🥇StealthWatch: স্থাপনা এবং কনফিগারেশন। পর্ব ২

ওহে সহকর্মীরা! StealthWatch মোতায়েন করার জন্য ন্যূনতম প্রয়োজনীয়তা নির্ধারণ করে শেষ অংশ, আমরা পণ্য স্থাপন শুরু করতে পারেন.

1. স্টিলথওয়াচ স্থাপনের পদ্ধতি

স্টিলথওয়াচকে "স্পর্শ" করার বিভিন্ন উপায় রয়েছে:

ডিক্লাউড - পরীক্ষাগার কাজের জন্য ক্লাউড পরিষেবা;
ক্লাউড ভিত্তিক: স্টিলথওয়াচ ক্লাউড ফ্রি ট্রায়াল - এখানে আপনার ডিভাইস থেকে Netflow ক্লাউডে প্রবাহিত হবে এবং StealthWatch সফ্টওয়্যার দ্বারা বিশ্লেষণ করা হবে;
অন-প্রিমিস পিওভি (GVE অনুরোধ) – আমি যে পদ্ধতিটি অনুসরণ করেছি, তারা আপনাকে 4 দিনের জন্য অন্তর্নির্মিত লাইসেন্স সহ ভার্চুয়াল মেশিনের 90টি OVF ফাইল পাঠাবে, যা কর্পোরেট নেটওয়ার্কের একটি ডেডিকেটেড সার্ভারে স্থাপন করা যেতে পারে।

ডাউনলোড করা ভার্চুয়াল মেশিনের প্রাচুর্য থাকা সত্ত্বেও, ন্যূনতম কাজের কনফিগারেশনের জন্য শুধুমাত্র 2টিই যথেষ্ট: StealthWatch Management Console এবং FlowCollector. যাইহোক, যদি এমন কোন নেটওয়ার্ক ডিভাইস না থাকে যা FlowCollector-এ Netflow রপ্তানি করতে পারে, তাহলে FlowSensor স্থাপন করাও প্রয়োজন, যেহেতু পরবর্তীটি আপনাকে SPAN/RSPAN প্রযুক্তি ব্যবহার করে Netflow সংগ্রহ করতে দেয়।

যেমনটি আমি আগেই বলেছি, আপনার আসল নেটওয়ার্ক একটি পরীক্ষাগার বেঞ্চ হিসাবে কাজ করতে পারে, যেহেতু স্টিলথওয়াচের শুধুমাত্র একটি অনুলিপি প্রয়োজন, বা আরও সঠিকভাবে, ট্র্যাফিকের একটি অনুলিপির একটি স্কুইজ। নীচের ছবিটি আমার নেটওয়ার্ক দেখায়, যেখানে নিরাপত্তা গেটওয়েতে আমি নেটফ্লো এক্সপোর্টার কনফিগার করব এবং ফলস্বরূপ, সংগ্রাহকের কাছে নেটফ্লো পাঠাব।

ভবিষ্যতের ভিএম অ্যাক্সেস করতে, আপনার ফায়ারওয়ালে নিম্নলিখিত পোর্টগুলিকে অনুমতি দেওয়া উচিত, যদি আপনার কাছে থাকে:

TCP 22 l TCP 25 l TCP 389 l TCP 443 l TCP 2393 l TCP 5222 l UDP 53 l UDP 123 l UDP 161 l UDP 162 l UDP 389 l UDP 514 l U2055 l U6343DP

তাদের মধ্যে কিছু সুপরিচিত পরিষেবা, কিছু সিসকো পরিষেবাগুলির জন্য সংরক্ষিত৷
আমার ক্ষেত্রে, আমি কেবলমাত্র চেক পয়েন্টের মতো একই নেটওয়ার্কে স্টেলাথওয়াচ স্থাপন করেছি এবং কোনও অনুমতি নিয়ম কনফিগার করতে হয়নি।

2. একটি উদাহরণ হিসাবে VMware vSphere ব্যবহার করে FlowCollector ইনস্টল করা

2.1। ব্রাউজ ক্লিক করুন এবং OVF ফাইল 1 নির্বাচন করুন। সম্পদের প্রাপ্যতা পরীক্ষা করার পরে, মেনু ভিউ, ইনভেন্টরি → নেটওয়ার্কিং (Ctrl+Shift+N) এ যান।

2.2। নেটওয়ার্কিং ট্যাবে, ভার্চুয়াল সুইচ সেটিংসে নতুন বিতরণ করা পোর্ট গ্রুপ নির্বাচন করুন।

2.3। নাম সেট করুন, এটি StealthWatchPortGroup হতে দিন, বাকি সেটিংস স্ক্রিনশটের মতো করে নেক্সট ক্লিক করুন।

2.4। আমরা ফিনিশ বোতাম দিয়ে পোর্ট গ্রুপ তৈরি সম্পূর্ণ করি।

2.5। আসুন পোর্ট গ্রুপে ডান ক্লিক করে এবং সম্পাদনা সেটিংস নির্বাচন করে তৈরি করা পোর্ট গ্রুপের সেটিংস সম্পাদনা করি। সিকিউরিটি ট্যাবে, "প্রোমিসকুয়াস মোড", প্রমিসকুয়াস মোড → অ্যাকসেপ্ট → ঠিক আছে সক্ষম করতে ভুলবেন না।

2.6। একটি উদাহরণ হিসাবে, আসুন OVF FlowCollector আমদানি করি, যার ডাউনলোড লিঙ্কটি একটি GVE অনুরোধের পরে সিসকো ইঞ্জিনিয়ার দ্বারা পাঠানো হয়েছিল। আপনি যে হোস্টে VM স্থাপন করার পরিকল্পনা করছেন তার উপর ডান-ক্লিক করুন এবং OVF টেমপ্লেট স্থাপন নির্বাচন করুন। বরাদ্দকৃত স্থান সম্পর্কে, এটি 50 গিগাবাইট এ "স্টার্ট আপ" হবে, তবে যুদ্ধের অবস্থার জন্য এটি 200 গিগাবাইট বরাদ্দ করার সুপারিশ করা হয়।

2.7। ফোল্ডারটি নির্বাচন করুন যেখানে OVF ফাইলটি অবস্থিত।

2.8। "পরবর্তী" ক্লিক করুন।

2.9। আমরা নাম এবং সার্ভার নির্দেশ করি যেখানে আমরা এটি স্থাপন করি।

2.10। ফলস্বরূপ, আমরা নিম্নলিখিত ছবি পাই এবং "সমাপ্ত" ক্লিক করুন।

2.11। স্টিলথওয়াচ ম্যানেজমেন্ট কনসোল স্থাপন করতে আমরা একই পদক্ষেপগুলি অনুসরণ করি।

2.12। এখন আপনাকে ইন্টারফেসগুলিতে প্রয়োজনীয় নেটওয়ার্কগুলি নির্দিষ্ট করতে হবে যাতে FlowCollector SMC এবং যে ডিভাইসগুলি থেকে Netflow রপ্তানি করা হবে উভয়ই দেখতে পারে৷

3. স্টিলথওয়াচ ম্যানেজমেন্ট কনসোল শুরু করা হচ্ছে

3.1। ইনস্টল করা SMCVE মেশিনের কনসোলে গিয়ে, আপনি ডিফল্টরূপে আপনার লগইন এবং পাসওয়ার্ড প্রবেশ করার একটি জায়গা দেখতে পাবেন sysadmin/lan1cope.

3.2। আমরা ম্যানেজমেন্ট আইটেমটিতে যাই, আইপি ঠিকানা এবং অন্যান্য নেটওয়ার্ক প্যারামিটার সেট করি, তারপর তাদের পরিবর্তনগুলি নিশ্চিত করি। ডিভাইসটি রিবুট হবে।

3.3। ওয়েব ইন্টারফেসে যান (https এর মাধ্যমে আপনি যে ঠিকানাটি SMC এ উল্লেখ করেছেন) এবং কনসোল, ডিফল্ট লগইন/পাসওয়ার্ড শুরু করুন - admin/lan411cope.

P.S.: এটা ঘটে যে Google Chrome খুলবে না, এক্সপ্লোরার সবসময় সাহায্য করবে।

3.4। পাসওয়ার্ড পরিবর্তন করতে ভুলবেন না, DNS, NTP সার্ভার, ডোমেন ইত্যাদি সেট করুন। সেটিংস স্বজ্ঞাত.

3.5। "প্রয়োগ করুন" বোতামে ক্লিক করার পরে, ডিভাইসটি আবার রিবুট হবে। 5-7 মিনিট পরে আপনি এই ঠিকানায় আবার সংযোগ করতে পারেন; স্টিলথওয়াচ একটি ওয়েব ইন্টারফেসের মাধ্যমে পরিচালিত হবে।

4. FlowCollector সেট আপ করা

4.1। কালেক্টরের ক্ষেত্রেও তাই। প্রথমে, CLI-তে আমরা IP ঠিকানা, মাস্ক, ডোমেন উল্লেখ করি, তারপর FC রিবুট করি। তারপরে আপনি নির্দিষ্ট ঠিকানায় ওয়েব ইন্টারফেসের সাথে সংযোগ করতে পারেন এবং একই মৌলিক সেটআপ করতে পারেন। সেটিংস একই রকম হওয়ার কারণে, বিস্তারিত স্ক্রিনশট বাদ দেওয়া হয়েছে। শংসাপত্র প্রবেশ করতে একই.

4.2। শেষ পর্যায়ে, আপনাকে SMC এর IP ঠিকানা সেট করতে হবে, এই ক্ষেত্রে কনসোল ডিভাইসটি দেখতে পাবে, আপনাকে আপনার শংসাপত্রগুলি প্রবেশ করে এই সেটিংটি নিশ্চিত করতে হবে।

4.3। StealthWatch জন্য ডোমেন নির্বাচন করুন, এটি আগে সেট করা হয়েছিল, এবং পোর্ট 2055 - নিয়মিত নেটফ্লো, যদি আপনি sFlow, পোর্টের সাথে কাজ করেন 6343.

5. নেটফ্লো এক্সপোর্টার কনফিগারেশন

5.1। নেটফ্লো রপ্তানিকারক কনফিগার করতে, আমি এটির দিকে মোড় নেওয়ার সুপারিশ করছি সম্পদ , এখানে অনেক ডিভাইসের জন্য Netflow রপ্তানিকারক কনফিগার করার জন্য প্রধান গাইড রয়েছে: Cisco, Check Point, Fortinet।

5.2। আমাদের ক্ষেত্রে, আমি আবার বলছি, আমরা চেক পয়েন্ট গেটওয়ে থেকে নেটফ্লো রপ্তানি করছি। নেটফ্লো রপ্তানিকারক ওয়েব ইন্টারফেসে (গাইয়া পোর্টাল) একই নামের একটি ট্যাবে কনফিগার করা হয়েছে। এটি করতে, "যোগ করুন" এ ক্লিক করুন, নেটফ্লো সংস্করণ এবং প্রয়োজনীয় পোর্ট উল্লেখ করুন।

6. StealthWatch অপারেশন বিশ্লেষণ

6.1। এসএমসি ওয়েব ইন্টারফেসে গিয়ে ড্যাশবোর্ড > নেটওয়ার্ক সিকিউরিটির প্রথম পৃষ্ঠায় আপনি দেখতে পাবেন যে ট্রাফিক শুরু হয়েছে!

6.2। কিছু সেটিংস, উদাহরণস্বরূপ, হোস্টকে দলে ভাগ করা, পৃথক ইন্টারফেস, তাদের লোড, সংগ্রাহক পরিচালনা এবং আরও অনেক কিছু, শুধুমাত্র StealthWatch Java অ্যাপ্লিকেশনে পাওয়া যাবে। অবশ্যই, সিসকো ধীরে ধীরে ব্রাউজার সংস্করণে সমস্ত কার্যকারিতা স্থানান্তর করছে এবং আমরা শীঘ্রই এই জাতীয় ডেস্কটপ ক্লায়েন্ট পরিত্যাগ করব।

অ্যাপ্লিকেশনটি ইনস্টল করতে, আপনাকে প্রথমে ইনস্টল করতে হবে JRE (আমি সংস্করণ 8 ইনস্টল করেছি, যদিও বলা হয় যে এটি 10 পর্যন্ত সমর্থিত) অফিসিয়াল ওরাকল ওয়েবসাইট থেকে।

ম্যানেজমেন্ট কনসোলের ওয়েব ইন্টারফেসের উপরের ডানদিকে, ডাউনলোড করতে, আপনাকে অবশ্যই "ডেস্কটপ ক্লায়েন্ট" বোতামটি ক্লিক করতে হবে।

আপনি জোর করে ক্লায়েন্টটিকে সংরক্ষণ এবং ইনস্টল করেন, জাভা সম্ভবত এটিকে শপথ করবে, আপনাকে জাভা ব্যতিক্রমগুলিতে হোস্ট যুক্ত করতে হতে পারে।

ফলস্বরূপ, একটি মোটামুটি পরিষ্কার ক্লায়েন্ট প্রকাশিত হয়, যাতে রপ্তানিকারকদের লোডিং, ইন্টারফেস, আক্রমণ এবং তাদের প্রবাহ দেখতে সহজ হয়।

7. স্টিলথওয়াচ কেন্দ্রীয় ব্যবস্থাপনা

7.1। সেন্ট্রাল ম্যানেজমেন্ট ট্যাবে সমস্ত ডিভাইস রয়েছে যেগুলি স্থাপন করা StealthWatch-এর অংশ, যেমন: FlowCollector, FlowSensor, UDP-Director এবং Endpoint Concetrator৷ সেখানে আপনি নেটওয়ার্ক সেটিংস এবং ডিভাইস পরিষেবা, লাইসেন্স পরিচালনা করতে পারেন এবং ম্যানুয়ালি ডিভাইসটি বন্ধ করতে পারেন৷

আপনি উপরের ডান কোণায় "গিয়ার" এ ক্লিক করে এবং কেন্দ্রীয় ব্যবস্থাপনা নির্বাচন করে এটিতে যেতে পারেন।

7.2। FlowCollector-এ Edit Appliance Configuration-এ গিয়ে আপনি SSH, NTP এবং অ্যাপের সাথে সম্পর্কিত অন্যান্য নেটওয়ার্ক সেটিংস দেখতে পাবেন। যেতে, প্রয়োজনীয় ডিভাইসের জন্য অ্যাকশন → এডিট অ্যাপ্লায়েন্স কনফিগারেশন নির্বাচন করুন।

7.3। লাইসেন্স ম্যানেজমেন্ট সেন্ট্রাল ম্যানেজমেন্ট > ম্যানেজ লাইসেন্স ট্যাবেও পাওয়া যাবে। GVE অনুরোধের ক্ষেত্রে ট্রায়াল লাইসেন্স দেওয়া হয় 90 দিন.