Развертывание безопасной сетевой аналитики CISCO

Информация о продукте

Технические характеристики:

• Название продукта: Развертывание Cisco Secure Network Analytics
• Интеграция: интеграция Cisco ISE для ANC

Развертывание Cisco Secure Network Analytics и интеграция Cisco ISE для ANC

Установка СМЦ

Войдите в консоль, введите команду SystemConfig. Введите сетевую конфигурацию для устройства.

Установка узла хранилища данных

Войдите в консоль, введите команду SystemConfig. Введите сетевую конфигурацию для устройства.

Мы настроили интерфейс управления, ниже представлен второй сетевой интерфейс для связи между узлами данных (связи с другими узлами данных).

Установка коллектора потока

Войдите в консоль, введите команду SystemConfig. Убедитесь, что выбраны все параметры телеметрии.

Настройте порты для телеметрии.

• Чистый поток: 2055
• Модуль видимости сети: 2030
• Журналы брандмауэра: 8514

Введите конфигурацию сети для устройства.

Установка датчика расхода

Войдите в консоль, введите команду SystemConfig. Введите сетевую конфигурацию для устройства.

Установка Cisco Telemetry Broker
Cisco Telemetry Brocker — основной компонент

Cisco Secure Network Analytics (ранее Cisco Stealthwatch) — мощное устройство для оптимизации телеметрии, в основном используемое:

• Упростить сбор и агрегацию трафика Netflow, SNMP и Syslog.
• Это упрощает настройку и отправку данных Netflow с использованием одного экспортера на сетевых устройствах вместо разных экспортеров, особенно если у вас есть разрозненные анализаторы Netflow, такие как Cisco Secure Network Analytics, SolarWinds или LiveAction, или если у вас есть несколько сборщиков потоков с Cisco Secure Network Analytics.
• Кроме того, это упрощает потоки телеметрии при использовании нескольких пунктов назначения и различных решений для управления журналами.

Архитектура Cisco Telemetry Broker состоит из двух компонентов: 

• Узел менеджера
• Узел брокера.

Все узлы брокера управляются одним менеджером Cisco Telemetry Broker с помощью интерфейса управления. Узлу менеджера требуется один сетевой интерфейс для трафика управления. Узлу брокера требуется два сетевых интерфейса. Один интерфейс управления для связи с менеджером и интерфейс телеметрии для отправки телеметрии в Flow Collector, который, в свою очередь, отправляет ее в настроенные пункты назначения, такие как SMC Management Console в решении Cisco Secure Network Analytics. IP-адрес/порт получателя Flow Collector трафика телеметрии в решении Cisco Secure Network Analytics добавляется на узел менеджера и передается на узел брокера через интерфейс управления, чтобы указать им, куда направлять трафик NetFlow.

При установке узла брокера необходимо присоединить его к узлу менеджера с помощью команды sudo ctb-manage и указать IP-адрес и учетные данные администратора узла менеджера. После добавления узла брокера в узел менеджера, Web GUI узла управления отображает узел брокера, добавленный с его IP-адресом управления. Чтобы завершить интеграцию между узлом брокера и узлом менеджера, вам необходимо добавить сетевой интерфейс данных или телеметрии узла брокера к узлу менеджера. Наконец, сетевые устройства, такие как брандмауэры, маршрутизаторы и коммутаторы, используют IP-адрес интерфейса телеметрии узла брокера в качестве экспортера Netflow.

Развертывание узла менеджера
Выполните команду sudo ctb-install –init.

Введите следующую информацию:

• Пароль для администратора
• Имя хоста
• Адрес IPv4, маска подсети и адрес шлюза по умолчанию для интерфейса сети управления
• IP-адрес сервера имен DNS

Развертывание узла брокера
Выполните команду sudo ctb-install –init.

Введите следующую информацию:

• Пароль для администратора
• Имя хоста
• Адрес IPv4, маска подсети и адрес шлюза по умолчанию для интерфейса сети управления
• IP-адрес сервера имен DNS

Выполните команду sudo ctb-manage. 
Введите следующую информацию:

• IP-адрес узла-менеджера
• Имя пользователя учетной записи администратора узла Manager

Войдите в Cisco Telemetry Broker. В web браузере введите IP-адрес интерфейса управления менеджера узла-менеджера. В главном меню выберите Broker Nodes.

В таблице Broker Nodes щелкните по узлу брокера. В разделе Telemetry Interface настройте Telemetry Interface и шлюз по умолчанию.

Теперь, когда устройства SNA настроены с использованием IP-адреса управления, нам необходимо завершить работу инструмента настройки устройства (AST) на каждом компоненте SNA.

Инструмент настройки устройств (AST) настроит устройства для взаимодействия с остальной частью развертывания SNA.

СМЦ

• Получите доступ к графическому интерфейсу SMC.
• Измените пароли по умолчанию для admin, root и sysadmin.

• Никаких изменений в сетевом интерфейсе управления.
• Настройте имя хоста и домены.
• Настройте DNS-серверы.
• Настройте NTP-сервер.
• Наконец, зарегистрируйте SMC.
• SMC перезагрузится.

Узел хранилища данных
Выполните ту же процедуру, единственное отличие — это настройка параметров центрального управления. В этом разделе введите IP-адрес SMC 198.19.20.136 и имя пользователя/пароль.

Коллектор потока
Выполните ту же процедуру, единственное отличие — это настройка параметров центрального управления. В этом разделе введите IP-адрес SMC 198.19.20.136 и имя пользователя/пароль.

Датчик расхода

• Выполните ту же процедуру, единственное отличие — это настройка параметров центрального управления. В этом разделе введите IP-адрес SMC 198.19.20.136 и имя пользователя/пароль.
• Для завершения настройки инициализируйте узел DataStore.
• Подключитесь по SSH к узлу DataStore и выполните команду SystemConfig.
• Следуйте интерактивному диалогу для инициализации узла DataStore.
• Откройте графический интерфейс SMC. В разделе «Центральное управление» вы увидите, что все устройства Cisco SNA подключены к SMC.

Конфигурация брокера телеметрии Cisco
Получите доступ к графическому интерфейсу узла Cisco Telemetry Broker Manager. Нажмите Add Destination и выберите UDP Destination. Настройте следующие параметры.

• Название пункта назначения: SNA-FC
• IP-адрес назначения: 198.19.20.137
• UDP-порт назначения: 2055
• Щелкните Добавить правило.
• Введите 2055 в качестве порта приема UDP.

Нажмите «Добавить пункт назначения» и выберите пункт назначения UDP.
Настройте следующие параметры.

• Имя назначения: Менеджер
• IP-адрес назначения: 198.19.20.136
• UDP-порт назначения: 514
• Щелкните Добавить правило.
• Введите 2055 в качестве порта приема UDP.

Интеграция с ядром служб идентификации Cisco ISE
Перейдите в Администрирование > pxGrid > Сертификаты.

Заполните форму следующим образом:

• Нажмите в поле «Я хочу» и выберите «Загрузить цепочку корневых сертификатов».
• Щелкните в поле «Имена хостов» и выберите «администратор».
• Щелкните поле «Формат загрузки сертификата» и выберите опцию PEM.
• Нажмите «Создать».
• Загрузить file как ISE-CA-ROOT-CHAIN.zip.
• В графическом интерфейсе пользователя SMC нажмите Central Management. На странице Central Management найдите устройство SMC Manager, затем выберите Edit Appliance Configuration.
• Нажмите «Общие».
• Прокрутите вниз до Trust Store и нажмите Add New. Выберите CertificateServicesRootCA-admin_.cer file. Нажмите Добавить сертификат.
• Теперь SMC будет доверять сертификатам, выданным ISE CA.
• Нажмите вкладку Appliance. Прокрутите вниз до раздела Additional SSL/TLS Client Identities и нажмите Add New.
• Вам будет предложено сгенерировать CSR. Выберите «Да» и нажмите «Далее».

Заполните CSR следующим образом:

• Длина ключа RSA
• Организация
• Организационная единица
• Населенный пункт или город
• Штат или провинция
• Код страны
• Адрес электронной почты

Нажмите «Сгенерировать CSR», затем «Загрузить CSR».

Откройте графический интерфейс Cisco ISE. Перейдите в Администрирование > pxGrid > Сертификаты.

Используйте следующую информацию:

• В поле «Я хочу» выберите «Сгенерировать один сертификат (с запросом на подпись сертификата)».
• Вставьте CSR в поле «Сведения о запросе на подпись сертификата».
• Введите SMC в поле Описание.
• Выберите IP-адрес в поле SAN и введите 198.19.20.136 в качестве связанного IP-адреса.
• Выберите формат PKCS12 в качестве формата загрузки сертификата.
• введите пароль
• Нажмите «Создать».
• Сохраните созданный сертификат под именем SMC-PXGRID.

Примечание :
В некоторых существующих развертываниях Cisco ISE у вас могут быть просроченные системные сертификаты, используемые для служб admin, eap и pxGrid, как показано ниже.

Это связано с тем, что внутренние сертификаты центра сертификации Cisco ISE, которые подписывают эти системные сертификаты, истекли.

Чтобы обновить системные сертификаты. Перейдите в Администрирование > Сертификаты > Запросы на подпись сертификата. В поле Использование выберите ISE Root CA, затем нажмите Заменить цепочку сертификатов ISE Root CA.

Cisco ISE генерирует новые внутренние сертификаты CA. Не забудьте настроить поле Trusted For для соответствующих служб, таких как pxGrid.

Теперь системные сертификаты действительны.

Доступ к графическому интерфейсу пользователя SMC. Перейдите в раздел Central Management. На вкладке SMC Appliance Configuration прокрутите вниз до формы Add SSL/TLS Client Identity, затем нажмите Choose File, выберите сертификат SMC-PXGRID.

В графическом интерфейсе SMC перейдите в раздел «Развертывание» > «Конфигурация Cisco ISE».

Настройте конфигурацию ISE со следующими параметрами:

• Название кластера: ISE-CLUSTER
• Сертификат: SMC-PXGRID
• Основной узел PxGrid: 198.19.20.141
• Имя клиента: SMC-PXGRID

Перейдите в раздел Монитор > Пользователи.
Обратите внимание, что мы можем видеть данные пользователя на SMC.

Политики адаптивного сетевого управления (ANC) ISE
Выберите «Операции» > «Адаптивное сетевое управление» > «Список политик» > «Добавить» и введите SW_QUARANTINE в качестве имени политики и «Карантин» в качестве действия.

Откройте SMC GUI. Выберите IP-адрес на панели управления, и мы увидим, что политика ISE ANC заполнена.

Политики авторизации ISE

• Глобальные политики исключений авторизации позволяют вам определять правила, которые переопределяют все правила авторизации во всех ваших наборах политик. После настройки глобальной политики исключений авторизации она добавляется ко всем наборам политик.
• Правило исключения локальной авторизации перезаписывает глобальные правила исключения. Таким образом, сначала обрабатывается локальное правило исключения, затем глобальное правило исключения и, наконец, обычное правило политики авторизации.
• Одним из интересных вариантов использования этих правил исключений является настройка Cisco Secure Network Analytics (Stealth watch) с Cisco ISE для управления ответом с использованием адаптивной сетевой политики (ANC), чтобы при возникновении тревоги Cisco Secure Network Analytics (Stealth watch) запросил у Cisco ISE помещение хоста в карантин с помощью адаптивной сетевой политики управления через Px Grid.
• Лучшая практика — настроить политику авторизации в Cisco ISE для помещения хоста в карантин либо в локальном исключении, либо в глобальном исключении.
• Если вы хотите применить политику ANC ко всем вашим наборам политик, VPN, проводным беспроводным сетям, то есть всем пользователям проводных VPN и беспроводных сетей, используйте глобальное исключение.
• Если вы хотите применить политику ANC только к пользователям VPN или проводным пользователям, используйте локальную политику внутри наборов политик VPN или наборов проводных политик соответственно.

Автоматические действия и ответ с ANC
Сценарий: Компания использует Cisco Umbrella в качестве DNS-сервера для предотвращения интернет-угроз. Мы хотим настроить настраиваемый сигнал тревоги, чтобы при использовании внутренних пользователей других внешних DNS-серверов срабатывал сигнал тревоги для предотвращения подключения к мошенническим DNS-серверам, которые потенциально перенаправляют трафик на внешние сайты в вредоносных целях. При возникновении сигнала тревоги Cisco Secure Network Analytics запросит Cisco ISE поместить в карантин хост, использующий мошеннические DNS-серверы с помощью политики адаптивного сетевого управления через PxGrid. Перейдите в раздел «Настройка» > «Управление хостами». В родительской группе хостов «Внутренние хосты» создайте группу хостов с именем «Корпоративные сети» для внутренних сетей.

В родительской группе хостов «Внешние хосты» создайте группу хостов с именем «Серверы DNS Umbrella» для IP-адресов Umbrella.

Внутренние пользователи используют Cisco Umbrella в качестве DNS-сервера для предотвращения интернет-угроз. Настройте пользовательский сигнал тревоги, чтобы при использовании внутренних пользователей других внешних DNS-серверов срабатывал сигнал тревоги для предотвращения подключения к мошенническому DNS-серверу, который потенциально перенаправляет трафик на внешние сайты в вредоносных целях. При возникновении сигнала тревоги Cisco Secure Network Analytics запросит Cisco ISE поместить в карантин хост, который использует мошеннические DNS-серверы с политикой адаптивного сетевого управления через PxGrid.

Перейдите в раздел «Настройка» > «Управление политиками».
Создайте пользовательские события со следующей информацией:

• Имя: Несанкционированный DNS-трафик
• Тематические группы хостов: Корпоративные сети
• Группы одноранговых хостов: внешний хост, за исключением DNS-серверов Umbrella
• Одноранговый порт/протоколы: 53/UDP 53/TCP

По сути, это событие срабатывает, когда любой хост в группе хостов корпоративных сетей взаимодействует с любым хостом в группе хостов внешних хостов, за исключением хостов в группе хостов серверов Umbrella DNS, через 53/UDP или 53/TCP, при этом поднимается тревога.

Перейдите в Configure > Response Management. Нажмите Actions.

Выберите действие политики ISE ANC. Дайте имя и выберите кластер Cisco ISE, с которым следует связаться для применения политики карантина для любого нарушения или подключения к мошенническим серверам.

В разделе Rules. Создайте новое правило. Это правило будет применять предыдущее действие, когда любой хост внутри внутренней сети пытается отправить DNS-трафик на мошеннические DNS-серверы. В разделе Rule is triggered if выберите Type, прокрутите вниз и выберите созданное ранее пользовательское событие. В разделе Associated Actions выберите созданное ранее действие ISE ANC.

С внутреннего хоста откройте консоль CMD. Выполните команду nslookup, затем команду server 8.8.8.8. Введите несколько адресов для DNS-сервера 8.8.8.8, которые нужно разрешить.

Перейдите в Monitor > ISE ANC Policy Assignments. Вы должны увидеть, что Cisco Secure Network Analytics применила политику адаптивного управления сетью через PxGrid и ISE для карантина хоста.

Часто задаваемые вопросы

В: Как завершить работу с инструментом настройки устройства (AST) для каждого компонента SNA?
A: После настройки устройств SNA с использованием IP-адреса управления вы можете завершить AST для каждого компонента, следуя конкретным инструкциям, предоставленным для этого компонента в руководстве пользователя или руководстве по настройке.

Документы/Ресурсы

Развертывание безопасной сетевой аналитики CISCO [pdf] Руководство по эксплуатации Безопасное развертывание сетевой аналитики, развертывание сетевой аналитики, развертывание аналитики, развертывание

Ссылки

• Руководство пользователя