Zdravo kolege! Odlučivši se o minimalnim zahtjevima za implementaciju StealthWatcha u , možemo započeti uvođenje proizvoda.
1. Načini implementacije StealthWatch-a
Postoji nekoliko načina da "dodirnete" StealthWatch:
- – cloud servis laboratorijskih radova;
- baziran na oblaku: - ovdje će Netflow sa vašeg uređaja pasti u oblak i StealthWatch softver će ga analizirati tamo;
- POV na lokaciji) - kako sam išao, dobićete 4 OVF fajla virtuelnih mašina sa ugrađenim licencama na 90 dana, koji se mogu postaviti na namenski server u korporativnoj mreži.
Uprkos obilju preuzetih virtuelnih mašina, samo 2 su dovoljne za minimalnu radnu konfiguraciju: StealthWatch Management Console i FlowCollector. Međutim, ako ne postoji mrežni uređaj koji može izvesti Netflow u FlowCollector, tada je potrebno i implementirati FlowSensor, budući da vam ovaj drugi, koristeći SPAN / RSPAN tehnologije, omogućava prikupljanje Netflowa.
Kao laboratorijsko postolje, kao što sam ranije rekao, vaša stvarna mreža može djelovati, jer StealthWatchu treba samo kopija, ili, tačnije, stisnuta kopija saobraćaja. Slika ispod prikazuje moju mrežu, gdje ću na sigurnosnom prolazu konfigurirati Netflow Exporter i, kao rezultat, poslati Netflow kolektoru.
Za pristup budućim VM-ovima, vaš firewall, ako postoji, bi trebao dozvoliti sljedeće portove:
TCP 22 l TCP 25 l TCP 389 l TCP 443 l TCP 2393 l TCP 5222 l UDP 53 l UDP 123 l UDP 161 l UDP 162 l UDP 389 l UDP 514 l UDP 2055 l UDP 6343 l UDP XNUMX
Neki od njih su dobro poznati servisi, neki su rezervisani za Cisco usluge.
U mom slučaju, upravo sam postavio StelathWatch na istoj mreži kao Check Point i nisam morao da konfigurišem nikakva pravila dozvole.
2. Instaliranje FlowCollector-a koristeći VMware vSphere kao primjer
2.1. Kliknite na Browse i odaberite OVF file1. Nakon što provjerite dostupnost resursa, idite na meni Pogled, Inventar → Umrežavanje (Ctrl+Shift+N).
2.2. Na kartici Umrežavanje izaberite grupu Novi distribuirani port u postavkama virtuelnog prekidača.
2.3. Postavljamo ime, neka bude StealthWatchPortGroup, ostala podešavanja se mogu izvršiti kao na snimku ekrana i kliknuti na Next.
2.4. Dovršavamo kreiranje grupe portova tipkom Završi.
2.5. Uredit ćemo postavke za kreiranu grupu portova tako što ćemo desnim klikom na grupu portova odabrati Uredi postavke. U kartici Sigurnost, obavezno omogućite "promiskuitetni način", Promiskuitetni način → Prihvati → OK.
2.6. Kao primjer, uvezimo OVF FlowCollector, čiju je vezu za preuzimanje poslao Cisco inženjer nakon GVE zahtjeva. Desnim klikom miša na host gdje planirate implementirati VM, odaberite Deploy OVF Template. Što se tiče dodijeljenog prostora, “start će” na 50 GB, ali za borbene uslove preporučljivo je izdvojiti 200 gigabajta.
2.7. Odaberite fasciklu u kojoj se nalazi OVF datoteka.
2.8. Kliknite na "Dalje".
2.9. Navedite ime i server na kojem ga postavljamo.
2.10. Kao rezultat, dobijamo sljedeću sliku i kliknemo "Završi".
2.11. Slijedite iste korake da biste implementirali StealthWatch Management Console.
2.12. Sada morate odrediti potrebne mreže u sučeljima tako da FlowCollector može vidjeti i SMC i uređaje sa kojih će Netflow biti izvezen.
3. Inicijalizacija StealthWatch upravljačke konzole
3.1. Odlaskom na konzolu instalirane SMCVE mašine, vidjet ćete mjesto za unos login i lozinke, prema zadanim postavkama sysadmin/lan1cope.
3.2. Idemo na stavku Upravljanje, postavljamo IP adresu i druge mrežne parametre, a zatim potvrđujemo njihovu promjenu. Uređaj će se ponovo pokrenuti.
3.3. Idemo na web sučelje (preko https na adresu koju ste postavili SMC) i inicijaliziramo konzolu, zadana prijava/lozinka je admin/lan411cope.
PS: desi se da se ne otvori u Google Chromeu, Explorer će uvijek pomoći.
3.4. Obavezno promijenite lozinke, postavite DNS, NTP servere, domenu i još mnogo toga. Postavke su intuitivne.
3.5. Nakon što kliknete na dugme "Primijeni", uređaj će se ponovo pokrenuti. Nakon 5-7 minuta, možete se ponovo povezati na ovoj adresi; StealthWatch-om će se upravljati preko web interfejsa.
4. Postavljanje FlowCollector-a
4.1. Isto je i sa kolektorom. Prvo, specificiramo IP adresu, masku, domenu u CLI, a zatim se FC ponovo pokreće. Nakon toga, možete se povezati na web sučelje na navedenoj adresi i izvršiti istu osnovnu konfiguraciju. Zbog sličnih postavki, detaljni snimci ekrana su izostavljeni. Akreditivi ući isto.
4.2. Na pretposljednjoj tački, morate postaviti SMC IP adresu, u kom slučaju će konzola vidjeti uređaj, morat ćete potvrditi ovu postavku unosom akreditiva.
4.3. Odabiremo domenu za StealthWatch, koja je ranije postavljena, i port 2055 - običan Netflow, ako radite sa sFlow, port 6343.
5. Konfiguracija Netflow Exportera
5.1. Da biste konfigurisali Netflow izvoznik, toplo preporučujem da se pozovete na ovo , evo glavnih vodiča za konfigurisanje Netflow izvoznika za mnoge uređaje: Cisco, Check Point, Fortinet.
5.2. U našem slučaju, ponavljam, izvozimo Netflow sa Check Point gatewaya. Netflow izvoznik je konfigurisan u kartici sličnog imena u web interfejsu (Gaia Portal). Da biste to učinili, kliknite na "Dodaj", navedite verziju Netflowa i potreban port.
6. Analiza rada StealthWatch-a
6.1. Odlaskom na SMC web sučelje, na prvoj stranici Dashboards > Network Security, možete vidjeti da je promet nestao!
6.2. Neka podešavanja, kao što je podela hostova u grupe, nadgledanje pojedinačnih interfejsa, njihovog radnog opterećenja, upravljanje kolektorima i drugo mogu se naći samo u StealthWatch Java aplikaciji. Naravno, Cisco polako prenosi svu funkcionalnost na verziju pretraživača, a mi ćemo uskoro napustiti takav desktop klijent.
Da biste instalirali aplikaciju, prvo morate instalirati (Instalirao sam verziju 8, iako piše da je podržana do 10) sa službene Oracle web stranice.
U gornjem desnom uglu web interfejsa upravljačke konzole za preuzimanje morate kliknuti na dugme "Desktop Client".
Spremite i instalirate klijenta nasilno, java će ga najvjerovatnije opsovati, možda ćete morati dodati host u java izuzetke.
Kao rezultat, otvara se prilično jasan klijent u kojem je lako vidjeti učitavanje izvoznika, interfejsa, napada i njihovih tokova.
7. Centralno upravljanje StealthWatch-om
7.1. Kartica Centralno upravljanje sadrži sve uređaje koji su dio primijenjenog StealthWatch-a, kao što su: FlowCollector, FlowSensor, UDP-Director i Endpoint Concetrator. Tamo možete upravljati mrežnim postavkama i uslugama uređaja, licencama i ručno isključiti uređaj.
Do njega možete doći klikom na "zupčanik" u gornjem desnom uglu i odabirom Centralnog upravljanja.
7.2. Odlaskom na Uredi konfiguraciju uređaja za FlowCollector, vidjet ćete SSH, NTP i druge mrežne postavke povezane sa samim uređajem. Da biste otišli, izaberite Akcije → Uredi konfiguraciju uređaja za traženi uređaj.
7.3. Upravljanje licencama se također može naći na kartici Centralno upravljanje > Upravljanje licencama. Probne dozvole u slučaju GVE zahtjeva se daju na 90 dana.
Proizvod je spreman za upotrebu! U sljedećem dijelu ćemo pogledati kako StealthWatch može prepoznati napade i generirati izvještaje.
izvor: www.habr.com