Configurar la captura de paquetes

Document created by RSA Information Design and Development on May 3, 2018
Version 1Show Document
  • View in full screen mode
 

Puede integrar cualquiera de las siguientes soluciones de otros fabricantes con el Packet Decoder para capturar paquetes en la nube de AWS:

Integrar Gigamon GigaVUE con el Packet Decoder

Existen dos tareas principales para configurar la solución de captura de paquetes de proveedores Tap de otros fabricantes Gigamon®:

Tarea 1. Integrar la solución Gigamon®.

Tarea 2. Configurar un túnel en el Packet Decoder.

Tarea 1. Integrar la solución Gigamon

La plataforma de visibilidad de Gigamon® en AWS estará disponible en AWS Marketplace y se activará mediante una licencia BYOL. También está disponible una prueba gratuita de treinta días.

Para obtener más información sobre la solución Gigamon®, consulte la “Hoja de datos de la plataforma de visibilidad de Gigamon® para AWS” (https://www.gigamon.com/sites/default/files/resources/datasheet/ds-gigamon-visibility-platform-for-aws-4095.pdf).

Para obtener los detalles de implementación, consulte la “Guía de introducción de la plataforma de visibilidad de Gigamon® para AWS” (https://www.gigamon.com/sites/default/files/resources/deployment-guide/dg-visibility-platform-for-aws-getting-started-guide-4111.pdf).

Después de implementada la “Sesión de monitoreo” dentro de Gigamon GigaVUE-FM, puede configurar el túnel del Packet Decoder.

Tarea 2. Configurar un túnel en el Packet Decoder

  1. Acceda mediante el protocolo SSH a Decoder.
  2. Ejecute las siguientes cadenas de comandos.

    $ sudo ip link add tun0 type gretap local any remote <ip_address_of_VSERIES_NODE_TUNNEL_INTERFACE> ttl 255

    $ sudo ip link set tun0 up mtu <MTU-SIZE>

    $ sudo ifconfig (to verify if the tunnel tun0 is being listed in the list of interfaces)

    $ sudo lsmod | grep gre ( to make sure if the below kernel modules are running:

    ip_gre 18245 0

    ip_tunnel 25216 1)

    If they are not running then execute the below commands to enable the modules

    $ sudo modprobe act_mirred

    $ sudo modprobe ip_gre

  3. Cree una regla de firewall en el Packet Decoder para permitir el tráfico a través del túnel.
    1. Abra el archivo iptables.
      vi /etc/sysconfig/iptables
    2. Agregue la línea -A INPUT -p gre -j ACCEPT antes de la declaración commit.
    3. Reinicie iptables mediante la ejecución de los siguientes comandos.
      service iptables restart
  4. Configure la interfaz en el Packet Decoder.
    1.  Inicie sesión en NetWitness Suite y seleccione el nodo decoder/config en la vista Explorador para el servicio Packet Decoder.
    2. Configure capture.selected en packet_mmap_,tun0.

  5. (Condicional): Si tiene múltiples túneles en el Packet Decoder.
    1. Reinicie el servicio Decoder después de crear el túnel en el Packet Decoder.
    2. Inicie sesión en NetWitness Suite, seleccione el nodo decoder/config en la vista Explorador para el servicio Packet Decoder y configure los siguientes parámetros.

      capture.device.params = interfaces=tun0,tun1,tun2

      capture.selected = packet_mmap_,All


  6. Reinicie el servicio Decoder.
    $ sudo restart nwdecoder
    El usuario debe realizar todas las configuraciones correspondientes para capturar el tráfico de red en el Decoder.

Realice los siguientes pasos para crear un nuevo proyecto y obtener la clave del proyecto.

Integrar f5® BIG-IP con el Packet Decoder

IG-IP Virtual Edition (VE) es un servidor virtual y un balanceador de carga en línea. Un caso de uso común sería que la computadora f5® sea un servidor web virtual que presenta una sola dirección IP o un solo nombre de host que administra las solicitudes a un pool de servidores web en la nube.

Todo el tráfico a RSA NetWitness® Suite fluye a través del servidor virtual de f5® BIG-IP VE.

Las funciones de servidor virtual de BIG-IP clonan todo el tráfico a una computadora designada, lo que se logra mediante la reescritura de direcciones MAC y su carga en una subred que comparte con el sniffer de destino. Esta guía describe cómo configurar el Decoder como el sniffer.

Información de implementación de f5® BIG-IP VE

f5® BIG-IP VE en AWS estará disponible en AWS Marketplace y se activará mediante una licencia BYOL. También está disponible una prueba gratuita de treinta días.

Para obtener más información sobre esta solución, consulte la Hoja de datos de DNS de f5® BIG-IP (https://www.f5.com/pdf/products/big-ip-dns-datasheet.pdf).

Tarea 1: Configurar una instancia del servidor virtual BIG-IP VE

Configure una instancia de servidor virtual de BIG-IP VE según las instrucciones de “BIG-IP Virtual Edition 12.1.0 and Amazon Web Services: Multi-NIC Manual” (https://support.f5.com/kb/en-us/products/big-ip_ltm/manuals/product/bigip-ve-multi-nic-setup-amazon-ec2-12-1-0.html). Realice todo el proceso hasta el último paso, “Creación de un servidor virtual”.

En este servidor virtual se ejecuta la captura de paquetes. Es posible que deba crear múltiples servidores virtuales según su volumen.

Como parte de la creación del servidor virtual, debe tener al menos un servidor en el dominio de NetWitness Suite para manejar el tráfico que se enruta mediante el servidor virtual (por ejemplo, puede crear otra instancia en AWS para alojar el servidor interno).

Tarea 2: Crear un pool de clones

  1. Asegúrese de que la instancia de Decoder tenga una interfaz de red en la misma subred que una de las interfaces de red en la instancia de BIG-IP VE.
    El pool de clones envía paquetes al Decoder mediante la reescritura de direcciones MAC y su envío a una interfaz de red. La reescritura de direcciones MAC puede utilizarse para enrutar paquetes a otra subred.
  2. Configure el pool de clones dentro del servidor virtual de BIG-IP VE según las instrucciones del artículo “K13392: Configuración del sistema de BIG-IP para enviar tráfico a un sistema de detección de intrusiones (11.x - 13.x)” (https://support.f5.com/kb/en-us/solutions/public/13000/300/sol13392.html).
    Este documento explica cómo crear el pool de clones y cómo hacer que un servidor virtual existente copie tráfico en el pool de clones. En este caso, la instancia de Decoder se colocará en el pool de clones.

Reglas

Las siguientes reglas lo ayudarán a configurar la captura de paquetes correctamente mediante BIG-IP VE.

  • La instancia de Decoder debe tener su propia dirección IP en una de las mismas subredes que BIG-IP VE. BIG-IP usa esa dirección IP para identificar el Decoder como parte del pool de clones.
  • Cuando se agrega la instancia de Decoder al pool de clones, BIG-IP solicita un número de puerto, además de la dirección IP. Este número de puerto no es relevante para el tráfico clonado. El Decoder recibirá todo el tráfico clonado, independientemente del número de puerto que se usa aquí.
  • De forma predeterminada, la subred AWS que comparten el Decoder y BIG-IP VE no permitirá que el tráfico clonado viaje desde la interfaz de BIG-IP VE a la interfaz de Decoder. Debe deshabilitar source/dest. check en el Decoder y en las interfaces de red de BIG-IP VE en AWS.
  • La instancia de Decoder debe tener una sola interfaz de red, eth0, de manera predeterminada. El Decoder captura el tráfico en esta interfaz, pero también puede recibir el tráfico administrativo en ella. RSA recomienda usar reglas de red para filtrar el tráfico del protocolo SSH y nwdecoder del flujo de captura. Estos son los puertos 22 (protocolo SSH) y 50004/56004 (nwdecoder).

Consejos para la solución de problemas

Hay áreas para solucionar problemas si el Decoder no acepta los paquetes.

  • Asegúrese de que el BIG-IP VE esté enviando los paquetes fuera de la interfaz correcta.
    La instancia de BIG-IP VE contiene tcpdump. Úsela para verificar que los paquetes clonados se envían fuera de la interfaz esperada. Si no es así, existe un problema en la configuración del pool de clones o el servidor virtual.
  • Asegúrese de que el Decoder esté recibiendo paquetes.
    El Decoder tiene instalado tcpdump. Úselo para verificar que el Decoder está recibiendo paquetes. Si el Decoder no está capturando paquetes, asegúrese de que
    • AWS source/dest. check esté apagado.
    • El Decoder esté en la misma subred que la interfaz que BIG-IP VE está usando para clonar los paquetes.
You are here
Table of Contents > Implementación de AWS > Paso 5. Configurar la captura de paquetes

Attachments

    Outcomes