Salam həmkarlar! StealthWatch-in yerləşdirilməsi üçün minimum tələblərə qərar verərək , məhsulun yayılmasına başlaya bilərik.
1. StealthWatch-in yerləşdirilməsi yolları
StealthWatch-ə "toxunmağın" bir neçə yolu var:
- – laboratoriya işlərinin bulud xidməti;
- bulud əsaslı: - burada cihazınızdan Netflow buluda düşəcək və StealthWatch proqramı onu orada təhlil edəcək;
- Yerli POV) - getdiyim yol, sizə 4 gün ərzində daxili lisenziyaları olan virtual maşınların 90 OVF faylı veriləcək, onları korporativ şəbəkədə xüsusi serverdə yerləşdirmək olar.
Yüklənmiş virtual maşınların çoxluğuna baxmayaraq, minimum iş konfiqurasiyası üçün yalnız 2-si kifayətdir: StealthWatch İdarəetmə Konsolu və FlowCollector. Bununla belə, Netflow-u FlowCollector-a ixrac edə bilən şəbəkə cihazı yoxdursa, FlowSensor-u da yerləşdirmək lazımdır, çünki sonuncu SPAN / RSPAN texnologiyalarından istifadə edərək Netflow-u toplamağa imkan verir.
Laboratoriya stendi kimi, daha əvvəl dediyim kimi, real şəbəkəniz fəaliyyət göstərə bilər, çünki StealthWatch-in yalnız bir nüsxəsinə, daha doğrusu, trafikin sıxılmış surətinə ehtiyacı var. Aşağıdakı rəqəm şəbəkəmi göstərir, burada Security Gateway-də Netflow Exporter-i konfiqurasiya edəcəyəm və nəticədə Netflow-u kollektora göndərəcəyəm.
Gələcək VM-lərə daxil olmaq üçün təhlükəsizlik duvarınız, əgər varsa, aşağıdakı portlara icazə verməlidir:
TCP 22 l TCP 25 l TCP 389 l TCP 443 l TCP 2393 l TCP 5222 l UDP 53 l UDP 123 l UDP 161 l UDP 162 l UDP 389 l UDP 514 UDP 2055 l UDP6343
Onların bəziləri tanınmış xidmətlərdir, bəziləri isə Cisco xidmətləri üçün qorunur.
Mənim vəziyyətimdə mən StelathWatch-i Check Point ilə eyni şəbəkədə yerləşdirdim və heç bir icazə qaydasını konfiqurasiya etməli olmadım.
2. Nümunə olaraq VMware vSphere istifadə edərək FlowCollector-un quraşdırılması
2.1. Browse klikləyin və OVF faylı1 seçin. Resursların mövcudluğunu yoxladıqdan sonra View, Inventory → Networking (Ctrl+Shift+N) menyusuna keçin.
2.2. Şəbəkə nişanında, virtual keçid parametrlərində Yeni Paylanmış port qrupunu seçin.
2.3. Adı təyin etdik, StealthWatchPortGroup olsun, qalan parametrlər ekran görüntüsündə olduğu kimi edilə bilər və Next düyməsini basın.
2.4. Finish düyməsi ilə Port Qrupunun yaradılmasını tamamlayırıq.
2.5. Yaradılmış Port Qrupunun parametrlərini port qrupuna sağ tıklayarak redaktə edəcəyik, Parametrləri redaktə et seçin. Təhlükəsizlik sekmesinde, "əxlaqsız rejimi" aktivləşdirdiyinizə əmin olun, Promiscuous Mode → Qəbul et → OK.
2.6. Nümunə olaraq, yükləmə linki GVE sorğusundan sonra Cisco mühəndisi tərəfindən göndərilmiş OVF FlowCollector-u idxal edək. VM-ni yerləşdirməyi planlaşdırdığınız hostun üzərinə sağ klikləməklə, OVF Şablonunu Yerləşdirməyi seçin. Ayrılmış yerə gəldikdə, o, 50 GB-da "başlayacaq", lakin döyüş şəraiti üçün 200 giqabayt ayırmaq tövsiyə olunur.
2.7. OVF faylının yerləşdiyi qovluğu seçin.
2.8. "Növbəti" düyməsini basırıq.
2.9. Yerləşdirdiyimiz adı və serveri göstərin.
2.10. Nəticədə aşağıdakı şəkli alırıq və "Bitir" düyməsini basın.
2.11. StealthWatch İdarəetmə Konsolunu yerləşdirmək üçün eyni addımları izləyin.
2.12. İndi siz interfeyslərdə tələb olunan şəbəkələri təyin etməlisiniz ki, FlowCollector həm SMC-ni, həm də Netflow-un ixrac ediləcəyi cihazları görə bilsin.
3. StealthWatch İdarəetmə Konsolunun işə salınması
3.1. Quraşdırılmış SMCVE maşınının konsoluna keçərək, standart olaraq giriş və parol daxil etmək üçün bir yer görəcəksiniz. sysadmin/lan1cope.
3.2. İdarəetmə elementinə gedirik, IP ünvanını və digər şəbəkə parametrlərini təyin edirik, sonra onların dəyişdirilməsini təsdiqləyirik. Cihaz yenidən başlayacaq.
3.3. Veb interfeysinə gedirik (https vasitəsilə SMC təyin etdiyiniz ünvana) və konsolu işə salırıq, standart giriş / parol admin/lan411cope.
PS: Google Chrome-da açılmır, Explorer həmişə kömək edəcəkdir.
3.4. Parolları dəyişdirdiyinizə, DNS, NTP serverlərini, domenlərini və s. təyin etdiyinizə əmin olun. Parametrlər intuitivdir.
3.5. "Tətbiq et" düyməsini basdıqdan sonra cihaz yenidən işə düşəcək. 5-7 dəqiqədən sonra bu ünvanda yenidən qoşula bilərsiniz; StealthWatch veb interfeysi vasitəsilə idarə olunacaq.
4. FlowCollector-un qurulması
4.1. Kollektorla da eynidir. Əvvəlcə CLI-də IP ünvanını, maskanı, domeni təyin edirik, sonra FC yenidən işə salınır. Bundan sonra, göstərilən ünvanda veb interfeysinə qoşula və eyni əsas konfiqurasiyanı yerinə yetirə bilərsiniz. Oxşar parametrlərə görə ətraflı ekran görüntüləri buraxılıb. Etimadnamələr daxil olmaq eyni.
4.2. Sondan əvvəlki nöqtədə SMC IP ünvanını təyin etməlisiniz, bu halda konsol cihazı görəcək, etimadnamələri daxil etməklə bu parametri təsdiq etməli olacaqsınız.
4.3. StealthWatch üçün domen seçirik, o, əvvəllər təyin edilmişdi və port 2055 - müntəzəm Netflow, əgər sFlow, port ilə işləyirsinizsə 6343.
5. Netflow İxracatçı Konfiqurasiyası
5.1. Netflow ixracatçısını konfiqurasiya etmək üçün buna istinad etməyi çox tövsiyə edirəm , burada bir çox cihazlar üçün Netflow ixracatçısını konfiqurasiya etmək üçün əsas təlimatlar verilmişdir: Cisco, Check Point, Fortinet.
5.2. Bizim vəziyyətimizdə, təkrar edirəm, biz Check Point şluzundan Netflow ixrac edirik. Netflow ixracatçısı veb-interfeysdə (Gaia Portal) adına oxşar tabda konfiqurasiya edilmişdir. Bunu etmək üçün "Əlavə et" düyməsini basın, Netflow versiyasını və tələb olunan portu göstərin.
6. StealthWatch işinin təhlili
6.1. SMC veb interfeysinə keçərək, İdarə Panelləri > Şəbəkə Təhlükəsizliyi bölməsinin ilk səhifəsində trafikin getdiyini görə bilərsiniz!
6.2. Hostların qruplara bölünməsi, fərdi interfeyslərin, onların iş yükünün monitorinqi, kollektorların idarə edilməsi və s. kimi bəzi parametrləri yalnız StealthWatch Java proqramında tapmaq olar. Əlbəttə ki, Cisco yavaş-yavaş bütün funksionallığı brauzer versiyasına köçürür və biz tezliklə belə bir masaüstü müştəridən imtina edəcəyik.
Proqramı quraşdırmaq üçün əvvəlcə quraşdırmalısınız (Mən versiya 8-i quraşdırmışam, baxmayaraq ki, 10-a qədər dəstəkləndiyini deyir) rəsmi Oracle saytından.
Yükləmək üçün idarəetmə konsolunun veb interfeysinin yuxarı sağ küncündə "Masaüstü Müştəri" düyməsini sıxmalısınız.
Siz müştərini zorla saxlayıb quraşdırırsınız, java çox güman ki, ona söyəcək, hostu java istisnalarına əlavə etməli ola bilərsiniz.
Nəticədə, ixracatçıların, interfeyslərin, hücumların və onların axınlarının yüklənməsini görmək asan olan kifayət qədər aydın müştəri açılır.
7. StealthWatch Mərkəzi İdarəetmə
7.1. Mərkəzi İdarəetmə nişanı yerləşdirilmiş StealthWatch-in bir hissəsi olan bütün cihazları ehtiva edir, məsələn: FlowCollector, FlowSensor, UDP-Director və Endpoint Concetrator. Orada şəbəkə parametrlərini və cihaz xidmətlərini, lisenziyaları idarə edə və cihazı əl ilə söndürə bilərsiniz.
Yuxarı sağ küncdəki "dişli" üzərinə klikləyərək və Mərkəzi İdarəetməni seçərək ona gedə bilərsiniz.
7.2. FlowCollector-un Cihaz Konfiqurasiyasını Redaktə et bölməsinə keçməklə siz SSH, NTP və Cihazın özü ilə bağlı digər şəbəkə parametrlərini görəcəksiniz. Getmək üçün tələb olunan cihaz üçün Fəaliyyətlər → Cihaz Konfiqurasiyasını Redaktə et seçin.
7.3. Lisenziya idarəetməsini Mərkəzi İdarəetmə > Lisenziyaları İdarə et nişanı altında da tapmaq olar. GVE tələbi halında sınaq lisenziyaları verilir 90 gün.
Məhsul getməyə hazırdır! Növbəti hissədə StealthWatch-in hücumları necə tanıya və hesabatlar yarada biləcəyinə baxacağıq.
Mənbə: www.habr.com