Instale e configurar o módulo da visibilidade darede Cisco com AnyConnect 4.2.x e Splunk Índice

IntroduçãoPré-requisitosRequisitosComponentes UtilizadosInformações de ApoioCliente de mobilidade Cisco AnyConnect SecureExportação da informação de fluxo do protocolo de internet (IPFIX)Coletor IPFIXSplunkTopologiaConfigurarPerfil do cliente de Anyconnect MNVConfigurar o perfil do cliente MNV através do ASDMConfigurar o perfil do cliente MNV através do editor do perfil de AnyconnectConfigurar o Web-desenvolvimento em Cisco ASAConfigurar o Web-desenvolvimento em Cisco ISEDetecção da rede confiávelDistribuaEtapa 1. Configurar Anyconnect MNV em Cisco ASA/ISEEtapa 2. Componente estabelecido do coletor IPFIXEtapa 3. Splunk estabelecido com o App de Cisco MNVVerificarValide a instalação de Anyconnect MNVValide o status de receptor como o corredorValide SplunkTroubleshootingFluxo de pacoteBásico pesquise defeitos etapasDetecção da rede confiável (TND)Moldes do fluxoVersão recomendadaDefeitos relacionadosLinks relacionados

Introdução

Este documento descreve o método para instalar e configurar o módulo da visibilidade da rede deCisco AnyConnect (MNV) em um sistema do utilizador final usando AnyConnect 4.2.x ou mais

altamente.

Cisco AnyConnect MNV é usado como um media para a analítica de distribuição da Segurança. AMNV autoriza organizações para considerar o valor-limite & o comportamento do usuário em suarede, recolhe fluxos dos valores-limite sobre e dos fora-locais junto com o contexto adicionalcomo usuários, aplicativos, dispositivos, lugar e destinos.  

Este technote é um exemplo de configuração usando AnyConnect MNV com Splunk.

Pré-requisitos

Requisitos

A Cisco recomenda que você tenha conhecimento destes tópicos:

  

AnyConnect 4.2.01022 ou mais alto com MNV●

Licença do VÉRTICE de AnyConnect●

ASDM 7.5.1 ou mais alto●

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

  

Cliente 4.2 da mobilidade da Segurança de Cisco AnyConnect ou mais atrasado●

Editor do perfil de Cisco AnyConnect●

Ferramenta de segurança adaptável de Cisco (ASA), versão 9.5.2●

Cisco Adaptive Security Device Manager (ASDM), versão 7.5.1●

Empresa 6.3 de Splunk●

Ubuntu 14.04.3 LT como um dispositivo do coletor●

As informações neste documento foram criadas a partir de dispositivos em um ambiente delaboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com umaconfiguração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impactopotencial de qualquer comando.

Informações de Apoio

Cliente de mobilidade Cisco AnyConnect Secure

Cisco Anyconnect é um agente unificado que entregue Serviços de segurança múltiplos paraproteger a empresa. Anyconnect é o mais de uso geral como um cliente VPN da empresa, masigualmente apoia os módulos adicionais que abastecem aos aspectos diferentes da Segurança daempresa. Os módulos adicionais permitem recursos de segurança como a avaliação da postura, aSegurança da Web, a proteção do malware, a visibilidade da rede e o mais.

Este technote é sobre o módulo da visibilidade da rede (MNV), que integra com Cisco Anyconnect

para fornecer administradores a capacidade para monitorar o uso do aplicativo do valor-limite.

Para obter mais informações sobre de Cisco Anyconnect, refira:

Guia do administrador do Cliente de mobilidade Cisco AnyConnect Secure, liberação 4.3

Exportação da informação de fluxo do protocolo de internet (IPFIX)

IPFIX é um protocolo IETF para definir um padrão para exportar a informação de fluxo IP paravárias finalidades como a contabilidade/o exame/Segurança. IPFIX é baseado no protocolo v9 docisco netflow, embora não diretamente compatível.

O vzFlow de Cisco é uma especificação de protocolo estendida com base no protocolo IPFIX.IPFIX não tem bastante elementos de informação padrão para apoiar todos os parâmetros podeser recolhido como parte de AC MNV. O protocolo do vzFlow de Cisco estende o padrão IPFIX edefine os elementos de informação novos assim como define um conjunto padrão dos moldesIPFIX que serão usados por AC MNV exportando dados IPFIX.

Para obter mais informações sobre de IPFIX, refira o rfc5101, rfc7011, rfc7012, rfc7013, rfc7014,rfc7015.

Coletor IPFIX

Um coletor é um server que receba e armazene dados IPFIX. Pode então alimentar estes dados aSplunk. Por exemplo Lancope.

Cisco igualmente fornece seu coletor cultivado em casa IPFIX.

Splunk

Splunk é uma ferramenta poderosa que recolha e analise dados de diagnóstico para dar ainformação significativa sobre a infraestrutura de TI. Fornece um lugar de uma parada para queos administradores recolham os dados que são cruciais em compreender a saúde da rede.

Splunk não é possuído nem é mantido pelo Cisco Systems, porém Cisco fornece o App de CiscoAnyConnect MNV para Splunk.

Para obter mais informações sobre do peito, visite por favor seu Web site.

Topologia

Convenções do endereço IP de Um ou Mais Servidores Cisco ICM NT neste technote: 

Endereço IP de Um ou Mais Servidores Cisco ICM NT do coletor: 192.0.2.123

Endereço IP de Um ou Mais Servidores Cisco ICM NT de Splunk:    192.0.2.113

Configurar

Esta seção cobre a configuração de componentes de Cisco MNV.

Perfil do cliente de Anyconnect MNV

A configuração de Anyconnect MNV salvar em um arquivo XML que contenha a informação sobreo endereço IP de Um ou Mais Servidores Cisco ICM NT e o número de porta do coletor, juntocom a outra informação. O endereço IP de Um ou Mais Servidores Cisco ICM NT e o número deporta do coletor precisam de ser configurados corretamente no perfil do cliente MNV.

Para o funcionamento correto do módulo MNV, o arquivo XML é exigido para ser colocado nestediretório:

Para Windows 7 e mais tarde: %ALLUSERSPROFILE% \ Cisco \ Cliente de mobilidade CiscoAnyConnect Secure \ MNV

●

Para o Mac OSX: /opt/cisco/anyconnect/nvm●

Se o perfil esta presente em Cisco ASA/Identity presta serviços de manutenção ao motor (ISE), aseguir auto-está distribuído junto com o desenvolvimento de Anyconnect MNV.

Exemplo do perfil XML:

<?xml version="1.0" encoding="UTF-8"?>

-<NVMProfile xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"

xsi:noNamespaceSchemaLocation="NVMProfile.xsd">

-<CollectorConfiguration>

<CollectorIP>192.0.2.123</CollectorIP>

<Port>2055</Port>

</CollectorConfiguration>

<Anonymize>false</Anonymize>

<CollectionMode>all</CollectionMode>

</NVMProfile>

O perfil MNV pode ser criado usando duas ferramentas diferentes:

Cisco ASDM●

Editor do perfil de Anyconnect●

Configurar o perfil do cliente MNV através do ASDM

Este método é preferível se Anyconnect MNV está sendo distribuído através de Cisco ASA.

   

1. Navegue à configuração > removem o acesso do VPN de acesso > da rede (cliente) > o perfildo cliente de Anyconnect

2. O clique adiciona

   

3. Dê ao perfil um nome. No uso do perfil, selecione o perfil do serviço da visibilidade da rede

4. Atribua-o à grupo-política que está sendo usada por usuários de Anyconnect. Click OK.

   

 5. A política nova é criada. O clique edita

6. Encha a informação em relação ao endereço IP de Um ou Mais Servidores Cisco ICM NT e aonúmero de porta do coletor. Click OK.

7. Clique em Apply.

    

Configurar o perfil do cliente MNV através do editor do perfil de Anyconnect

Esta é uma ferramenta autônoma disponível no cisco.com. Este método é preferível seAnyconnect MNV está sendo distribuído através de Cisco ISE. O perfil MNV criado usando esta

ferramenta pode ser transferido arquivos pela rede a Cisco ISE, ou ser copiado diretamente aosvalores-limite.

Para informações detalhadas sobre do editor do perfil de Anyconnect, refira:

O editor do perfil de AnyConnect

Configurar o Web-desenvolvimento em Cisco ASA

Este technote supõe que Anyconnect está configurado já no ASA, e somente a configuração demódulo MNV precisa de ser adicionada. Para informações detalhadas sobre da configuração ASAAnyconnect, refira:

Livro 3 ASDM: Guia de configuração ASDM da série VPN de Cisco ASA, 7.5

A fim permitir o módulo de Anyconnect MNV em Cisco ASA, execute estas etapas:

1. Navegue à configuração > ao acesso remoto VPN > ao acesso > ao grupo da rede (cliente)políticas

2. Selecione a grupo-política relevante e o clique edita

3. Dentro do PNF-acima da grupo-política, navegue a avançado > cliente de Anyconnect.

4. Expanda os módulos cliente opcionais para transferir e selecionar a visibilidade da rede deAnyconnect.

5. Clique a APROVAÇÃO e aplique mudanças.

Configurar o Web-desenvolvimento em Cisco ISE

A fim configurar Cisco ISE para o Web-desenvolvimento de Anyconnect, execute estas●

etapas:Em Cisco ISE GUI, navegue à política > aos elementos > aos resultados da política●

Expanda o abastecimento do cliente para mostrar recursos, e para selecionar recursos●

Adicionando a imagem de Anyconnect

Seleto adicionar > recursos de agente, e transfira arquivos pela rede o arquivo de pacote deAnyconnect.

Confirme a mistura do pacote no PNF-acima.

A arquivo-mistura pode ser verificada contra a página da transferência do cisco.com ou autilização da ferramenta da terceira.

Esta etapa pode ser repetida para adicionar imagens múltiplas de Anyconnect. (para o Mac OSXe o Linux OS)

Adicionando o perfil de Anyconnect MNV: 

   Seleto adicionar > recursos de agente, e transfira arquivos pela rede o perfil do cliente MNV.

Adicionar o arquivo de configuração de Anyconnect:

   

Seleto adicionar > configuração de AnyConnect

Escolha o pacote transferido arquivos pela rede na etapa precedente.

   Permita a MNV na seleção do módulo de AnyConnect junto com a política exigida.

Na seção acima, nós permitimos os módulos cliente de AnyConnect, os perfis, os pacotes dapersonalização/língua, e os pacotes de Opswat.

Para informações detalhadas sobre da configuração do Web-desenvolvimento em Cisco ISE,refira:

AnyConnect dedistribuição

Detecção da rede confiável

A MNV envia a informação de fluxo somente quando está em uma rede confiável. Usa acaracterística TND do cliente de Anyconnect para aprender se o valor-limite está em uma redeconfiável. O TND usa a informação DNS/domain para determinar se o valor-limite está em umarede confiável. Quando o VPN é conectado, considera-se estar em uma rede confiável, e ainformação de fluxo é enviada ao coletor.

O TND precisa de ser configurado corretamente para o funcionamento correto da MNV. Paradetalhes na configuração TND, refira:

Configurar a detecção da rede confiável

Distribua

A solução de distribuição de Anyconnect MNV envolve estas etapas:

1. Configurar Anyconnect MNV em Cisco ASA/ISE

2. Estabelecer o componente do coletor IPFIX

3. Estabelecer Splunk com o App de Cisco MNV

Etapa 1. Configurar Anyconnect MNV em Cisco ASA/ISE

Esta etapa foi coberta em detalhe na seção configurar.

Uma vez que a MNV é configurada em Cisco ISE/ASA, pode auto-ser distribuída aos valores-

limite do cliente.

Etapa 2. Componente estabelecido do coletor IPFIX

O componente do coletor é responsável para recolher e traduzir todos os dados IPFIX dosvalores-limite e enviá-los ao App de Splunk. Há várias ferramentas da terceira do coletordisponíveis, e Cisco MNV é compatível com todo o coletor que compreender IPFIX. Este technoteusa a ferramenta caseiro do coletor de Cisco que é executado em Linux 64-bit. Os scripts deconfiguração de CentOS e de Ubuntu são incluídos dentro com o aplicativo do splunk. O CentOSinstala scripts e os arquivos de configuração podem igualmente ser usados em distribuições deFedora e de Redhat também. O coletor deve ser executado em um sistema Linux 64-bitautônomo ou em um remetente de Splunk que são executado em Linux 64-bit. 

A fim instalar o coletor que você precisará de copiar o aplicativo no arquivo deCiscoNVMCollector_TA.tar, situado no diretório $APP_DIR$/appserver/addon/ao sistema vocêplaneia o instalar sobre.

Splunk, para este technote, é instalado na estação de trabalho do Windows no E: conduza.

O arquivo de CiscoNVMCollector_TA.tar pode ser ficado situado no seguinte diretório:

E:\Program Files\Splunk\etc\apps\CiscoNVM\appserver\addon\

Extraia o arquivo TAR no sistema onde você planeia instalar o coletor e executar o script deinstall.sh com privilégios do superusuário. Recomenda-se ler o arquivo $PLATFORM$_READMEno pacote de .tar antes de executar o script de install.sh. O arquivo $PLATFORM$_READMEfornece a informação nos ajustes da configuração relevante que precisam de ser verificados ealterado (caso necessário) antes que o script de install.sh esteja executado.

Diretório do coletor no server de Ubuntu:

root@ubuntu-splunkcollector:~/Downloads/CiscoNVMCollector_TA$ ls

acnvmcollector CENTOS_README libboost_log.so.1.57.0

acnvmcollectord install_centos.sh libboost_system.so.1.57.0

acnvm.conf install.sh libboost_thread.so.1.57.0

acnvm.conf~ install_ubuntu.sh UBUNTU_README

acnvm.service libboost_filesystem.so.1.57.0

root@ubuntu-splunkcollector:~/Downloads/CiscoNVMCollector_TA$

A informação necessária ser configurado no arquivo de configuração (acnvm.conf):

1. Endereço IP de Um ou Mais Servidores Cisco ICM NT e porta de escuta do exemplo deSplunk.

2. Porta de escuta para o coletor (dados entrantes IPFIX).

Pela porta dos dados de fluxo, a porta dos dados da identidade do valor-limite e a porta do coletorPRE-são configuradas às configurações padrão no arquivo de configuração. Assegure-se de queestes valores estejam mudados se as portas não-padrão estão sendo usadas.

Esta informação é adicionada no arquivo de configuração (acnvm.conf):

GNU nano 2.2.6 File: acnvm.conf

{

"syslog_server_ip" : "192.0.2.113",

"syslog_flowdata_server_port" : 20519,

"syslog_sysdata_server_port" : 20520,

"netflow_collector_port" : 2055,

"log_level" : 7

}

Para obter mais informações, consulte:

https://splunkbase.splunk.com/app/2992/#/documentation

Etapa 3. Splunk estabelecido com o App de Cisco MNV

O App de Cisco AnyConnect MNV para Splunk está disponível em Splunkbase. Este app ajudacom relatórios predefinidos e painéis a usar dados IPFIX (nvzFlow) dos pontos finais em relatóriosúteis, e correlaciona o comportamento do usuário e do valor-limite.

Link para o App de Cisco MNV em Splunkbase:

https://splunkbase.splunk.com/app/2992/

Instale:

Navegue a Splunk > a Apps e instale o arquivo de tar.gz transferido do Splunkbase ou procure-odentro da seção de Apps.

Àrevelia, Splunk recebe duas alimentações da entrada de dados para por dados dos dados defluxo e da identidade do valor-limite, nas portas 20519 e 20520 UDP respectivamente. Ocomponente do coletor envia estas alimentações nestas portas à revelia. As portas padrão podemser mudadas no splunk, mas as mesmas portas igualmente precisam de ser especificadas naconfiguração do coletor (veja etapa 2)

A fim mudar portas padrão, navegue a Splunk > a ajustes > a entrada de dados > a UDP

Verificar

Valide a instalação de Anyconnect MNV

Após a instalação bem-sucedida, o módulo da visibilidade da rede deve ser alistado nos módulosinstalados, dentro na seção de informação do cliente seguro da mobilidade de Anyconnect.

Também, verifique se o serviço MNV está sendo executado no ponto final e o perfil está nodiretório exigido.

Valide o status de receptor como o corredor

Assegure-se de que o status de receptor esteja sendo executado. Isto assegura-se de que ocoletor esteja recebendo IPFIX/cflow dos valores-limite em todas as vezes.

GNU nano 2.2.6 File: acnvm.conf

{

"syslog_server_ip" : "192.0.2.113",

"syslog_flowdata_server_port" : 20519,

"syslog_sysdata_server_port" : 20520,

"netflow_collector_port" : 2055,

"log_level" : 7

}

Valide Splunk

Assegure-se de que Splunk e seus serviços relevantes estejam sendo executado. Para adocumentação em pesquisar defeitos Splunk, refira por favor seu Web site.

Troubleshooting

Fluxo de pacote

1. Os pacotes IPFIX são gerados em valores-limite do cliente pelo módulo de Anyconnect MNV.

2. Os valores-limite do cliente enviam pacotes IPFIX ao endereço IP de Um ou Mais ServidoresCisco ICM NT do coletor

3. O coletor recolhe-à informação e para a frente a Splunk

4. O coletor envia o tráfego a Splunk em dois córregos diferentes: Por dados dos dados de fluxo eda identidade do valor-limite

Todo o tráfego não é UDP baseado sobre lá é nenhum reconhecimento do tráfego.

Porta padrão para o tráfego:

Dados 2055 IPFIX

Pelos dados de fluxo 20519

Pelos dados de fluxo 20520

O módulo MNV põe em esconderijo dados IPFIX e envia-os ao coletor quando está na redeconfiável. Isto pode qualquer um ser quando o portátil é conectado à rede corporativa (em-prem)ou quando é conectada através do VPN.

Básico pesquise defeitos etapas

Assegure a conectividade de rede entre o valor-limite do cliente e o coletor.●

Assegure a conectividade de rede entre o coletor e o splunk.●

Assegure-se de que a MNV esteja instalada corretamente no valor-limite do cliente.●

Aplique captações no valor-limite para ver se o tráfego IPFIX está sendo gerado.●

Aplique captações no coletor para ver se está recebendo o tráfego IPFIX, e se é tráfego deencaminhamento a Splunk.

●

Aplique captações em Splunk para ver se está recebendo o tráfego.●

Tráfego IPFIX como visto em Wireshark:

Detecção da rede confiável (TND)

A MNV confia no TND para detectar quando o valor-limite está dentro da rede confiável. Se aconfiguração TND está incorreta, esta causará edições com MNV.

Trabalhos TND baseados na informação recebida através do DHCP: Domain Name e servidorDNS. Se o servidor DNS e/ou o Domain Name combinam os valores configurados, a seguir arede está julgada ser confiada.

Se a MNV não é tráfego de encaminhamento ao coletor, a seguir poderia ser uma edição comTND.

Moldes do fluxo

IPFIX fluem moldes são enviados ao coletor no início da comunicação IPFIX. Estes moldesajudam o coletor a fazer o sentido dos dados IPFIX. Se esta informação não é enviada ao coletor,a seguir o coletor não pode recolher os dados IPFIX. Isto causa edições com levantamento dedados.

Tais edições estão consideradas se o coletor está configurado mais tarde, ou se os pacotesprimeiros IPFIX estão deixados cair na rede (VPN excedente comum). A fim abrandar isto, umdos eventos abaixo deve ocorrer:

Há uma mudança no perfil do cliente MNV.1.Há um evento da alteração de rede.2.O serviço nvmagent é reiniciado.3.O ponto final é recarregado/reiniciado.4.

Esta edição pode ser recuperada recarregando o valor-limite, ou reconectando o VPN.

A edição pode ser identificada pela observação de nenhum molde encontrado em uma captura depacote de informação no ponto final, ou pelos nenhuns moldes para o flowset nos logs do coletor.

Captura de pacote de informação

Logs do coletor:

GNU nano 2.2.6 File: acnvm.conf

{

"syslog_server_ip" : "192.0.2.113",

"syslog_flowdata_server_port" : 20519,

"syslog_sysdata_server_port" : 20520,

"netflow_collector_port" : 2055,

"log_level" : 7

}

Versão recomendada

Cisco recomenda sempre a versão de software mais recente de AnyConnect na altura do uso ouda atualização. Ao escolher a versão de AnyConnect, use por favor o cliente 4.2.x ou 4.3.x o maisatrasado. Isto dará os realces os mais atrasados com resepect MNV, soluções do defeito e paraabrandar alterações recentes com Microsoft codifique aplicações de assinatura dos Certificados.Mais detalhes aqui.

Defeitos relacionados

CSCva21660 - Punhos de Anyconnect MNV/escape para o processo acnvmagent.exe*321.

Links relacionados

App da visibilidade da rede de Cisco AnyConnect (MNV) para Splunk:https://splunkbase.splunk.com/app/2992/

1.

Documentação de Splunk na instalação e em instalar do coletor de Splunk scripts do coletor:https://splunkbase.splunk.com/app/2992/#/documentation

2.

Guia do administrador do Cliente de mobilidade Cisco AnyConnect Secure, liberação 4.33.Release Note de AnyConnect 4.34.