Konfigurieren der Paketerfassung

Document created by RSA Information Design and Development on May 7, 2018
Version 1Show Document
  • View in full screen mode
 

Sie können eine der folgenden Lösungen von Drittanbietern im Packet Decoder integrieren, um Pakete in der AWS-Cloud zu erfassen:

Integrieren von Gigamon GigaVUE im Packet Decoder

Es gibt zwei Hauptaufgaben zur Konfiguration der Gigamon®-Tap-Drittanbieterlösung zur Paketerfassung:

Aufgabe 1. Integrieren der Gigamon®-Lösung

Aufgabe 2. Konfigurieren eines Tunnels auf dem Packet Decoder

Aufgabe 1. Integrieren der Gigamon-Lösung

Gigamon® Visibility Platform on AWS steht über den AWS Marketplace zur Verfügung und wird mit einer BYOL-Lizenz aktiviert. Eine kostenlose 30-Tage-Testversion ist ebenfalls verfügbar.

Weitere Informationen zur Gigamon®-Lösung finden Sie im „Gigamon® Visibility Platform for AWS Data Sheet“ (https://www.gigamon.com/sites/default/files/resources/datasheet/ds-gigamon-visibility-platform-for-aws-4095.pdf).

Details zur Bereitstellung finden Sie im „Gigamon® Visibility Platform for AWS Getting Started Guide“ (https://www.gigamon.com/sites/default/files/resources/deployment-guide/dg-visibility-platform-for-aws-getting-started-guide-4111.pdf).

Nach Bereitstellung der „Monitoring-Sitzung“ innerhalb der Gigamon GigaVUE-FM können Sie den Packet Decoder-Tunnel konfigurieren.

Aufgabe 2. Konfigurieren des Tunnels auf dem Packet Decoder

  1. Stellen Sie über SSH eine Verbindung mit dem Decoder her.
  2. Senden Sie die folgenden Befehlszeichenfolgen:

    $ sudo ip link add tun0 type gretap local any remote <ip_address_of_VSERIES_NODE_TUNNEL_INTERFACE> ttl 255

    $ sudo ip link set tun0 up mtu <MTU-SIZE>

    $ sudo ifconfig (to verify if the tunnel tun0 is being listed in the list of interfaces)

    $ sudo lsmod | grep gre ( to make sure if the below kernel modules are running:

    ip_gre 18245 0

    ip_tunnel 25216 1)

    If they are not running then execute the below commands to enable the modules

    $ sudo modprobe act_mirred

    $ sudo modprobe ip_gre

  3. Erstellen Sie eine Firewallregel im Packet Decoder, um Datenverkehr über den Tunnel zuzulassen.
    1. Öffnen Sie die Datei iptables.
      vi /etc/sysconfig/iptables
    2. Hängen Sie die Zeile -A INPUT -p gre -j ACCEPT vor der Anweisung commit an.
    3. Starten Sie iptables neu, indem Sie die folgenden Befehle ausführen.
      service iptables restart
  4. Legen Sie die Schnittstelle im Packet Decoder fest.
    1.  Melden Sie sich bei NetWitness Suite an und wählen Sie den Node decoder/config in der Explorer-Ansicht für den Packet Decoder-Service aus.
    2. Definieren Sie capture.selected = packet_mmap_,tun0.

  5. (Bedingungsabhängig) – Wenn Sie über mehrere Tunnel auf dem Packet Decoder verfügen.
    1. Starten Sie den Decoder-Service nach der Erstellung des Tunnels im Packet Decoder neu.
    2. Melden Sie sich bei NetWitness Suite an und wählen Sie den Node decoder/config in der Explorer-Ansicht für den Packet Decoder-Service aus. Definieren Sie die folgenden Parameter.

      capture.device.params = interfaces=tun0,tun1,tun2

      capture.selected = packet_mmap_,All


  6. Starten Sie den Decoder-Service neu.
    $ sudo restart nwdecoder
    Der Benutzer sollte so eingerichtet sein, dass der Netzwerkdatenverkehr im Decoder erfasst wird.

Führen Sie die folgenden Schritte aus, um ein neues Projekt zu erstellen und Ihren Projektschlüssel zu erhalten.

Integrieren von f5® BIG-IP im Packet Decoder

BIG-IP Virtual Edition (VE) ist eine Inline-Technologie für virtuelle Server/Load Balancer. Ein typischer Anwendungsfall ist, dass das F5®-Gerät als virtueller Webserver mit einer einzigen IP-Adresse/einem einzigen Hostnamen fungiert, der Anforderungen an einen Pool von Webservern in der Cloud managt.

Der gesamte Datenverkehr zu RSA NetWitness® Suite geht über den virtuellen f5® BIG-IP-VE-Server.

Die virtuellen Serverfunktionen von BIG-IP klonen den gesamten Datenverkehr zu einem bestimmten Computer, indem MAC-Adressen umgeschrieben und in ein Subnetz geladen werden, das auch vom Ziel-Sniffer verwendet wird. In diesem Handbuch wird beschrieben, wie Sie den Decoder als Sniffer einrichten.

Informationen zur f5® BIG-IP VE-Bereitstellung

f5® BIG-IP VE on AWS steht über den AWS Marketplace zur Verfügung und wird mit einer BYOL-Lizenz aktiviert. Eine kostenlose 30-Tage-Testversion ist ebenfalls verfügbar.

Weitere Informationen zu dieser Lösung finden Sie im f5® BIG-IP DNS Data Sheet (https://www.f5.com/pdf/products/big-ip-dns-datasheet.pdf).

Aufgabe 1: Einrichten einer virtuellen Serverinstanz von BIG-IP VE

Richten Sie eine virtuelle BIG-IP VE-Serverinstanz gemäß den Anweisungen im Handbuch „BIG-IP Virtual Edition 12.1.0 and Amazon Web Services: Multi-NIC Manual“ ( https://support.f5.com/kb/en-us/products/big-ip_ltm/manuals/product/bigip-ve-multi-nic-setup-amazon-ec2-12-1-0.html) ein. Führen Sie alle Schritte bis zum letzten Schritt „Erstellen eines virtuellen Servers“ aus.

Auf diesem virtuellen Server wird die Paketerfassung durchgeführt. Je nach Ihrem Volume müssen Sie möglicherweise mehrere virtuelle Server erstellen.

Im Rahmen der Erstellung des virtuellen Servers benötigen Sie mindestens einen Server in Ihrer NetWitness Suite-Domain, um den Datenverkehr zu verarbeiten, der vom virtuellen Server weitergeleitet wird (z. B. können Sie eine andere Instanz in AWS erstellen, um den internen Server zu hosten).

Aufgabe 2: Erstellen eines Clone-Pools

  1. Stellen Sie sicher, dass die Decoder-Instanz über eine Netzwerkschnittstelle im selben Subnetz verfügt wie eine der Netzwerkschnittstellen in der BIG-IP VE-Instanz.
    Der Clone-Pool übernimmt das Senden von Paketen an den Decoder durch Umschreiben von MAC-Adressen und Senden an eine Netzwerkschnittstelle. Das Umschreiben von MAC-Adressen kann zur Paketweiterleitung in ein anderes Subnetz verwendet werden.
  2. Richten Sie den Clone-Pool im virtuellen BIG-IP VE-Server gemäß den Anweisungen im Artikel „K13392: Configuring the BIG-IP system to send traffic to an intrusion detection system (11.x - 13.x)“ (https://support.f5.com/kb/en-us/solutions/public/13000/300/sol13392.html) ein.
    In diesem Dokument wird erläutert, wie Sie den Clone-Pool erstellen und wie Sie einen vorhandenen virtuellen Server so einrichten, dass er den Datenverkehr in diesen Clone-Pool kopiert. In diesem Fall platzieren wir die Decoder-Instanz in den Clone-Pool.

Richtlinien

Die folgenden Richtlinien helfen Ihnen dabei, die Paketerfassung mit BIG-IP-VE korrekt zu konfigurieren.

  • Die IP-Adresse der Decoder-Instanz muss sich in einem der Subnetze befinden, in dem sich auch BIG-IP VE befindet. BIG-IP verwendet diese IP-Adresse, um den Decoder als Teil des Clone-Pools zu identifizieren.
  • Wenn Sie die Decoder-Instanz dem Clone-Pool hinzufügen, fragt BIG-IP nach der Portnummer und der IP-Adresse. Die Portnummer spielt für den geklonten Datenverkehr keine Rolle. Der Decoder empfängt den gesamten geklonten Datenverkehr, unabhängig davon, welche Portnummer hier verwendet wurde.
  • Standardmäßig ist es im AWS-Subnetz, das vom Decoder und von BIG-IP VE genutzt wird, nicht zulässig, dass der geklonte Datenverkehr von der BIG-IP VE-Schnittstelle zur Decoder-Schnittstelle verläuft. Sie müssen source/dest. check sowohl in der Decoder- als auch in der BIG-IP VE-Netzwerkschnittstelle in AWS deaktivieren.
  • Die Decoder-Instanz kann standardmäßig nur eine Netzwerkschnittstelle (eth0) haben. Der Decoder erfasst den Datenverkehr an dieser Schnittstelle, er kann aber auch administrativen Datenverkehr an dieser Schnittstelle empfangen. RSA empfiehlt die Verwendung von Netzwerkregeln zum Herausfiltern von ssh- und nwdecoder-Datenverkehr aus dem Erfassungsstream. Dies sind die Ports 22 (ssh) und 50004/56004 (nwdecoder).

Troubleshooting und Tipps

Es können Bereiche geprüft werden, wenn Pakete nicht vom Decoder akzeptiert werden.

  • Stellen Sie sicher, dass BIG-IP VE die Pakete von der richtigen Schnittstelle sendet.
    Die BIG-IP VE-Instanz enthält „tcpdump“. Verwenden Sie es, um sicherzustellen, dass die geklonten Pakete von der erwarteten Schnittstelle gesendet werden. Ist dies nicht der Fall, ist der Clone-Pool oder der virtuelle Server nicht richtig eingerichtet.
  • Stellen Sie sicher, dass der Decoder Pakete empfängt.
    Auf dem Decoder ist tcpdump installiert. Verwenden Sie es, um sicherzustellen, dass der Decoder Pakete empfängt. Wenn der Decoder Pakete nicht erfasst, stellen Sie Folgendes sicher:
    • source/dest. check von AWS ist deaktiviert.
    • Der Decoder befindet sich im selben Subnetz wie die Schnittstelle, die BIG-IP-VE zum Klonen von Paketen verwendet.
You are here
Table of Contents > AWS-Bereitstellung > Schritt 5. Konfigurieren der Paketerfassung

Attachments

    Outcomes