Installeren en configureren van Secure Endpoint Virtual Private Cloud

Inleiding

In dit document wordt beschreven hoe Virtual Private Cloud (VPC) met succes kan worden geïmplementeerd op servers in een ESXi-omgeving. Ga voor andere documenten, zoals de snelstartgids, implementatiestrategie, rechtengids, console en gebruikershandleiding voor beheerders naar deze site Documentatie

Bijgedragen door Roman Valenta, Cisco TAC Engineers.

Voorwaarden

Vereisten:

VMware ESXi 5 of hoger

• Cloud-proxy-modus (alleen): 128 GB RAM, 8 CPU-cores (2 CPU's met elk 4 cores aanbevolen), minimaal 1 TB vrije schijfruimte op VMware-datastore
• Type schijven: SSD vereist voor air gap-modus en aanbevolen voor proxy
• RAID-type: één RAID 10-groep (gestreepte spiegel)
• Minimale VMware-datastore: 2 TB
• Minimale willekeurige gegevensopslag leest voor de RAID 10-groep (4K): 60K IOPS
• Minimum aantal willekeurige datastore-schrijfbewerkingen voor de RAID 10-groep (4K): 30K IOPS

Cisco raadt je aan om kennis te hebben van dit onderwerp:

• Basiskennis over het werken met certificaten.
• Basiskennis over het instellen van DNS onder DNS-server (Windows of Linux)
• Installatie van een Open Virtual Appliance (OVA)-sjabloon in de VMWare ESXi

Gebruikt in dit lab:

VMware ESX 6.5

• Cloud-proxy-modus (alleen): 48 GB RAM, 8 CPU-cores (2 CPU's met elk 4 cores aanbevolen), 1 TB minimale vrije schijfruimte op VMware-datastore
• Type schijven: SATA
• Type RAID: één RAID 1
• Minimale VMware-datastore: 1 TB
• MobaXterm 20.2 (Multi-Terminal Program vergelijkbaar met PuTTY)
• Cygwin64 (gebruikt om AirGap Update te downloaden)

bijkomend

• Certificaat dat u maakt met openSSL of een andere ondersteunde methode.
• DNS Server (Linux of Windows) In mijn lab gebruikte ik Windows Server 2016 en CentOS-8
• Windows VM voor ons testeindpunt
• Licentie

Als uw geheugen lager is dan 48 GB RAM op versie 3.2+ wordt VPC onbruikbaar.

Opmerking: De Private Cloud OVA maakt de schijfpartities, zodat u deze niet hoeft op te geven in de VMware-server. die de schone hostnaam van de interface oplost. ‌

Raadpleeg het VPC-toestelgegevensblad voor meer informatie over versiespecifieke hardwarevereisten.

Opmerking: de informatie in dit document is gemaakt op basis van de apparaten in een specifieke laboratoriumomgeving en is alleen bedoeld om u een leidraad te geven voor de implementatie, die kan variëren afhankelijk van de versie die wordt geïmplementeerd. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt. ‌

VPC-implementatie

Selecteer de URL die is opgegeven in de e-mail over eDelivery of rechten. Download het OVA-bestand en ga verder met de installatie

VM-installatie

Stap 1:

Navigeer naar Bestand > OVF-sjabloon implementeren om de wizard OVF-sjabloon implementeren te openen, zoals weergegeven in de afbeelding.

Opmerking: Thick Provisioning reserveert ruimte wanneer een schijf wordt gemaakt. Als u deze optie selecteert, kan deze de prestaties ten opzichte van Thin Provisioned verbeteren. Dit is echter niet verplicht. Selecteer nu op Volgende, zoals weergegeven in de afbeelding.

Stap 2:

Selecteer Bladeren ... om een OVA-bestand te selecteren en selecteer vervolgens Volgende. U ziet de standaard OVA-parameters op de pagina OVF Template Details, zoals weergegeven in de afbeelding. selecteer op Volgende.

Initiële beheerinterface instellen

Nadat de VM is opgestart, voert u de eerste configuratie uit via VM Console.

Stap 1:

Het kan zijn dat de URL [UNCONFIGURED] wordt weergegeven als de interface geen IP-adres van de DHCP-server heeft ontvangen. Houd er rekening mee dat deze interface de Management interface is. Dit is niet de productie-interface.

Stap 2:

U kunt navigeren door de toetsen Tab, Enter en Pijl.

Navigeer naar CONFIG_NETWORK en selecteer de Enter-toets op uw toetsenbord om te beginnen met de configuratie van het IP-beheeradres voor de Secure Endpoint Private Cloud. Als u geen DHCP wilt gebruiken, selecteert u Nee en selecteert u Enter-toets.

Kies in het weergegeven venster Ja en selecteer Enter-toets.

Als het IP-adres al in gebruik is, wordt u behandeld met dit foutenlogboek. Ga gewoon terug en kies iets dat uniek is en niet in gebruik is.

Als alles goed gaat, zie je een resultaat dat er zo uitziet

Stap 3:

Wacht tot het blauwe scherm weer verschijnt met uw nieuwe STATIC IP. Let ook op het eenmalige wachtwoord. Neem een notitie en laten we onze browser openen.

Eerste configuratie van de vPC via webinterface

Stap 1:

Open een webbrowser en navigeer naar het IP-beheeradres van het toestel. U kunt een certificaatfout ontvangen omdat de Secure Endpoint Private Cloud in eerste instantie zijn eigen HTTPS-certificaat genereert, zoals weergegeven in de afbeelding. Configureer uw browser om het zelf ondertekende HTTPS-certificaat van Secure Endpoint Private Cloud te vertrouwen.

Typ in uw browser het STATISCHE IP-adres dat u eerder hebt geconfigureerd.

Stap 2:

Nadat u zich hebt aangemeld, moet u het wachtwoord opnieuw instellen. Gebruik het initiële wachtwoord van de console in het veld Oud wachtwoord. Gebruik uw nieuwe wachtwoord in het veld Nieuw wachtwoord. Voer uw nieuwe wachtwoord opnieuw in het veld Nieuw wachtwoord in. Selecteer Wachtwoord wijzigen.

Stap 3:

Nadat u zich hebt aangemeld, moet u het wachtwoord opnieuw instellen. Gebruik het initiële wachtwoord van de console in het veld Oud wachtwoord. Gebruik uw nieuwe wachtwoord in het veld Nieuw wachtwoord. Voer uw nieuwe wachtwoord opnieuw in het veld Nieuw wachtwoord in. Selecteer Wachtwoord wijzigen.

Stap 4:

Blader op de volgende pagina naar beneden om de licentieovereenkomst te accepteren. selecteer op Ik heb gelezen en ga akkoord.

Stap 5:

Nadat u de overeenkomst hebt geaccepteerd, krijgt u het installatiescherm, zoals weergegeven in de afbeelding. Als u vanaf een back-up wilt terugzetten, kunt u dat hier doen, maar deze handleiding gaat verder met de optie Installatie reinigen. Selecteer On Start in het gedeelte Installatie reinigen.

Stap 6:

Het eerste wat je nodig hebt, is een licentie om zelfs verder te gaan. U ontvangt een licentie en een passphrase wanneer u het product koopt. Selecteer op +Licentiebestand uploaden. Kies het licentiebestand en voer de wachtwoordzin in. Selecteer op Uploadlicentie. Als de upload mislukt is, controleer dan of de wachtwoordzin correct is. Als de upload succesvol is, wordt een scherm met geldige licentie-informatie weergegeven. Selecteer op Volgende. Als u uw licentie nog steeds niet kunt installeren, neemt u contact op met Cisco Technical Support.

Stap 7:

U ontvangt de welkomstpagina, zoals te zien is in de afbeelding. Deze pagina toont u de informatie die u moet hebben voordat u de Private Cloud configureert. Lees de vereisten aandachtig door. Selecteer op Volgende om de configuratie vóór de installatie te starten.

Configuratie

Stap 1:

Opmerking: Houd er rekening mee dat we in de volgende sets dia enkele exclusieve dia's opnemen zoals weergegeven in de afbeelding die alleen uniek zijn voor de AIR GAP-modus, die moeten worden ingesloten en gemarkeerd als ALLEEN AIRGAP

 ︾ ︾ LUCHTKLOOF ︾ ALLEEN ︾

Opmerking: deze stappen zijn alleen van toepassing op fysieke apparaten.

︽ ︽ LUCHTKLOOF ︽ ALLEEN ︽

Stap 2:

Navigeer naar de pagina Secure Endpoint Console Account. Een beheerdersgebruiker wordt voor de console gebruikt om beleidsregels, computergroepen en extra gebruikers toe te voegen. Voer de naam, het e-mailadres en het wachtwoord in voor de console-account. Selecteer op Volgende.

Als u bij de implementatie van het OVA-bestand op dit probleem ingaat, hebt u twee keuzes: doorgaan en dit probleem later oplossen of afsluiten om uw geïmplementeerde VM te herstellen en dienovereenkomstig aan te passen. Na het herstarten ga je verder waar je gebleven bent.

Opmerking: dit is opgelost in het OVA-bestand voor versie 3.5.2, dat correct wordt geladen met 128GB RAM en 8 CPU-kernen

Opmerking: gebruik alleen aanbevolen waarden, tenzij dit voor laboratoriumdoeleinden is

Eenmaal herstart gaan we verder waar we zijn gebleven.

Zorg ervoor dat u ook ETH1 met STATIC IP configureert.

Opmerking: u mag uw apparaat nooit configureren om DHCP te gebruiken, tenzij u MAC-adresreserveringen voor de interfaces hebt gemaakt. Als de IP-adressen van uw interfaces veranderen, kan dit ernstige problemen veroorzaken met uw geïmplementeerde Secure Endpoint Connectors. Als u uw DNS-server niet hebt geconfigureerd, kunt u openbare DNS tijdelijk gebruiken om uw installatie te voltooien.

Stap 3:

Stap 4:

Je krijgt de datum en tijd pagina. Voer de adressen in van een of meer NTP-servers die u wilt gebruiken voor datum- en tijdsynchronisatie. U kunt interne of externe NTP-servers gebruiken en er meer dan één opgeven via een lijst met komma's of spaties. Synchroniseer de tijd met uw browser of voer amp-ctl-update uit vanaf de apparaatconsole om een onmiddellijke tijdsynchronisatie met uw NTP-servers af te dwingen. Selecteer op Volgende.

 ︾ ︾ LUCHTKLOOF ︾ ALLEEN ︾

Opmerking: deze stappen zijn alleen van toepassing op fysieke apparaten.

︽ ︽ LUCHTKLOOF ︽ ALLEEN ︽

Stap 5:

U krijgt de pagina Certificaatautoriteiten, zoals weergegeven in de afbeelding. Selecteer bij Certificaatautoriteit toevoegen om het basiscertificaat toe te voegen.

Stap 6:

De volgende stap is het configureren van de Cisco Cloud-pagina, zoals weergegeven in de afbeelding. Selecteer de juiste Cisco Cloud-regio. Vouw View Hostnames uit als u firewalluitzonderingen moet maken voor uw Secure Endpoint Private Cloud-apparaat om te communiceren met de Cisco Cloud voor het opzoeken van bestanden en apparaatupdates. Selecteer op Volgende.

Stap 7:

Navigeer naar de meldingspagina, zoals weergegeven in de afbeelding. Selecteer de frequentie voor kritieke en regelmatige meldingen. Voer de e-mailadressen in waarvoor u waarschuwingen wilt ontvangen voor het Secure Endpoint-apparaat. U kunt e-mailaliassen gebruiken of meerdere adressen opgeven via een lijst met kommagescheiden adressen. U kunt ook de naam van de afzender en het e-mailadres opgeven dat door het apparaat wordt gebruikt. Deze meldingen zijn niet hetzelfde als Secure Endpoint Console-abonnementen. U kunt ook een unieke apparaatnaam opgeven als u meerdere Secure Endpoint Private Cloud-apparaten hebt. Selecteer op Volgende.

Stap 8:

Vervolgens navigeert u naar de pagina SSH-sleutels, zoals weergegeven in de afbeelding. Selecteer SSH-sleutel toevoegen om openbare sleutels in te voeren die u aan het apparaat wilt toevoegen. Met SSH-sleutels kunt u toegang krijgen tot het apparaat via een externe shell met rootbevoegdheden. Alleen vertrouwde gebruikers moeten toegang krijgen. Uw Private Cloud-apparaat heeft een OpenSSH-geformatteerde RSA-sleutel nodig. U kunt later meer SSH-sleutels toevoegen via Configuratie > SSH in uw beheerportaal. Selecteer op Volgende.

Vervolgens krijgt u de sectie Services. Op de volgende pagina's moet u hostnamen toewijzen en de juiste certificaten en sleutelparen voor deze apparaatservices uploaden. In de volgende dia's zien we de configuratie van een van de 6 certificaten.

Diensten

Stap 1:

Tijdens het configuratieproces kunt u deze fouten tegenkomen.

De eerste "fout" die je zou kunnen opmerken wordt gemarkeerd met de 3 pijlen. Om dit te omzeilen, schakelt u gewoon "Uitschakelen Strict TLS Check" uit

Let op: op VPC 3.8.2 en hoger is TLS Web Server-verificatie nu vereist voor de acceptatie van het certificaat. Het servicecertificaat kan niet langer dan 398 dagen geldig zijn.

Zonder strenge TLS-controle

Stap 2:

De volgende fout die u krijgt is als u "DNS-naam valideren" laat aangevinkt. Hier heb je twee keuzes.

#1: Schakel het selectievakje DNS valideren uit 

#2: Ga terug naar uw DNS-server en configureer de rest van uw hostrecords. 

Herhaal hetzelfde proces nu nog vijf keer voor de rest van de certificaten.

Verificatie

- De authenticatiedienst kan worden gebruikt in toekomstige versies van Private Cloud om gebruikersauthenticatie af te handelen.

Secure Endpoint Console

- Console is de DNS-naam waarbij de beheerder van het beveiligde eindpunt toegang heeft tot de beveiligde eindpuntconsole en beveiligde eindpuntconnectors nieuwe beleidsregels en updates ontvangen.

 dispositieserver

- Disposition Server is de DNS-naam waar de Secure Endpoint Connectors informatie over het opzoeken in de cloud verzenden en ophalen.

Disposition Server - Uitgebreid protocol

- Disposition Server - Extended Protocol is de DNS-naam waar nieuwere Secure Endpoint Connectors informatie over het opzoeken in de cloud verzenden en ophalen.

service voor het bijwerken van vervreemding

- Disposition Update Service wordt gebruikt wanneer u een Cisco Threat Grid-apparaat koppelt aan uw Private Cloud-apparaat. Het Threat Grid-toestel wordt gebruikt om bestanden te verzenden voor analyse vanaf de Secure Endpoint Console en de Disposition Update Service wordt gebruikt door Threat Grid om de verwijdering (schoon of kwaadaardig) van bestanden bij te werken nadat ze zijn geanalyseerd.

Firepower Management Center

-Met Firepower Management Center Link kunt u een Cisco Firepower Management Center (FMC)-apparaat koppelen aan uw Private Cloud-apparaat. Hiermee kunt u Secure Endpoint-gegevens weergeven in uw FMC-dashboard. Zie uw FMC-documentatie voor meer informatie over FMC-integratie met Secure Endpoint.

Let op: hostnamen kunnen niet worden gewijzigd nadat het apparaat is geïnstalleerd.

Noteer de vereiste hostnamen. U moet zes unieke DNS A-records maken voor de Secure Endpoint Private Cloud. Elke record verwijst naar hetzelfde IP-adres van de Virtual Private Cloud Console-interface (eth1) en moet worden opgelost door zowel de Private Cloud als het Secure Endpoint.

Stap 3:

Op de volgende pagina downloaden en vervolgens controleren Herstelbestand.

U krijgt de herstelpagina, zoals weergegeven in de afbeelding. U moet een back-up van uw configuratie downloaden en verifiëren voordat u de installatie start. Het herstelbestand bevat alle configuratie- en serversleutels. Als u een herstelbestand verliest, kunt u de configuratie niet herstellen en moeten alle Secure Endpoint-connectors opnieuw worden geïnstalleerd. Zonder een originele sleutel moet u de volledige private cloud-infrastructuur opnieuw configureren met nieuwe sleutels. Het herstelbestand bevat alle configuraties met betrekking tot het opadmin-portaal. Het back-upbestand bevat de inhoud van het herstelbestand en alle dashboardportaalgegevens zoals gebeurtenissen, connectorgeschiedenis enzovoort. Als u alleen de opadmin wilt herstellen zonder de gebeurtenisgegevens en alles, kunt u het herstelbestand gebruiken. Als u terugzet vanuit het back-upbestand, worden de portaalgegevens van de opadmin en het dashboard teruggezet.

Selecteer Downloaden om de back-up op te slaan op uw lokale computer. Nadat het bestand is gedownload, selecteert u Bestand kiezen om het back-upbestand te uploaden en te controleren of het niet corrupt is. Selecteer op Volgende om het bestand te verifiëren en ga verder.

 ︾ ︾ LUCHTKLOOF ︾ ALLEEN ︾

Opmerking: deze stappen zijn alleen van toepassing op fysieke apparaten.

 ︽ ︽ LUCHTKLOOF ︽ ALLEEN ︽

Je ziet een soortgelijke input als deze...

Let op: wanneer u op deze pagina bent, moet u deze niet vernieuwen, omdat dit problemen kan veroorzaken.

Zodra de installatie is voltooid, drukt u op de reboot-knop

︾ ︾ LUCHTKLOOF ︾ ALLEEN ︾

Opmerking: deze stappen zijn alleen van toepassing op fysieke apparaten.

︽ ︽ LUCHTKLOOF ︽ ALLEEN ︽

Opmerking: deze stappen zijn alleen van toepassing op fysieke apparaten.

Zodra het toestel volledig is opgestart, krijgt u de volgende keer dat u inlogt met uw beheerdersinterface dit dashboard te zien.  Je merkt misschien een hoge CPU aan het begin, maar als je een paar minuten geeft, wordt het rustig.

Na een paar minuten...

Vanaf hier navigeer je naar de Secure Endpoint-console. Klik op het kleine icoontje dat eruit ziet als vuur in de rechterhoek naast de vlag.

 ︾ ︾ LUCHTKLOOF ︾ ALLEEN ︾

Opmerking: deze stappen zijn alleen van toepassing op fysieke apparaten.

Zoals u kunt zien, hebben we de gezondheidscontrole mislukt vanwege DB Protect Snapshot, ook clientdefinities, DFC en Tetra. Dit moet worden gedaan door offline update via gedownload ISO-bestand dat eerder is voorbereid via amp-sync en geüpload naar NFS-locatie.

AirGap-update

Voor de eerste keer moeten we deze opdracht gebruiken om de Protect DB te ontvangen

./amp-sync all

Opmerking: Download alle pakketten via deze opdracht en controleer of het lang kan duren. Dit is afhankelijk van de snelheid en de kwaliteit van de verbinding. In mijn geval met 1Gig fiber duurt het nog steeds bijna 25 uur om te voltooien. Deels komt dit ook door het feit dat deze download rechtstreeks van AWS komt en dus wordt ingeperkt.  Let er wel op dat deze download vrij groot is. In mijn geval was het gedownloade bestand 323GB. ‌

In dit voorbeeld gebruiken we CygWin64

1. Download en installeer de x64-versie van Cygwin.
2. Voer setup-x86_64.exe uit en doorloop het installatieproces en kies alle standaardinstellingen.
3. Kies een downloadspiegel.
4. Selecteer pakketten om te installeren:
Alles -> Net -> krul
Alle -> Utils -> genisoimage
Alle -> Hulpmiddelen -> xmlstarlet
* VPC 3.8.x omhoog - > corriso

Opmerking: In de nieuwste update VPC 3.8.x met CygWin64 als uw belangrijkste downloadtool kunt u dit probleem tegenkomen dat hieronder wordt beschreven.

Release notes Pagina #58. Zoals u kunt zien is "corriso" nu vereist. We hebben het formaat van de ISO gewijzigd in de ISO 9660 en die afhankelijkheid is wat het beeld converteert naar het juiste formaat, zodat de update kan worden voltooid. Helaas biedt CygWin64 geen corriso in een van hun ingebouwde repositories. Voor degenen die CygWin64 nog steeds willen gebruiken, is er echter een manier om dit probleem te verhelpen.

Om CygWin opnieuw te kunnen gebruiken, moet u Xorriso handmatig downloaden van de GitHub-repository. Open uw browser en typ <Nieuwste xorriso.exe 1.5.2 pre-build voor Windows> het moet komen als eerste link met de naam <PeyTy/xorriso-exe-for-windows – GitHub> navigeer naar die GitHub-pagina en download <xorriso-exe-for-windows-master.zip> bestand in het zip-bestand dat u vindt tussen enkele andere bestanden met de naam <xorriso.exe> kopieer en plak dit bestand in <CygWin64\bin> pad van uw lokale CygWin installatie. Probeer het nogmaals <amp-sync> commando uit te voeren. U zou niet langer het foutbericht moeten zien en het begin en einde van het downloaden zoals getoond in de afbeelding.

Maak een back-up van de huidige 3.2.0 VPC (in dit geval) in Airgap-modus.

U kunt dit opdrachtformulier gebruiken CLI

rpm -qa | grep Pri

Of u kunt ook navigeren naar Bewerkingen > Back-ups, zoals wordt weergegeven in de afbeelding en daar Back-up uitvoeren.

Breng de nieuwste ISO gegenereerd met amp-synchronisatie naar de VPC. Dit kan ook enkele uren duren op basis van uw snelheid. In dit geval duurde de overdracht meer dan 16 uur

/data/tmp

Nadat het uploaden is voltooid, monteert u de ISO

mount /data/tmp/PrivateCloud-3.2.0-Updates-2021-11-03-prod.iso /data/updates/

Navigeer naar de interface voor het beheer van de update Operations > Update Device > Selecteer Update ISO controleren.

In dit voorbeeld ga ik eerst verder met Inhoud bijwerken

Selecteer vervolgens Gegevensbeveiliging importeren.

 
Zoals je kunt zien is dit een ander zeer langdurig proces dat veel tijd in beslag kan nemen om te voltooien.

Probleem #1 - Uitgeputte ruimte in Data Store

Hier kunt u twee onderwerpen bekijken. Aangezien vPC vóór 3.5.2 niet de mogelijkheid heeft om externe NFS-opslag te koppelen, moet u het ISO-updatebestand uploaden naar de directory /data/temp. In mijn geval, omdat mijn datastore slechts 1 TB was, rende ik de kamer uit en crashte de VM. Met andere woorden, u hebt minimaal 2 TB aan ruimte in uw gegevensopslag nodig om AirGap VPC met succes te implementeren die onder versie 3.5.2 staat

Deze afbeelding hieronder is van de ESXi-server die de fout toont dat er geen beschikbare ruimte meer is op de vaste schijf wanneer u probeert de VM op te starten. Ik kon herstellen van deze fout door de 128 GB RAM tijdelijk te switches naar 64 GB. Daarna kon ik opnieuw opstarten. Houd er ook rekening mee dat als u deze VM als thin client aanbiedt, het nadeel van de thin client-implementatie is dat de schijfgrootte kan groeien, maar niet zou krimpen, zelfs als u wat ruimte vrijmaakt. Met andere woorden, laten we zeggen dat je je 300GB-bestand hebt geüpload naar de directory van de vPC en vervolgens hebt verwijderd. De schijf in ESXi toont nog steeds 300GB minder ruimte op uw harde schijf

Probleem #2 - Oude update

Het 2^e probleem is als je de software-update eerst uitvoert zoals ik deed in mijn 2^e proef en vanaf 3.2.0 eindig ik met VPC om te upgraden naar 3.5.2 en daarom moest ik een gloednieuw ISO-updatebestand downloaden omdat de 3.2.0 ongeldig werd vanwege een feit dat ik niet langer op de originele 3.2.0-versie zat.

Dit is de fout die u ziet als u het ISO-updatebestand opnieuw probeert te koppelen.

Deze afbeelding toont een alternatieve manier om een update-image aan uw VPC te koppelen. In versie 3.5.x kunt u externe locaties zoals NFS-opslag gebruiken om het updatebestand met uw VPC te delen.

Sanity Check Failing is gerelateerd aan Protect DB dat momenteel niet beschikbaar is op de VPC

Volgende update start automatisch

Na dit zeer langdurige proces van de import Protect DB Database kunt u de clientdefinitie en software verplaatsen en bijwerken, wat ongeveer 3 uur extra kan duren.

 
En tot slot, houd er rekening mee dat dit proces erg lang zal duren.

Voor VPC-apparaten bezoekt u deze TZ, die andere methoden bevat voor het bijwerken van HW-apparaten, het koppelen van ISO-bestanden en het opstarten vanaf USB.

https://www.cisco.com/c/en/us/support/docs/security/amp-virtual-private-cloud-appliance/217134-upgrade-procedure-for-airgapped-amp-priv.html#anc5

 ︽ ︽ LUCHTKLOOF ︽ ALLEEN ︽

Basisprobleemoplossing

Probleem #1 - FQDN- en DNS-server

Het eerste probleem dat u kunt tegenkomen, is als uw DNS-server niet is ingesteld en alle FQDN niet goed is vastgelegd en opgelost. Het probleem kan er als volgt uitzien wanneer u probeert te navigeren naar de Secure Endpoint-console via het pictogram "Fire" van Secure Endpoint.  Als u alleen het IP-adres gebruikt, werkt het, maar kunt u de connector niet downloaden. Zoals je kunt zien op de ^derde foto hieronder.

Als u het HOSTS-bestand op uw lokale systeem wijzigt, zoals weergegeven in de afbeelding, lost u het probleem op en krijgt u fouten.

U ontvangt deze fout terwijl u het installatieprogramma voor de Secure Endpoint-connector probeert te downloaden.

Na wat problemen oplossen, was de enige juiste oplossing om DNS-server in te stellen.

DNS Resolution Console: nslookup vPC-Console.cyberworld.local (Returned 1, start 2021-03-02 15:43:00 +0000, finish 2021-03-02 15:43:00 +0000, duration 0.047382799

================================================================================

Server:         8.8.8.x
Address:        8.8.8.x#53

** server can't find vPC-Console.cyberworld.local: NXDOMAIN

Zodra u alle FQDN's in uw DNS-server opneemt en het record in Virtual Private Cloud wijzigt van openbare DNS naar uw DNS-server, begint alles te werken zoals het zou moeten.

Op dit punt kunt u inloggen en de connector downloaden

U krijgt de eerste Secure Endpoint-beleidswizard voor uw omgeving. Het leidt u door de selectie van antivirusproducten die u gebruikt, indien aanwezig, evenals proxy en de soorten beleid die u wilt implementeren. Selecteer de juiste instelling... knop is afhankelijk van het besturingssysteem van de connector.

U krijgt de pagina Bestaande beveiligingsproducten, zoals weergegeven in de afbeelding. Kies de beveiligingsproducten die u gebruikt. Het genereert automatisch toepasselijke uitsluitingen om prestatieproblemen op uw eindpunten te voorkomen. Selecteer op Volgende.

Download de connector.

Probleem #2 - Probleem met Root CA

Het volgende probleem dat u kunt tegenkomen, is als u uw eigen interne certificaten gebruikt, dat na de eerste installatie de connector kan worden weergegeven als losgekoppeld.

Zodra u de connector installeert, kan Secure Endpoint worden gezien als Disconnected. Voer diagnostische bundel uit en kijk door de logs, u kunt het probleem bepalen.

Op basis van deze uitvoer verzameld uit diagnostische bundel kunt u de Root CA-fout zien

(804765, +0 ms) Mar 06 00:47:07 [8876]: [http_client.c@1011]: GET request https://vPC-Console.cyberworld.local/health failed (60): SSL peer certificate or SSH remote key was not OK (SSL certificate problem: unable to get local issuer certificate)

(804765, +0 ms) Mar 06 00:47:07 [8876]: [http_client.c@1051]: async request failed (SSL peer certificate or SSH remote key was not OK) to https://vPC-Console.cyberworld.local/health

(804765, +0 ms) Mar 06 00:47:07 [8876]: [http_client.c@1074]: response failed with code 60 

Nadat u de Root CA hebt geüpload naar de vertrouwde Root CA-winkel en de Secure Endpoint-service opnieuw hebt gestart. Alles begint te werken zoals verwacht.

Zodra we de Secure Endpoint-serviceconnector hebben gestuiterd, worden we online zoals verwacht.

Geteste kwaadaardige activiteit