Installer et configurer AnyConnect NVM 4.7.x ou version ultérieure et les composants Splunk Enterprise associés pour CESA

Introduction

Ce document décrit comment installer et configurer le module de visibilité réseau Cisco AnyConnect (NVM) sur un système utilisateur final à l'aide d'AnyConnect 4.7.x ou version ultérieure, ainsi que comment installer et configurer les composants Splunk Enterprise associés et le collecteur NVM.

• Pour une présentation complète du PDV de CESA avec Splunk, veuillez consulter cs.co/cesa-pov
• Pour obtenir un guide sur le tableau de bord CESA NVM sur Splunk http://cs.co/cesa-guide
• Pour plus d'informations sur la solution, consultez le site www.cisco.com/go/cesa.

Les composants de la solution sont les suivants :

• Client de mobilité sécurisée Cisco AnyConnect avec NVM activé
• Application NVM (Network Visibility Module) Cisco AnyConnect pour Splunk
• Complément de technologie Cisco NVM pour Splunk
• Collecteur NVM (intégré dans un fichier zip avec le module complémentaire NVM TA)

Conditions préalables

Conditions requises

Cisco vous recommande de prendre connaissance des rubriques suivantes :

• AnyConnect 4.7.x ou version ultérieure avec NVM 

• Licence AnyConnect

• ASDM 7.5.1 ou supérieur
• Connaissance de Splunk Enterprise et installation des applications et modules complémentaires Splunk
  
  

Components Used

Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

  

• Client Cisco AnyConnect Security Mobility 4.7.x ou version ultérieure
• Éditeur de profil Cisco AnyConnect
• Appareil de sécurité adaptatif Cisco (ASA), version 9.5.2
• Cisco Adaptive Security Device Manager (ASDM), version 7.5.1
• Splunk Enterprise 7.x ou version ultérieure (installé en tant que tout-en-un sur n'importe quel Linux pris en charge, CentOS préféré)
• Toute installation Linux prise en charge en tant que périphérique collecteur (le collecteur peut également s'exécuter sur le même serveur, consultez cs.co/cesa-pov pour plus d'informations)

Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.

Présentation du déploiement 

Il s'agit d'une présentation générale du déploiement sous sa forme la plus simple. Il s'agit d'une configuration tout-en-un exécutée sur Linux 64 bits. 

Cette configuration correspond à la configuration de la plupart des démonstrations et est également utile dans un déploiement de production de petite taille.

Il s'agit d'un ensemble plus complet d'options disponibles pour le déploiement. En règle générale, une configuration de production est distribuée et comporte plusieurs noeuds Splunk Enterprise.

Informations générales

Le module Cisco AnyConnect Network Visibility fournit un flux continu de données télémétriques de haut niveau sur les terminaux. NVM permet aux entreprises de voir le comportement des terminaux et des utilisateurs sur leur réseau, collecte les flux des terminaux sur site et hors site, ainsi que les contextes importants tels que les utilisateurs, les applications, les périphériques, les emplacements et les destinations. Splunk Enterprise consomme les données de télémétrie et fournit les fonctionnalités d'analyse et les rapports.

Cette technote est un exemple de configuration pour AnyConnect NVM avec Splunk Enterprise dans le cadre de la nouvelle solution CESA.

Client Cisco Anyconnect Secure Mobility - Plus que VPN

Cisco Anyconnect est un agent unifié qui fournit plusieurs services de sécurité pour protéger l'entreprise. AnyConnect est généralement utilisé comme client VPN d’entreprise, mais il prend également en charge des modules supplémentaires qui répondent à différents aspects de la sécurité d’entreprise. Les modules supplémentaires permettent d'activer des fonctions de sécurité telles que l'évaluation de la position, la sécurité Web, la protection contre les programmes malveillants, la visibilité du réseau, etc.

Cette technote traite du module NVM (Network Visibility Module), qui s'intègre à Cisco Anyconnect pour permettre aux administrateurs de surveiller l'utilisation des applications des terminaux.

Pour plus d'informations sur Cisco Anyconnect, reportez-vous au Guide d'administration du client Cisco AnyConnect Secure Mobility, version 4.7

IPFIX (Internet Protocol Flow Information Export)

IPFIX est un protocole IETF permettant de définir une norme pour l'exportation d'informations de flux IP à diverses fins, telles que la comptabilité/l'audit/la sécurité. IPFIX est basé sur le protocole Cisco NetFlow v9, mais n'est pas directement compatible.  Cisco nvzFlow est une spécification de protocole basée sur le protocole IPFIX. Par conception, IPFIX est un protocole extensible permettant de définir de nouveaux paramètres pour transmettre des informations. Le protocole Cisco nvzFlow étend la norme IPFIX et définit de nouveaux éléments d'information, ainsi qu'un ensemble standard de modèles IPFIX transmis dans le cadre de la télémétrie utilisée par AnyConnect NVM.

Pour plus d'informations sur IPFIX, référez-vous à rfc5101, rfc7011, rfc7012, rfc7013, rfc7014, rfc7015.

Collecteur NVM IPFIX

Pour plus d'informations sur le site http://cs.co/nvm-collector

• Un collecteur est un serveur qui reçoit et stocke les données IPFIX. Il peut ensuite transmettre ces données à Splunk.
• Cisco fournit un collecteur spécifiquement conçu pour le protocole nvzFlow et fourni avec l'application Splunk (NVM TA Add-on).
• Le collecteur peut être installé sur le même boîtier (tout-en-un) que le serveur Splunk. Sur le transitaire lourd. Ou sur une boîte Linux autonome.

Splunk Enterprise

Splunk Enterprise est un outil puissant qui collecte et analyse des données de diagnostic pour fournir des informations significatives sur l'infrastructure informatique. Il fournit un point d'accès unique permettant aux administrateurs de collecter des données essentielles pour comprendre l'état du réseau.

Splunk est un partenaire de Cisco et la solution CESA a été créée en collaboration avec eux.

Topologie

Conventions d'adresse IP dans cette technote : 

Adresse IP du collecteur : Commutateurs 192.0.2.123

Adresse IP du segment :    Commutateurs 192.0.2.113

Configuration

Cette section traite de la configuration des composants NVM Cisco.

Pour une présentation du déploiement d'Anyconnect NVM et du profil de configuration, reportez-vous également à Comment implémenter le module de visibilité réseau AnyConnect

Prise en charge DTLS

NVM peut désormais être configuré pour envoyer des données de manière sécurisée au collecteur, via DTLS. Ce mode est configurable dans l'Éditeur de profil NVM. Lorsque la case 'Secure' est cochée, NVM doit utiliser DTLS comme transport. Pour que la connexion DTLS passe, le certificat du serveur DTLS (collecteur) doit être approuvé par le point de terminaison. Les certificats non approuvés sont rejetés en silence. DTLS 1.2 est la version minimale prise en charge. Le collecteur faisant partie de CESA Splunk App v3.1.2+ est requis pour la prise en charge DTLS. Le collecteur ne fonctionne que dans un mode, sécurisé ou non sécurisé.

Exigences de certificat

• Le certificat du collecteur doit être approuvé par le client (il faut s'assurer que la chaîne de certificats est fiable), il n'y a aucune configuration sur Anyconnect.
• Le certificat doit être au format PEM. 
• Ne prend pas en charge le mot de passe de clé de certificat (Cisco ISE Internal CA en requiert un)
• Tout certificat peut être utilisé sur le collecteur tant que la machine cliente Anyconnect lui fait confiance (PKI interne, bien connu, etc.). 
• Une fois le fichier de configuration mis à jour, vous devrez redémarrer le service NVM anyconnect (pour les tests sur un seul client). Pour les profils poussés d'ISE/ASA, vous devrez vous déconnecter/reconnecter au réseau.
• La configuration du collecteur de profils NVM AC doit être IP ou FQDN. Cela dépend de ce qui est utilisé dans le CN du certificat. Le nom de domaine complet (FQDN) est toujours préféré en cas de modification d’adresse IP. Si vous utilisez une adresse IP, le certificat de collecteur CN ou SAN doit avoir cette adresse IP. Si vous avez un nom de domaine complet (FQDN) en tant que nom de domaine principal (CN) dans le certificat, le profil NVM doit avoir le même nom de domaine complet (FQDN) qu'un collecteur.

Anyconnect config (4.9.3043 et versions ultérieures) - voir Collector info

Le profil NVM comporte une nouvelle case à cocher sous IP/port du collecteur appelé Secure.

Module NVM Anyconnect autonome

Cela nécessite Anyconnect 4.8.01090 ou version ultérieure - Guide d'administration Anyconnect pour NVM

Consultez également le guide autonome Comment implémenter le module de visibilité réseau AnyConnect

Pour ceux qui n'ont pas de déploiement AnyConnect ou qui utilisent une autre solution VPN, vous pouvez installer le package autonome NVM pour vos besoins NVM. Ce package fonctionne indépendamment, mais fournit le même niveau de collecte de flux à partir d'un terminal que la solution NVM AnyConnect existante. Si vous installez la NVM autonome, les processus actifs (tels que le Moniteur d'activité sur macOS) indiquent l'utilisation.

La NVM autonome est configurée avecLa configuration NVM Profile Editor et Trusted Network Detection (TND) est obligatoire. À l'aide de la configuration TND, NVM détermine si le point de terminaison se trouve sur le réseau de l'entreprise, puis applique les stratégies appropriées.

Le dépannage et la journalisation sont toujours effectués par AnyConnect DART, qui peut être installé à partir du package AnyConnect.

Avant l'installation autonome, vous deviez avoir installé le module Core VPN pour tirer parti de la détection de réseau fiable, ce qui a également amené l'utilisateur à voir la vignette principale du VPN dans l'interface utilisateur, ce qui peut embrouiller les utilisateurs finaux, en particulier s'ils utilisent une solution VPN d'un autre fournisseur.

Lors de l'utilisation autonome, vous n'utilisez pas le profil VPN principal pour configurer TND.  Le profil NVM peut maintenant être configuré directement pour TND.

Profil du client NVM Anyconnect

La configuration d'Anyconnect NVM est enregistrée dans un fichier XML qui contient des informations sur l'adresse IP et le numéro de port du collecteur, ainsi que d'autres informations. L'adresse IP du collecteur et un numéro de port doivent être correctement configurés sur le profil client NVM.

Pour que le module NVM fonctionne correctement, le fichier XML doit être placé dans ce répertoire :

• Pour Windows 7 et versions ultérieures : %ALLUSERSPROFILE%\Cisco\Cisco AnyConnect Secure Mobility Client\NVM
• Pour Mac OS X : /opt/cisco/anyconnect/nvm

Si le profil est présent sur Cisco ASA/Identity Services Engine (ISE), il est automatiquement déployé avec le déploiement d'Anyconnect NVM.

Exemple de profil XML :

<?xml version="1.0" encoding="UTF-8"?>
-<NVMProfile xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:noNamespaceSchemaLocation="NVMProfile.xsd">
-<CollectorConfiguration>
<CollectorIP>192.0.2.123</CollectorIP>
<Port>2055</Port>
</CollectorConfiguration>
<Anonymize>false</Anonymize>
<CollectionMode>all</CollectionMode>
</NVMProfile>

Vous pouvez créer un profil NVM à l'aide des outils suivants :

• ASDM Cisco
• Éditeur de profil Anyconnect
• Plateforme de services d’identité

Configurer le profil du client NVM via ASDM

Cette méthode est préférable si Anyconnect NVM est déployé via Cisco ASA.

   

1. Accédez à Configuration > Remove Access VPN > Network (Client) Access > Anyconnect Client Profile.

2. Cliquez sur Ajouter, comme l'illustre l'image.

   

3. Donnez un nom au profil. Dans Utilisation du profil, sélectionnez Profil du service de visibilité sur le réseau.

4. Affectez-le à la stratégie de groupe utilisée par les utilisateurs d'Anyconnect et cliquez sur OK, comme illustré dans l'image.

   

 5. La nouvelle stratégie est créée, cliquez sur Modifier, comme indiqué dans l'image.

6. Entrez les informations relatives à l'adresse IP et au numéro de port du collecteur, puis cliquez sur OK.

7. Cliquez maintenant sur Apply, comme le montre l'image.

    

Configurer le profil du client NVM via Anyconnect Profile Editor

https://www.cisco.com/c/en/us/td/docs/security/vpn_client/anyconnect/anyconnect49/administration/guide/b_AnyConnect_Administrator_Guide_4-9/anyconnect-profile-editor.html#ID-1430-00000061

Il s'agit d'un outil autonome disponible sur Cisco.com. Cette méthode est préférable si Anyconnect NVM est déployé via Cisco ISE. Le profil NVM créé à l'aide de cet outil peut être téléchargé vers Cisco ISE ou copié directement vers les terminaux.

Pour obtenir des informations détaillées sur Anyconnect Profile Editor, reportez-vous à la section :

Éditeur de profil AnyConnect

Configurer le déploiement Web sur Cisco ASA

Cette technote suppose qu'Anyconnect est déjà configuré sur l'ASA et que seule la configuration du module NVM doit être ajoutée. Pour obtenir des informations détaillées sur la configuration d'ASA Anyconnect, reportez-vous à :

Manuel ASDM 3 : Guide de configuration ASDM VPN de la gamme Cisco ASA, 7.5

Afin d'activer le module Anyconnect NVM sur Cisco ASA, procédez comme suit :

1. Accédez à Configuration > Remote Access VPN > Network (Client) Access > Group Policies.

2. Sélectionnez la stratégie de groupe appropriée et cliquez sur Modifier, comme indiqué dans l'image.

3. Dans la fenêtre contextuelle de stratégie de groupe, accédez à Advanced > Anyconnect Client.

4. Développez Modules clients facultatifs pour télécharger et sélectionnez Anyconnect Network Visibility.

5. Cliquez sur OK et appliquez les modifications.

Configurer le déploiement Web sur Cisco ISE

Afin de configurer Cisco ISE pour Anyconnect Web-Deployment, procédez comme suit :

1. Dans l'interface utilisateur graphique de Cisco ISE, accédez à Policy > Policy Elements > Results.
2. Développez Approvisionnement du client pour afficher Ressources, et sélectionnez Ressources.

Ajouter une image Anyconnect :

Étape 1. Sélectionnez Add > Agent Resources et téléchargez le fichier de package Anyconnect.

Étape 2. Confirmez le hachage du package dans la fenêtre contextuelle.

Le hachage de fichier peut être vérifié sur la page de téléchargement de Cisco.com ou à l'aide d'un outil tiers.

Cette étape peut être répétée pour ajouter plusieurs images Anyconnect. (pour Mac OSX et Linux OS)

Ajouter un profil Anyconnect NVM :

Étape 1. Sélectionnez Add > Agent Resources et téléchargez le profil client NVM.

Ajouter un fichier de configuration Anyconnect :

   

Étape 1. Cliquez sur Ajouter et choisissez Configuration AnyConnect

Sélectionnez le package téléchargé à l'étape précédente.

Étape 2. Activez NVM dans la sélection du module AnyConnect avec la stratégie requise.

Dans cette section, nous activons les modules AnyConnect Client, les profils, les packages de personnalisation/langue et les packages Opswat.

Pour obtenir des informations détaillées sur la configuration du déploiement Web sur Cisco ISE, reportez-vous à :

Déploiement Web d'AnyConnect

Détection de réseau fiable

AnyConnect NVM envoie des informations de flux uniquement lorsqu'il se trouve sur un réseau de confiance. Il utilise la fonction TND du client AnyConnect pour savoir si le point de terminaison se trouve dans un réseau de confiance ou non. 

La détection de réseau fiable est configurée dans le profil de client AnyConnect (XML) utilisé pour VPN, que le composant VPN soit utilisé ou non dans l'environnement.  TND est activé en configurant la section Automatic VPN Policy du profil.  Au minimum, un seul domaine DNS approuvé ou un seul serveur DNS approuvé doit être renseigné.  Les actions entreprises par AnyConnect lorsque le client a déterminé qu'il se trouve sur un réseau de confiance peuvent être définies en mode DoNothing à l'aide de la liste déroulante pour la stratégie de réseau de confiance et non fiable.

Pour plus d'informations sur la configuration TND, reportez-vous à :

Configurer la détection de réseau fiable

Déployer

Déployer la solution Anyconnect NVM implique les étapes suivantes :

1. Configurez Anyconnect NVM sur Cisco ASA/ISE.

2. Configurez le composant de collecteur IPFIX (NVM Collector on Linux - Packaged in the TA Add-On).

3. Configurez Splunk avec l'application Cisco NVM et le module complémentaire TA.

Étape 1. Configurez Anyconnect NVM sur Cisco ASA/ISE.

Cette étape a été traitée en détail dans la section Configurer.

Une fois la NVM configurée sur Cisco ISE/ASA, elle peut être déployée automatiquement sur les terminaux clients.

Étape 2. Configurez le composant de collecteur IPFIX (Anyconnect NVM Collector).

Le composant Collecteur est responsable de la collecte et de la traduction de toutes les données IPFIX des points d'extrémité et de leur transmission au module complémentaire Splunk. Le collecteur NVM fonctionne sur Linux 64 bits. Les scripts de configuration CentOS, Ubuntu et Docker sont inclus. Les scripts d'installation et les fichiers de configuration de CentOS peuvent également être utilisés dans les distributions Fedora et Redhat.

Dans un déploiement Splunk Enterprise distribué type, le collecteur doit être exécuté sur un système Linux 64 bits autonome ou sur un noeud Splunk Forwarder fonctionnant sur Linux 64 bits. Il peut également être installé sur un serveur autonome sans composants de liaison.

Remarque: La solution peut également être exécutée sur un seul système Linux 64 bits qui inclut le collecteur NVM et les composants Splunk Enterprise pour une utilisation dans un petit déploiement ou à des fins de démonstration. Le tout-en-un est le plus facile pour un maximum de 10 000 terminaux : voir les informations de dimensionnement du PDV CESA,

Comment installer le collecteur ?

1. Copiez le fichier .zipfile acnvmcollector, situé dans le répertoire /opt/splunk/etc/apps/$APP_DIR$/appserver/addon/ (inclus avec le module complémentaire TA) sur le système sur lequel vous prévoyez de l'installer.
2. Extraire les fichiers (unzip acnvmcollector.zip)

Il est recommandé de lire le fichier $PLATFORM$_README dans le bundle .zip avant d'exécuter le script install.sh. Le fichier $PLATFORM$_README fournit des informations sur les paramètres de configuration pertinents qui doivent être vérifiés et modifiés (si nécessaire) avant l'exécution du script install.sh. Au minimum, vous devez configurer l'adresse de l'instance Splunk vers laquelle vous transférez les données. Si le système n'est pas correctement configuré, le collecteur peut fonctionner de manière incorrecte.

Remarque: Assurez-vous que les pare-feu réseau et hôte sont correctement configurés pour autoriser le trafic UDP pour les adresses et les ports source et de destination. Le trafic IPFIX (cflow) entrant des clients anyconnect vers le collecteur et les données UDP sortantes vers Splunk (ici).

Une seule instance de collecteur NVM peut gérer au moins 5 000 flux par seconde sur un système de taille correcte. Ou jusqu'à 35 à 40 000 terminaux. Le collecteur doit être configuré et en cours d'exécution avant que les NVM Splunk et TA-Add sur l'application puissent être utilisés.

Par défaut, le collecteur reçoit des flux des points de terminaison NVM AnyConnect sur le port UDP 2055.

En outre, le collecteur produit trois flux de données pour Splunk, Per Flow Data, Endpoint Identity Data et Endpoint Interface Data, sur les ports UDP 20519, 20520 et 20521 respectivement.

Les ports de réception et de flux de données peuvent être modifiés en modifiant le fichier acnvm.conf et en redémarrant l'instance du collecteur. Assurez-vous que tous les pare-feu hôte/réseau entre les points d’extrémité et le collecteur ou entre le collecteur et le ou les systèmes de liaison d’agrégat sont ouverts pour les ports et adresses UDP configurés. Vérifiez également que votre configuration NVM AnyConnect correspond à celle de votre collecteur. 

Une fois tous les composants installés et exécutés, reportez-vous à la section Fichiers d'aide de l'application Splunk pour obtenir des informations détaillées sur les rapports préconfigurés, le modèle de données et les éléments d'information créés par la solution.

Vous pouvez redémarrer l'un de vos terminaux AnyConnect et vérifier que les données sont envoyées à la solution. Exécutez un flux continu de données à l'aide de youtube.

Les informations doivent être configurées dans le fichier de configuration - acnvm.conf

• syslog_server_ip (instance de transfert ou de liaison) peut pointer vers 127.0.0.1 (n'utilisez pas LOCALHOST) s'il se trouve dans la même zone
• Le port d'écoute par défaut du collecteur (données IPFIX entrantes) est correct.

REMARQUE: netflow_collector_ip est omis du fichier de configuration (il utilise l'interface publique par défaut), il ne doit être modifié que pour être remplacé par une adresse IP locale spécifique 

Les paramètres par port de données de flux, par port de données d'identité de point de terminaison, par interface de point de terminaison et par port de collecteur sont préconfigurés dans le fichier de configuration. Assurez-vous que ces valeurs sont modifiées si des ports autres que les ports par défaut sont utilisés.

Ces informations sont ajoutées dans le fichier de configuration - /opt/acnvm.conf

Prise en charge DTLS

(pour plus d'informations, reportez-vous à Anyconnect NVM DTLS Information)

Ceci est fait sur la boîte qui héberge le collecteur.

• Faites répertoire /opt/acnvm/certs.
• Afin d'appliquer le certificat au collecteur, enregistrez-le avec la clé dans le répertoire /opt/acnvm/certs
• remplacez le propriétaire et le groupe du dossier par acnvm:acnvm à l'aide de la commande suivante : sudo chown -R acnvm:acnvm certs/:
• Cette section ci-dessous pour acnvm.conf doit être configurée avec le certificat et la clé
• Après avoir placé la configuration et le certificat, redémarrez le collecteur - sudo systemctl restart acnvm.service
• Vérifier l'état du collecteur - sudo systemctl status acnvm.service

{
"security" :{
   "dtls_enabled": true,
   "server_certificate":"/opt/acnvm/certs/public.cer",
   "server_pkey":"/opt/acnvm/certs/private.key"
   },

Voici le reste de la configuration.

"syslog_server_ip" : "192.0.2.113",
"syslog_flowdata_server_port" : 20519,
"syslog_sysdata_server_port" : 20520,
"syslog_intdata_server_port" : 20521,
"netflow_collector_port" : 2055,
}

3. exécuter le script install.sh avec des privilèges de superutilisateur (sudo ./install.sh)

Remarque: Le compte a besoin d'autorisations sudo ou root pour exécuter install.sh et d'autorisations pour le compte de service acnvm.

Pour plus d'informations, consultez le site https://splunkbase.splunk.com/app/2992/#/details

Étape 3. Configurez Splunk avec l'application NVM Cisco (tableau de bord CESA) et le module complémentaire TA pour Splunk.

L'application Cisco AnyConnect NVM pour Splunk est disponible sur Splunkbase. Cette application aide les rapports et tableaux de bord prédéfinis à utiliser les données IPFIX (nvzFlow) des points de terminaison dans des rapports utilisables et met en corrélation le comportement des utilisateurs et des points de terminaison.

Remarque: Pour les déploiements cloud, les deux applications sont installées dans l'instance cloud. Seul l'adaptateur de terminal est installé sur site (avec le redirecteur). Le collecteur est installé sur site avec le redirecteur ou dans une boîte linux/docker séparée.

Sur site, vous pouvez installer tous les composants et toutes les applications sur un seul boîtier (ou séparément), voir les diagrammes

Téléchargez ces fichiers :

• Application Cisco NVM pour Splunk sur Splunkbase : https://splunkbase.splunk.com/app/2992/
• Module complémentaire Cisco NVM pour Splunk sur Splunkbase : https://splunkbase.splunk.com/app/4221/

Installer

Étape 1. Naviguez jusqu'à Splunk > Apps, cliquez sur l'équipement et installez le fichier tar.gz téléchargé à partir de Splunkbase ou recherchez dans la section Apps.

Étape 2. Ensuite, vous devez installer le module complémentaire suivant le même processus. Confirmez que les deux sont installés en affichant la page Applications Splunk :

La configuration par défaut reçoit trois flux de données pour Splunk, Per Flow Data, Endpoint Identity Data et Endpoint Interface Data, sur les ports UDP 20519, 20520 et 20521 respectivement. (voir Étape 2)

Le module complémentaire les mappe ensuite aux types source Splunk. cisco:nvm:flowdata, cisco:nvm:sysdata et cisco:nvm:ifdata.

Activer les entrées UDP à l'aide de l'interface Splunk Management

Remarque: Vous pouvez également le faire à l'aide d'un fichier input.conf, comme expliqué dans l'interface utilisateur de l'application Cisco NVM Dashboard dans le menu déroulant de l'aide

Vous n'avez pas besoin de redémarrer le logiciel Splunk.

Accédez à Splunk > Settings > Data Input > UDP, comme illustré dans l'image.

1. Cliquez sur Nouveau UDP local > Entrez le numéro de port manquant > Cliquez sur Suivant > Sélectionnez le type de source correspondant >Cliquez sur Vérifier > Cliquez sur Envoyer

2. Répétez l'opération pour les 2 autres ports (essayez d'utiliser le clone)

Vérification

Valider l'installation d'Anyconnect NVM

Une fois l'installation terminée, le module de visibilité réseau doit être répertorié dans Modules installés, dans la section Informations du client Anyconnect Secure Mobility.

Vérifiez également si le service nvm est exécuté sur le point de terminaison et si le profil se trouve dans le répertoire requis.

Valider l'état du collecteur comme étant en cours d'exécution

Vérifiez que l'état du collecteur est en cours d'exécution. Cela garantit que le collecteur reçoit IPFIX/cflow des points d'extrémité en tout temps. S'il n'est pas en cours d'exécution, assurez-vous que les autorisations de compte acnvm pour le fichier le permettent : /opt/acnvm/bin/acnvmcollector

root@ubuntu-splunkcollector:~$ /etc/init.d/acnvmcollectord status
 * acnvmcollector is running
root@ubuntu-splunkcollector:~$ 

Valider Splunk : tableau de bord Anyconnect NVM CESA 

Assurez-vous que Splunk et ses services appropriés sont en cours d'exécution. Pour obtenir de la documentation sur le dépannage de Splunk, reportez-vous à leur site Web.

Les tableaux de bord de CESA ne seront pas mis à jour avant 5 minutes après réception des données initiales en raison d'un script d'automatisation. Exécutez une recherche manuelle pour valider immédiatement :

Dans le tableau de bord principal, cliquez sur « Rechercher et créer des rapports ». Dans l'écran suivant, définissez la plage correcte afin de remplir les données de désir puis où il est dit « entrer recherche ici... ». saisissez « sourcetype=« cisco:nvm:flowdata »

Cochez la case Tableau de bord de la liaison pour vous assurer d'accéder à Splunk, de cliquer sur Cisco NVM Dashboard, de cliquer sur Activité du périphérique par volume et nombre de flux si vous voulez conserver les paramètres actuels, puis de cliquer sur Soumettre. Il affiche les données dans les graphiques.

Flux des paquets

1. Les paquets IPFIX sont générés sur les terminaux clients par le module Anyconnect NVM.

2. Les points d'extrémité clients transmettent les paquets IPFIX à l'adresse IP du collecteur.

3. Le collecteur collecte les informations et les transmet à Splunk.

4. Le collecteur envoie le trafic à Splunk sur trois flux différents : Données par flux, données de point de terminaison et données d'interface.

Tout le trafic est UDP en fonction de l'absence d'accusé de réception du trafic.

Port par défaut pour le trafic :

Données IPFIX 2055

Données par flux 20519

Données du point de terminaison 20520

Données d'interface 20521

Le module NVM met en cache les données IPFIX et les envoie à un collecteur lorsqu'il se trouve sur un réseau de confiance. Cela peut être le cas lorsque l'ordinateur portable est connecté au réseau de l'entreprise (sur site) ou lorsqu'il est connecté via un VPN.

Vous pouvez valider que le collecteur reçoit des paquets du module NVM en exécutant une capture de paquets sur des ports UDP spécifiques, conformément à votre configuration pour vérifier si les paquets sont reçus. Cela se ferait via le système Splunk linux OS.

Modèles de flux

Les modèles de flux IPFIX sont envoyés au collecteur au début de la communication IPFIX. Ces modèles aident le collecteur à comprendre les données IPFIX.

Le collecteur précharge également les modèles pour s'assurer que même si le client ne les a pas envoyés, les données peuvent être analysées. Si une version plus récente du client est publiée avec les modifications de protocole, les nouveaux modèles envoyés par le client seront utilisés.

Un modèle est envoyé dans les conditions suivantes :

1. Le profil du client NVM est modifié.
2. Il y a un événement de modification du réseau.
3. Le service d'investissement est redémarré.
4. Le point de terminaison est redémarré/redémarré.
5. Périodiquement (valeur par défaut = 24 heures) comme configuré dans le profil NVM.

Dans de rares cas, un modèle est introuvable.  Vous pouvez y remédier facilement en redémarrant l'un des terminaux.

Le problème peut être identifié en observant aucun modèle trouvé dans une capture de paquets sur le point de terminaison ou aucun modèle pour le jeu de flux dans les journaux du collecteur.

Dépannage

Voici les étapes de base du dépannage :

1. Assurez la connectivité réseau entre le point d'extrémité client et le collecteur.
2. Garantir la connectivité réseau entre le collecteur et la liaison.
3. Assurez-vous que NVM est correctement installé sur le point d'extrémité client.
4. Appliquez des captures sur le point de terminaison pour voir si le trafic IPFIX est généré.
5. Appliquez des captures sur un collecteur pour voir s'il reçoit le trafic IPFIX et s'il transfère le trafic vers Splunk.
6. Appliquez les captures sur Splunk pour voir s'il reçoit du trafic.
7. Pour DTLS
   • les clients anyconnect font confiance au certificat du collecteur
   • Le profil NVM est sécurisé
   • le collecteur est configuré pour les certs
     
     

Trafic IPFIX tel qu'il apparaît dans Wireshark :

Remarque: Si vous exécutez DTLS entre le client et le collecteur, vous devez filtrer le trafic DTLS

Anyconnect Client (module NVM)

Anyconnect NVM - Not Reporting to the Collector - Les paquets de données CFLOW ne quittent pas le point de terminaison tje 

Le fichier de base de données NVM est-il en croissance sous C:\%ProgramData%\Cisco\Cisco Anyconnect Secure Mobility Client ? Si elle continue à croître, cela signifie que les journaux ne sont pas envoyés par le client.Si vous regardez sous le dossier NVM vous pouvez voir la base de données sql augmenter, le fichier nvm.db n'est pas documenté, mais nous parlons beaucoup de la façon dont nous mettons en cache et des contrôles autour de la mise en cache dans le guide NVM. si vous voyez cela, il n'envoie pas les données au collecteur. 

Détection de réseau fiable (TND)

Lancez l'interface utilisateur Anyconnect et assurez-vous qu'elle se trouve sur un réseau de confiance. NVM s'appuie sur TND pour détecter quand le point d'extrémité se trouve dans un réseau de confiance. Si la configuration TND est incorrecte, cela entraînera des problèmes avec NVM. NVM possède sa propre configuration TND, qui fonctionne sur l'empreinte du certificat TLS du serveur configuré. Ceci peut être configuré dans l'Éditeur de profil NVM.

Si NVM TND n'est pas configuré, NVM dépend de la configuration TND du module VPN. Le TND du VPN fonctionne en fonction des informations reçues via DHCP : nom de domaine et serveur DNS. Si le serveur DNS et/ou le nom de domaine correspondent aux valeurs configurées, le réseau est considéré comme fiable. VPN prend également en charge la détection TND basée sur les certificats TLS.

• Assurez-vous que la configuration Trusted Network Detection est correcte. NVM exporte uniquement lorsqu'il se trouve sur un réseau approuvé, c.-à-d. configuration TND non valide (ex : si vous avez 3 serveurs DNS, vous devez en définir 3).
• Supprimer le domaine approuvé de la configuration VPN TND

• Problèmes réseau :
  • Transmission tunnel partagée (l'adresse IP du collecteur ne fait pas partie du tunnel partagé approuvé, de sorte que les données sont envoyées à l'interface publique). Assurez-vous d'inclure toujours l'adresse IP du collecteur dans la configuration d'inclusion partagée pour VPN.
• Assurez-vous que CollectionMode est configuré pour la collecte sur le réseau actuel (approuvé/non approuvé).
• Vérifiez que VPN.xml et NVM_ServiceProfile.xml se trouvent dans les dossiers corrects et redémarrez
• Démarrer tous les services anyconnect
• Faites rebondir le réseau connecté à l’intérieur qui a une connexion au serveur DNS.

Capture de paquets :

Outils de diagnostic et de rapport Anyconnect (DART)

Afin de dépanner ce qu'Anyconnect fait exécuter DART sur les composants NVM.

• Tous les journaux requis pour NVM sont gérés par DART, il collecte les fichiers journaux, la configuration, etc.
• Journaux Windows : les événements ne se trouvent pas à un seul endroit, il existe une feuille distincte dans l'afficheur d'événements pour NVM sous AnyConnect.
• macOS/linux - journaux de filtre par nvmagent

Collecteur (sur machine Linux/Docker - tout-en-un ou autonome)

acnvmcollector ne démarre pas :

C'était un problème sur Ubuntu (mais possible pour tous linux). J'ai remarqué que le code n'a pas pu s'exécuter sur le fichier acnvmcollector : /opt/acnvm/bin/acnvmcollector.

L'utilisateur et le groupe acvnm n'ont pas eXecute pour le collecteur acnvmcollector

Journaux du collecteur

Comment puis-je obtenir des versions du collecteur ?

Où puis-je définir le débogage ?

Vous pouvez définir le niveau de journalisation dans le fichier ACMNVMLOG.conf - Partie de la configuration envoyée au démarrage du collecteur. Après une modification, redémarrez le collecteur.

log4cplus.rootLogger=DEBUG, STDOUT, NvmFileAppender < dans le fichier ACNVMLOG.conf

Jan 20 12:48:54 csaxena-ubuntu-splunkcollector NVMCollector: no templates
for flowset 258 for 10.150.176.167 yet
Jan 20 12:48:55 csaxena-ubuntu-splunkcollector NVMCollector:
HandleReceivedIPFIX: exporter=10.150.176.167 bytes_recvd=234 totlength=234
Jan 20 12:48:55 csaxena-ubuntu-splunkcollector NVMCollector:
=================> flowsetid=258 flowsetlen=218
Jan 20 12:48:55 csaxena-ubuntu-splunkcollector NVMCollector: no templates
for flowset 258 for 10.150.176.167 yet

Problèmes DTLS :

• DTLS non configuré (signifie que le fichier acnvm.conf n'a pas été vu)
• La clé de serveur n'est pas valide (il s'agissait d'une combinaison de clés de mot de passe qui n'est pas prise en charge)
  
  

La console de liaison (tableau de bord NVM) n'affiche pas les données

Client Anyconnect

• Générer des données à l'aide de youtube et peut-être accéder à quelques sites Web
• Le client anyconnect peut-il envoyer des informations via UDP 2055 au serveur de collecte (y a-t-il des pare-feu entre les deux ?)
  • essayez telnet de l’ordinateur client à l’ordinateur collecteur
• Exécutez Wireshark pour vous assurer que le client envoie des données de trafic (2055 cflow) au collecteur

Boîte de réception

• Valider son trafic NVM anyconnect de réception
  • Effectuez un tcpdump (et assurez-vous que vous voyez les paquets du client au serveur sur 25001 à 2055)
    • Sudo tcpdump -I any -c100 -nn host 10.1.110.7 (100 premiers paquets provenant de l'adresse IP de l'hôte client s'affichent)
    • Comment utiliser le protocole TCPDUMP sur les concentrateurs
• Assurez-vous que le collecteur NVM anyconnect est en cours d'exécution (voir les informations ci-dessus à l'aide de systemctl)
• Assurez-vous de vérifier acnvm.conf pour la mise en forme, les guillemets manquants, les virgules, etc.

• Interface utilisateur Splunk - TA - Les entrées de données UDP et les souretypes sont-ils configurés sur l'interface graphique Splunk ou via input.conf
  
  • Redémarrer le fractionnement sous l'interface utilisateur > paramètres > contrôles serveur

Questions courantes (FAQ)

Comment puis-je envoyer des données depuis n'importe quelle connexion NVM vers plusieurs destinations ?

Il est utilisé pour une haute disponibilité ou pour envoyer à Splunk et Stealthwatch.

Pour plus d'informations, consultez http://cs.co/cesa-pov

Où stockez-vous le certificat pour Anyconnect NVM DTLS ?

Ceci serait pour les tests de laboratoire où aucun certificat connu n'est installé sur le collecteur.

• Fenêtres

Installer le certificat du collecteur dans les certificats de confiance Windows

• Mac OSX

Pour installer le certificat racine, le processus est standard et bien défini pour macOS qui est via keychain, nous pouvons utiliser l'outil Keychain pour importer et ajouter comme approuvé.

• Linux - différent pour chaque distro (Ubuntu et RHEL).  

ÉTAPES D'IMPORTATION DE CA racine RHEL :
1) Copier le certificat ca dans /etc/pki/ca-trust/source/anchards
2) sudo update-ca-trust enable
3) Enfin, sudo update-ca-trust extrait

ÉTAPES D'IMPORTATION DE CA racine Ubuntu : 

1) Convertir le fichier .cer en fichier .crt
openssl x509 -informer PEM -dans RootCA.cer -out rootCa.crt
2) Copier le fichier .crt dans /usr/local/share/ca-certificate
3) Exécutez la commande sudo update-ca-certificate

Noms de fichiers XML

Lors de l'utilisation de l'éditeur de profil local. Le nom du profil XML du module VPN principal n'a pas d'importance. “ Enregistrer le profil sous NVM_ServiceProfile.xml. Vous devez enregistrer le profil avec ce nom exact, sinon NVM ne collecte et n'envoie pas de données. ”

Collecteur (NVM anyconnect)

https://splunkbase.splunk.com/app/2992/#/details

• Le répertoire fournisseur peut-il être créé sous root, puis la propriété fournie à un autre compte ?

  Vous pouvez créer /opt/acnvm d'abord tant que le script d'installation est autorisé à y copier des fichiers

• Autorisations de fichiers - install.sh a besoin d'autorisations pour s'exécuter en tant que racine
• comptes de service :
  • Pourquoi useradd -r, et pourquoi -s /bin/false parce que c'est un compte non interactif sans répertoire personnel
  • Il n'est pas nécessaire qu'un répertoire personnel et sa pratique habituelle pour que le compte de service ne dispose pas d'un répertoire propre
  • Tous les utilisateurs ont uid/guid, qu'ils aient ou non un répertoire personnel.
• Collector OS : exécute CentOS, Ubuntu, Redhat peut utiliser le script CentOS.
• Script d'installation - peut être modifié si nécessaire.
  • Doit être exécuté en tant que root ou avec le droit SUDO car il crée un nouvel utilisateur appelé acnvm et place tout dans le répertoire /opt/acnvm.
  • Note générale : Vous pouvez également créer votre propre script pour faire ce que vous devez faire conformément à vos besoins. Ce script peut utiliser un autre utilisateur que vous avez déjà exécuté sur le système, mais cet utilisateur doit disposer de droits SUDO pour exécuter l'installation.
• Pour rechercher la version du collecteur exécutée avec l'indicateur -v
  • ./opt/acnvm/bin/acnvmcollector -v

Version recommandée

Cisco recommande toujours la dernière version logicielle d’AnyConnect au moment de son utilisation ou de sa mise à jour. Lorsque vous choisissez la version AnyConnect, utilisez le client 4.9.x le plus récent ou une version ultérieure. Ceci apporte les dernières améliorations par rapport à NVM.

Nouvelles fonctionnalités d'AnyConnect 4.9.00086

Il s'agit d'une version majeure qui inclut les fonctionnalités suivantes et prend en charge les mises à jour, et qui résout les défauts décrits dans AnyConnect 4.9.00086

• Extension NVM pour enrichir les données de flux et de points de terminaison, y compris le nouveau collecteur NVM, coordonné avec l'application Splunk 3.x et un horodatage pour les informations de flux

Informations connexes

• Cisco Endpoint Security Analytics on Splunk (Guide de démarrage rapide)
• Application Cisco AnyConnect Network Visibility (NVM) pour Splunk
• Documentation Splunk sur l'installation du collecteur Splunk et l'installation des scripts du collecteur
• Guide d'administration du client Cisco AnyConnect Secure Mobility
• Notes de version d'AnyConnect 4.x