• Keine Ergebnisse gefunden

Konfiguration der Hochverfügbarkeit in Verteidigungszentren der Serie 3

N/A
N/A
Protected

Academic year: 2022

Aktie "Konfiguration der Hochverfügbarkeit in Verteidigungszentren der Serie 3"

Copied!
9
0
0

Wird geladen.... (Jetzt Volltext ansehen)

Volltext

(1)

Konfiguration der Hochverfügbarkeit in Verteidigungszentren der Serie 3

Inhalt

Einführung

Voraussetzungen Anforderungen

Verwendete Komponenten Hintergrundinformationen

Funktionen für hohe Verfügbarkeit

Konfiguration wird bidirektional zwischen Peers gemeinsam genutzt Konfiguration nicht zwischen Rechenzentren synchronisiert

Konfigurieren

Voraussetzungen für die Konfiguration von Hochverfügbarkeit Konfiguration der Hochverfügbarkeit

Überprüfen Fehlerbehebung

Zugehörige Informationen

Einführung

Dieses Dokument beschreibt die Konfiguration von High Availability (HA) für Defense Center der Serie 3.

Voraussetzungen

Anforderungen

Cisco empfiehlt, über Kenntnisse in folgenden Bereichen zu verfügen:

FirePOWER-Technologie

Grundlegende Hochverfügbarkeitskonzepte

Verwendete Komponenten

Die Informationen in diesem Dokument basieren auf Geräten der Firepower Defense Center Series 3 (DC1500, DC2000, DC3500, DC4000), die von der Softwareversion 5.3 auf die Softwareversion 5.4.1.6 ausgeführt werden.

Die Informationen in diesem Dokument wurden von den Geräten in einer bestimmten

Laborumgebung erstellt. Alle in diesem Dokument verwendeten Geräte haben mit einer leeren (Standard-)Konfiguration begonnen. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die potenziellen Auswirkungen eines Befehls verstehen.

(2)

Hintergrundinformationen

Um die Kontinuität der Betriebsabläufe zu gewährleisten, können Sie mit der Funktion für hohe Verfügbarkeit redundante Defense Center für das Gerätemanagement einrichten. Das Defense Center verwaltet Ereignisdatenströme von verwalteten Geräten und bestimmten

Konfigurationselementen dieser Geräte. Wenn ein Defense Center ausfällt, können Sie Ihr Netzwerk unterbrechungsfrei über das andere Defense Center überwachen.

Funktionen für hohe Verfügbarkeit

Die HA-Synchronisierung ist bidirektional, d. h., obwohl ein designiertes primäres und

sekundäres Gerät vorhanden ist, werden auf einem der Geräte hinzugefügte Änderungen auf das andere repliziert.

HA erfordert keine direkte Verbindung der Geräte. Die HA-Verbindung kann über einen Switch hergestellt werden, diese Verbindung muss sich jedoch in derselben Broadcast-Domäne befinden.

HA-Geräte kommunizieren über ihre Verwaltungs-IP an Port 8305.

Die HA-Synchronisierungszeit für ein Gerät beträgt fünf Minuten. Das bedeutet, dass ein Gerät nach fünf Minuten versucht, seine Konfiguration mit seinem Peer zu synchronisieren.

Da die für die Synchronisierung benötigte Zeit für Geräte spezifisch ist, kann die Synchronisierungszeit kumulativ auf zehn Minuten maximiert werden.

Wenn für einen bestimmten HA-Peer ein neues Image erforderlich ist, wird empfohlen, die HA-Klasse zu brechen und anschließend ein neues Image zu erstellen.

Wenn Sie ein Upgrade des HA-Clusters planen, ist es nicht erforderlich, die HA zu unterbrechen. Wenn Sie ein Upgrade von Version 5.3.0 auf Version 5.4.0 durchführen, aktualisieren Sie die Geräte einzeln und führen eine Synchronisierungsaufgabe im primären Defense Center durch.

Durch das Vorhandensein einer Zugriffsrichtlinie mit dem gleichen Namen auf beiden Rechenzentren werden zwei Zugriffskontrollrichtlinien mit demselben Namen erstellt. Eine Richtlinie wird lokal konfiguriert, die andere vom Peer-DC synchronisiert.

Hinweis: Sie können ein Ziel nicht hinzufügen oder diese Richtlinie anwenden, da sie einen Fehler auslöst, der besagt, dass bereits eine Richtlinie mit demselben Namen vorliegt.

Die Lizenzen sind nicht zwischen Gleichstrom-Peers synchronisiert, daher müssen sie den Gleichstromgeräten separat hinzugefügt werden.

Alle verwalteten Geräte werden nur einem Rechenzentrum hinzugefügt. Die Konfiguration wird zwischen den Peer-DCs synchronisiert.

Verwaltete Geräte senden Protokolle an beide Rechenzentren.

(3)

Rechenzentren synchronisieren die neuesten Aktionen. Wenn Sie beispielsweise einen Benutzer aus RZ-1 löschen, synchronisiert der andere Peer RZ-2 die Benutzerkonfiguration nicht mit RZ-1. Es synchronisiert die Löschaktion, und der Benutzer verlässt sowohl das RZ-1 als auch das RZ-2.

Konfiguration wird bidirektional zwischen Peers gemeinsam genutzt

Hochverfügbarkeits-Rechenzentren synchronisieren Richtlinien bidirektional. Diese

Konfigurationen werden bidirektional zwischen Peers synchronisiert. Sie können die meisten dieser Konfigurationen auch mit dem genau daneben definierten Pfad anzeigen:

Identitäten und Authentifizierung

Externe LDAP-Konfiguration - Navigieren Sie zu System > Local > User Management >

External Authentication

Benutzer (intern und extern): Navigieren Sie zu System > Lokal > Benutzerverwaltung >

Benutzer

Benutzerdefinierte Benutzerrollen - Navigieren Sie zu System > Lokal > Benutzerverwaltung >

Benutzerrollen.

Berichte

Berichtsvorlagen: Navigieren Sie zu Übersicht > Berichte > Berichtsvorlagen.

Konfigurierbare Richtlinien (im Abschnitt "Richtlinien")

Zugriffskontrollrichtlinien, Zugriffsrichtlinien, Dateirichtlinien, SSL-Richtlinien,

Netzwerkzugriffsrichtlinien, Korrelationsrichtlinien und -regeln, Compliance-Whitelist und Datenverkehrsprofile. 

Angriffsregeln (lokal und SRU)- Navigieren Sie zu Richtlinien > Intrusion > Rule Editor > Local Rules.

Netzwerkerkennung, Hostattribute, Benutzerfeedback zur Netzwerkerkennung, einschließlich Notizen und Wichtigkeit des Hosts, Löschen von Hosts, Anwendungen und Netzwerken aus der Netzwerkübersicht und Deaktivieren oder Ändern von Schwachstellen.

Benutzerdefinierte Anwendungserkennung

LDAP-Verbindungen in Benutzerrichtlinien - Navigieren Sie zu Richtlinien > Benutzer.

Warnungen: Navigieren Sie zu Richtlinien > Aktionen > Warnungen (unter Antworten).

Geräteinformationen

NAT-Regeln - Navigieren Sie zuGeräte > NAT

VPN-Regeln: Navigieren Sie zuGeräte > VPN.

Alle Geräteinformationen, einschließlich Name und Gruppe, werden bidirektional

synchronisiert. Speicherort für Protokollspeicher für jedes Gerät wird auch zwischen Peers synchronisiert - Navigieren Sie zu Geräten > Gerätemanagement.

Benutzerdefinierte Angriffsregelklassifizierungen

Benutzerdefinierte Fingerprints aktiviert

Systemrichtlinien und Integritätsrichtlinien

Benutzerdefinierte Dashboards, benutzerdefinierte Workflows und benutzerdefinierte Tabellen

Abstimmung, Snapshots und Berichtseinstellungen ändern

Updates von Sourcefire-Regelaktualisierungen (SRU), Geolocation-Datenbank (GeoDB) und

(4)

Schwachstellendatenbanken (VDB)

Konfiguration nicht zwischen Rechenzentren synchronisiert

Benutzer-Agent-Informationen in der Benutzerrichtlinie 

NMAP-Scans

Antwortgruppen 

Problembehebungsmodule

Beseitigungsinstanzen

Estreamer und Host Input Client

Sicherungsprofile

Zeitpläne 

Lizenzen

Aktualisierungen

Gesundheitswarnungen

Konfigurieren

Voraussetzungen für die Konfiguration von Hochverfügbarkeit

Die Geräte müssen über dieselbe Software- und Hardwareversion verfügen.

Auf den Geräten muss dasselbe VDB installiert sein.

Die Geräte müssen über dieselbe SRU verfügen.

Stellen Sie sicher, dass beide Defense Center über ein Benutzerkonto mit dem Namen admin mit Administratorrechten verfügen. Diese Konten müssen dasselbe Kennwort verwenden.

Stellen Sie sicher, dass die beiden Defense Center über keine Administratorkonten mit identischen Benutzernamen verfügen. Entfernen oder umbenennen Sie eines der doppelten Benutzerkonten, bevor Sie eine hohe Verfügbarkeit feststellen.

Stellen Sie sicher, dass beide Geräte keine Zugriffskontrollrichtlinien mit demselben Namen haben. Wenn zwei Zugriffskontrollrichtlinien mit demselben Namen vorhanden sind, existieren beide gleichzeitig in den Rechenzentren. Sie können jedoch keinem Gerät zugeordnet

werden.Sobald Sie diese Richtlinie nach dem Hinzufügen eines Zielgeräts speichern, wird diese Konfiguration mit einem Fehler abgelehnt, wie im Bild gezeigt:

(5)

Beide Verteidigungszentren müssen Zugang zum Internet haben.

Konfiguration der Hochverfügbarkeit

Dies sind die acht Schritte zur Konfiguration der Hochverfügbarkeit.

Schritt 1: Bestätigen Sie, dass die Software- und Hardwareversion zusammen mit der VDB- Version und der Regelaktualisierungsversion identisch sind.

Schritt 2: Um Ihr Gerät sekundär zu machen, navigieren Sie zu System > Local > Registration (System > Lokal > Registrierung), wie im Bild gezeigt. Stellen Sie sicher, dass Sie auf diesem

(6)

Rechenzentrum nicht konfiguriert sind.

Schritt 3: Klicken Sie unter der Registerkarte Hohe Verfügbarkeit auf Klicken Sie hier, um dies als sekundäres Verteidigungszentrum einzurichten, wie im Bild gezeigt:

Schritt 4: Wenn Sie Schritt 3 abgeschlossen haben, wird eine Seite angezeigt, wie im Bild gezeigt.

Fügen Sie die IP-Adresse des primären RZ und den Pass-Key hinzu.  Stellen Sie sicher, dass Sie eine eindeutige NAT-ID für Geräte hinzufügen, die sich hinter einer Network Address Translation befinden.

Schritt 5: Wenn die IP-Adresse verifiziert wurde, klicken Sie auf Registrieren. Sie sehen eine Seite, wie im Bild gezeigt:

(7)

Das bedeutet, dass HA im sekundären RZ konfiguriert ist und Sie es im primären RZ konfigurieren müssen.

Schritt 6: Melden Sie sich bei dem Gerät an, das Sie als primäres Rechenzentrum konfigurieren möchten. Navigieren Sie zu System > Local > Registration (System > Lokal > Registrierung).

Klicken Sie auf der Registerkarte Hohe Verfügbarkeit auf Klicken Sie hier, um das primäre Verteidigungszentrum hinzuzufügen, wie im Bild gezeigt:

Schritt 7: Nachdem Sie Schritt 6 abgeschlossen haben, wird eine Seite angezeigt, wie im Bild gezeigt:

Fügen Sie die sekundäre DC-IP hinzu. Geben Sie denselben Registrierungsschlüssel und dieselbe NAT-ID an, die Sie bei der Konfiguration des sekundären Rechenzentrums erhalten haben.

Schritt 8: Wenn die Details der IP überprüft wurden, klicken Sie auf Registrieren. Nach Abschluss der Registrierung wird die Seite "Erfolg" angezeigt, wie im Bild gezeigt:

Nach 5-10 Minuten sind die Konfiguration und Synchronisierung der HA abgeschlossen.

(8)

Die Konfiguration und Synchronisierung der HA dauert fast 5-10 Minuten.

Überprüfen

Schritt-für-Schritt-Konfiguration, um sicherzustellen, dass Ihre Rechenzentren korrekt für hohe Verfügbarkeit konfiguriert sind.

Schritt 1: Navigieren Sie zu System >Lokal >Registrierung auf dem primären Gerät, wie im Bild gezeigt:

Schritt 2: Navigieren Sie zu System >Lokal >Registrierung. auf dem Sekundärgerät wie in der Abbildung gezeigt:

Fehlerbehebung

Dieser Abschnitt enthält grundlegende Schritte zur Fehlerbehebung für Hochverfügbarkeit.

(9)

Stellen Sie sicher, dass beide Rechenzentren auf dem TCP-Port 8305 lauschen, da HA diesen Port zum Synchronisieren von Informationen und Heartbeats verwendet.

Stellen Sie sicher, dass der TCP-Port 8305 nicht im Netzwerk oder von zwischengeschalteten Geräten blockiert ist.

Die HA-Erstellung schlägt fehl, wenn ein veralteter Eintrag eines vorherigen Peer-Geräts vorhanden ist, das entfernt oder ersetzt wird. Die EM_Peers-Tabelle enthält weitere Informationen zu diesen Peer-Geräten.

Zugehörige Informationen

Konfiguration des Stacks auf Geräten der Cisco FirePOWER Serie 8000

FireSIGHT System - Benutzerhandbuch 5.4.1

Technischer Support und Dokumentation - Cisco Systems

Referenzen

ÄHNLICHE DOKUMENTE