Здравейте колеги! След като решихме минималните изисквания за внедряване на StealthWatch в , можем да започнем внедряването на продукта.
1. Начини за внедряване на StealthWatch
Има няколко начина да "докоснете" StealthWatch:
- – облачно обслужване на лабораторни работи;
- базиран на облак: - тук Netflow от вашето устройство ще падне в облака и софтуерът StealthWatch ще го анализира там;
- Локално POV) - както тръгнах, ще ви бъдат дадени 4 OVF файла на виртуални машини с вградени лицензи за 90 дни, които могат да бъдат разположени на специален сървър в корпоративната мрежа.
Въпреки изобилието от изтеглени виртуални машини, само 2 са достатъчни за минимална работеща конфигурация: StealthWatch Management Console и FlowCollector. Въпреки това, ако няма мрежово устройство, което може да експортира Netflow към FlowCollector, тогава е необходимо също да разположите FlowSensor, тъй като последният, използвайки технологиите SPAN / RSPAN, ви позволява да събирате Netflow.
Като лабораторен стенд, както казах по-рано, вашата истинска мрежа може да действа, тъй като StealthWatch се нуждае само от копие, или по-правилно, стиснато копие на трафика. Фигурата по-долу показва моята мрежа, където на шлюза за сигурност ще конфигурирам Netflow Exporter и в резултат на това ще изпратя Netflow към колектора.
За достъп до бъдещи виртуални машини вашата защитна стена, ако има такава, трябва да позволява следните портове:
TCP 22 l TCP 25 l TCP 389 l TCP 443 l TCP 2393 l TCP 5222 l UDP 53 l UDP 123 l UDP 161 l UDP 162 l UDP 389 l UDP 514 l UDP 2055 l UDP 6343
Някои от тях са добре познати услуги, други са запазени за услугите на Cisco.
В моя случай току-що внедрих StelathWatch в същата мрежа като Check Point и не трябваше да конфигурирам никакви правила за разрешение.
2. Инсталиране на FlowCollector с помощта на VMware vSphere като пример
2.1. Щракнете върху Преглед и изберете OVF файл1. След като проверите наличността на ресурсите, отидете в менюто Изглед, Инвентар → Мрежа (Ctrl+Shift+N).
2.2. В раздела Мрежа изберете Нова група разпределени портове в настройките на виртуалния комутатор.
2.3. Задаваме името, нека бъде StealthWatchPortGroup, останалите настройки могат да бъдат направени както на екранната снимка и щракнете върху Напред.
2.4. Завършваме създаването на Port Group с бутона Finish.
2.5. Ще редактираме настройките за създадената група портове, като щракнете с десния бутон върху групата портове, изберете Редактиране на настройките. В раздела Сигурност се уверете, че сте активирали „промискуитетен режим“, Промискуетен режим → Приемам → OK.
2.6. Като пример, нека импортираме OVF FlowCollector, чиято връзка за изтегляне беше изпратена от инженер на Cisco след GVE заявката. Като щракнете с десния бутон върху хоста, където планирате да разположите VM, изберете Разположи OVF шаблон. Що се отнася до разпределеното пространство, то ще „стартира“ от 50 GB, но за бойни условия се препоръчва да се разпределят 200 гигабайта.
2.7. Изберете папката, в която се намира OVF файлът.
2.8. Кликнете върху "Напред".
2.9. Посочете името и сървъра, където ще го разположим.
2.10. В резултат на това получаваме следната картина и натискаме "Край".
2.11. Следвайте същите стъпки, за да разположите StealthWatch Management Console.
2.12. Сега трябва да посочите необходимите мрежи в интерфейсите, така че FlowCollector да може да вижда както SMC, така и устройствата, от които ще се експортира Netflow.
3. Инициализиране на конзолата за управление StealthWatch
3.1. Отивайки до конзолата на инсталираната SMCVE машина, ще видите място за въвеждане на потребителско име и парола по подразбиране sysadmin/lan1cope.
3.2. Отиваме до елемента Управление, задаваме IP адреса и други мрежови параметри, след което потвърждаваме промяната им. Устройството ще се рестартира.
3.3. Отиваме до уеб интерфейса (чрез https до адреса, който сте задали SMC) и инициализираме конзолата, вход / парола по подразбиране е admin/lan411cope.
PS: случва се да не се отваря в Google Chrome, Explorer винаги ще помогне.
3.4. Не забравяйте да промените паролите, да зададете DNS, NTP сървъри, домейн и др. Настройките са интуитивни.
3.5. След като щракнете върху бутона "Приложи", устройството ще се рестартира отново. След 5-7 минути можете да се свържете отново на този адрес; StealthWatch ще се управлява чрез уеб интерфейс.
4. Настройване на FlowCollector
4.1. Същото е и с колектора. Първо указваме IP адреса, маската, домейна в CLI, след което FC се рестартира. След това можете да се свържете с уеб интерфейса на посочения адрес и да извършите същата основна конфигурация. Поради сходните настройки, подробните екранни снимки са пропуснати. Акредитивни писма да влезеш същото.
4.2. На предпоследната точка трябва да зададете IP адреса на SMC, в който случай конзолата ще види устройството, ще трябва да потвърдите тази настройка, като въведете идентификационни данни.
4.3. Избираме домейна за StealthWatch, той беше зададен по-рано и порта 2055 - обикновен Netflow, ако работите с sFlow, порт 6343.
5. Конфигурация на Netflow Exporter
5.1. За да конфигурирате експортера на Netflow, силно препоръчвам да се обърнете към това , тук са основните ръководства за конфигуриране на експортера на Netflow за много устройства: Cisco, Check Point, Fortinet.
5.2. В нашия случай, повтарям, ние експортираме Netflow от шлюза на Check Point. Износителят на Netflow е конфигуриран в раздел с подобно име в уеб интерфейса (Gaia Portal). За да направите това, щракнете върху „Добавяне“, посочете версията на Netflow и необходимия порт.
6. Анализ на работата на StealthWatch
6.1. Отивайки до уеб интерфейса на SMC, на първата страница на Табла за управление > Мрежова сигурност, можете да видите, че трафикът е изчезнал!
6.2. Някои настройки, като разделяне на хостове на групи, наблюдение на отделни интерфейси, тяхното натоварване, управление на колектори и други могат да бъдат намерени само в StealthWatch Java приложението. Разбира се, Cisco бавно прехвърля цялата функционалност към версията на браузъра и скоро ще изоставим такъв десктоп клиент.
За да инсталирате приложението, първо трябва да инсталирате (Инсталирах версия 8, въпреки че пише, че се поддържа до 10) от официалния сайт на Oracle.
В горния десен ъгъл на уеб интерфейса на конзолата за управление за изтегляне трябва да щракнете върху бутона "Desktop Client".
Запазвате и инсталирате клиента принудително, java най-вероятно ще го изругае, може да се наложи да добавите хост към java изключения.
В резултат на това се отваря доста ясен клиент, в който е лесно да се види зареждането на износители, интерфейси, атаки и техните потоци.
7. Централно управление на StealthWatch
7.1. Разделът за централно управление съдържа всички устройства, които са част от внедрения StealthWatch, като например: FlowCollector, FlowSensor, UDP-Director и Endpoint Concetrator. Там можете да управлявате мрежовите настройки и услугите на устройството, лицензите и ръчно да изключите устройството.
Можете да отидете до него, като щракнете върху „зъбно колело“ в горния десен ъгъл и изберете Централно управление.
7.2. Като отидете на Редактиране на конфигурацията на устройството на FlowCollector, ще видите SSH, NTP и други мрежови настройки, свързани със самото устройство. За да отидете, изберете Действия → Редактиране на конфигурацията на устройството за необходимото устройство.
7.3. Управлението на лицензите може да бъде намерено и в раздела Централно управление > Управление на лицензи. Пробните лицензи в случай на заявка за GVE са дадени на 90 дни.
Продуктът е готов за работа! В следващата част ще разгледаме как StealthWatch може да разпознава атаки и да генерира отчети.
Източник: www.habr.com