetria e o gateway padrão.

Agora que os dispositivos SNA estão configurados com um endereço IP de gerenciamento, precisamos concluir a Appliance Setup Tool (AST) em cada componente SNA.

A Appliance Setup Tool (AST) configurará os dispositivos para que possam se comunicar com o restante da implantação do SNA.

SMC

• Acesse a GUI do SMC.
• Altere as senhas padrão para admin, root e sysadmin.

• Nenhuma alteração para a Interface de Rede de Gerenciamento.
• Configure o nome do host e os domínios.
• Configurar os servidores DNS.
• Configurar o servidor NTP.
• Por fim, registre o SMC.
• O SMC será reinicializado.

Nó de armazenamento de dados
Siga o mesmo procedimento, a única diferença é a configuração das Configurações de Gerenciamento Central. Nesta seção, insira o endereço IP do SMC 198.19.20.136 e o ​​nome de usuário/senha.

Coletor de Fluxo
Siga o mesmo procedimento, a única diferença é a configuração das Configurações de Gerenciamento Central. Nesta seção, insira o endereço IP do SMC 198.19.20.136 e o ​​nome de usuário/senha.

Sensor de fluxo

• Siga o mesmo procedimento, a única diferença é a configuração das Configurações de Gerenciamento Central. Nesta seção, insira o endereço IP do SMC 198.19.20.136 e o ​​nome de usuário/senha.
• Para concluir a configuração, inicialize o nó DataStore.
• Faça SSH para o nó DataStore e execute o comando SystemConfig.
• Siga o diálogo interativo para inicializar o nó DataStore.
• Acesse a GUI do SMC, no Gerenciamento Central podemos ver que todos os dispositivos Cisco SNA estão conectados ao SMC.

Configuração do Cisco Telemetry Broker
Acesse a interface gráfica do nó do Cisco Telemetry Broker Manager. Clique em Adicionar Destino e selecione Destino UDP. Configure os seguintes parâmetros.

• Nome do destino: SNA-FC
• Endereço IP de destino: 198.19.20.137
• Porta UDP de destino: 2055
• Clique em Adicionar regra.
• Digite 2055 como a Porta UDP de recebimento.

Clique em Adicionar destino e selecione Destino UDP.
Configure os parâmetros a seguir.

• Nome do destino: Gerente
• Endereço IP de destino: 198.19.20.136
• Porta UDP de destino: 514
• Clique em Adicionar regra.
• Digite 2055 como a Porta UDP de recebimento.

Integração do Cisco ISE Identity Services Engine
Navegue até Administração > pxGrid > Certificados.

Preencha o formulário da seguinte forma:

• Clique no campo Desejo e selecione Baixar cadeia de certificados raiz
• Clique no campo Nomes de host e selecione admin
• Clique no campo Formato de download do certificado e selecione a opção PEM
• Clique em Criar
• Baixe o file como ISE-CA-ROOT-CHAIN.zip.
• Na interface gráfica do usuário do SMC, clique em Gerenciamento Central. Na página Gerenciamento Central, localize o dispositivo Gerenciador do SMC e selecione Editar Configuração do Dispositivo.
• Clique em Geral.
• Role para baixo até Trust Store e clique em Adicionar Novo. Selecione CertificateServicesRootCA-admin_.cer. file. Clique em Adicionar certificado.
• O SMC agora confiará nos certificados emitidos pela ISE CA.
• Clique na aba "Dispositivo". Role para baixo até a seção "Identidades Adicionais de Cliente SSL/TLS" e clique em "Adicionar Novo".
• Ele perguntará se você precisa gerar um CSR, selecione Sim e clique em Avançar.

Preencha o CSR da seguinte forma:

• Comprimento da chave RSA
• Organização
• Unidade Organizacional
• Localidade ou Cidade
• Estado ou Província
• Código do país
• Endereço de email

Clique em Gerar CSR e depois em Baixar CSR.

Acesse a interface gráfica do usuário do Cisco ISE. Navegue até Administração > pxGrid > Certificados.

Utilize as seguintes informações:

• No campo Desejo, selecione Gerar um único certificado (com solicitação de assinatura de certificado)
• Passando o CSR no campo Detalhes da solicitação de assinatura de certificado
• Digite SMC no campo Descrição
• Selecione Endereço IP no campo SAN e insira 198.19.20.136 como o Endereço IP associado
• Selecione o formato PKCS12 como a opção Formato de download do certificado
• insira uma senha
• Clique em Criar
• Salve o certificado criado com o nome SMC-PXGRID.

Observação :
Em algumas implantações existentes do Cisco ISE, você pode ter certificados de sistema expirados usados ​​para serviços de administração, eap e pxGrid, conforme mostrado abaixo.

Isso ocorre porque os certificados CA internos do Cisco ISE que assinam esses certificados do sistema estão expirados.

Para renovar os certificados do sistema, acesse Administração > Certificados > Solicitações de Assinatura de Certificado. No campo Uso, selecione ISE Root CA e clique em Substituir Cadeia de Certificados ISE Root CA.

O Cisco ISE gera novos certificados de CA interna. Não se esqueça de ajustar o campo "Confiável para" para os serviços apropriados, como o pxGrid.

Agora os certificados do sistema são válidos.

Acesse a interface gráfica do usuário do SMC. Acesse o Gerenciamento Central. Na guia Configuração do Dispositivo SMC, role para baixo até o formulário Adicionar Identidade de Cliente SSL/TLS e clique em Escolher. File, selecione o certificado SMC-PXGRID.

Na GUI do SMC, navegue até Implantar > Configuração do Cisco ISE.

Configure a configuração do ISE com os seguintes parâmetros:

• Nome do cluster: ISE-CLUSTER
• Certificado: SMC-PXGRID
• Nó PxGrid primário: 198.19.20.141
• Nome do cliente: SMC-PXGRID

Navegue até Monitorar > Usuários.
Observe que podemos ver os dados do usuário no SMC.

Políticas de Controle de Rede Adaptável (ANC) do ISE
Selecione Operações > Controle de rede adaptável > Lista de políticas > Adicionar e insira SW_QUARANTINE para o Nome da política e Quarentena para a Ação.

Acesse a interface gráfica do usuário do SMC. Selecione um endereço IP no painel e veja que a Política ISE ANC está preenchida.

Políticas de Autorização do ISE

• As políticas de exceção de autorização global permitem definir regras que substituem todas as regras de autorização em todos os seus conjuntos de políticas. Após configurar uma política de exceção de autorização global, ela é adicionada a todos os conjuntos de políticas.
• A regra de exceção de autorização local substitui as regras de exceção globais. Portanto, a regra de exceção local é processada primeiro, depois a regra de exceção global e, por fim, a regra normal da política de autorização.
• Um dos casos de uso interessantes dessas Regras de Exceção é quando você configura o Cisco Secure Network Analytics (Stealth watch) com o Cisco ISE para Gerenciamento de Resposta usando a Adaptive Network Policy (ANC) para que, quando um alarme for acionado, o Cisco Secure Network Analytics (Stealth watch) solicite ao Cisco ISE que coloque o host em quarentena com a Adaptive Network Control Policy por meio do Px Grid.
• A melhor prática é configurar a Política de Autorização no Cisco ISE para colocar o host em quarentena na Exceção Local ou na Exceção Global.
• Se você quiser aplicar a Política ANC a todos os seus conjuntos de políticas, VPN, redes com e sem fio (também conhecida como todos os usuários de VPN com e sem fio), use a Exceção Global.
• Se você deseja aplicar a Política ANC apenas a usuários de VPN ou de redes cabeadas, use a Política Local dentro dos Conjuntos de Políticas de VPN ou dos Conjuntos de Políticas Cabeadas, respectivamente.

Ação e resposta automáticas com ANC
Cenário: Uma empresa utiliza o Cisco Umbrella como servidor DNS para prevenir ameaças à Internet. Queremos um alarme personalizado para que, quando usuários internos estiverem usando outros servidores DNS externos, um alarme seja acionado para impedir a conexão com servidores DNS não autorizados que potencialmente redirecionam o tráfego para sites externos para fins maliciosos. Quando um alarme é acionado, o Cisco Secure Network Analytics solicitará que o Cisco ISE coloque em quarentena o host que utiliza servidores DNS não autorizados com a Política de Controle de Rede Adaptável por meio do PxGrid. Navegue até Configurar > Gerenciamento de Hosts. No grupo de hosts pai "Hosts Internos", crie um Grupo de Hosts chamado "Redes Corporativas" para suas redes internas.

No grupo de hosts pai Hosts externos, crie um Grupo de hosts chamado Servidores DNS Umbrella para endereços IP Umbrella.

Os usuários internos estão usando o Cisco Umbrella como servidor DNS para evitar ameaças da internet. Configure um alarme personalizado para que, quando usuários internos estiverem usando outros servidores DNS externos, um alarme seja disparado para impedir a conexão com servidores DNS invasores, que potencialmente redirecionam o tráfego para sites externos com fins maliciosos. Quando um alarme for acionado, o Cisco Secure Network Analytics solicitará que o Cisco ISE coloque em quarentena o host que usa servidores DNS invasores com a Política de Controle de Rede Adaptável por meio do PxGrid.

Navegue até Configurar > Gerenciamento de políticas.
Crie um Evento Personalizado com as seguintes informações:

• Nome: Tráfego DNS não autorizado
• Grupos de Hosts de Assuntos: Redes Corporativas
• Grupos de hosts pares: host externo, exceto servidores DNS Umbrella
• Porta/Protocolos de peer: 53/UDP 53/TCP

Basicamente, esse evento é acionado quando qualquer host dentro do Grupo de Hosts de Redes Corporativas se comunica com qualquer host dentro do Grupo de Hosts de Hosts Externos, exceto aqueles dentro do Grupo de Hosts de Servidores DNS Umbrella, por meio de 53/UDP ou 53/TCP, um alarme é acionado.

Acesse Configurar > Gerenciamento de Respostas. Clique em Ações.

Selecione a Ação de Política ISE ANC. Dê um nome e selecione o cluster Cisco ISE que deve ser contatado para aplicar uma política de quarentena para qualquer violação ou conexão com servidores invasores.

Na seção Regras, crie uma nova regra. Esta regra aplicará a ação anterior quando qualquer host dentro da rede interna tentar enviar tráfego DNS para servidores DNS não autorizados. Na seção "A regra é acionada se", selecione "Tipo", role a tela para baixo e selecione o evento personalizado criado anteriormente. Em "Ações Associadas", selecione a ação ISE ANC criada anteriormente.

Em um host interno, abra o console CMD. Execute o comando nslookup e, em seguida, o comando server 8.8.8.8. Digite alguns endereços para o servidor DNS 8.8.8.8 resolver.

Navegue até Monitor > Atribuições de Política ANC do ISE. Você verá que o Cisco Secure Network Analytics aplicou a Política de Controle de Rede Adaptável por meio do PxGrid e do ISE para colocar o host em quarentena.

Perguntas frequentes

P: Como faço para concluir a Appliance Setup Tool (AST) em cada componente SNA?
A: Depois que os dispositivos SNA estiverem configurados com um endereço IP de gerenciamento, você poderá concluir o AST em cada componente seguindo as instruções específicas fornecidas para esse componente no manual do usuário ou no guia de configuração.

Documentos / Recursos

Implantação de análise de rede segura da CISCO [pdf] Manual de Instruções Implantação de análise de rede segura, implantação de análise de rede, implantação de análise, implantação

Referências

• Manual do usuário