CounterACT 7.0
Contents
1. 21 Verificar la conectividad del interruptor equipo o oooococoommm 21 Realizar la prueba de rastreo e asa aa ee ea aa ea ca a ae a ee cnn 22 7 Configure la consola de COUNterACT ea aa cae ee ea ae ea a ando 23 Instale la consola de CounterACT ana a a aa oa aa ea ea ea ca ee ee ee cnc 23 INICIE SESI N accio a 24 Configuraci n inicial a da TA AA AA A AENA EA AA AA EA AA EA EA A DA AA AA DEA 24 Informaci n de contacto oooccooccccconccnccn nc 26 Bienvenido a CounterACT Versi n 7 0 La soluci n del Control de Acceso de Red NAC por sus siglas en ingl s de ForeScout permite que los clientes tengan control completo sobre la seguridad de la red sin dificultar la productividad corporativa y del usuario final CounterACT combina las tecnolog as de ltima generaci n de NAC y de prevenci n de intrusiones en un solo equipo CounterACT realiza una inspecci n completa de los terminales y accede al control de cada dispositivo de la red y se integra sin dificultades a cualquier infraestructura actual de IT Esta gu a describe la instalaci n de un equipo simple e independiente CounterACT Para m s informaci n detallada o informaci n sobre la implementaci n de m ltiples equipos para protecci n de redes en toda la empresa consulte la Gu a de Instalaci n CounterACT y el Manual del Usuario de la Consola Estos documentos est n ubicados en directorio docs del CD de CounterACT Adem s pue2. 8 254 286 N 8 590 004 y N 8 639 800 Todos los derechos reservados ForeScout Technologies el logo de ForeScout es marca registrada de ForeScout Technologies Inc Todas las otras marcas registradas son propiedad de sus respectivos due os El uso de alguno de los productos ForeScout est sujeto a los t rminos del Contrato de Licencia de Usuario Final de ForeScout que se encuentran en www forescout com eula CT7 0 QIG 26 ForeScout Technologies L nea gratuita 1 866 377 8771 900 E Hamilton Ave Suite 300 Tel fono internacional 1 408 213 3191 Campbell CA 95008 USA www forescout com 400 00020 00
3. as Deber instalar una licencia permanente antes de que transcurra este periodo Se comunicar n con usted por correo electr nico en relaci n a la fecha de vencimiento Adem s se muestra informaci n sobre la fecha de vencimiento y el estado de la licencia en la consola panel de Equipos Dispositivos Una vez que reciba la licencia permanente la licencia se validar diariamente atrav s del Servidor de Licencia de ForeScout Las violaciones y las alertas de la licencia se muestran en el panel de Detalles del Dispositivo Las licencias que no pueden ser validadas durante un periodo de tiempo extendido ser n revocadas Consulte la Gu a de Instalaci n de CounterACT para acceder a m s detalles sobre las licencias Requisitos de conexi n de la red Como m nimo un dispositivo de CounterACT Equipo o Administrador de empresa deber tener acceso a internet Esta conexi n se usa para validar las licencias CounterACT con el servidor de la Licencia de ForeScout Las licencias que no pueden ser autenticadas durante un periodo de tiempo extendido ser n revocadas CounterACT le enviar un correo electr nico de advertencia una vez al d a indicando que existe un error de comunicaci n con el servidor 15 5 Administraci n remota Configuraci n de IDRAC7 El Controlador Integrado de Acceso Remoto 7 IDRAC7 es una soluci n de sistema de servidor integrado que le ofrece acceso remoto OS ubicaci n independiente en la red LAN o I
4. informaci n Los requisitos m nimos son PC no dedicada con Windows NT 2000 2003 XP Vista 7 Linux RAM 1 GB para hasta 10 000 dispositivos 2 GB para m s de 10 000 dispositivos Espacio en disco 1GB Hay dos m todos disponibles para realizar la instalaci n de la consola Use el software de instalaci n incorporado en su equipo 1 Abra una ventana del navegador desde la computadora de la consola 2 Ingreselo siguiente en la l nea de la direcci n del navegador http x x x x install Donde x x x x es la direcci n de IP de este equipo El navegador mostrar la ventana de instalaci n de la consola 3 Siga las instrucciones que aparecen en la pantalla Instale desde el CD ROM de CounterACT 1 Inserte el CD ROM de CounterACT en la unidad de DVD 2 Abra el archivo ManagementSetup htm desde el CD ROM con un navegador 3 Siga las instrucciones que aparecen en la pantalla 23 Inicie sesi n Luego de completar la instalaci n puede iniciar sesi n en la consola de CounterACT 1 Seleccione el icono de CounterACT desde la ubicaci n del atajo que cre 2 Ingrese la direcci n de IP o nombre del host del equipo en el campo IP Nombre 23 CounterACT Login o lx ForeScout IP Name Login Method Password m User Name Password v Save address and user name ll Cancel En el campo Nombre de usuario ingrese admin 4 Enel campo Contrase a ingrese la contrase a que us
5. la energ a de la m quina antes de desenchufar UCKIJbyUNTeMaALUMHyMNpe Hero WTO NCKIByUNTe 12 4 Configuraci n del equipo Prepare la siguiente informaci n antes de configurar el equipo Contrase a del administrador A Conserve la contrase a en un lugar seguro de CounterACT Interfaz de administraci n Direcci n de IP del equipo M scara de la red Direcci n de IP de la pasarela predeterminada Nombre del dominio DNS Direcciones del servidor de DNS Luego de conectarlo a la energ a el programa le pedir que comience la configuraci n con el siguiente mensaje El arranque del equipo CounterACT est completo Presione lt Enter gt para continuar 1 Presione Enter para mostrar el siguiente men 1 Configurar CounterACT 2 Restaurar la configuraci n guardada de CounterACT 3 Identificar y renumerar las interfaces de la red 4 Configurar el teclado 5 Apagar la m quina 6 Reiniciar la m quina Opci n 1 6 1 2 Seleccionar 1 Configurar CounterACT Cuando se lo soliciten Continuar s no Presione Enter para iniciar el men 3 Se abre el men de Modo de alta disponibilidad Presione Enter para seleccionar la instalaci n est ndar 4 Aparece el mensaje Configuraci n Inicial de CounterACT Presione Enter para continuar 5 Se abre el men Seleccionar tipo de instalaci n de CounterACT Ingrese 1 y presione Enter para
6. mi MAC Hacia mi MAC eth3 untagged 4Mbps 0 2 99 8 0 0 0 eth3 1 9Mbps 0 0 100 0 eth3 2 3Mbps 0 1 99 9 eth3 4 542bps 100 0 0 0 eth3 20 1Kbps 100 0 0 0 Muestra v lans i nterfaces lt p rev Modo interfaz actualizar 31 eth0 32 vlans ethl 1 vlans Interfaz Total transmitidas reflejadas Desde mi MAC Hacia mi MAC etno 3Kbps 42 3 0 0 14 15 43 7 eth1 475bps 0 0 100 0 0 0 0 0 Hacia mi MAC Destino MAC es la MAC del equipo Desde mi MAC Tr fico enviado por este equipo la fuente MAC es la MAC del equipo Destino puede ser transmisi n o unidifusi n Si no ve tr fico verifique que la interfaz est activa Use el siguiente comando en el equipo ifconfig nombre de la interfaz activa Realizar la prueba de rastreo Ejecute la prueba de rastreo desde el equipo al escritorio de la red para verificar la conectividad Para ejecutar la prueba 1 Inicie sesi n en el equipo 2 Ejecute el siguiente comando Rastreo IP del escritorio de la red Por defecto el equipo mismo no responde al rastreo 22 7 Configure la consola de CounterACT Instale la consola de CounterACT La consola de CounterACT es una aplicaci n de administraci n central que se usa para visualizar registrar y analizar la actividad que detecta el equipo NAC Threat Protection Firewall y otras pol ticas pueden definirse desde la consola Consulte el Manual del usuario de la Consola de CounterACT para m s
7. separada interfaces i A Interfaz de de control y respuesta administraci n La implementaci n recomendada usa tres puertos separados Estos puertos se describen en Conexiones de interfaz del equipo Admin LAN O a E Contador ACT Interfaz del monitor Interfaz de respuesta 2 Punto de conexi n insertado pasivo En lugar de conectar a un puerto de monitoreo con interruptor el equipo puede usar un punto de conexi n Enlace insertado El punto de conexi n pasivo necesita de dos puertos de monitoreo excepto en el caso de unos puntos de conexi n de recombinaci n Interfaz del monitor Interfaz de respuesta que combinar n las dos corrientes dobles a un nico puerto El tr fico en el puerto conectado y la interfaz de respuesta debe estar configurado del mismo modo Por ejemplo si el tr fico en el puerto conectado est marcado VLAN 802 10 la interfaz de respuesta debe ser tambi n un puerto marcado de VLAN 3 Conexi n en l nea activa con inyecci n Cuando el equipo usa una conexi n en l nea que tiene capacidad de inyecci n tniace las interfaces de respuesta y de monitoreo pueden combinarse No hay necesidad de configurar un puerto de i respuesta separado en el interruptor Esta opci n puede usarse para todo tipo de configuraci n del interruptor con corriente ascendente o descendente Interruptor s5 Punto de 5 ze erev ia i pe conexi n pasivo foe e Interrupt
8. AN es la opci n recomendada ya que brinda la mejor cobertura general a la vez que minimiza el n mero de puertos que duplica Si el interruptor no puede usar una etiqueta 802 10 VLAN en los puertos reflejados realice una de las siguientes acciones Duplique solo una VLAN Duplique un puerto nico no marcado enlazado Use la opci n de respuesta de capa de IP Si el interruptor puede duplicar solo un puerto entonces duplique solo un puerto enlazado Este puede estar marcado En general si el interruptor no incluye etiquetas 802 10 VLAN deber usar la opci n de respuesta de Capa de IP Adicional Si el interruptor no puede duplicar el tr fico de recepci n y de transmisi n entonces monitoree el interruptor entero las VLAN completas esto ofrece recepci n transmisi n o solo una interfaz que no permite recepci n transmisi n Verifique que no sobrecargue el puerto de duplicado o reflejado Algunos interruptores por ej Cisco 6509 pueden necesitar ex configuraciones de puerto completamente despejadas antes de ingresar nuevas configuraciones El resultado m s com n cuando no se despeje informaci n de puertos viejos es que el interruptor quite las etiquetas 802 1Q 10 3 Conexi n de los cables de la red y encendido A Desembalaje del equipo y conexi n de los cables 1 Retire el equipo y el cable de energ a del contenedor de env o 2 Retire el kit de rieles que recibi con el equipo 3 Monte el
9. LS ForeScout CounterACT 7 0 Equipo simple CounterACT Gu a de instalaci n r pida ndice Bienvenido a CounterACT Versi n 7 0 ooooooccoccccccccncnccro 3 Incluido en su paquete CounterACT au ua aa oa aa a ea a e ea e e ea canada 3 Perspectiva general s ssa ae ae ea ea a aa a ae rn 4 1 Cree un plan de implementaci n sere e ea ea ea ea ea aa anano 5 Decida d nde implementar el equipo ooooooccccccccnccccncncncnr co 5 Conexiones de interfaz del equipo oooococccccccccnccccncnononcn 5 2 Configuraci n de su interruptor o ooooccccccncncncccccnrons 8 A Opciones de conexi n del interruptor ooooooccoccoccncccnccccoos 8 B Notas para la configuraci n del Interruptor a seseo e e ea caendo 9 3 Conexi n de los cables de la red y encendido 11 A Desembalaje del equipo y conexi n de los cables 11 B Registro de designaciones de interfaces ocoocoococonccncmrm 12 C Encendido del equipO sirere ri ae EAR ARARA 12 4 Configuraci n del equipo sia a aa aa aa ae ae aa ea ea a a ana edo 13 5 Administraci n remota ssss ae ea e aa e a ee nano 16 Configuraci n deiDRACT pais siias tn r il terra d tR it A trs rideb irises tridek ii 16 6 Verificaci n de conectividad aa aa ae ae ea ea ea ea aa anada 21 Verificar la conexi n de la interfaz de administraci n
10. a la que la interfaz de monitoreo est directamente conectada y una direcci n de IP permanente a ser usada por CounterACT en cada VLAN Esta informaci n no es necesaria para la configuraci n del Administrador Corporativo Variaciones de la direcci n de IP que el equipo proteger todas las direcciones internas incluyendo las direcciones no usadas La informaci n de la cuenta del Directorio del Usuario y la direcci n de IP del servidor del Directorio del Usuario Credenciales de dominio incluyendo la contrase a y nombre de la cuenta administrativa del dominio Servidores de autenticaci n para que CounterACT pueda analizar qu hosts de red se han autenticado exitosamente Direcci n de IP del interruptor central proveedor y par metros de SNMP Consulte el Manual del Usuario de la Consola de CounterACT o la Ayuda en l nea para recibir informaci n sobre c mo trabajar con el Asistente 25 Informaci n de contacto Si necesita soporte t cnico de ForeScout env e un correo electr nico a support forescout com o llame a uno de los siguientes n meros L nea gratuita EE UU 1 866 377 8771 Tel fono internacional 1 408 213 3191 Soporte t cnico 1 708 237 6591 Fax 1 408 371 2284 Ilustraci n cortes a de Dell Corporation 02014 ForeScout Technologies Inc Productos protegidos por Patentes de EE UU N 6 363 489 N
11. ci n Ingrese un valor para cada pedido y presione Enter para mostrar el pr ximo mensaje Los componentes de CounterACT se comunican a trav s de interfaces de administraci n El n mero de interfaces de comunicaciones enumerado depende del modelo del equipo La Direcci n de IP de administraci n es la direcci n de la interfaz a trav s de la cual se comunican los componentes CounterACT Agregue una identificaci n VLAN para esta interfaz solamente si la interfaz usada para comunicarse entre los componentes CounterACT se conecta con un puerto marcado Si hay m s de una direcci n de servidor DNS separe cada direcci n con un espacio La mayor a de los servidores internos DNS resuelven las direcciones externas e internas pero quiz s necesite incluir un servidor DNS de resoluci n externa Como casi todas las preguntas DNS realizadas por el equipo ser n para direcciones externas el servidor externo DNS deber estar enumerado al final 10 Aparece la pantalla de Resumen de configuraci n Le indicar n que realice las pruebas generales de conectividad reconfigure los ajustes o complete la configuraci n Ingrese D para completar la configuraci n 14 Licencia Luego de la instalaci n debe instalar la licencia inicial de demostraci n que le provee el representante de CounterACT La licencia se instala durante la configuraci n inicial de la consola Esta licencia inicial de demostraci n es v lida para cierto n mero de d
12. d root Administrator Serial Port User Privilege Administrator Change Password 9 Seleccione Regresar y luego seleccione Finalizar Confirme los ajustes cambiados Los ajustes de la red se guardan y el sistema se reinicia 19 Conecte el m dulo a la red El IDRAC se conecta a una red de Ethernet Es com n que se conecte a una red de administraci n La siguiente imagen muestra la ubicaci n del puerto DRAC en el panel trasero del equipo CT 1000 Inicie sesi n en IDRAC Para iniciar sesi n en IDRAC ct 1000 IDRAC7 Login Windows Internet Explorer 6 htips 192 5 ht gt EJES dell ct4000 idrac iDRAC7 X File Edit View Favorites Tools Help Integrated Remote Enterprise Access Controller 7 Login CT 1000 Type the Username and Password and click Submit Username Password C Domain This IDRAC z cancel EST 1 Navegue por la direcci n de IP o el nombre de dominio configurado en Ajustes de IDRAC gt Red 2 Ingrese el Nombre de usuario y la Contrase a configurada en la p gina de Configuraci n del Usuario de la configuraci n del sistema DRAC 3 Seleccione Enviar Para m s informaci n sobre DRAC consulte la Gu a del Usuario de DRAC 7 Es muy importante actualizar las credenciales predeterminadas 20 6 Verificaci n de conectividad Verificar la conexi n de la interfaz de administraci n Para probar la conexi n de la interfaz de adminis
13. de navegar por el sitio web de soporte t cnico ubicado en http www forescout com support para acceder a la ltima documentaci n conocer los art culos de base y acceder a actualizaciones para su equipo Incluido en su paquete CounterACT Equipo CounterACT Gu a de instalaci n r pida CD de CounterACT con Software de la consola Manual del usuario de la consola CounterACT y Gu a de instalaci n Documento de garant a Abrazaderas de montaje Cable de energ a Cable de conexi n de la consola DB9 para conexiones en serie nicamente Perspectiva general Para configurar CounterACT realice lo siguiente 1 N O UU A WUN Cree un plan de implementaci n Configure su interruptor Conecte la energ a y los cables de la red Configure el equipo Administraci n remota Verifique la conectividad Configure la consola de CounterACT 1 Cree un plan de implementaci n Antes de llevar a cabo la instalaci n debe decidir d nde colocar el equipo y debe conocer las conexiones de interfaz del equipo Decida d nde implementar el equipo La selecci n de la correcta ubicaci n de la red donde se instalar el equipo es crucial para el ptimo rendimiento y la exitosa implementaci n de CounterACT La correcta ubicaci n depender de sus objetivos de implementaci n deseados y la pol tica de acceso a la red El equipo deber poder controlar el tr fico relevante para la pol tica deseada Por ejemplo si
14. ica o como Deshabilitado para usar la Direcci n de IP Est tica Si est habilitado el DHCP autom ticamente asignar la direcci n de IP la pasarela y la m scara de subred a iDRACZ7 Si se desactiva ingrese los valores para los campos de Direcci n de IP Est tica Pasarela Est tica y M scara de Subred Est tica 17 NETWORK SETTINGS Enable NIC NC Selection MAC Address Auto Negotiation Active NIC Interface COMMON SETTINGS Register DRAC on DNS DNS DRAC Name Auto Config Domain Name IPV4 SETTINGS Enable Pv4 Enable DHCP Static IP Address Static Gateway Static Subnet Mask 6 Seleccione Regresar O Disabled e Enabled Dedicated DRACT Enterprise only o DRACT Enterprise only O Disabled e Enabled O Disabled e Enabled 7 Seleccione Configuraci n del Usuario DRAC Settings DRAC Settings Lifecyde Controller o Configure Administrator User Configuration 18 8 Configure los siguientes campos de la Configuraci n del Usuario Habilite el usuario Verifique que este campo est Activado Nombre de usuario Ingrese un nombre de usuario Privilegios de Usuario de Puerto en Serie y LAN Establezca los niveles de privilegio en Administrador Cambie la contrase a Establezca una contrase a para el inicio de sesi n del usuario DRAC Settings User Configuration User ID Enable User User Name LAN User Privilege gt O Disabled e Enable
15. instalar un equipo est ndar CounterACT Se inicia la configuraci n Esto puede llevar un momento 13 6 Cuando aparece el mensaje Ingrese descripci n de la m quina ingrese un corto mensaje de identificaci n de este dispositivo y presione Enter Aparecer lo siguiente gt gt gt gt gt gt Establezca la contrase a del Administrador lt lt lt lt lt lt Esta contrase a se usa para ingresar como ra z para el Sistema de operaci n de la m quina y como admin para la consola de CounterACT La contrase a deber tener entre 6 y 15 caracteres de largo y debe contener como m nimo un Car cter no alfab tico Contrase a del administrador 7 Cuando aparece el mensaje Establecer Contrase a del Administrador ingrese la secuencia que ser su contrase a la secuencia no se ver en la pantalla y presione Enter Le solicitar que confirme la contrase a La contrase a deber tener entre 6 y 15 caracteres de largo y debe contener como m nimo un car cter no alfab tico O Ingrese en el equipo como ra z e ingrese en la consola como admin 8 Cuando aparezca el mensaje Establecer Nombre del Host ingrese un nombre para el host y presione Enter El nombre del host puede usarse cuando se inicie sesi n en la consola y se muestra en la consola para ayudar a identificar el equipo CounterACT que est visualizando 9 La pantalla Configurar los ajustes de la redle muestra una serie de par metros de configura
16. kit de rieles en el equipo y monte el equipo a la v a 4 Conecte los cables de la red entre las interfaces de la red en el panel trasero del equipo y los puertos del interruptor Muestra del panel trasero Dispositivo CounterACT Conector de identificaci n Conector de Ranura de expansi n de Suministro de del sistema video tarjeta PCle energ a Puerto DRAC7 Enterprise Bot n de Conector Conectores Conectores identificaci n en serie USB Ethernet del sistema 11 B Registro de designaciones de interfaces Luego de completar la instalaci n del equipo en el centro de datos y de instalar la consola CounterACT el programa le pedir que registre la designaciones de la interfaz Estas designaciones conocidas como Definiciones de canal se ingresan en el Asistente de configuraci n inicial que se abre cuando usted ingresa por primera vez a la consola Registre las designaciones de la interfaz f sica abajo y selas cuando complete la configuraci n del canal en la consola C Encendido del equipo 1 Conecte el cable de energ a al conector de potencia en el panel trasero del equipo 2 Conecte el otro extremo el cable de energ a al enchufe a tierra de CA 3 Conecte el teclado y el monitor al equipo o configure el equipo para una conexi n en serie Consulte la Gu a de Instalaci n CounterACT que se encuentra en el CD de CounterACT 4 Encienda el equipo desde el panel frontal Importante Desconecte
17. nternet para los Administradores de empresa Equipos CounterACT Use el m dulo para acceder a KVM encender apagar reiniciar y realizar tareas de mantenimiento y de resoluci n de problemas Realice lo siguiente para trabajar con el m dulo DRAC Habilite y configure el m dulo DRAC Conecte el m dulo a la red Inicie sesi n en DRAC Habilite y configure el m dulo DRAC Cambie las configuraciones de IDRAC parta habilitar el acceso remoto en el dispositivo CounterACT Esta secci n describe los ajustes de integraci n b sica necesaria para trabajar con CounterACT Para configurar iDRAC 1 Encienda el sistema administrado 2 Seleccione F2 durante la Prueba Autom tica de Encendido POST por su siglas en ingl s 3 En la p gina Men Principal de la Configuraci n del Sistema seleccione los Ajustes de IDRAC System Setup System Setup Main Menu 16 4 Enla p gina de Ajustes de IDRAC seleccione Red System Setup IDRAC Settings IDRAC Settings lr DRAC Settings Version DRAC Firmware Version 5 Configure los siguientes ajustes de la Red Ajustes de la Red Verifique que el campo Habilitar NIC est Habilitado Ajustes comunes En el campo Nombre de DNS DRAC puede actualizar un DNS din mico opcional Ajustes de IPV4 Verifique que el campo Habilitar IPv4 est Habilitado Marque el campo Habilitar DHCP como Habilitado para usar la Direcci n de IP Din m
18. nterruptores Generalmente la interfaz de monitoreo no exige una direcci n de IP Interfaz de respuesta El equipo responde al tr fico usando esta interfaz El tr fico de respuesta se usa para protegerse contra la actividad maliciosa y para llevar a cabo acciones de la pol tica NAC Estas acciones pueden incluir por ejemplo redireccionar los navegadores web o realizar un bloqueo del firewall La configuraci n del puerto del interruptor relacionado depende del tr fico que se est monitoreando VLAN simple sin marcar Cuando el tr fico monitoreado se genera desde una VLAN simple la interfaz de respuesta debe estar configurada para ser parte de la misma VLAN En este caso el equipo exige una nica direcci n de IP en esa VLAN e M ltiples VLAN marcadas Si el tr fico marcado proviene de m s de una VLAN la interfaz de respuesta debe estar tambi n configurada con marcado 802 10 para las mismas VLAN El equipo necesita una direcci n de IP para cada VLAN protegida 2 Configuraci n de su interruptor A Opciones de conexi n del interruptor El equipo fue dise ado para integrarse sin problemas a una amplia variedad de entornos de red Para integrar de manera exitosa el equipo a su red verifique que su interruptor est configurado para controlar el tr fico requerido Hay varias opciones disponibles para conectar el equipo a su interruptor 1 Implementaci n est ndar gt o er Interruptor administraci n
19. or Conexi n activa gt gt 4 a con inyecci n j gt F s a a o e e po am ETT A 2 Administraci n Interfaz de respuesta y monitor combinados 4 Respuesta de la capa de IP para instalaciones de interruptor de 3 capas El equipo puede usar su propia interfaz de administraci n para responder al tr fico A pesar de que esta opci n puede usarse con un tr fico monitoreado se la recomienda cuando el equipo monitorea puertos que no son parte de ninguna VLAN y por lo tanto el equipo no puede responder al tr fico monitoreado usando cualquier otro puerto del interruptor Esto ocurre generalmente cuando se controla un enlace que conecta a dos routers Esta opci n no puede responder a pedidos del Protocolo de Resoluci n de Direcciones ARP por sus siglas en ingl s que limita la capacidad del equipo de detectar escaneos dirigidos a las direcciones de IP incluidas en la subred monitoreada Esta limitaci n no aplica cuando se est controlando el tr fico entre los dos routers B Notas para la configuraci n del interruptor Etiquetas VLAN 802 10 Monitoreo de una nica VLAN tr fico no marcado Si el tr fico monitoreado proviene de una nica VLAN el tr fico no necesita etiquetas 802 10 Monitoreo de m ltiples VLAN tr fico marcado Si el tr fico monitoreado proviene de dos o m s VLAN ambas interfaces la de control y la de respuesta deben tener capacidad de marcado 802 10 El monitoreo de m ltiples VL
20. orporativo y desde el Administrador corporativo a cada equipo 53 UDP DNS Permite que CounterACT resuelva direcciones internas de IP 123 UDP NTP Permite el acceso de CounterACT a un servidor de tiempo NTP Por defecto CounterACT usa ntp foreScout net 161 UDP SNMP Permite que CounterACT se comunique con un equipo de infraestructura de red tal como interruptores y routers Para m s informaci n sobre la configuraci n de SNMP consulte el Manual del Usuario de la Consola de CounterACT N 25 TCP 162 UDP SNMP Permite que CounterACT reciba trampas de SNMP desde la infraestructura de la red tal como interruptores y routers Para m s informaci n sobre la configuraci n de SNMP consulte el Manual del Usuario de la Consola de CounterACT Interfaz del monitor Esta conexi n permite que el equipo controle y registre el tr fico de la red El equipo controla y duplica el tr fico a un puerto en el interruptor Dependiendo del n mero de VLAN que se est n reflejando el tr fico puede ser O no 802 1Q VLAN marcado VLAN simple sin marcar Cuando el tr fico controlado se genera desde una VLAN simple el tr fico duplicado no necesita estar marcado en la VLAN M ltiples VLAN marcadas Cuando el tr fico marcado proviene de m s de una VLAN el tr fico duplicado debe estar marcado 802 10 VLAN Cuando dos interruptores est n conectados a un par redundante el equipo debe controlar el tr fico desde ambos i
21. s de alta disponibilidad Use 22 TCP para acceder a la direcci n compartida de IP virtual del grupo de terminales 445 139 Permite que CounterACT realice una profunda investigaci n y control de los terminales de Windows usando RPC Permite que CounterACT realice una profunda investigaci n y control de los terminales de Windows usando WMI Secure Permite que SecureConnector cree una Connector conexi n segura SSL encriptado al equipo desde las m quinas Windows SecureConnector recibe los pedidos de inspecci n y acci n y responde a ellos a trav s de esta conexi n todo el tr fico CounterACT entre SecureConnector y el equipo se transmite a trav s de una conexi n segura 2200 TCP Secure Permite que SecureConnector cree una Connector conexi n segura SSH encriptado al equipo desde las m quinas Macintosh Linux SecureConnector permite el acceso a terminales no administrables a trav s de una secuencia de comandos shell que funciona en el escritorio mientras el anfitri n est conectado a la red SSH Permite que CounterACT realice una profunda investigaci n y control de los terminales de Macintosh y Linux SMTP Se usa para enviar correos desde CounterACT 80 TCP Permite la redirecci n de HTTP 443 TCP Permite la redirecci n de HTTP usando SSL 13000 TCP Permite la conexi n desde la consola al equipo Para sistemas con equipos CounterACT m ltiples permite la conexi n desde la consola al Administrador c
22. su pol tica depende de los eventos de autorizaci n de control desde los terminales hasta los servidores de autenticaci n corporativa el equipo deber estar instalado de manera que pueda ver el flujo de tr fico de los terminales alos servidores de autenticaci n Para m s informaci n sobre la instalaci n y la implementaci n consulte la Gu a de Instalaci n de CounterACT ubicada en el CD de CounterACT que recibi con este paquete Conexiones de interfaz del equipo El equipo est generalmente configurado 3 con tres conexiones al interruptor de red EA administraci n Interfaz de administraci n NE Esta interfaz le permite administrar A po CounterACT y realizar preguntas y una inspecci n profunda de los terminales La interfaz debe estar conectada a un puerto del interruptor que tenga acceso a todos los terminales de la red Interfaz del monitor Interfaz de respuesta Cada equipo exige un conexi n de administraci n nica a la red Esta conexi n necesita de una direcci n de IP en la red LAN local y acceso a un puerto 13000 TCP desde las m quinas que har n funcionar la aplicaci n de la administraci n de la consola de CounterACT La interfaz de administraci n debe tener acceso a lo siguiente en su red 22 TCP Permite el acceso a la interfaz de l nea del comando CounterACT 2222 TCP Alta disponibilidad Permite acceso a los SSH A dispositivos f sicos de CounterACT que son parte del grupo de terminale
23. ted cre durante la instalaci n del equipo 5 Seleccione Iniciar sesi n para lanzar la consola Configuraci n inicial Luego de iniciar sesi n por primera vez aparecer el Asistente de configuraci n inicial El Asistente lo guiar por los pasos esenciales de configuraci n para garantizar que CounterACT est funcionando de manera r pida y eficiente 3 CounterACT ap38v 10 38 1 63 setup Welcome Xx Welcome CounterACT NETWORK ACCESS CONTAC Welcome The Initial Setup Wizard will guide you through the steps required to configure the CounterACT Appliance License Time CounterACT Component CounterACT Appliance Mail Hostname ap3ev User Directory Domains Description ap Authentication Servers Internal Network Enforcement Mode Channels Switch Policy Inventory Finish Cancel 24 Antes de comenzar con la Configuraci n inicial Prepare la siguiente informaci n antes de trabajar con el Asistente Informaci n Valores Direcciones de servidor NTP que usa su organizaci n opcional Direcci n de IP de rel de correo interno Esto permite la entrega de correo electr nico desde CounterACT si el tr fico SMTP no est permitido desde el equipo opcional Direcci n de correo electr nico del administrador de CounterACT Designaciones de interfaz de respuesta y control definidos en el Centro de Datos Para segmentos o VLAN sin DHCP el segmento de la red o VLAN
24. traci n inicie sesi n en el equipo y ejecute el siguiente comando fstool linktest Aparecer la siguiente informaci n Estado de la interfaz de administraci n Rastreo de la informaci n de la pasarela predeterminada Estad stica de rastreo Llevando a cabo la prueba de resoluci n de nombre Resumen de la prueba Verificar la conectividad del interruptor equipo Verifique que el interruptor est correctamente conectado al equipo antes de salir del centro de datos Para hacerlo ejecute el comando stool1l ifcount en el equipo para cada interfaz detectada fstool ifcount eth0 ethl eth2 Separe cada interfaz con un espacio Esta herramienta continuamente muestra el tr fico de la red en las interfaces especificadas Funciona de dos modos por interfaz o por VLAN El modo puede cambiarse desde la pantalla Se muestran los bits totales por segundo y el porcentaje de cada una de las siguientes categor as de tr fico e La interfaz de monitoreo debe principalmente ver el tr fico reflejado por encima del 90 e La interfaz de respuesta debe ver principalmente el tr fico transmitido e La interfaz de respuesta y el monitor deben ver las VLAN esperadas Opciones de comando v se muestra en modo VLAN I se muestra en modo interfaz P se muestra lo anterior N se muestra lo siguiente q salir 21 Modo VLAN actualizar 4 eth3 14 vlans Interfaz Vlan Total transmitidas duplicadas Desde
Download Pdf Manuals
Related Search