مرحبا زملائي! بعد أن قررت الحد الأدنى من متطلبات نشر StealthWatch في ، يمكننا بدء طرح المنتج.
1. طرق لنشر StealthWatch
هناك عدة طرق "للمس" StealthWatch:
- - الخدمة السحابية للأعمال المختبرية ؛
- قائم على السحابة: - هنا سيقع Netflow من جهازك في السحابة وسيقوم برنامج StealthWatch بتحليله هناك ؛
- في مكان العمل POV) - بالطريقة التي ذهبت بها ، ستحصل على 4 ملفات OVF للأجهزة الافتراضية مع تراخيص مدمجة لمدة 90 يومًا ، والتي يمكن نشرها على خادم مخصص في شبكة الشركة.
على الرغم من وفرة الأجهزة الافتراضية التي تم تنزيلها ، فإن جهازين فقط يكفيان للحد الأدنى من تكوين العمل: StealthWatch Management Console و FlowCollector. ومع ذلك ، إذا لم يكن هناك جهاز شبكة يمكنه تصدير Netflow إلى FlowCollector ، فمن الضروري أيضًا نشر FlowSensor ، نظرًا لأن الأخير ، باستخدام تقنيات SPAN / RSPAN ، يسمح لك بجمع Netflow.
كحامل معمل ، كما قلت سابقًا ، يمكن لشبكتك الحقيقية أن تعمل ، لأن StealthWatch يحتاج فقط إلى نسخة ، أو بشكل صحيح ، نسخة ضغط من حركة المرور. يوضح الشكل أدناه شبكتي ، حيث سأقوم على بوابة الأمان بتكوين Netflow Exporter ، ونتيجة لذلك ، سأرسل Netflow إلى المجمع.
للوصول إلى أجهزة افتراضية مستقبلية ، يجب أن يسمح جدار الحماية الخاص بك ، إن وجد ، بالمنافذ التالية:
TCP 22 لتر TCP 25 لتر TCP 389 لتر TCP 443 لتر TCP 2393 لتر TCP 5222 لتر UDP 53 لتر UDP 123 لتر UDP 161 لتر UDP 162 لتر UDP 389 لتر UDP 514 لتر UDP 2055 لتر UDP 6343
بعضها خدمات معروفة ، وبعضها محجوز لخدمات Cisco.
في حالتي ، قمت للتو بنشر StelathWatch على نفس الشبكة مثل Check Point ولم أضطر إلى تكوين أي قواعد إذن.
2. تثبيت FlowCollector باستخدام برنامج VMware vSphere كمثال
2.1. انقر فوق استعراض وحدد ملف OVF1. بعد التحقق من توفر الموارد ، انتقل إلى القائمة عرض ، الجرد ← الشبكات (Ctrl + Shift + N).
2.2. في علامة التبويب "الشبكة" ، حدد مجموعة المنافذ الموزعة الجديدة في إعدادات المحول الظاهري.
2.3 قمنا بتعيين الاسم ، فليكن StealthWatchPortGroup ، ويمكن إجراء باقي الإعدادات كما في لقطة الشاشة والنقر فوق التالي.
2.4 نكمل إنشاء Port Group بالزر Finish.
2.5 سنقوم بتحرير الإعدادات الخاصة بمجموعة المنفذ التي تم إنشاؤها عن طريق النقر بزر الماوس الأيمن على مجموعة المنفذ ، وتحديد تحرير الإعدادات. في علامة التبويب الأمان ، تأكد من تمكين "الوضع المختلط" ، الوضع المختلط ← قبول ← موافق.
2.6. على سبيل المثال ، دعنا نستورد OVF FlowCollector ، الذي تم إرسال رابط التنزيل من قبل مهندس Cisco بعد طلب GVE. بالنقر بزر الماوس الأيمن على المضيف حيث تخطط لنشر الجهاز الظاهري ، حدد نشر قالب OVF. فيما يتعلق بالمساحة المخصصة ، سيتم "بدء التشغيل" عند 50 جيجا بايت ، لكن لظروف القتال يوصى بتخصيص 200 جيجا بايت.
2.7. حدد المجلد الذي يوجد به ملف OVF.
2.8. انقر فوق {التالي".
2.9 حدد الاسم والخادم حيث نقوم بنشره.
2.10. نتيجة لذلك ، نحصل على الصورة التالية ونضغط على "إنهاء".
2.11. اتبع نفس الخطوات لنشر StealthWatch Management Console.
2.12. أنت الآن بحاجة إلى تحديد الشبكات المطلوبة في الواجهات حتى يتمكن FlowCollector من رؤية SMC والأجهزة التي سيتم تصدير Netflow منها.
3. تهيئة StealthWatch Management Console
3.1. بالانتقال إلى وحدة التحكم الخاصة بجهاز SMCVE المثبت ، سترى مكانًا لإدخال تسجيل الدخول وكلمة المرور ، افتراضيًا مسؤول النظام / lan1cope.
3.2 ننتقل إلى عنصر الإدارة ، ونضبط عنوان IP ومعلمات الشبكة الأخرى ، ثم نؤكد تغييرها. سيتم إعادة تشغيل الجهاز.
3.3 نذهب إلى واجهة الويب (عبر https إلى العنوان الذي قمت بتعيين SMC) وتهيئة وحدة التحكم ، وتسجيل الدخول / كلمة المرور الافتراضية هي admin / lan411cope.
ملاحظة: إذا لم يتم فتحه في Google Chrome ، فسيساعدك Explorer دائمًا.
3.4. تأكد من تغيير كلمات المرور وتعيين DNS وخوادم NTP والمجال والمزيد. الإعدادات بديهية.
3.5 بعد النقر فوق الزر "تطبيق" ، سيتم إعادة تشغيل الجهاز مرة أخرى. بعد 5-7 دقائق ، يمكنك الاتصال مرة أخرى على هذا العنوان ؛ ستتم إدارة StealthWatch من خلال واجهة ويب.
4. إعداد FlowCollector
4.1 إنه نفس الشيء مع المجمع. أولاً ، نحدد عنوان IP ، والقناع ، والمجال في CLI ، ثم يتم إعادة تشغيل FC. بعد ذلك ، يمكنك الاتصال بواجهة الويب على العنوان المحدد وإجراء نفس التكوين الأساسي. نظرًا للإعدادات المماثلة ، تم حذف لقطات الشاشة التفصيلية. أوراق اعتماد للدخول نفس الشيء.
4.2 في النقطة قبل الأخيرة ، يجب عليك تعيين عنوان SMC IP ، وفي هذه الحالة سترى وحدة التحكم الجهاز ، سيتعين عليك تأكيد هذا الإعداد عن طريق إدخال بيانات الاعتماد.
4.3 نختار المجال لـ StealthWatch ، وقد تم تعيينه مسبقًا والمنفذ 2055 - Netflow منتظم ، إذا كنت تعمل مع منفذ sFlow 6343.
5. تكوين مصدر Netflow
5.1 لتكوين برنامج تصدير Netflow ، أوصي بشدة بالرجوع إلى هذا ، فيما يلي الأدلة الرئيسية لتكوين مصدر Netflow للعديد من الأجهزة: Cisco و Check Point و Fortinet.
5.2 في حالتنا ، أكرر ، نقوم بتصدير Netflow من بوابة Check Point. تم تكوين مُصدِّر Netflow في علامة تبويب مماثلة في الاسم في واجهة الويب (Gaia Portal). للقيام بذلك ، انقر فوق "إضافة" ، وحدد إصدار Netflow والمنفذ المطلوب.
6. تحليل عمل StealthWatch
6.1 بالانتقال إلى واجهة الويب SMC ، في الصفحة الأولى من لوحات المعلومات> أمان الشبكة ، يمكنك أن ترى أن حركة المرور قد اختفت!
6.2 يمكن العثور على بعض الإعدادات ، مثل تقسيم المضيفين إلى مجموعات ، ومراقبة الواجهات الفردية ، وعبء العمل ، وإدارة المجمعات ، والمزيد فقط في تطبيق StealthWatch Java. بالطبع ، تقوم Cisco بنقل جميع الوظائف ببطء إلى إصدار المتصفح ، وسنتخلى قريبًا عن عميل سطح المكتب هذا.
لتثبيت التطبيق ، يجب عليك أولاً التثبيت (لقد قمت بتثبيت الإصدار 8 ، على الرغم من أنه يشير إلى أنه مدعوم حتى 10) من موقع Oracle الرسمي.
في الزاوية العلوية اليمنى من واجهة الويب لوحدة التحكم الإدارية للتنزيل ، يجب النقر فوق الزر "عميل سطح المكتب".
تقوم بحفظ العميل وتثبيته بالقوة ، من المرجح أن تقسم جافا عليه ، قد تحتاج إلى إضافة المضيف إلى استثناءات جافا.
نتيجة لذلك ، يفتح عميل واضح إلى حد ما ، حيث يسهل رؤية تحميل المصدرين والواجهات والهجمات وتدفقاتها.
7. StealthWatch الإدارة المركزية
7.1 تحتوي علامة التبويب "الإدارة المركزية" على جميع الأجهزة التي تعد جزءًا من StealthWatch المنتشرة ، مثل: FlowCollector و FlowSensor و UDP-Director و Endpoint Concetrator. هناك يمكنك إدارة إعدادات الشبكة وخدمات الجهاز والتراخيص وإيقاف تشغيل الجهاز يدويًا.
يمكنك الذهاب إليه من خلال النقر على "الترس" في الزاوية اليمنى العليا واختيار الإدارة المركزية.
7.2 بالانتقال إلى تحرير تكوين الجهاز لـ FlowCollector ، سترى SSH و NTP وإعدادات الشبكة الأخرى المتعلقة بالجهاز نفسه. للذهاب ، حدد الإجراءات → تحرير تكوين الجهاز للجهاز المطلوب.
7.3. يمكن أيضًا العثور على إدارة الترخيص ضمن علامة التبويب "الإدارة المركزية"> "إدارة التراخيص". يتم تقديم التراخيص التجريبية في حالة طلب GVE 90 дней.
المنتج جاهز للعمل! في الجزء التالي ، سننظر في كيفية تمكن StealthWatch من التعرف على الهجمات وإنشاء التقارير.
المصدر: www.habr.com