Configurer la capture de paquets

Document created by RSA Information Design and Development on May 7, 2018
Version 1Show Document
  • View in full screen mode
 

Vous pouvez intégrer une des solutions tierces suivantes au service Packet Decoder pour capturer des paquets dans le Cloud AWS :

Intégrer Gigamon GigaVUE avec le service Packet Decoder

Deux tâches principales sont à effectuer pour configurer la solution de capture de paquets du fournisseur TAP tiers Gigamon® :

Tâche 1. Intégrer la solution Gigamon®.

Tâche 2. Configurer un tunnel sur Packet Decoder.

Tâche 1. Intégrer la solution Gigamon

La plate-forme de visibilité Gigamon® pour AWS sera disponible sur AWS Marketplace et activée par une licence BYOL. Une évaluation gratuite de trente jours sera également disponible.

Pour plus d'informations sur la solution Gigamon®, reportez-vous à la fiche produit de la plate-forme de visibilité Gigamon : « Gigamon® Visibility Platform for AWS Data Sheet » (https://www.gigamon.com/sites/default/files/resources/datasheet/ds-gigamon-visibility-platform-for-aws-4095.pdf).

Pour plus de détails sur le déploiement, reportez-vous au guide de mise en route de la plate-forme de visibilité Gigamon® pour AWS : « Gigamon® Visibility Platform for AWS Getting Started Guide » (https://www.gigamon.com/sites/default/files/resources/deployment-guide/dg-visibility-platform-for-aws-getting-started-guide-4111.pdf).

Une fois la « Session de surveillance » déployée dans le Gigamon GigaVUE-FM, vous pouvez configurer le tunnel du service Packet Decoder.

Tâche 2. Configurer un tunnel sur le service Packet Decoder

  1. Ouvrez une session SSH sur le service Decoder.
  2. Exécutez les chaînes de commandes suivantes.

    $ sudo ip link add tun0 type gretap local any remote <ip_address_of_VSERIES_NODE_TUNNEL_INTERFACE> ttl 255

    $ sudo ip link set tun0 up mtu <MTU-SIZE>

    $ sudo ifconfig (to verify if the tunnel tun0 is being listed in the list of interfaces)

    $ sudo lsmod | grep gre ( to make sure if the below kernel modules are running:

    ip_gre 18245 0

    ip_tunnel 25216 1)

    If they are not running then execute the below commands to enable the modules

    $ sudo modprobe act_mirred

    $ sudo modprobe ip_gre

  3. Créez une règle de pare-feu dans le service Packet Decoder pour autoriser le trafic via le tunnel.
    1. Ouvrez le fichier iptables.
      vi /etc/sysconfig/iptables
    2. Ajoutez la ligne -A INPUT -p gre -j ACCEPT avant l'instruction commit.
    3. Redémarrez iptables en exécutant les commandes suivantes.
      service iptables restart
  4. Définissez l'interface dans le service Packet Decoder.
    1.  Connectez-vous à NetWitness Suite, sélectionnez le nœud decoder/config dans la vue Explorer du service Packet Decoder.
    2. Définissez la commande capture.selected = packet_mmap_,tun0.

  5. (Conditionnel) - Si vous avez plusieurs tunnels sur le service Packet Decoder.
    1. Redémarrez le service Decoder après avoir créé le tunnel dans le service Packet Decoder.
    2. Connectez-vous à NetWitness Suite, sélectionnez le nœud decoder/config dans la vue Explorer du service Packet Decoder et définissez les paramètres suivants.

      capture.device.params = interfaces=tun0,tun1,tun2

      capture.selected = packet_mmap_,All


  6. Redémarrez le service Decoder.
    $ sudo restart nwdecoder
    L'utilisateur doit maintenant être prêt à capturer le trafic réseau dans le service Decoder.

Procédez comme suit pour créer un nouveau projet et obtenir la clé de votre projet.

Intégrer f5® BIG-IP au service Packet Decoder

IG-IP Virtual Edition (VE) est un serveur virtuel et un répartiteur de charge à la volée. Un exemple d'utilisation courant serait pour la zone f5® d'être un serveur Web virtuel qui présente une adresse IP/un nom d'hôte unique gérant les demandes vers un pool de serveurs Web dans le Cloud.

Tout le trafic vers RSA NetWitness® Suite  transite par le serveur virtuel f5® BIG-IP VE.

Les fonctions BIG-IP du serveur virtuel clonent tout le trafic vers un ordinateur désigné en réécrivant les adresses Mac et en les insérant dans un sous-réseau partagé avec le renifleur de destination. Ce document explique comment configurer le service Decoder en tant que renifleur.

Informations relatives au déploiement de f5® BIG-IP VE

f5® BIG-IP VE pour AWS sera disponible sur AWS Marketplace et activé par une licence BYOL. Une évaluation gratuite de trente jours sera également disponible.

Pour plus d'informations sur cette solution, reportez-vous à la fiche produit f5® BIG-IP DNS (https://www.f5.com/pdf/products/big-ip-dns-datasheet.pdf).

Tâche 1 : Configurer une instance de serveur virtuel BIG-IP VE

Configurer une instance de serveur virtuel BIG-IP VE selon les instructions fournies dans la documentation « BIG-IP Virtual Edition 12.1.0 and Amazon Web Services: Multi-NIC Manual » ( https://support.f5.com/kb/en-us/products/big-ip_ltm/manuals/product/bigip-ve-multi-nic-setup-amazon-ec2-12-1-0.html). Effectuez toutes les étapes jusqu'à la fin, « Création d'un serveur virtuel ».

Ce serveur virtuel effectue la capture des paquets. Vous devrez peut-être créer plusieurs serveurs virtuels en fonction de votre volume.

Dans le cadre de la création du serveur virtuel, vous devez disposer d'au moins un serveur dans votre domaine NetWitness Suite pour gérer le trafic acheminé par le serveur virtuel (par exemple, vous pouvez créer une autre instance dans AWS pour héberger le serveur interne).

Tâche 2 : Créer un pool de clones

  1. Assurez-vous que votre service Decoder dispose d'une interface réseau sur le même sous-réseau que l'une des interfaces réseau de l'instance BIG-IP VE.
    Le pool de clones envoie des paquets au service Decoder en réécrivant les adresses MAC et en les envoyant à une interface réseau. La réécriture des adresses MAC peut être utilisée pour acheminer les paquets vers un autre sous-réseau.
  2. Configurez le pool de clones au sein du serveur virtuel BIG-IP VE en fonction des instructions fournies dans l'article « K13392 : Configuring the BIG-IP system to send traffic to an intrusion detection system (11.x - 13.x) » (https://support.f5.com/kb/en-us/solutions/public/13000/300/sol13392.html) relatif à la configuration du système BIG-IP pour acheminer le trafic vers un système de détection des intrusions.
    Ce document explique comment créer le pool de clones et comment faire copier à un serveur virtuel existant le trafic vers le pool de clones. Dans ce cas, il faut placer l'instance du service Decoder dans le pool de clones.

Instructions

Les instructions suivantes vous aideront à configurer correctement la capture de paquets à l'aide de BIG-IP VE.

  • L'instance du service Decoder doit avoir sa propre adresse IP sur l'un des sous-réseaux identiques à ceux de BIG-IP VE. BIG-IP utilise cette adresse IP pour identifier le service Decoder comme faisant partie du pool de clones.
  • Lorsque vous ajoutez l'instance du service Decoder au pool de clones, BIG-IP vous demande un numéro de port en plus de l'adresse IP. Ce numéro de port n'a pas d'importance pour le trafic cloné. Le service Decoder recevra tout le trafic cloné, quel que soit le numéro de port utilisé ici.
  • Par défaut, le sous-réseau AWS, partagé par le service Decoder et BIG-IP VE, n'autorisera pas le trafic cloné à passer de l'interface BIG-IP VE à l'interface du service Decoder. Vous devez désactiver la source/dest. check sur les interfaces réseau du service Decoder, mais aussi de BIG-IP VE dans AWS.
  • Par défaut, l'instance du service Decoder ne doit disposer que d'une seule interface réseau, eth0. Le service Decoder capture le trafic sur cette interface, mais il peut également y recevoir le trafic d'administration. RSA recommande d'utiliser des règles réseau pour exclure le trafic ssh et nwdecoder du flux de capture. Il s'agit des ports 22 (ssh) et 50004/56004 (nwdecoder).

Conseils de résolution des problèmes

Il convient de dépanner deux zones si les paquets ne sont pas acceptés par le service Decoder.

  • Assurez-vous que BIG-IP VE envoie ces paquets à l'interface appropriée.
    L'instance BIG-IP VE contient tcpdump. Veillez à l'utiliser pour vérifier que les paquets clonés sont envoyés à l'interface prévue. Dans le cas contraire, la configuration du pool de clones ou du serveur virtuel générera un problème.
  • Assurez-vous que le service Decoder reçoit des paquets.
    tcpdump est installé sur le service Decoder. Utilisez-le pour vérifier que le service Decoder reçoit les paquets. S'il ne capture pas les paquets, vérifiez que
    • La source/dest. check AWS est arrêtée.
    • Le service Decoder se trouve sur le même sous-réseau que l'interface dont se sert BIG-IP VE pour cloner les paquets.
You are here
Table of Contents > Déploiement AWS > Étape 5. Configurer la capture des paquets

Attachments

    Outcomes