Probleemoplossing met AnyConnect Network Visibility and Module: Telemetrie in beveiligde netwerkanalyses

Downloadopties

  • PDF     (1.2 MB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (1.2 MB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (695.9 KB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:22 juni 2022
Document-id:217925

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

    Inleiding

    In dit document wordt de procedure beschreven om NVM-telemetrie (Network Visibility Module) te implementeren in Secure Network Analytics (SNA).

    Voorwaarden

    • Cisco SNA-kennis
    • Cisco AnyConnect-kennis

    Configuratiehandleidingen

    Vereisten

    • SNA Manager en Flow Collector in versie 7.3.2 of nieuwer
    • Licentie voor SNA Endpoint
    • Cisco AnyConnect met netwerkzichtbaarheidsmodule 4.3 of nieuwer 

    Gebruikte componenten

    • SNA Manager en Flow Collector, versie 7.4.0 en Endpoint Licentie
    • Cisco AnyConnect 4.10.3104 met VPN en netwerkzichtbaarheidsmodule
    • Windows 10 virtuele machine
    • Software voor draadloos shark

    De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

    Probleemoplossing

    SNA-configuratie

    Controleer de licenties

    Zorg ervoor dat de Smart Licensing Virtual-account waarop SNA Manager is geregistreerd, de Endpoint Licenties heeft.

    Controleer de NVM-telemetrie-index

    Om te bevestigen of de SNA Flow Collector NVM-telemetrie van de eindpunten ontvangt en plaatst, gaat u als volgt te werk:

    1. Meld u aan bij de Flow Collector via SSH of console met basisreferenties.

    2. Start de grop 'NVM registreert deze periode:' /lancope/var/sw/today/logs/sw.log opdracht.

    3. bevestig of de Flow Collector NVM records inneemt en deze in de database plaatst.

    ao-fc01-cds:~# grep 'NVM records this period:' /lancope/var/sw/today/logs/sw.log
    04:00:01 I-pro-t: NVM records this period: received 0 at 0 rps, inserted 0 at 0 rps, discarded 0
    04:05:00 I-pro-t: NVM records this period: received 0 at 0 rps, inserted 0 at 0 rps, discarded 0
    04:10:00 I-pro-t: NVM records this period: received 0 at 0 rps, inserted 0 at 0 rps, discarded 0
    04:15:00 I-pro-t: NVM records this period: received 0 at 0 rps, inserted 0 at 0 rps, discarded 0

    Uit deze output blijkt dat de Flow Collector helemaal geen NVM-bestanden heeft ontvangen, maar u moet wel bevestigen of het is ingesteld om te luisteren voor NVM-telemetrie.

    Controleer of de Flow Collector is ingesteld om te luisteren naar NVM-telemetrie

    1. Meld u aan bij de Flow Collector Admin User Interface (UI).

    2. Navigeer naar Ondersteuning > Geavanceerde instellingen.

    3. Zorg ervoor dat de vereiste eigenschappen correct zijn geconfigureerd:

    SNA versie 7.3.2 of 7.4.0

    ================================================================================================================================================================================================================================================================

    • Pak de nvm_netflow_port eigenschap vast en controleer de geconfigureerde waarde. Dit moet overeenkomen met de poort die in het AnyConnect NVM-profiel is geconfigureerd.

    FC_7.3.2_NVM_settings

    Opmerking: Zorg ervoor dat de geconfigureerde poort een niet-gereserveerde poort is en niet 2055, 514 of 8514. Als de ingestelde waarde "0" is, wordt de optie uitgeschakeld.

    N.B.: Als een veld niet wordt weergegeven, scrollen we naar de onderkant van de pagina. Klik op het veld Nieuwe optie toevoegen. Raadpleeg voor meer informatie over geavanceerde instellingen in de Flow Collector het online Help-onderwerp Geavanceerde instellingen.

    SNA versie 7.4.1

    ================================================================================================================================================================================================================================================================

    • Pak de nvm_netflow_port eigenschap vast en controleer de geconfigureerde waarde. Dit moet overeenkomen met de poort die in het AnyConnect NVM-profiel is geconfigureerd.
    • Pak de eigenschap Enable_nvm vast en zorg ervoor dat de waarde is ingesteld op 1, anders wordt de functie uitgeschakeld.

    FC_7.4.0_NVM_settings

    Opmerking: Zorg ervoor dat de geconfigureerde poort een niet-gereserveerde poort is en niet 2055, 514 of 8514.

    N.B.: Als een veld niet wordt weergegeven, scrollen we naar de onderkant van de pagina. Klik op het veld Nieuwe optie toevoegen. Raadpleeg voor meer informatie over geavanceerde instellingen in de Flow Collector het online Help-onderwerp Geavanceerde instellingen.

    4. Controleer, zodra de geavanceerde instellingen op de Flow Collector correct zijn geconfigureerd, of de telemetrie nu wordt opgenomen, met dezelfde procedure als in het gedeelte Controleer NVM Telemetry Ingest.

    5. Als de configuratie van het eindpunt met AnyConnect NVM en de instellingen op de Flow Collector juist zijn, moet het sw.log-bestand het volgende weergeven:

    ao-fc01-cds:~# grep 'NVM records this period:' /lancope/var/sw/today/logs/sw.log
    04:35:00 I-pro-t: NVM records this period: received 78 at 0 rps, inserted 78 at 0 rps, discarded 0
    04:40:00 I-pro-t: NVM records this period: received 66 at 0 rps, inserted 66 at 0 rps, discarded 0
    04:45:00 I-pro-t: NVM records this period: received 91 at 0 rps, inserted 91 at 0 rps, discarded 0
    04:50:00 I-pro-t: NVM records this period: received 80 at 0 rps, inserted 80 at 0 rps, discarded 0

    6. Als de Flow Collector nog steeds geen NVM-gegevens inneemt, controleert u of de verzamelaar de pakketten op de interface ontvangt en in ieder geval of de configuratie van de eindpunten juist is.

    Endpoint configuratie

    U kunt AnyConnect NVM op twee manieren implementeren: a) wmet het AnyConnect-pakket of b)Met het Standalone NVM-pakket (alleen op AnyConnect-desktop).

    De gewenste configuratie is hetzelfde voor beide implementaties, het verschil is aanwezig in de configuratie van Trusted Network Detectie.

    Controleer NVM-profiel

    Zoek het NVM Profile dat door het eindpunt wordt gebruikt en bevestig de Collector Configuration-instellingen.

    NVM-profiel:

    • Windows: %Program Data%\Cisco AnyConnect Secure Mobility Client\NVM
    • Mac: /opt/cisco/anyconnect/nvm

    Opmerking: De naam van het NVM-profiel moet NVM_ServiceProfile zijn, anders worden er geen gegevens verzameld en verzonden door Network Visibility Module.

    NVM Profile

    De inhoud van het NVM-profiel hangt af van uw configuratie, maar de elementen van het profiel die relevant zijn voor SNA worden vet weergegeven. Zorg ervoor dat de opmerkingen na het voorbeeld van het NVM-profiel worden bekeken:

    
     
     

     
      
      
        2 
       
       
        
        
          10.1.0.250 
         
        
          2030 
         
        
          false 
         
       
       
       
         5 
         
      
        5 
       
      
        500 
       
      
        all 
       
       
       
         false 
        
       
         false

    Opmerking: Zorg ervoor dat de geconfigureerde poort een niet-gereserveerde poort is en niet 2055, 514 of 8514. De geconfigureerde poort in dit profiel moet dezelfde zijn als de poort die in de Flow Collector is ingesteld.

    Opmerking: Zorg ervoor dat als het NVM Profile het Secure XML-element heeft, het op vals is ingesteld, anders worden de stromen versleuteld met DTLS en kan de Flow Collector ze niet verwerken.

    Controleer de TND-instellingen (Trusted Network Detection)

    De Network Visibility Module stuurt alleen stroominformatie als deze op het vertrouwde netwerk is aanwezig. Standaard worden geen gegevens verzameld. Er worden alleen gegevens verzameld wanneer deze als zodanig in het profiel zijn geconfigureerd en de gegevens blijven verzameld worden wanneer het eindpunt is verbonden. Als de collectie op een onbetrouwbaar netwerk wordt gedaan, wordt het gecached en naar de verzamelaar gestuurd wanneer het eindpunt op een vertrouwd netwerk is. De Secure Network Analytics Flow Collector moet beschikken over een extra configuratie voor het verwerken van gecacheerde stromen (zie het configureren van de Flow Collector voor buiten het netwerk gecompileerde stromen voor de benodigde configuratie).

    De vertrouwde netwerkstatus kan worden bepaald door de TND-functie van VPN (geconfigureerd in het VPN-profiel) of door de TND-configuratie in het NVM-profiel:

    TND-configuratie in VPN-profiel

    Opmerking: Dit is geen optie voor standalone NVM-implementaties.

    1. Pak het VPN-profiel vast dat door het eindpunt wordt gebruikt en bevestig de geconfigureerde automatische VPN-beleidsinstellingen

    VPN-profiellocatie:

    • Windows: %Program Data%\Cisco AnyConnect Secure Mobility Client\Profile
    • Mac: /opt/cisco/anyconnect/profile

    In dit voorbeeld wordt het VPN-profiel ACSNAProfile genoemd.

    VPN Profile

    2. Bewerk het profiel met een teksteditor en plaats het beleidselement Automatisch uitvoeren. Zorg ervoor dat het geconfigureerde beleid correct is voor het met succes detecteren van het Trusted Network. In dat geval:

    ...
    		
     
     
       true 
      
        *.cisco.local 
       
     
 
      
        DoNothing 
       
      
        Connect 
      
			
     
     
       false

    Opmerking: Voor NVM-relevantie: Als zowel het Trusted Network Policy als het Onvertrouwde netwerkbeleid zijn ingesteld op Niets doen, wordt de vertrouwde netwerkdetectie van het VPN-profiel uitgeschakeld.

    TND-configuratie in NVM-profiel

    Zoek het NVM profiel dat door het eindpunt wordt gebruikt en bevestig dat de geconfigureerde Trusted Server List instellingen correct zijn.

    NVM-profiel:

    • Windows: %Program Data%\Cisco AnyConnect Secure Mobility Client\NVM
    • Mac: /opt/cisco/anyconnect/nvm

    ...
    	
     
      
       
        
        
          10.64.0.32 
         
        
          443 
         
        
          C6EF32AAAAAAAAAA26C4BB6829AD2809B5175C9437A7D085A31FA60000000000 
         
       
     
    </NVMProfile>

    Opmerking: Een SSL sonde wordt naar het gevormde vertrouwde head-end verzonden, dat met een certificaat reageert indien bereikbaar. De thumbprint (SHA-256 shash) wordt dan geëxtraheerd en afgesloten tegen de hash die in de profieleditor is ingesteld. Een succesvolle match betekent dat het eindpunt in een betrouwbaar netwerk ligt. als het head-end echter onbereikbaar is of als de certificaathash niet overeenkomt, wordt het eindpunt geacht in een onbetrouwbaar netwerk te liggen.

    Opmerking: Trusted servers achter proxy's worden niet ondersteund.

    Verzamelen van pakketvastlegging

    U kunt een pakketvastlegging op de netwerkadapter van Endpoint verzamelen om te controleren of de stromen naar de Flow Collector worden verzonden.

    a. Als het Endpoint op een Trusted Network is aangesloten maar NIET op VPN is aangesloten, moet de opname op de fysieke netwerkadapter zijn ingeschakeld.

    In dit geval geeft de AnyConnect-client aan dat het eindpunt op een betrouwbaar netwerk is gelegen, wat betekent dat de stromen naar de geconfigureerde Flow Collector via de geconfigureerde poort worden verzonden door de Physical Network Adapter van het eindpunt, zoals we in het AnyConnect-venster en het venster Wireshark hierna kunnen zien.

    Packet capture trusted network no VPN

    b. Als het Endpoint is verbonden met AnyConnect VPN wordt het automatisch geacht op het Trusted Network te zijn geïnstalleerd en moet de opname daarom op de Virtual Network Adapter zijn ingeschakeld.

    Opmerking: Als de VPN-module is geïnstalleerd en TND is geconfigureerd in het profiel van Netwerkzichtbaarheidsmodule, dan voert de netwerkzichtbaarheidsmodule een betrouwbare netwerkdetectie uit, zelfs in het VPN-netwerk. 

    De AnyConnect-client geeft aan dat het eindpunt met VPN is verbonden, wat betekent dat de stromen naar de geconfigureerde Flow Collector via de geconfigureerde poort worden verzonden door de Virtual Network Adapter of the Endpoint (VPN-tunnelheid), zoals we in het AnyConnect-venster en het Wireshark-venster hieronder kunnen zien.

    Opmerking: De configuratie van de Split-tunnelconfiguratie van het VPN-profiel dat het Endpoint is verbonden met inbegrip van het IP-adres van de Flow Collector, anders worden de stromen niet over de VPN-tunnel verzonden.

    Packet capture trusted network and VPN

    c. Als het Endpoint niet op een betrouwbaar netwerk is, worden er geen stromen naar de Flow Collector verzonden.

    Packet capture untrusted network

    Verwante tekortkomingen

    Er zijn momenteel twee bekende defecten die van invloed kunnen zijn op het ingeslikte NVM-telemetrie-proces bij Secure Network Analytics:

    • FC Engine kan NVM-telemetrie niet op eth1 innemen. Zie Cisco bug-id CSCwb84013
    • Flow Collector voegt geen NVM records in vanaf AnyConnect versie 4.10.04071 of hoger. Zie Cisco bug-id CSCwb91824

    Gerelateerde informatie

    Revisiegeschiedenis

    Revisie Publicatiedatum Opmerkingen
    1.0
    22-Jun-2022
    Eerste vrijgave
    TAC Authored

    Bijgedragen door Cisco-engineers

    • Angel Ortiz
      Cisco TAC-ingenieur

    Was dit document nuttig?

    FeedbackFeedback

    Contact Cisco

    Dit document is van toepassing op deze producten