Penerapan Analitis Rangkaian Selamat CISCO
Maklumat Produk
Spesifikasi:
- Nama Produk: Cisco Secure Network Analytics Deployment
- Integrasi: Integrasi Cisco ISE untuk ANC
Cisco Secure Network Analytics Deployment dan Cisco ISE Integration untuk ANC
Pemasangan SMC
Log masuk ke konsol, taip arahan SystemConfig. Masukkan konfigurasi rangkaian untuk perkakas.
Pemasangan Datastore Nod
Log masuk ke konsol, taip arahan SystemConfig. Masukkan konfigurasi rangkaian untuk perkakas.
Kami telah mengkonfigurasi antara muka pengurusan, berikut adalah antara muka rangkaian kedua untuk komunikasi Nod antara Data (komunikasi dengan nod data lain).
Pemasangan Pengumpul Aliran
Log masuk ke konsol, taip arahan SystemConfig. Pastikan semua pilihan telemetri dipilih.
Konfigurasikan port untuk telemetri.
- Aliran Bersih: 2055
- Modul Keterlihatan Rangkaian: 2030
- Log Firewal: 8514
Masukkan konfigurasi rangkaian untuk perkakas.
Pemasangan Penderia Aliran
Log masuk ke konsol, taip perintah SystemConfig. Masukkan konfigurasi rangkaian untuk perkakas.
Pemasangan Cisco Telemetry Broker
Cisco Telemetry Brocker komponen teras bagi
Cisco Secure Network Analytics (Sebelum ini Cisco Stealthwatch) dan peranti berkuasa untuk mengoptimumkan telemetri, ia digunakan terutamanya:
- Untuk memudahkan pengumpulan dan pengagregatan trafik Netflow, SNMP dan Syslog.
- Ia memudahkan mengkonfigurasi dan menghantar data Netflow menggunakan satu pengeksport dalam Peranti Rangkaian anda dan bukannya pengeksport yang berbeza, terutamanya apabila anda mempunyai penganalisis aliran bersih yang berbeza seperti Cisco Secure Network Analytics, SolarWinds atau LiveAction, atau sekiranya anda mempunyai berbilang pengumpul aliran dengan Cisco Secure Network Analytics.
- Selain itu, ia memudahkan Aliran Telemetri apabila menggunakan pelbagai destinasi dan penyelesaian pengurusan log yang berbeza.
Seni bina Cisco Telemetry Broker terdiri daripada dua komponen:
- Nod Pengurus
- Nod Broker.
Nod Broker semuanya diuruskan oleh seorang pengurus Cisco Telemetry Broker menggunakan Antara Muka Pengurusan. Nod Pengurus memerlukan satu antara muka rangkaian untuk trafik pengurusan. Nod Broker memerlukan dua antara muka rangkaian. Satu antara muka pengurusan untuk komunikasi dengan pengurus dan antara muka Telemetri untuk menghantar Telemetri kepada Flow Collector yang seterusnya menghantar ke destinasi yang dikonfigurasikan seperti SMC Management Console dalam penyelesaian Cisco Secure Network Analytics. Alamat IP Pengumpul Aliran Destinasi/Pelabuhan trafik telemetri dalam penyelesaian Cisco Secure Network Analytics ditambah pada Nod Pengurus dan ditolak ke Nod Broker melalui antara muka pengurusan untuk mengarahkan mereka ke mana trafik NetFlow.
Apabila Memasang Nod Broker, anda mesti menyertainya ke Nod pengurus menggunakan perintah sudo ctb-manage dan menyediakan Alamat IP dan bukti kelayakan pentadbir Nod Pengurus. Sebaik sahaja Nod Broker ditambah ke dalam Nod Pengurus, nod Web GUI Nod Pengurus memaparkan Nod Broker ditambah dengan Alamat IP pengurusannya. Untuk menyelesaikan penyepaduan antara Nod Broker dan Nod Pengurus, anda perlu menambah Antara Muka Rangkaian Data atau Telemetri Nod Broker pada Nod Pengurus. Akhirnya Peranti Rangkaian seperti tembok api, Penghala dan Suis menggunakan Alamat IP Antara Muka Telemetri Nod Broker sebagai Pengeksport Netflow.
Gunakan Nod Pengurus
Jalankan perintah sudo ctb-install –init.
Masukkan maklumat berikut:
- Kata laluan untuk pengguna pentadbir
- Nama hos
- Alamat IPv4, subnet mask dan alamat get laluan lalai untuk antara muka Rangkaian Pengurusan
- Alamat IP pelayan nama DNS
Gunakan Nod Broker
Jalankan perintah sudo ctb-install –init.
Masukkan maklumat berikut:
- Kata laluan untuk pengguna pentadbir
- Nama hos
- Alamat IPv4, subnet mask dan alamat get laluan lalai untuk antara muka Rangkaian Pengurusan
- Alamat IP pelayan nama DNS
Jalankan perintah sudo ctb-manage.
Masukkan maklumat berikut:
- Alamat IP nod Pengurus
- Nama pengguna akaun pentadbir nod Pengurus
Log masuk ke Cisco Telemetry Broker. Dalam a web pelayar, masukkan alamat IP antara muka pengurusan Pengurus bagi nod pengurus. Daripada menu utama, pilih Nod Broker.
Dalam jadual Nod Broker, klik nod broker. Dalam bahagian Antara Muka Telemetri, Konfigurasikan Antara Muka Telemetri dan get laluan lalai.
Kini perkakas SNA dikonfigurasikan dengan alamat IP pengurusan, kita perlu melengkapkan Alat Persediaan Perkakas (AST) pada setiap komponen SNA.
Alat Persediaan Perkakas (AST) akan mengkonfigurasi perkakas supaya dapat berkomunikasi dengan penggunaan SNA yang lain.
SMC
- Akses GUI SMC.
- Tukar Kata Laluan Lalai untuk pentadbir, root dan sysadmin.
Tiada perubahan untuk Antara Muka Rangkaian Pengurusan.
Konfigurasikan Nama Hos dan Domain. 
- Konfigurasikan Pelayan DNS.
- Konfigurasikan Pelayan NTP.
- Akhirnya daftar SMC.
- SMC akan but semula.
Nod Simpanan Data
Ikuti prosedur yang sama, satu-satunya perbezaan ialah konfigurasi Tetapan Pengurusan Pusat. Dalam bahagian ini Masukkan alamat IP SMC 198.19.20.136 dan nama pengguna/kata laluan.
Pengumpul Aliran
Ikuti prosedur yang sama, satu-satunya perbezaan ialah konfigurasi Tetapan Pengurusan Pusat. Dalam bahagian ini Masukkan alamat IP SMC 198.19.20.136 dan nama pengguna/kata laluan.
Sensor Aliran
- Ikuti prosedur yang sama, satu-satunya perbezaan ialah konfigurasi Tetapan Pengurusan Pusat. Dalam bahagian ini Masukkan alamat IP SMC 198.19.20.136 dan nama pengguna/kata laluan.
- Untuk melengkapkan konfigurasi, Mulakan nod DataStore.
- SSH ke nod DataStore dan jalankan arahan SystemConfig.
- Ikuti dialog interaktif untuk memulakan nod DataStore.
- Akses GUI SMC, dalam Pengurusan Pusat kita dapat melihat semua peralatan Cisco SNA disambungkan ke SMC.
Konfigurasi Broker Telemetri Cisco
Akses GUI nod Pengurus Broker Telemetri Cisco. Klik Tambah Destinasi dan pilih Destinasi UDP. Konfigurasikan parameter berikut.
- Nama Destinasi: SNA-FC
- Alamat IP Destinasi: 198.19.20.137
- Pelabuhan UDP Destinasi: 2055
Klik Tambah Peraturan. 
- Masukkan 2055 sebagai Port UDP Penerima.
Klik Tambah Destinasi dan pilih Destinasi UDP.
Konfigurasikan parameter berikut.
- Nama Destinasi: Pengurus
- Alamat IP Destinasi: 198.19.20.136
- Pelabuhan UDP Destinasi: 514
- Klik Tambah Peraturan.
- Masukkan 2055 sebagai Port UDP Penerima.
Integrasi Enjin Perkhidmatan Identiti Cisco ISE
Navigasi ke Pentadbiran > pxGrid > Sijil.
Lengkapkan borang seperti berikut:
- Klik dalam medan Saya mahu dan pilih Muat Turun Rangkaian Sijil Root
- Klik dalam medan Nama Hos dan pilih pentadbir
- Klik dalam medan Format Muat Turun Sijil dan pilih pilihan PEM
- Klik Buat
- Muat turun file sebagai ISE-CA-ROOT-CHAIN.zip.
- Pada GUI SMC, klik Pengurusan Pusat. Pada halaman Pengurusan Pusat, cari perkakas Pengurus SMC, kemudian pilih Edit Konfigurasi Perkakas.
- Klik Umum.
- Tatal ke bawah ke Kedai Amanah dan klik Tambah Baharu. Pilih CertificateServicesRootCA-admin_.cer file. Klik Tambah Sijil.
- SMC kini akan mempercayai sijil yang dikeluarkan oleh ISE CA.
- Klik tab Perkakas. Tatal ke bawah ke bahagian Identiti Pelanggan SSL/TLS Tambahan dan klik Tambah Baharu.
- Ia akan bertanya sama ada anda perlu menjana CSR, pilih Ya dan klik Seterusnya.
Isikan CSR seperti berikut:
- Panjang Kunci RSA
- Organisasi
- Unit Organisasi
- Lokaliti atau Bandar
- Negeri atau Wilayah
- Kod Negara
- Alamat E-mel
Klik Jana CSR, kemudian Muat turun CSR.
Akses GUI Cisco ISE. Navigasi ke Pentadbiran > pxGrid > Sijil.
Gunakan maklumat berikut:
- Dalam medan Saya mahu, pilih Jana sijil tunggal (dengan permintaan menandatangani sijil)
- Melepasi CSR dalam medan Butiran Permintaan Menandatangani Sijil
- Taip SMC dalam medan Penerangan
- Pilih Alamat IP dalam medan SAN dan masukkan 198.19.20.136 sebagai Alamat IP yang berkaitan
- Pilih format PKCS12 sebagai pilihan Format Muat Turun Sijil
- Masukkan kata laluan
- Klik Buat
- Simpan sijil yang dibuat dengan nama SMC-PXGRID.
Nota :
Dalam sesetengah pelaksanaan Cisco ISE sedia ada, anda mungkin telah tamat tempoh sijil sistem yang digunakan untuk perkhidmatan pentadbir, eap dan pxGrid seperti yang ditunjukkan di bawah.
Ini kerana sijil CA dalaman Cisco ISE yang menandatangani sijil sistem ini telah tamat tempoh.
Untuk memperbaharui sijil sistem. Navigasi ke Pentadbiran > Sijil > Permintaan Menandatangani Sijil. Dalam medan Penggunaan, pilih ISE Root CA, kemudian klik pada Gantikan Rantaian Sijil ISE Root CA.
Cisco ISE menjana sijil CA Dalaman baharu. Jangan lupa untuk melaraskan medan Dipercayai Untuk untuk perkhidmatan yang sesuai seperti pxGrid.
Sekarang sijil sistem adalah sah.
Akses GUI SMC. Pergi ke Pengurusan Pusat. Dalam tab Konfigurasi Perkakas SMC, tatal ke bawah untuk Tambahkan borang Identiti Klien SSL/TLS, kemudian klik Pilih File, pilih sijil SMC-PXGRID.
Dalam GUI SMC, navigasi ke Deploy > Cisco ISE Configuration.
Konfigurasikan Konfigurasi ISE dengan parameter berikut:
- Nama Kluster: ISE-CLUSTER
- Sijil: SMC-PXGRID
- Nod PxGrid Utama: 198.19.20.141
- Nama Pelanggan: SMC-PXGRID
Navigasi ke Monitor > Pengguna.
Perhatikan bahawa kita boleh melihat data Pengguna pada SMC.
Dasar Kawalan Rangkaian Adaptif (ANC) ISE
Pilih Operasi > Kawalan Rangkaian Adaptif > Senarai Polisi > Tambah dan masukkan SW_QUARANTINE untuk Nama Polisi dan Kuarantin untuk Tindakan.
Akses GUI SMC. Pilih alamat IP dalam papan pemuka, kita dapat melihat bahawa Dasar ISE ANC telah diisi.
- Dasar pengecualian kebenaran global membolehkan anda menentukan peraturan yang mengatasi semua peraturan kebenaran dalam semua set dasar anda. Sebaik sahaja anda mengkonfigurasi dasar pengecualian kebenaran global, ia ditambahkan pada semua set dasar.
- Peraturan pengecualian kebenaran tempatan menimpa peraturan pengecualian global. Jadi peraturan pengecualian tempatan diproses terlebih dahulu, kemudian peraturan pengecualian global, dan akhirnya, peraturan biasa dasar kebenaran.
- Salah satu kes penggunaan yang menarik bagi Peraturan Pengecualian ini ialah apabila anda mengkonfigurasi Cisco Secure Network Analytics (Stealth watch) dengan Cisco ISE for Response Management menggunakan Adaptive Network Policy (ANC) supaya apabila penggera dibangkitkan, Cisco Secure Network Analytics (Stealth watch) akan meminta Cisco ISE untuk mengkuarantin hos dengan Dasar Kawalan Rangkaian Adaptif melalui Px Grid.
- Amalan terbaik untuk mengkonfigurasi Dasar Kebenaran pada Cisco ISE untuk mengkuarantin hos sama ada dalam Pengecualian Setempat atau Pengecualian Global.
- Jika anda ingin menggunakan Dasar ANC pada semua set dasar anda, VPN, wayarles berwayar aka semua pengguna VPN berwayar dan wayarles. Gunakan Pengecualian Global.
- Jika anda ingin menggunakan Dasar ANC hanya kepada pengguna VPN atau pengguna Berwayar. Gunakan Dasar Tempatan di dalam Set Dasar VPN atau Set Dasar Berwayar masing-masing.
Tindakan dan Respons Automatik dengan ANC
Senario : Sebuah syarikat menggunakan Cisco Umbrella sebagai pelayan DNS untuk mengelakkan ancaman internet. Kami mahukan penggera tersuai supaya apabila pengguna dalaman menggunakan pelayan DNS luaran yang lain, penggera dicetuskan untuk menghalang sambungan ke pelayan DNS penyangak yang berpotensi mengubah hala trafik ke tapak luaran untuk tujuan jahat. Apabila penggera dibangkitkan, Cisco Secure Network Analytics akan meminta Cisco ISE untuk mengkuarantin hos yang menggunakan Pelayan DNS penyangak dengan Dasar Kawalan Rangkaian Adaptif melalui PxGrid. Navigasi ke Konfigurasi > Pengurusan Hos. Dalam kumpulan hos induk Di Dalam Hos, buat Kumpulan Hos bernama Rangkaian Korporat untuk rangkaian dalaman anda.
Dalam kumpulan hos induk Di Luar Hos, buat Kumpulan Hos bernama Pelayan DNS Umbrella untuk alamat IP Umbrella.
Pengguna dalaman menggunakan Cisco Umbrella sebagai pelayan DNS untuk mengelakkan ancaman internet. Konfigurasikan penggera tersuai supaya apabila pengguna dalaman menggunakan pelayan DNS luaran yang lain, penggera dicetuskan untuk menghalang sambungan ke pelayan DNS penyangak yang berpotensi mengubah hala trafik ke tapak luaran untuk tujuan jahat. Apabila penggera dibangkitkan, Cisco Secure Network Analytics akan meminta Cisco ISE untuk mengkuarantin hos yang menggunakan Pelayan DNS penyangak dengan Dasar Kawalan Rangkaian Adaptif melalui PxGrid.
Navigasi ke Konfigurasi > Pengurusan Dasar.
Buat Acara Tersuai dengan maklumat berikut:
- Nama : Trafik DNS yang tidak dibenarkan
- Kumpulan Hos Subjek : Rangkaian Korporat
- Kumpulan Hos Rakan Sebaya : Hos Luar Kecuali Pelayan DNS Umbrella
- Port/Protokol Rakan Sebaya : 53/UDP 53/TCP
Pada asasnya peristiwa ini dicetuskan apabila mana-mana hos dalam Kumpulan Hos Rangkaian Korporat berkomunikasi dengan mana-mana hos dalam Kumpulan Hos Hos Luar kecuali mereka dalam Kumpulan Hos Pelayan DNS Umbrella, melalui 53/UDP atau 53/TCP, penggera dibangkitkan.
Navigasi ke Konfigurasi > Pengurusan Respons. Klik pada Tindakan.
Pilih Tindakan Dasar ISE ANC. Berikan nama dan pilih gugusan Cisco ISE yang harus dihubungi untuk menggunakan dasar kuarantin untuk sebarang pelanggaran atau sambungan ke pelayan penyangak.
Di bawah bahagian Peraturan. Buat Peraturan baharu. Peraturan ini akan menggunakan Tindakan sebelum ini apabila mana-mana hos dalam rangkaian dalaman cuba menghantar trafik DNS kepada Pelayan DNS penyangak. Dalam bahagian Peraturan dicetuskan jika, pilih Jenis, tatal ke bawah dan pilih acara tersuai yang dibuat sebelum ini. Di bawah Tindakan Berkaitan, pilih tindakan ISE ANC yang dibuat sebelum ini.
Daripada hos dalaman, buka konsol CMD. Jalankan arahan nslookup, kemudian arahan pelayan 8.8.8.8. Taipkan beberapa alamat untuk diselesaikan oleh pelayan DNS 8.8.8.8.
Navigasi ke Monitor > Tugasan Dasar ISE ANC. Anda seharusnya melihat bahawa Cisco Secure Network Analytics menggunakan Dasar Kawalan Rangkaian Adaptif melalui PxGrid dan ISE untuk mengkuarantin Hos.
Soalan Lazim
S: Bagaimanakah cara saya melengkapkan Alat Persediaan Perkakas (AST) pada setiap komponen SNA?
A: Setelah perkakas SNA dikonfigurasikan dengan alamat IP pengurusan, anda boleh melengkapkan AST pada setiap komponen dengan mengikut arahan khusus yang disediakan untuk komponen tersebut dalam manual pengguna atau panduan persediaan.
Dokumen / Sumber
 |
Penerapan Analitis Rangkaian Selamat CISCO [pdf] Manual Arahan Penerapan Analitis Rangkaian Selamat, Penerapan Analitis Rangkaian, Penerapan Analitis, Penerapan |