Nasazení zabezpečené síťové analytiky CISCO
Informace o produktu
Specifikace:
- Název produktu: Nasazení zabezpečené síťové analytiky Cisco
- Integrace: Integrace Cisco ISE pro ANC
Nasazení Cisco Secure Network Analytics a integrace Cisco ISE pro ANC
Instalace SMC
Přihlaste se do konzole a zadejte příkaz SystemConfig. Zadejte síťovou konfiguraci pro zařízení.
Instalace uzlu datového úložiště
Přihlaste se do konzole a zadejte příkaz SystemConfig. Zadejte síťovou konfiguraci pro zařízení.
Nakonfigurovali jsme rozhraní pro správu, následující je druhé síťové rozhraní pro komunikaci mezi datovými uzly (komunikaci s ostatními datovými uzly).
Instalace průtokového kolektoru
Přihlaste se do konzole a zadejte příkaz SystemConfig. Ujistěte se, že jsou vybrány všechny možnosti telemetrie.
Nakonfigurujte porty pro telemetrii.
- Čistý tok: 2055
- Modul viditelnosti sítě: 2030
- Protokoly firewallu: 8514
Zadejte síťovou konfiguraci pro zařízení.
Instalace průtokového senzoru
Přihlaste se do konzole a zadejte příkaz SystemConfig. Zadejte síťovou konfiguraci pro zařízení.
Instalace Cisco Telemetry Brokeru
Cisco Telemetry Brocker je klíčovou součástí
Cisco Secure Network Analytics (dříve Cisco Stealthwatch) je výkonné zařízení pro optimalizaci telemetrie, které se používá hlavně:
- Pro zjednodušení sběru a agregace provozu Netflow, SNMP a Syslog.
- Zjednodušuje konfiguraci a odesílání dat Netflow pomocí jednoho exportéru ve vašich síťových zařízeních namísto různých exportérů, zejména pokud máte různorodé analyzátory Netflow, jako je Cisco Secure Network Analytics, SolarWinds nebo LiveAction, nebo v případě, že máte více kolektorů flow s Cisco Secure Network Analytics.
- Kromě toho zjednodušuje telemetrické streamy při použití více destinací a různých řešení pro správu protokolů.
Architektura Cisco Telemetry Broker se skládá ze dvou komponent:
- Uzel manažera
- Uzel brokera.
Uzly Broker jsou spravovány jedním správcem Cisco Telemetry Broker pomocí rozhraní pro správu. Uzel Manager vyžaduje jedno síťové rozhraní pro správu provozu. Uzel Broker vyžaduje dvě síťová rozhraní. Jedno rozhraní pro správu pro komunikaci se správcem a telemetrické rozhraní pro odesílání telemetrie do Flow Collectoru, který následně odesílá telemetrii do nakonfigurovaných cílů, jako je konzole SMC Management Console v řešení Cisco Secure Network Analytics. IP adresa/port cílového Flow Collectoru pro telemetrický provoz v řešení Cisco Secure Network Analytics je přidán na uzlu Manageru a odeslán do uzlu Broker prostřednictvím rozhraní pro správu, aby mu dal pokyny, kam má směrovat provoz NetFlow.
Při instalaci uzlu Broker je nutné jej připojit k uzlu Manager pomocí příkazu sudo ctb-manage a zadat IP adresu a přihlašovací údaje správce uzlu Manager. Jakmile je uzel Broker přidán do uzlu Manager, Web Grafické uživatelské rozhraní uzlu Manager zobrazuje přidaný uzel Broker s jeho IP adresou pro správu. Pro dokončení integrace mezi uzlem Broker a uzlem Manager je třeba přidat datové nebo telemetrické síťové rozhraní uzlu Broker k uzlu Manager. Síťová zařízení, jako jsou firewally, směrovače a přepínače, nakonec používají IP adresu telemetrického rozhraní uzlu Broker jako exportér Netflow.
Nasazení uzlu správce
Spusťte příkaz sudo ctb-install –init.
Zadejte následující informace:
- Heslo pro administrátora
- Název hostitele
- Adresa IPv4, maska podsítě a adresa výchozí brány pro rozhraní sítě pro správu
- IP adresa nameserveru DNS
Nasazení uzlu brokera
Spusťte příkaz sudo ctb-install –init.
Zadejte následující informace:
- Heslo pro administrátora
- Název hostitele
- Adresa IPv4, maska podsítě a adresa výchozí brány pro rozhraní sítě pro správu
- IP adresa nameserveru DNS
Spusťte příkaz sudo ctb-manage.
Zadejte následující informace:
- IP adresa uzlu Manageru
- Uživatelské jméno administrátorského účtu uzlu Manager
Přihlaste se do služby Cisco Telemetry Broker. V web V prohlížeči zadejte IP adresu rozhraní pro správu uzlu správce. V hlavní nabídce vyberte možnost Broker Nodes (Uzly zprostředkovatele).
V tabulce Broker Nodes klikněte na uzel brokera. V části Telemetrické rozhraní nakonfigurujte telemetrické rozhraní a nastavte výchozí bránu.
Nyní, když jsou zařízení SNA nakonfigurována s IP adresou pro správu, je třeba na každé komponentě SNA spustit nástroj Appliance Setup Tool (AST).
Nástroj pro nastavení zařízení (AST) nakonfiguruje zařízení tak, aby mohla komunikovat se zbytkem nasazení SNA.
SMC
- Přístup k grafickému rozhraní SMC.
- Změňte výchozí hesla pro admin, root a sysadmin.
Žádné změny pro rozhraní sítě pro správu.
Nakonfigurujte název hostitele a domény. 
- Nakonfigurujte DNS servery.
- Nakonfigurujte NTP server.
- Nakonec zaregistrujte SMC.
- SMC se restartuje.
Uzel datového úložiště
Postupujte stejně, jediný rozdíl je v konfiguraci nastavení centrální správy. V této části zadejte IP adresu SMC 198.19.20.136 a uživatelské jméno/heslo.
Průtokový kolektor
Postupujte stejně, jediný rozdíl je v konfiguraci nastavení centrální správy. V této části zadejte IP adresu SMC 198.19.20.136 a uživatelské jméno/heslo.
Čidlo průtoku
- Postupujte stejně, jediný rozdíl je v konfiguraci nastavení centrální správy. V této části zadejte IP adresu SMC 198.19.20.136 a uživatelské jméno/heslo.
- Pro dokončení konfigurace inicializujte uzel DataStore.
- Připojte se přes SSH k uzlu DataStore a spusťte příkaz SystemConfig.
- Postupujte podle interaktivního dialogu pro inicializaci uzlu DataStore.
- V grafickém rozhraní SMC vidíme, že všechna zařízení Cisco SNA jsou připojena k SMC.
Konfigurace zprostředkovatele telemetrie Cisco
Otevřete grafické uživatelské rozhraní uzlu Cisco Telemetry Broker Manager. Klikněte na Přidat cíl a vyberte Cíl UDP. Nakonfigurujte následující parametry.
- Název destinace: SNA-FC
- Cílová IP adresa: 198.19.20.137
- Cílový UDP port: 2055
Klikněte na Přidat pravidlo. 
- Jako přijímající UDP port zadejte 2055.
Klikněte na Přidat cíl a vyberte Cíl UDP.
Konfigurujte následující parametry.
- Název cíle: Manažer
- Cílová IP adresa: 198.19.20.136
- Cílový UDP port: 514
- Klikněte na Přidat pravidlo.
- Jako přijímající UDP port zadejte 2055.
Integrace Cisco ISE Identity Services Engine
Přejděte do sekce Administrace > pxGrid > Certifikáty.
Vyplňte formulář takto:
- Klikněte do pole Chci a vyberte možnost Stáhnout řetězec kořenových certifikátů.
- Klikněte do pole Názvy hostitelů a vyberte možnost admin.
- Klikněte do pole Formát stažení certifikátu a vyberte možnost PEM.
- Klikněte na Vytvořit
- Stáhněte si file jako ISE-CA-ROOT-CHAIN.zip.
- V grafickém rozhraní SMC klikněte na možnost Centrální správa. Na stránce Centrální správa vyhledejte zařízení SMC Manager a poté vyberte možnost Upravit konfiguraci zařízení.
- Klepněte na Obecné.
- Přejděte dolů k úložišti důvěryhodných nástrojů a klikněte na Přidat nový. Vyberte soubor CertificateServicesRootCA-admin_.cer. fileKlikněte na tlačítko Přidat certifikát.
- SMC nyní bude důvěřovat certifikátům vydaným ISE CA.
- Klikněte na kartu Zařízení. Přejděte dolů do sekce Další identity klientů SSL/TLS a klikněte na Přidat nový.
- Zobrazí se dotaz, zda je potřeba vygenerovat CSR, vyberte Ano a klikněte na Další.
Vyplňte CSR takto:
- Délka klíče RSA
- Organizace
- Organizační jednotka
- Lokalita nebo město
- Stát nebo provincie
- Kód země
- E-mailová adresa
Klikněte na Generovat CSR a poté na Stáhnout CSR.
Otevřete grafické uživatelské rozhraní Cisco ISE. Přejděte do sekce Administrace > pxGrid > Certifikáty.
Použijte následující informace:
- V poli Chci vybrat možnost Generovat jeden certifikát (s požadavkem na podepsání certifikátu).
- Za CSR v poli Podrobnosti žádosti o podepsání certifikátu
- Do pole Popis zadejte SMC.
- V poli SAN vyberte IP adresu a jako přidruženou IP adresu zadejte 198.19.20.136.
- Jako možnost Formát stahování certifikátu vyberte formát PKCS12.
- Zadejte heslo
- Klikněte na Vytvořit
- Uložte vytvořený certifikát s názvem SMC-PXGRID.
Poznámka:
V některých stávajících nasazeních Cisco ISE můžete mít vypršené systémové certifikáty používané pro služby admin, eap a pxGrid, jak je uvedeno níže.
Je to proto, že platnost interních certifikátů certifikační autority Cisco ISE, které podepisují tyto systémové certifikáty, vypršela.
Chcete-li obnovit systémové certifikáty. Přejděte do sekce Administrace > Certifikáty > Žádosti o podepsání certifikátu. V poli Použití vyberte možnost Kořenová certifikační autorita ISE a poté klikněte na možnost Nahradit řetězec certifikátů kořenové certifikační autority ISE.
Cisco ISE vygeneruje nové interní certifikáty CA. Nezapomeňte upravit pole Důvěryhodné pro příslušné služby, jako například pxGrid.
Systémové certifikáty jsou nyní platné.
Otevřete grafické uživatelské rozhraní SMC. Přejděte do sekce Centrální správa. Na kartě Konfigurace zařízení SMC přejděte dolů k formuláři Přidat identitu klienta SSL/TLS a poté klikněte na tlačítko Vybrat. File, vyberte certifikát SMC-PXGRID.
V grafickém rozhraní SMC přejděte do nabídky Nasadit > Konfigurace Cisco ISE.
Nakonfigurujte konfiguraci ISE s následujícími parametry:
- Název clusteru: ISE-CLUSTER
- Certifikát: SMC-PXGRID
- Primární uzel PxGrid: 198.19.20.141
- Jméno klienta: SMC-PXGRID
Přejděte do sekce Monitor > Uživatelé.
Všimněte si, že na SMC vidíme uživatelská data.
Zásady adaptivního řízení sítě (ANC) ISE
Vyberte Operace > Adaptivní řízení sítě > Seznam zásad > Přidat a jako název zásady zadejte SW_QUARANTINE a jako akci zadejte Karanténa.
Přístupte k grafickému rozhraní SMC. Vyberte IP adresu na řídicím panelu a vidíme, že je vyplněna politika ISE ANC.
- Globální zásady výjimek autorizace vám umožňují definovat pravidla, která přepíší všechna pravidla autorizace ve všech vašich sadách zásad. Jakmile nakonfigurujete globální zásadu výjimek autorizace, bude přidána do všech sad zásad.
- Pravidlo lokální výjimky autorizace přepíše globální pravidla výjimky. Proto se nejprve zpracuje lokální pravidlo výjimky, poté globální pravidlo výjimky a nakonec normální pravidlo autorizační politiky.
- Jedním ze zajímavých případů použití těchto pravidel výjimek je konfigurace Cisco Secure Network Analytics (Stealth watch) s Cisco ISE pro správu odpovědí pomocí adaptivních síťových zásad (ANC) tak, aby v případě spuštění alarmu Cisco Secure Network Analytics (Stealth watch) požádal Cisco ISE o umístění hostitele do karantény s adaptivními síťovými zásadami prostřednictvím Px Grid.
- Nejlepší postup pro konfiguraci autorizační politiky v Cisco ISE tak, aby hostitele umístil do karantény buď v rámci lokální, nebo globální výjimky.
- Pokud chcete zásady ANC použít na všechny vaše sady zásad, VPN, kabelové bezdrátové sítě, tj. všechny uživatele kabelových VPN a bezdrátových sítí, použijte globální výjimku.
- Pokud chcete zásady ANC použít pouze pro uživatele VPN nebo kabelových sítí, použijte lokální zásady v sadách zásad VPN, respektive kabelových sítí.
Automatická akce a reakce s ANC
Scénář: Společnost používá Cisco Umbrella jako DNS server k prevenci internetových hrozeb. Chceme vlastní alarm, aby se v případě, že interní uživatelé používají jiné externí DNS servery, spustil alarm, který by zabránil připojení k falešným DNS serverům, jež by potenciálně přesměrovávaly provoz na externí weby ke škodlivým účelům. Když se spustí alarm, Cisco Secure Network Analytics požádá Cisco ISE o karanténu hostitele, který používá falešné DNS servery, s adaptivní politikou řízení sítě prostřednictvím PxGrid. Přejděte do sekce Konfigurovat > Správa hostitelů. V nadřazené skupině hostitelů Inside Hosts vytvořte skupinu hostitelů s názvem Corporate Networks pro vaše interní sítě.
V nadřazené skupině hostitelů Externí hostitelé vytvořte skupinu hostitelů s názvem Servery DNS Umbrella pro IP adresy Umbrella.
Interní uživatelé používají jako DNS server Cisco Umbrella k prevenci internetových hrozeb. Nakonfigurujte vlastní alarm tak, aby se v případě, že interní uživatelé používají jiné externí DNS servery, spustil alarm, který zabrání připojení k falešnému DNS serveru, který by potenciálně mohl přesměrovat provoz na externí weby se škodlivými účely. Když se spustí alarm, Cisco Secure Network Analytics požádá Cisco ISE o karanténu hostitele, který používá falešné DNS servery, s adaptivní politikou řízení sítě prostřednictvím PxGrid.
Přejděte do sekce Konfigurovat > Správa zásad.
Vytvořte vlastní události s následujícími informacemi:
- Název: Neoprávněný provoz DNS
- Hostitelské skupiny předmětu: Firemní sítě
- Skupiny peer hostitelů: Externí hostitel kromě serverů Umbrella DNS
- Peer port/protokoly: 53/UDP 53/TCP
V podstatě se tato událost spustí, když jakýkoli hostitel v rámci skupiny hostitelů korporátních sítí komunikuje s jakýmkoli hostitelem v rámci skupiny hostitelů externích hostitelů, s výjimkou hostitelů v rámci skupiny hostitelů serverů Umbrella DNS, a to prostřednictvím protokolu 53/UDP nebo 53/TCP. Dojde k alarmu.
Přejděte do sekce Konfigurovat > Správa odpovědí. Klikněte na Akce.
Vyberte akci zásad ISE ANC. Zadejte název a vyberte cluster Cisco ISE, který má být kontaktován, aby se v případě jakéhokoli narušení nebo připojení k nepoctivým serverům použila zásada karantény.
V sekci Pravidla vytvořte nové pravidlo. Toto pravidlo použije předchozí akci, když se jakýkoli hostitel v interní síti pokouší odesílat DNS provoz na falešné DNS servery. V sekci Pravidlo se spustí, pokud vyberte Typ, přejděte dolů a vyberte dříve vytvořenou vlastní událost. V části Přidružené akce vyberte dříve vytvořenou akci ISE ANC.
Z interního hostitele otevřete konzoli CMD. Spusťte příkaz nslookup a poté příkaz server 8.8.8.8. Zadejte několik adres, které má DNS server 8.8.8.8 rozpoznat.
Přejděte do sekce Monitor > Přiřazení zásad ISE ANC. Měli byste vidět, že Cisco Secure Network Analytics použila zásady adaptivního řízení sítě prostřednictvím PxGrid a ISE k umístění hostitele do karantény.
FAQ
Otázka: Jak mám dokončit nástroj pro nastavení zařízení (AST) na každé komponentě SNA?
A: Jakmile jsou zařízení SNA nakonfigurována s IP adresou pro správu, můžete provést test AST na každé komponentě podle konkrétních pokynů uvedených pro danou komponentu v uživatelské příručce nebo instalačním průvodci.
Dokumenty / zdroje
 |
Nasazení zabezpečené síťové analytiky CISCO [pdfNávod k obsluze Bezpečné nasazení síťové analytiky, nasazení síťové analytiky, nasazení analytiky, nasazení |