Hallo kollegas! Besluit oor die minimum vereistes vir die implementering van StealthWatch in , kan ons die produkontplooiing begin.
1. Maniere om StealthWatch te ontplooi
Daar is verskeie maniere om aan die StealthWatch te "raak":
- – wolkdiens van laboratoriumwerke;
- wolk gebaseer: - hier sal Netflow vanaf jou toestel in die wolk val en StealthWatch-sagteware sal dit daar ontleed;
- POV op die perseel) - soos ek gegaan het, sal jy vir 4 dae 90 OVF-lêers van virtuele masjiene met ingeboude lisensies kry, wat op 'n toegewyde bediener in die korporatiewe netwerk ontplooi kan word.
Ten spyte van die oorvloed van afgelaaide virtuele masjiene, is slegs 2 genoeg vir 'n minimum werkende konfigurasie: StealthWatch Management Console en FlowCollector. As daar egter geen netwerktoestel is wat Netflow na die FlowCollector kan uitvoer nie, dan is dit ook nodig om die FlowSensor te ontplooi, aangesien laasgenoemde, deur gebruik te maak van SPAN / RSPAN-tegnologie, jou toelaat om Netflow te versamel.
As 'n laboratoriumstand, soos ek vroeër gesê het, kan jou regte netwerk optree, aangesien StealthWatch net 'n kopie nodig het, of, meer korrek, 'n drukkopie van die verkeer. Die figuur hieronder wys my netwerk, waar ek op die Sekuriteitspoort die Netflow-uitvoerder sal konfigureer en as gevolg hiervan sal ek Netflow na die versamelaar stuur.
Om toegang tot toekomstige VM's te kry, moet jou firewall, indien enige, die volgende poorte toelaat:
TCP 22 l TCP 25 l TCP 389 l TCP 443 l TCP 2393 l TCP 5222 l UDP 53 l UDP 123 l UDP 161 l UDP 162 l UDP 389 l UDP 514 l UDP 2055 l UDP 6343
Sommige van hulle is bekende dienste, sommige is gereserveer vir Cisco-dienste.
In my geval het ek net StelathWatch op dieselfde netwerk as Check Point ontplooi en hoef nie enige toestemmingsreëls op te stel nie.
2. Installeer FlowCollector met VMware vSphere as voorbeeld
2.1. Klik op Blaai en kies OVF-lêer1. Nadat u die beskikbaarheid van hulpbronne nagegaan het, gaan na die kieslys View, Inventory → Networking (Ctrl+Shift+N).
2.2. In die Netwerk-oortjie, kies Nuwe verspreide poortgroep in die virtuele skakelaarinstellings.
2.3. Ons stel die naam, laat dit StealthWatchPortGroup wees, die res van die instellings kan gedoen word soos in die skermkiekie en klik Volgende.
2.4. Ons voltooi die skepping van die Port Group met die Voltooi-knoppie.
2.5. Ons sal die instellings vir die geskepde poortgroep wysig deur met die rechtermuisknop op die poortgroep te klik, kies Wysig instellings. In die Sekuriteit-oortjie, maak seker dat jy die "promiskue modus" aktiveer, Promiskue modus → Aanvaar → OK.
2.6. As 'n voorbeeld, laat ons die OVF FlowCollector invoer, waarvan die aflaaiskakel deur 'n Cisco-ingenieur gestuur is na die GVE-versoek. Deur regs te klik op die gasheer waar jy van plan is om die VM te ontplooi, kies Ontplooi OVF-sjabloon. Wat die toegewese spasie betref, sal dit by 50 GB "opstart", maar vir gevegstoestande word dit aanbeveel om 200 gigagrepe toe te ken.
2.7. Kies die gids waar die OVF-lêer geleë is.
2.8. Ons druk "Volgende".
2.9. Spesifiseer die naam en bediener waar ons dit ontplooi.
2.10. As gevolg hiervan kry ons die volgende prentjie en klik "Voltooi".
2.11. Volg dieselfde stappe om die StealthWatch Management Console te ontplooi.
2.12. Nou moet jy die vereiste netwerke in die koppelvlakke spesifiseer sodat die FlowCollector beide die SMC en die toestelle kan sien waarvandaan Netflow uitgevoer sal word.
3. Inisialiseer die StealthWatch-bestuurkonsole
3.1. As u na die konsole van die geïnstalleerde SMCVE-masjien gaan, sal u 'n plek sien om 'n login en wagwoord in te voer, by verstek sysadmin/lan1cope.
3.2. Ons gaan na die Bestuur-item, stel die IP-adres en ander netwerkparameters in, en bevestig dan hul verandering. Die toestel sal herlaai.
3.3. Ons gaan na die webkoppelvlak (via https na die adres wat u SMC ingestel het) en inisialiseer die konsole, die verstek login / wagwoord is admin/lan411cope.
NS: dit gebeur dat dit nie in Google Chrome oopmaak nie, Explorer sal altyd help.
3.4. Maak seker dat u wagwoorde verander, DNS, NTP-bedieners, domein en meer instel. Die instellings is intuïtief.
3.5. Nadat u op die "Pas toe"-knoppie geklik het, sal die toestel weer herlaai. Na 5-7 minute kan jy weer by hierdie adres koppel; StealthWatch sal deur 'n webkoppelvlak bestuur word.
4. Die opstel van die FlowCollector
4.1. Dit is dieselfde met die versamelaar. Eerstens spesifiseer ons die IP-adres, masker, domein in die CLI, dan word die FC herlaai. Daarna kan u by die gespesifiseerde adres aan die webkoppelvlak koppel en dieselfde basiese konfigurasie uitvoer. As gevolg van die soortgelyke instellings word gedetailleerde skermkiekies weggelaat. Geloofsbriewe in te gaan dieselfde.
4.2. Op die voorlaaste punt moet jy die SMC IP-adres instel, in welke geval die konsole die toestel sal sien, jy sal hierdie instelling moet bevestig deur geloofsbriewe in te voer.
4.3. Ons kies die domein vir StealthWatch, dit is vroeër ingestel, en die poort 2055 - gereelde Netflow, as jy met sFlow werk, port 6343.
5. Netflow-uitvoerder-konfigurasie
5.1. Om die Netflow-uitvoerder op te stel, beveel ek sterk aan dat u hierna verwys , hier is die hoofgidse vir die opstel van die Netflow-uitvoerder vir baie toestelle: Cisco, Check Point, Fortinet.
5.2. In ons geval, ek herhaal, voer ons Netflow uit vanaf die Check Point-poort. Die Netflow-uitvoerder is gekonfigureer in 'n soortgelyke oortjie in die webkoppelvlak (Gaia Portal). Om dit te doen, klik "Voeg by", spesifiseer die Netflow-weergawe en die vereiste poort.
6. Ontleding van die werk van StealthWatch
6.1. As u na die SMC-webkoppelvlak gaan, op die heel eerste bladsy van Dashboards > Network Security, kan u sien dat die verkeer weg is!
6.2. Sommige instellings, soos die verdeling van gashere in groepe, die monitering van individuele koppelvlakke, hul werklading, die bestuur van versamelaars, en meer, kan slegs in die StealthWatch Java-toepassing gevind word. Natuurlik dra Cisco al die funksionaliteit stadig na die blaaierweergawe oor, en ons sal binnekort so 'n rekenaarkliënt laat vaar.
Om die toepassing te installeer, moet u eers installeer (Ek het weergawe 8 geïnstalleer, hoewel dit sê dat dit tot 10 ondersteun word) vanaf die amptelike Oracle-webwerf.
In die regter boonste hoek van die webkoppelvlak van die bestuurskonsole vir aflaai, moet jy op die "Desktop Client"-knoppie klik.
Jy stoor en installeer die kliënt met geweld, java sal heel waarskynlik daaroor sweer, jy sal dalk die gasheer by java-uitsonderings moet voeg.
As gevolg hiervan maak 'n redelik duidelike kliënt oop, waarin dit maklik is om die laai van uitvoerders, koppelvlakke, aanvalle en hul vloei te sien.
7. StealthWatch Sentrale Bestuur
7.1. Die Sentrale Bestuur-oortjie bevat alle toestelle wat deel is van die ontplooide StealthWatch, soos: FlowCollector, FlowSensor, UDP-Director en Endpoint Concetrator. Daar kan jy netwerkinstellings en toesteldienste, lisensies bestuur en die toestel handmatig afskakel.
Jy kan daarnatoe gaan deur op die "rat" in die regter boonste hoek te klik en Sentrale Bestuur te kies.
7.2. Deur na die Redigeer Toestelkonfigurasie van die FlowCollector te gaan, sal jy die SSH, NTP en ander netwerkinstellings sien wat met die Toestel self verband hou. Om te gaan, kies Aksies → Wysig toestelkonfigurasie vir die vereiste toestel.
7.3. Lisensiebestuur kan ook gevind word onder die Sentrale Bestuur > Bestuur lisensies-oortjie. Proeflisensies in die geval van GVE-versoek word gegee op 90 dae.
Die produk is gereed om te gaan! In die volgende deel sal ons kyk hoe StealthWatch aanvalle kan herken en verslae kan genereer.
Bron: will.com