Добры дзень, калегі! Вызначыўшыся з мінімальнымі патрабаваннямі для разгортвання StealthWatch у , мы можам пачаць разгортванне прадукта.
1. Спосабы разгортвання StealthWatch
Існуе некалькі спосабаў "пакратаць" StealthWatch:
- - хмарны сэрвіс лабараторных работ;
- Cloud Based: – тут Netflow з вашага прылады пасыплецца ў воблака і будзе там аналізавацца ПЗ StealthWatch;
- On-premise POV () - спосаб, па якім пайшоў я, вам скінуць 4 OVF файла віртуальных машын з убудаванымі ліцэнзіямі на 90 дзён, якія можна разгарнуць на выдзеленым серверы ў карпаратыўнай сетцы.
Нягледзячы на багацце спампаваных віртуалак, для мінімальнай працоўнай канфігурацыі досыць толькі 2: StealthWatch Management Console і FlowCollector. Аднак калі няма сеткавай прылады, якое можа экспартаваць Netflow на FlowCollector, тое неабходна разгарнуць яшчэ і FlowSensor, бо апошні з дапамогай SPAN/RSPAN тэхналогій дазваляе збіраць Netflow.
У якасці лабараторнага стэнда, як я ўжо казаў раней, можа выступаць ваша рэальная сетка, бо StealthWatch патрэбна толькі копія, ці, правільней кажучы, выцісканне копіі трафіку. На малюнку ніжэй прадстаўлена мая сетка, дзе на шлюзе бяспекі я сканфігурую Netflow Exporter і, у выніку, буду пасылаць Netflow на калектар.
Для доступу да будучых VM, на вашым фаервале, калі такі маецца, варта дазволіць наступныя порты:
TCP 22 l TCP 25 l TCP 389 l TCP 443 l TCP 2393 l TCP 5222 l UDP 53 l UDP 123 l UDP 161 l UDP 162 l UDP 389 l UDP 514 l UDP 2055 l UDP 6343
Некаторыя з іх – агульнавядомыя сэрвісы, некаторыя зарэзерваваны пад службы Cisco.
У маім выпадку я проста разгарнуў StelathWatch у той жа сетцы, што і Check Point, і ніякіх правіл на дазволы канфігураваць не прыйшлося.
2. Усталёўка FlowCollector на прыкладзе VMware vSphere
2.1. Націсніце Browse і вылучыце OVF файл1. Праверыўшы даступнасць рэсурсаў, перайдзіце ў меню View, Inventory → Networking (Ctrl+Shift+N).
2.2. Ва ўкладцы Networking, выбіраемы ў наладах віртуальнага свіча New Distributed port group.
2.3. Задаем імя, хай будзе StealthWatchPortGroup, астатнія наладкі можна зрабіць як на скрыншоце і націскаем Next.
2.4. Завяршаем стварэнне Port Group кнопкай Finish.
2.5. У створанай Port Group падрэдагуем налады, націснуўшы правай клавішай мышы на порт групу, выбіраемы Edit Settings. Ва ўкладцы Security абавязкова ўключаем "неразборлівы рэжым", Promiscuous Mode → Accept → OK.
2.6. У якасці прыкладу імпартуемы OVF FlowCollector, спасылку на запампоўку якога даслаў інжынер Cisco пасля GVE запыту. Націснуўшы правай клавішай мышы на хост, на якім вы плануеце разгарнуць VM, выбіраемы Deploy OVF Template. Датычна вылучанага месца, на 50 GB ён "завядзецца", але для баявых умоў рэкамендуецца вылучаць гігабайт 200.
2.7. Выбіраемы тэчку, дзе ляжыць OVF файл.
2.8. Націскаем "Далей".
2.9. Указваем імя і сервер, дзе мы гэта разгортваем.
2.10. У выніку атрымліваем наступную карціну і націскаем "Finish".
2.11. Выконваем тыя ж самыя крокі, для разгортвання StealthWatch Management Console.
2.12. Цяпер варта паказаць неабходныя сеткі ў інтэрфейсах, каб FlowCollector бачыў як SMC, так і прылады, з якіх будзе экспартавацца Netflow.
3. Ініцыялізацыя StealthWatch Management Console
3.1. Пяройдучы ў кансоль усталяванай машыны SMCVE, вы ўбачыце месца для ўводу лагіна і пароля, па змаўчанні sysadmin/lan1cope.
3.2. Заходзім у пункт Management, задаём IP-адрас і іншыя сеткавыя параметры, затым пацвярджаем іх змену. Прылада перазагрузіцца.
3.3. Пераходзім у вэб-інтэрфейс (па https на той адрас, які вы задалі SMC) і праініцыялізаваць кансоль, лагін/пароль па змаўчанні admin/lan411cope.
PS: бывае, што ў Google Chrome не адчыняецца, Explorer заўсёды выручыць.
3.4. Абавязкова мяняем паролі, задаём DNS, NTP серверы, дамен і іншае. Налады інтуітыўна зразумелыя.
3.5. Пасля націску кнопкі "Apply" прылада зноў перазагрузіцца. Праз 5-7 хвілін можна падлучыць яшчэ раз па гэтым адрасе; кіраванне StealthWatch будзе ажыццяўляцца праз вэб-інтэрфейс.
4. Настройка FlowCollector
4.1. З калектарам усё тое ж самае. Перш у CLI паказваем IP-адрас, маску, дамен, далей FC перазагружаецца. Пасля можна падлучыцца да вэб-інтэрфейсу па зададзеным адрасе і правесці такую ж базавую наладу. У сувязі з тым, што налады падобныя, падрабязныя скрыншоты апускаюцца. Уліковыя дадзеныя для ўваходу такія ж.
4.2. На перадапошнім пункце неабходна задаць IP-адрас SMC, у гэтым выпадку кансоль будзе бачыць прыладу, пацвердзіць гэтую наладу давядзецца ўводам уліковых дадзеных.
4.3. Выбіраемы дамен для StealthWatch, ён быў зададзены раней, і порт 2055 – звычайны Netflow, калі працуеце з sFlow, порт 6343.
5. Канфігурацыя Netflow Exporter
5.1. Для наладкі экспарцёра Netflow настойліва рэкамендую звярнуцца да гэтага , тут асноўныя гайды для канфігурацыі Netflow экспарцёра для многіх прылад: Cisco, Check Point, Fortinet.
5.2. У нашым выпадку, я паўтаруся, мы экспартуем Netflow са шлюза Check Point. Налада Netflow exporter вырабляецца ў падобнай па назове ўкладцы ў вэб-інтэрфейсе (Gaia Portal). Для гэтага варта націснуць "Add", паказаць версію Netflow і неабходны порт.
6. Аналіз працы StealthWatch
6.1. Пяройдучы ў вэб-інтэрфейс SMC, на першай жа старонцы Dashboards > Network Security відаць, што трафік пайшоў!
6.2. Некаторыя налады, напрыклад, разбіццё хастоў па групах, маніторынг асобных інтэрфейсаў, іх загружанасць, кіраванне калектарамі і іншае можна знайсці толькі ў Java дадатку StealthWatch. Зразумела, Cisco паволі пераносіць увесь функцыянал у браузерную версію і хутка ад такога дэсктопнага кліента мы адмовімся.
Для ўстаноўкі прыкладання, папярэдне варта паставіць (я ставіў версію 8, хаця гаворыцца, што падтрымліваецца аж да 10) з афіцыйнага сайта Oracle.
У правым верхнім куце вэб-інтэрфейсу кансолі кіравання для запампоўкі неабходна націснуць кнопку "Desktop Client".
Вы захоўваеце і ўсталёўваеце кліент прымусова, java хутчэй за ўсё будзе лаяцца на яго, магчыма запатрабуецца занесці хост у java выключэнні.
У выніку погляду адкрываецца даволі зразумелы кліент, у якім лёгка паглядзець загрузку экспарцёраў, інтэрфейсаў, напады і іх струмені.
7. StealthWatch Central Management
7.1. Ва ўкладцы Central Management знаходзяцца ўсе прылады, якія з'яўляюцца часткай разгорнутага StealthWatch, такія як: FlowCollector, FlowSensor, UDP-Director і Endpoint Concetrator. Там можна кіраваць сеткавымі наладамі і службамі прылад, ліцэнзіямі і мануальна выключыць прыладу.
Перайсці ў яе можна націснуўшы на шасцярэньку у правым верхнім куце і выбраўшы Central Management.
7.2. Пяройдучы ў Edit Appliance Configuration у FlowCollector, вы ўбачыце налады SSH, NTP і іншыя сеткавыя налады, якія тычацца непасрэдна апплайнса. Каб перайсці варта абраць Actions → Edit Appliance Configuration у неабходнай прылады.
7.3. Мэнэджмент ліцэнзіямі таксама можна знайсці, ва ўкладцы Central Management > Manage Licences. Трыяльныя ліцэнзіі ў выпадку GVE запыту даюцца на 90 дзён.
Прадукт гатовы да працы! У наступнай частцы мы разгледзім, як StealthWatch можа распазнаваць напады і генераваць справаздачы.
Крыніца: habr.com