Installez et configurez le module de visibilité de réseau de Cisco par AnyConnect 4.2.x et Splunk

Introduction

Ce document décrit la méthode pour installer et configurer le module de visibilité de réseau de Cisco AnyConnect (NVM) sur un système d'utilisateur utilisant AnyConnect 4.2.x ou plus élevé.

Le Cisco AnyConnect NVM est utilisé comme support pour déployer l'analytics de Sécurité. La NVM autorise des organismes pour voir le point final et le comportement d'utilisateur sur leur réseau, collecte des écoulements des points finaux en fonction et du hors fonction-site avec le contexte supplémentaire comme des utilisateurs, des applications, des périphériques, des emplacements et des destinations.  

Ce technote est un exemple de configuration utilisant AnyConnect NVM avec Splunk.

Conditions préalables

Conditions requises

Cisco vous recommande de prendre connaissance des rubriques suivantes :

  

• AnyConnect 4.2.01022 ou plus élevé avec la NVM

• Permis d'APEX d'AnyConnect

• ASDM 7.5.1 ou plus élevé

Composants utilisés

Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

  

• Client 4.2 de mobilité de Sécurité de Cisco AnyConnect ou plus tard
• Éditeur de profil de Cisco AnyConnect
• Appliance de sécurité adaptable Cisco (ASA), version 9.5.2
• Cisco Adaptive Security Device Manager (ASDM), version 7.5.1
• Entreprise 6.3 de Splunk
• Ubuntu 14.04.3 LTS comme périphérique de collecteur

Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande.

Informations générales

Client à mobilité sécurisé Cisco AnyConnect

Cisco Anyconnect est un agent unifié qui fournit de plusieurs Services de sécurité pour protéger l'entreprise. Anyconnect est le plus utilisé généralement en tant que client vpn d'entreprise, mais il prend en charge également les modules supplémentaires qui approvisionnent à différents aspects de Sécurité d'entreprise. Les modules supplémentaires activent des fonctionnalités de sécurité comme l'estimation de posture, la sécurité Web, la protection de malware, la visibilité de réseau et plus.

Ce technote est au sujet du module de visibilité de réseau (NVM), qui intègre avec Cisco Anyconnect pour fournir des administrateurs la capacité de surveiller l'utilisation d'application de point final.

Pour plus d'informations sur Cisco Anyconnect, référez-vous :

Guide de l'administrateur de Client à mobilité sécurisé Cisco AnyConnect, version 4.3

Exportation de l'information d'écoulement d'Internet Protocol (IPFIX)

IPFIX est un protocole IETF pour définir une norme pour exporter les informations d'ip flow pour différents buts comme la comptabilité/auditer/Sécurité. IPFIX est basé sur le protocole v9 de NetFlow de Cisco, bien que pas directement compatible.

Le vzFlow de Cisco est une spécification de protocole étendue basée sur le protocole IPFIX. Doesn IPFIX ? t ont assez d'éléments d'information standard pour prendre en charge tous les paramètres peut être collecté en tant qu'élément du courant alternatif NVM. Le protocole de vzFlow de Cisco étend l'IPFIX standard et définit de nouveaux éléments d'information aussi bien que définit un ensemble standard de modèles IPFIX qui seront utilisés par le courant alternatif NVM pour exporter des données IPFIX.

Pour plus d'informations sur IPFIX, référez-vous à rfc5101, rfc7011, rfc7012, rfc7013, rfc7014, rfc7015.

Collecteur IPFIX

Un collecteur est un serveur qui reçoit et enregistre des données IPFIX. Il peut alors alimenter ces données à Splunk. Par exemple Lancope.

Cisco fournissent également son collecteur du pays IPFIX.

Splunk

Splunk est un outil puissant qui collecte et analyse des données diagnostiques pour fournir des informations signicatives sur l'infrastructure IT. Il fournit un emplacement sur un seul point de vente pour que les administrateurs collectent les données qui sont cruciales en comprenant les santés du réseau.

Splunk n'est pas possédé ou est mis à jour par Cisco Systems, toutefois Cisco fournit l'app du Cisco AnyConnect NVM pour Splunk.

Pour plus d'informations sur le cran, visitez s'il vous plaît leur site Web.

Topologie

Conventions d'adresse IP dans ce technote : 

Adresse IP de collecteur : 192.0.2.123

Adresse IP de Splunk :    192.0.2.113

Configurez

Cette section couvre la configuration des composants de Cisco NVM.

Profil de client d'Anyconnect NVM

La configuration d'Anyconnect NVM est enregistrée dans un fichier XML qui contient des informations sur l'adresse IP et le numéro de port de collecteur, avec d'autres informations. L'adresse IP et le numéro de port de collecteur doivent être correctement configurés sur le profil de client NVM.

Pour le fonctionnement correct du module NVM, le fichier XML est exigé pour être placé dans ce répertoire :

• Pour le Windows 7 et plus tard : %ALLUSERSPROFILE% \ Cisco \ Client à mobilité sécurisé Cisco AnyConnect \ NVM
• Pour le MacOSX : /opt/cisco/anyconnect/nvm

Si le profil est présent sur Cisco ASA/Identity entretient l'engine (ISE), alors il automatique-est déployé avec le déploiement d'Anyconnect NVM.

Exemple de profil XML :

<?xml version="1.0" encoding="UTF-8"?>-<NVMProfile xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:noNamespaceSchemaLocation="NVMProfile.xsd">-<CollectorConfiguration><CollectorIP>192.0.2.123</CollectorIP><Port>2055</Port></CollectorConfiguration><Anonymize>false</Anonymize><CollectionMode>all</CollectionMode></NVMProfile>

Le profil NVM peut être créé utilisant deux autres outils :

• Cisco ASDM
• Éditeur de profil d'Anyconnect

Configurez le profil de client NVM par l'intermédiaire de l'ASDM

Cette méthode est préférable si Anyconnect NVM est déployé par l'intermédiaire de Cisco ASA.

   

1. Naviguez vers la configuration > retirent le VPN d'accès > le réseau (client) Access > profil de client d'Anyconnect

2. Cliquez sur Add

   

3. Donnez au profil un nom. Dans l'utilisation de profil, service profile choisi de visibilité de réseau

4. Assignez-le à la stratégie de groupe utilisé par des utilisateurs d'Anyconnect. Cliquez sur OK.

   

 5. La nouvelle stratégie est créée. Cliquez sur Edit

6. Remplissez informations concernant l'adresse IP et le numéro de port de collecteur. Cliquez sur OK.

7. Cliquez sur Apply.

    

Configurez le profil de client NVM par l'intermédiaire de l'éditeur de profil d'Anyconnect

C'est un outil autonome disponible sur Cisco.com. Cette méthode est préférable si Anyconnect NVM est déployé par l'intermédiaire de Cisco ISE. Le profil NVM créé utilisant cet outil peut être téléchargé à Cisco ISE, ou être copié directement sur des points finaux.

Pour des informations détaillées sur l'éditeur de profil d'Anyconnect, référez-vous :

L'éditeur de profil d'AnyConnect

Configurez le Web-déploiement sur Cisco ASA

Ce technote suppose qu'Anyconnect est déjà configuré sur l'ASA, et seulement la configuration de module NVM doit être ajoutée. Pour des informations détaillées sur la configuration ASA Anyconnect, référez-vous :

Ouvrage 3 ASDM : Guide de configuration de la gamme VPN ASDM de Cisco ASA, 7.5

Afin d'activer le module d'Anyconnect NVM sur Cisco ASA, exécutez ces étapes :

1. Naviguez vers le Configuration > Remote Access VPN > Network (Client) Access > Group Policies

2. La stratégie de groupe appropriée choisie et cliquent sur Edit

3. Dans le popup de stratégie de groupe, naviguez vers avancé > client d'Anyconnect.

4. Développez les modules facultatifs de client pour télécharger et sélectionner la visibilité de réseau d'Anyconnect.

5. Cliquez sur OK et appliquez les modifications.

Configurez le Web-déploiement sur Cisco ISE

• Afin de configurer Cisco ISE pour le Web-déploiement d'Anyconnect, exécutez ces étapes :
• Dans le GUI de Cisco ISE, naviguez vers la stratégie > les éléments > les résultats de stratégie
• Développez le ravitaillement de client aux shows resources, et sélectionnez les ressources

Ajouter l'image d'Anyconnect

Choisi ajoutez > des ressources en agent, et téléchargez le fichier de package d'Anyconnect.

Confirmez les informations parasites du module dans le popup.

Les file-informations parasites peuvent être vérifiées contre la page de téléchargement de Cisco.com ou outil tiers d'utilisation.

Cette étape peut être répétée pour ajouter de plusieurs images d'Anyconnect. (pour le MacOSX et le système d'exploitation Linux)

Ajouter le profil d'Anyconnect NVM : 

    Choisi ajoutez > des ressources en agent, et téléchargez le profil de client NVM.

Ajoutez le fichier de configuration d'Anyconnect :

   

Choisi ajoutez > configuration d'AnyConnect

Choisissez le module téléchargé dans l'étape précédente.

    Activez la NVM dans la sélection de module d'AnyConnect avec la stratégie requise.

Dans la section ci-dessus, nous activons des modules de client d'AnyConnect, des profils, des modules de personnalisation/langage, et les modules d'Opswat.

Pour des informations détaillées sur la configuration de Web-déploiement sur Cisco ISE, référez-vous :

Web-déployer AnyConnect

Détection de confiance de réseau

La NVM envoie les informations d'écoulement seulement quand elle est sur un réseau de confiance. Il emploie la caractéristique TND du client d'Anyconnect pour apprendre si le point final est dans un réseau de confiance. Le TND emploie les informations DNS/domain pour déterminer si le point final est dans un réseau de confiance. Quand le VPN est connecté, il est considéré dans un réseau de confiance, et les informations d'écoulement sont envoyées au collecteur.

Le TND doit être correctement configuré pour le fonctionnement correct de la NVM. Pour des détails sur la configuration TND, référez-vous :

Configurez la détection de confiance de réseau

Déployez-vous

Déployer la solution d'Anyconnect NVM implique ces étapes :

1. Configurez Anyconnect NVM sur Cisco ASA/ISE

2. Composant de collecteur de l'installation IPFIX

3. Installation Splunk avec l'app de Cisco NVM

Étape 1. Configurez Anyconnect NVM sur Cisco ASA/ISE

Cette étape a été couverte en détail dans la section de configurer.

Une fois que la NVM est configurée sur Cisco ISE/ASA, elle peut automatique-être déployée vers des points finaux de client.

Étape 2. Composant de collecteur de l'installation IPFIX

Le composant de collecteur est responsable de collecter et de traduire toutes les données IPFIX des points finaux et de les expédier à l'app de Splunk. Il y a de divers tiers outils de collecteur disponibles, et Cisco NVM est compatible avec n'importe quel collecteur qui comprend IPFIX. Ce technote utilise l'outil du cru de collecteur de Cisco s'exécutant sur le Linux 64-bit. Des scripts de configuration de CentOS et d'Ubuntu sont inclus dedans avec l'application de splunk. Le CentOS installent des scripts et des fichiers de configuration peuvent également être aussi bien utilisés dans des distributions de Fedora et de Redhat. Le collecteur devrait être exécuté sur un système Linux 64-bit autonome ou une exécution d'expéditeur de Splunk sur le Linux 64-bit. 

Afin d'installer le collecteur que vous devrez copier l'application dans le fichier de CiscoNVMCollector_TA.tar, localisé dans le répertoire $APP_DIR$/appserver/addon/sur le système vous prévoyez de l'installer en fonction.

Splunk, pour ce technote, est installé sur le poste Windows sur l'E : pilotez.

Le fichier de CiscoNVMCollector_TA.tar peut se trouvent dans le répertoire suivant :

E:\Program Files\Splunk\etc\apps\CiscoNVM\appserver\addon\

Extrayez le fichier tar sur le système où vous prévoyez d'installer le collecteur et d'exécuter le script d'install.sh avec des privilèges de superutilisateur. Il est recommandé pour lire le fichier $PLATFORM$_README dans le paquet de .tar avant d'exécuter le script d'install.sh. Le fichier $PLATFORM$_README fournit des informations sur les paramètres de configuration appropriés qui doivent être vérifiés et modifiés (s'il y a lieu) avant que le script d'install.sh soit exécuté.

Répertoire de collecteur sur le serveur d'Ubuntu :

root@ubuntu-splunkcollector:~/Downloads/CiscoNVMCollector_TA$ lsacnvmcollector   CENTOS_README                  libboost_log.so.1.57.0acnvmcollectord  install_centos.sh              libboost_system.so.1.57.0acnvm.conf       install.sh                     libboost_thread.so.1.57.0acnvm.conf~      install_ubuntu.sh              UBUNTU_READMEacnvm.service    libboost_filesystem.so.1.57.0root@ubuntu-splunkcollector:~/Downloads/CiscoNVMCollector_TA$ 

Le besoin d'informations d'être configuré dans le fichier de configuration (acnvm.conf) :

1. Adresse IP et port en mode écoute d'exemple de Splunk.

2. Port en mode écoute pour le collecteur (données entrantes IPFIX).

Par données d'écoulement mettez en communication, les données d'identité de point final mettent en communication et le port de collecteur sont préconfigurés aux valeurs par défaut dans le fichier de configuration. Assurez-vous que ces valeurs sont changées si des ports de non-par défaut sont utilisés.

Ces informations sont ajoutées dans le fichier de configuration (acnvm.conf) :

  GNU nano 2.2.6                               File: acnvm.conf                                                                    {"syslog_server_ip" : "192.0.2.113","syslog_flowdata_server_port" : 20519,"syslog_sysdata_server_port" : 20520,"netflow_collector_port" : 2055,"log_level" : 7}

Pour plus d'informations à ce sujet, consultez :

https://splunkbase.splunk.com/app/2992/#/documentation

Étape 3. Installation Splunk avec l'app de Cisco NVM

L'app du Cisco AnyConnect NVM pour Splunk est disponible sur Splunkbase. Cet app aide avec des états prédéfinis et des tableaux de bord à utiliser des données IPFIX (nvzFlow) des points d'extrémité dans des états utilisables, et corrèle le comportement d'utilisateur et de point final.

Lien pour l'app de Cisco NVM sur Splunkbase :

https://splunkbase.splunk.com/app/2992/

Installez :

Naviguez vers Splunk > app et installez le fichier de tar.gz téléchargé du Splunkbase ou de la recherche dans la section d'app.

Par défaut, Splunk reçoit deux flux d'entrée de données pour par des données de données d'écoulement et d'identité de point final, sur les ports UDP 20519 et 20520 respectivement. Le composant de collecteur envoie ces flux sur ces ports par défaut. Les ports par défaut peuvent être changés sur le splunk, mais les mêmes ports doivent également être spécifiés dans la configuration de collecteur (voir l'étape 2)

Afin de changer les ports par défaut, naviguez vers Splunk > configurations > entrée > UDP de données

Vérifiez

Validez l'installation d'Anyconnect NVM

Après l'installation réussie, le module de visibilité de réseau devrait être répertorié dans des modules installés, en dedans dans la section Informations du client sécurisé de mobilité d'Anyconnect.

En outre, vérifiez si le service NVM s'exécute sur le point final et le profil est dans le répertoire exigé.

Validez l'état du collecteur comme exécution

Assurez-vous que l'état du collecteur s'exécute. Ceci s'assure que le collecteur reçoit IPFIX/cflow des points finaux à tout moment.

root@ubuntu-splunkcollector:~$ /etc/init.d/acnvmcollectord status * acnvmcollector is runningroot@ubuntu-splunkcollector:~$ 

Validez Splunk

Assurez-vous que Splunk et ses services appropriés s'exécutent. Pour la documentation sur dépanner Splunk, référez-vous s'il vous plaît à leur site Web.

Dépannez

Flux des paquets

1. Des paquets IPFIX sont générés sur des points finaux de client par le module d'Anyconnect NVM.

2. Les points finaux de client expédient des paquets IPFIX à l'adresse IP de collecteur

3. Le collecteur collecte les informations et en avant elles à Splunk

4. Le collecteur envoie le trafic à Splunk sur deux flots différents : Par données de données d'écoulement et d'identité de point final

Tout le trafic est UDP basé en fonction là n'est aucun accusé de réception du trafic.

Port par défaut pour le trafic :

Données 2055 IPFIX

Par données d'écoulement 20519

Par données d'écoulement 20520

Le module NVM cache des données IPFIX et les envoie au collecteur quand il est dans le réseau de confiance. Ceci peut l'un ou l'autre être quand l'ordinateur portable est connecté au réseau d'entreprise (sur-prem) ou quand il est connecté par l'intermédiaire du VPN.

De base dépannez les étapes

• Assurez la connexion réseau entre le point final de client et le collecteur.
• Assurez la connexion réseau entre le collecteur et le splunk.
• Assurez-vous que la NVM est correctement installée sur le point final de client.
• Appliquez les captures sur le point final pour voir si le trafic IPFIX est généré.
• Appliquez les captures sur le collecteur pour voir s'il reçoit le trafic IPFIX, et s'il fait suivre au trafic Splunk.
• Appliquez les captures sur Splunk pour voir s'il reçoit le trafic.

Le trafic IPFIX comme vu dans Wireshark :

Détection de confiance de réseau (TND)

La NVM se fonde sur le TND pour détecter quand le point final est dans le réseau de confiance. Si la configuration TND est incorrecte, ceci entraînera des questions avec la NVM.

Travaux TND basés sur les informations reçues par l'intermédiaire du DHCP : domain-name et serveur DNS. Si le serveur DNS et/ou le domain-name apparient les valeurs configurées, alors le réseau est considéré à sont de confiance.

Si la NVM ne fait pas suivre au trafic le collecteur, alors ce pourrait être une question avec le TND.

Modèles d'écoulement

IPFIX circulent des modèles sont envoyés au collecteur au début de la transmission IPFIX. Ces modèles aident le collecteur à sembler raisonnable des données IPFIX. Si ces informations ne sont pas envoyées au collecteur, alors le collecteur ne peut pas collecter les données IPFIX. Ceci entraîne des questions avec la collecte des informations.

De telles questions sont vues si le collecteur est configuré plus tard, ou si les paquets premiers IPFIX sont lâchés dans le réseau (VPN fini commun). Afin d'atténuer ceci, un des événements ci-dessous devrait se produire :

1. Il y a un changement du profil de client NVM.
2. Il y a un événement de modification de réseau.
3. Le service nvmagent est redémarré.
4. Le point final est redémarré/redémarré.

Cette question peut être récupérée en redémarrant le point final, ou en rebranchant le VPN.

La question peut être identifiée en n'observant aucun modèle trouvé dans une capture de paquet sur le point final, ou modèle pour le flowset dans le collecteur ne se connecte pas.

Capture de paquet

Logs de collecteur :

Jan 20 12:48:54 csaxena-ubuntu-splunkcollector NVMCollector: no templatesfor flowset 258 for 10.150.176.167 yetJan 20 12:48:55 csaxena-ubuntu-splunkcollector NVMCollector:HandleReceivedIPFIX: exporter=10.150.176.167 bytes_recvd=234 totlength=234Jan 20 12:48:55 csaxena-ubuntu-splunkcollector NVMCollector:=================> flowsetid=258 flowsetlen=218Jan 20 12:48:55 csaxena-ubuntu-splunkcollector NVMCollector: no templatesfor flowset 258 for 10.150.176.167 yet

Version recommandée

Cisco recommande toujours la dernière version de logiciel d'AnyConnect au moment de l'utilisation ou de la mise à jour. Tout en choisissant la version d'AnyConnect, utilisez s'il vous plaît le plus défunt client 4.2.x ou 4.3.x. Ceci donnera les dernières améliorations avec le resepect NVM, des corrections de défauts et atténuer des changements récents avec Microsoft codez les applications de signature de Certificats. Plus de détails ici.

Défauts relatifs

1. CSCva21660 - Traitements d'Anyconnect NVM/fuite pour le processus acnvmagent.exe*32

Liens connexes

1. App de la visibilité de réseau de Cisco AnyConnect (NVM) pour Splunk : https://splunkbase.splunk.com/app/2992/
2. Documentation de Splunk sur l'installation et installer de collecteur de Splunk des scripts de collecteur : https://splunkbase.splunk.com/app/2992/#/documentation
3. Guide de l'administrateur de Client à mobilité sécurisé Cisco AnyConnect, version 4.3
4. Notes de mise à jour d'AnyConnect 4.3