Avez-vous un compte?
Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.
Ce document décrit la méthode pour installer et configurer le module de visibilité de réseau de Cisco AnyConnect (NVM) sur un système d'utilisateur utilisant AnyConnect 4.2.x ou plus élevé.
Le Cisco AnyConnect NVM est utilisé comme support pour déployer l'analytics de Sécurité. La NVM autorise des organismes pour voir le point final et le comportement d'utilisateur sur leur réseau, collecte des écoulements des points finaux en fonction et du hors fonction-site avec le contexte supplémentaire comme des utilisateurs, des applications, des périphériques, des emplacements et des destinations.
Ce technote est un exemple de configuration utilisant AnyConnect NVM avec Splunk.
Cisco vous recommande de prendre connaissance des rubriques suivantes :
Permis d'APEX d'AnyConnect
Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :
Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande.
Cisco Anyconnect est un agent unifié qui fournit de plusieurs Services de sécurité pour protéger l'entreprise. Anyconnect est le plus utilisé généralement en tant que client vpn d'entreprise, mais il prend en charge également les modules supplémentaires qui approvisionnent à différents aspects de Sécurité d'entreprise. Les modules supplémentaires activent des fonctionnalités de sécurité comme l'estimation de posture, la sécurité Web, la protection de malware, la visibilité de réseau et plus.
Ce technote est au sujet du module de visibilité de réseau (NVM), qui intègre avec Cisco Anyconnect pour fournir des administrateurs la capacité de surveiller l'utilisation d'application de point final.
Pour plus d'informations sur Cisco Anyconnect, référez-vous :
Guide de l'administrateur de Client à mobilité sécurisé Cisco AnyConnect, version 4.3
IPFIX est un protocole IETF pour définir une norme pour exporter les informations d'ip flow pour différents buts comme la comptabilité/auditer/Sécurité. IPFIX est basé sur le protocole v9 de NetFlow de Cisco, bien que pas directement compatible.
Le vzFlow de Cisco est une spécification de protocole étendue basée sur le protocole IPFIX. IPFIX n'a pas assez d'éléments d'information standard pour prendre en charge tous les paramètres peut être collecté en tant qu'élément du courant alternatif NVM. Le protocole de vzFlow de Cisco étend l'IPFIX standard et définit de nouveaux éléments d'information aussi bien que définit un ensemble standard de modèles IPFIX qui seront utilisés par le courant alternatif NVM pour exporter des données IPFIX.
Pour plus d'informations sur IPFIX, référez-vous à rfc5101, rfc7011, rfc7012, rfc7013, rfc7014, rfc7015.
Un collecteur est un serveur qui reçoit et enregistre des données IPFIX. Il peut alors alimenter ces données à Splunk. Par exemple Lancope.
Cisco fournissent également son collecteur du pays IPFIX.
Splunk est un outil puissant qui collecte et analyse des données diagnostiques pour fournir des informations signicatives sur l'infrastructure IT. Il fournit un emplacement sur un seul point de vente pour que les administrateurs collectent les données qui sont cruciales en comprenant les santés du réseau.
Splunk n'est pas possédé ou est mis à jour par Cisco Systems, toutefois Cisco fournit l'app du Cisco AnyConnect NVM pour Splunk.
Pour plus d'informations sur le cran, visitez s'il vous plaît leur site Web.
Conventions d'adresse IP dans ce technote :
Adresse IP de collecteur : 192.0.2.123
Adresse IP de Splunk : 192.0.2.113
Cette section couvre la configuration des composants de Cisco NVM.
La configuration d'Anyconnect NVM est enregistrée dans un fichier XML qui contient des informations sur l'adresse IP et le numéro de port de collecteur, avec d'autres informations. L'adresse IP et le numéro de port de collecteur doivent être correctement configurés sur le profil de client NVM.
Pour le fonctionnement correct du module NVM, le fichier XML est exigé pour être placé dans ce répertoire :
Si le profil est présent sur Cisco ASA/Identity entretient l'engine (ISE), alors il automatique-est déployé avec le déploiement d'Anyconnect NVM.
Exemple de profil XML :
<?xml version="1.0" encoding="UTF-8"?> -<NVMProfile xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:noNamespaceSchemaLocation="NVMProfile.xsd"> -<CollectorConfiguration> <CollectorIP>192.0.2.123</CollectorIP> <Port>2055</Port> </CollectorConfiguration> <Anonymize>false</Anonymize> <CollectionMode>all</CollectionMode> </NVMProfile>
Le profil NVM peut être créé utilisant deux autres outils :
Cette méthode est préférable si Anyconnect NVM est déployé par l'intermédiaire de Cisco ASA.
1. Naviguez vers la configuration > retirent le VPN d'accès > le réseau (client) Access > profil de client d'Anyconnect
2. Cliquez sur Add
3. Donnez au profil un nom. Dans l'utilisation de profil, service profile choisi de visibilité de réseau
4. Assignez-le à la stratégie de groupe utilisé par des utilisateurs d'Anyconnect. Cliquez sur OK.
5. La nouvelle stratégie est créée. Cliquez sur Edit
6. Remplissez informations concernant l'adresse IP et le numéro de port de collecteur. Cliquez sur OK.
7. Cliquez sur Apply.
C'est un outil autonome disponible sur Cisco.com. Cette méthode est préférable si Anyconnect NVM est déployé par l'intermédiaire de Cisco ISE. Le profil NVM créé utilisant cet outil peut être téléchargé à Cisco ISE, ou être copié directement sur des points finaux.
Pour des informations détaillées sur l'éditeur de profil d'Anyconnect, référez-vous :
L'éditeur de profil d'AnyConnect
Ce technote suppose qu'Anyconnect est déjà configuré sur l'ASA, et seulement la configuration de module NVM doit être ajoutée. Pour des informations détaillées sur la configuration ASA Anyconnect, référez-vous :
Ouvrage 3 ASDM : Guide de configuration de la gamme VPN ASDM de Cisco ASA, 7.5
Afin d'activer le module d'Anyconnect NVM sur Cisco ASA, exécutez ces étapes :
1. Naviguez vers le Configuration > Remote Access VPN > Network (Client) Access > Group Policies
2. La stratégie de groupe appropriée choisie et cliquent sur Edit
3. Dans le popup de stratégie de groupe, naviguez vers avancé > client d'Anyconnect.
4. Développez les modules facultatifs de client pour télécharger et sélectionner la visibilité de réseau d'Anyconnect.
5. Cliquez sur OK et appliquez les modifications.
Ajouter l'image d'Anyconnect
Choisi ajoutez > des ressources en agent, et téléchargez le fichier de package d'Anyconnect.
Confirmez les informations parasites du module dans le popup.
Les file-informations parasites peuvent être vérifiées contre la page de téléchargement de Cisco.com ou outil tiers d'utilisation.
Cette étape peut être répétée pour ajouter de plusieurs images d'Anyconnect. (pour le MacOSX et le système d'exploitation Linux)
Ajouter le profil d'Anyconnect NVM :
Choisi ajoutez > des ressources en agent, et téléchargez le profil de client NVM.
Ajoutez le fichier de configuration d'Anyconnect :
Choisi ajoutez > configuration d'AnyConnect
Choisissez le module téléchargé dans l'étape précédente.
Activez la NVM dans la sélection de module d'AnyConnect avec la stratégie requise.
Dans la section ci-dessus, nous activons des modules de client d'AnyConnect, des profils, des modules de personnalisation/langage, et les modules d'Opswat.
Pour des informations détaillées sur la configuration de Web-déploiement sur Cisco ISE, référez-vous :
La NVM envoie les informations d'écoulement seulement quand elle est sur un réseau de confiance. Il emploie la caractéristique TND du client d'Anyconnect pour apprendre si le point final est dans un réseau de confiance. Le TND emploie les informations DNS/domain pour déterminer si le point final est dans un réseau de confiance. Quand le VPN est connecté, il est considéré dans un réseau de confiance, et les informations d'écoulement sont envoyées au collecteur.
Le TND doit être correctement configuré pour le fonctionnement correct de la NVM. Pour des détails sur la configuration TND, référez-vous :
Configurez la détection de confiance de réseau
Déployer la solution d'Anyconnect NVM implique ces étapes :
1. Configurez Anyconnect NVM sur Cisco ASA/ISE
2. Composant de collecteur de l'installation IPFIX
3. Installation Splunk avec l'app de Cisco NVM
Cette étape a été couverte en détail dans la section de configurer.
Une fois que la NVM est configurée sur Cisco ISE/ASA, elle peut automatique-être déployée vers des points finaux de client.
Le composant de collecteur est responsable de collecter et de traduire toutes les données IPFIX des points finaux et de les expédier à l'app de Splunk. Il y a de divers tiers outils de collecteur disponibles, et Cisco NVM est compatible avec n'importe quel collecteur qui comprend IPFIX. Ce technote utilise l'outil du cru de collecteur de Cisco s'exécutant sur le Linux 64-bit. Des scripts de configuration de CentOS et d'Ubuntu sont inclus dedans avec l'application de splunk. Le CentOS installent des scripts et des fichiers de configuration peuvent également être aussi bien utilisés dans des distributions de Fedora et de Redhat. Le collecteur devrait être exécuté sur un système Linux 64-bit autonome ou une exécution d'expéditeur de Splunk sur le Linux 64-bit.
Afin d'installer le collecteur que vous devrez copier l'application dans le fichier de CiscoNVMCollector_TA.tar, localisé dans le répertoire $APP_DIR$/appserver/addon/sur le système vous prévoyez de l'installer en fonction.
Splunk, pour ce technote, est installé sur le poste Windows sur l'E : pilotez.
Le fichier de CiscoNVMCollector_TA.tar peut se trouvent dans le répertoire suivant :
E:\Program Files\Splunk\etc\apps\CiscoNVM\appserver\addon\
Extrayez le fichier tar sur le système où vous prévoyez d'installer le collecteur et d'exécuter le script d'install.sh avec des privilèges de superutilisateur. Il est recommandé pour lire le fichier $PLATFORM$_README dans le paquet de .tar avant d'exécuter le script d'install.sh. Le fichier $PLATFORM$_README fournit des informations sur les paramètres de configuration appropriés qui doivent être vérifiés et modifiés (s'il y a lieu) avant que le script d'install.sh soit exécuté.
Répertoire de collecteur sur le serveur d'Ubuntu :
root@ubuntu-splunkcollector:~/Downloads/CiscoNVMCollector_TA$ ls acnvmcollector CENTOS_README libboost_log.so.1.57.0 acnvmcollectord install_centos.sh libboost_system.so.1.57.0 acnvm.conf install.sh libboost_thread.so.1.57.0 acnvm.conf~ install_ubuntu.sh UBUNTU_README acnvm.service libboost_filesystem.so.1.57.0 root@ubuntu-splunkcollector:~/Downloads/CiscoNVMCollector_TA$
Le besoin d'informations d'être configuré dans le fichier de configuration (acnvm.conf) :
1. Adresse IP et port en mode écoute d'exemple de Splunk.
2. Port en mode écoute pour le collecteur (données entrantes IPFIX).
Par données d'écoulement mettez en communication, les données d'identité de point final mettent en communication et le port de collecteur sont préconfigurés aux valeurs par défaut dans le fichier de configuration. Assurez-vous que ces valeurs sont changées si des ports de non-par défaut sont utilisés.
Ces informations sont ajoutées dans le fichier de configuration (acnvm.conf) :
GNU nano 2.2.6 File: acnvm.conf { "syslog_server_ip" : "192.0.2.113", "syslog_flowdata_server_port" : 20519, "syslog_sysdata_server_port" : 20520, "netflow_collector_port" : 2055, "log_level" : 7 }
Pour plus d'informations à ce sujet, consultez :
https://splunkbase.splunk.com/app/2992/#/documentation
L'app du Cisco AnyConnect NVM pour Splunk est disponible sur Splunkbase. Cet app aide avec des états prédéfinis et des tableaux de bord à utiliser des données IPFIX (nvzFlow) des points d'extrémité dans des états utilisables, et corrèle le comportement d'utilisateur et de point final.
Lien pour l'app de Cisco NVM sur Splunkbase :
https://splunkbase.splunk.com/app/2992/
Installez :
Naviguez vers Splunk > app et installez le fichier de tar.gz téléchargé du Splunkbase ou de la recherche dans la section d'app.
Par défaut, Splunk reçoit deux flux d'entrée de données pour par des données de données d'écoulement et d'identité de point final, sur les ports UDP 20519 et 20520 respectivement. Le composant de collecteur envoie ces flux sur ces ports par défaut. Les ports par défaut peuvent être changés sur le splunk, mais les mêmes ports doivent également être spécifiés dans la configuration de collecteur (voir l'étape 2)
Afin de changer les ports par défaut, naviguez vers Splunk > configurations > entrée > UDP de données
Après l'installation réussie, le module de visibilité de réseau devrait être répertorié dans des modules installés, en dedans dans la section Informations du client sécurisé de mobilité d'Anyconnect.
En outre, vérifiez si le service NVM s'exécute sur le point final et le profil est dans le répertoire exigé.
Assurez-vous que l'état du collecteur s'exécute. Ceci s'assure que le collecteur reçoit IPFIX/cflow des points finaux à tout moment.
root@ubuntu-splunkcollector:~$ /etc/init.d/acnvmcollectord status * acnvmcollector is running root@ubuntu-splunkcollector:~$
Assurez-vous que Splunk et ses services appropriés s'exécutent. Pour la documentation sur dépanner Splunk, référez-vous s'il vous plaît à leur site Web.
1. Des paquets IPFIX sont générés sur des points finaux de client par le module d'Anyconnect NVM.
2. Les points finaux de client expédient des paquets IPFIX à l'adresse IP de collecteur
3. Le collecteur collecte les informations et en avant elles à Splunk
4. Le collecteur envoie le trafic à Splunk sur deux flots différents : Par données de données d'écoulement et d'identité de point final
Tout le trafic est UDP basé en fonction là n'est aucun accusé de réception du trafic.
Port par défaut pour le trafic :
Données 2055 IPFIX
Par données d'écoulement 20519
Par données d'écoulement 20520
Le module NVM cache des données IPFIX et les envoie au collecteur quand il est dans le réseau de confiance. Ceci peut l'un ou l'autre être quand l'ordinateur portable est connecté au réseau d'entreprise (sur-prem) ou quand il est connecté par l'intermédiaire du VPN.
Le trafic IPFIX comme vu dans Wireshark :
La NVM se fonde sur le TND pour détecter quand le point final est dans le réseau de confiance. Si la configuration TND est incorrecte, ceci entraînera des questions avec la NVM.
Travaux TND basés sur les informations reçues par l'intermédiaire du DHCP : domain-name et serveur DNS. Si le serveur DNS et/ou le domain-name apparient les valeurs configurées, alors le réseau est considéré à sont de confiance.
Si la NVM ne fait pas suivre au trafic le collecteur, alors ce pourrait être une question avec le TND.
IPFIX circulent des modèles sont envoyés au collecteur au début de la transmission IPFIX. Ces modèles aident le collecteur à sembler raisonnable des données IPFIX. Si ces informations ne sont pas envoyées au collecteur, alors le collecteur ne peut pas collecter les données IPFIX. Ceci entraîne des questions avec la collecte des informations.
De telles questions sont vues si le collecteur est configuré plus tard, ou si les paquets premiers IPFIX sont lâchés dans le réseau (VPN fini commun). Afin d'atténuer ceci, un des événements ci-dessous devrait se produire :
Cette question peut être récupérée en redémarrant le point final, ou en rebranchant le VPN.
La question peut être identifiée en n'observant aucun modèle trouvé dans une capture de paquet sur le point final, ou modèle pour le flowset dans le collecteur ne se connecte pas.
Capture de paquet
Logs de collecteur :
Jan 20 12:48:54 csaxena-ubuntu-splunkcollector NVMCollector: no templates for flowset 258 for 10.150.176.167 yet Jan 20 12:48:55 csaxena-ubuntu-splunkcollector NVMCollector: HandleReceivedIPFIX: exporter=10.150.176.167 bytes_recvd=234 totlength=234 Jan 20 12:48:55 csaxena-ubuntu-splunkcollector NVMCollector: =================> flowsetid=258 flowsetlen=218 Jan 20 12:48:55 csaxena-ubuntu-splunkcollector NVMCollector: no templates for flowset 258 for 10.150.176.167 yet
Cisco recommande toujours la dernière version de logiciel d'AnyConnect au moment de l'utilisation ou de la mise à jour. Tout en choisissant la version d'AnyConnect, utilisez s'il vous plaît le plus défunt client 4.2.x ou 4.3.x. Ceci donnera les dernières améliorations avec le resepect NVM, des corrections de défauts et atténuer des changements récents avec Microsoft codez les applications de signature de Certificats. Plus de détails ici.