Hola companys! Havent determinat els requisits mínims per desplegar StealthWatch a , podem començar a desplegar el producte.
1. Mètodes per desplegar StealthWatch
Hi ha diverses maneres de "tocar" el StealthWatch:
- – Servei al núvol per a treballs de laboratori;
- Basat en núvol: – aquí Netflow des del vostre dispositiu fluirà al núvol i allí serà analitzat pel programari StealthWatch;
- Punt de vista local () – el mètode que vaig seguir, us enviaran 4 fitxers OVF de màquines virtuals amb llicències integrades durant 90 dies, que es poden desplegar en un servidor dedicat a la xarxa corporativa.
Malgrat l'abundància de màquines virtuals descarregades, per a una configuració mínima de treball només n'hi ha prou amb 2: StealthWatch Management Console i FlowCollector. Tanmateix, si no hi ha cap dispositiu de xarxa que pugui exportar Netflow a FlowCollector, també és necessari desplegar FlowSensor, ja que aquest últim permet recollir Netflow mitjançant tecnologies SPAN/RSPAN.
Com he dit abans, la vostra xarxa real pot actuar com un banc de laboratori, ja que StealthWatch només necessita una còpia o, més correctament, una còpia del trànsit. La imatge següent mostra la meva xarxa, on a la passarel·la de seguretat configuraré el Netflow Exporter i, com a resultat, enviaré Netflow al col·lector.
Per accedir a futures VM, s'han de permetre els ports següents al vostre tallafoc, si en teniu un:
TCP 22 l TCP 25 l TCP 389 l TCP 443 l TCP 2393 l TCP 5222 l UDP 53 l UDP 123 l UDP 161 l UDP 162 l UDP 389 l UDP 514 l UDP 2055 l UDP 6343
Alguns d'ells són serveis coneguts, alguns estan reservats per als serveis de Cisco.
En el meu cas, simplement vaig desplegar StelathWatch a la mateixa xarxa que Check Point i no vaig haver de configurar cap regla de permís.
2. Instal·lació de FlowCollector utilitzant VMware vSphere com a exemple
2.1. Feu clic a Examinar i seleccioneu Fitxer OVF1. Després de comprovar la disponibilitat dels recursos, aneu al menú Visualització, Inventari → Xarxes (Ctrl+Maj+N).
2.2. A la pestanya Xarxa, seleccioneu Nou grup de ports distribuïts a la configuració del commutador virtual.
2.3. Establiu el nom, deixeu que sigui StealthWatchPortGroup, la resta de la configuració es pot fer com a la captura de pantalla i feu clic a Següent.
2.4. Completem la creació del Grup de Ports amb el botó Finalitzar.
2.5. Editem la configuració del grup de ports creat fent clic amb el botó dret al grup de ports i seleccionant Edita la configuració. A la pestanya Seguretat, assegureu-vos d'habilitar el "mode promiscu", Mode promiscu → Acceptar → D'acord.
2.6. Com a exemple, importem OVF FlowCollector, l'enllaç de descàrrega del qual va ser enviat per un enginyer de Cisco després d'una sol·licitud GVE. Feu clic amb el botó dret a l'amfitrió on voleu desplegar la màquina virtual i seleccioneu Desplega la plantilla OVF. Pel que fa a l'espai assignat, "iniciarà" a 50 GB, però per a condicions de combat es recomana assignar 200 gigabytes.
2.7. Seleccioneu la carpeta on es troba el fitxer OVF.
2.8. Feu clic a "Següent".
2.9. Indiquem el nom i el servidor on el despleguem.
2.10. Com a resultat, obtenim la següent imatge i fem clic a "Finalitzar".
2.11. Seguim els mateixos passos per desplegar la Consola de gestió de StealthWatch.
2.12. Ara heu d'especificar les xarxes necessàries a les interfícies perquè el FlowCollector vegi tant l'SMC com els dispositius des dels quals s'exportarà el Netflow.
3. Inicialització de la consola de gestió de StealthWatch
3.1. En anar a la consola de la màquina SMCVE instal·lada, veureu un lloc per introduir el vostre inici de sessió i contrasenya, per defecte sysadmin/lan1cope.
3.2. Anem a l'element Gestió, establim l'adreça IP i altres paràmetres de xarxa i, a continuació, confirmem els seus canvis. El dispositiu es reiniciarà.
3.3. Aneu a la interfície web (mitjançant https a l'adreça que heu especificat a SMC) i inicialitzeu la consola, inici de sessió/contrasenya per defecte - admin/lan411cope.
PD: passa que no s'obre a Google Chrome, Explorer sempre ajudarà.
3.4. Assegureu-vos de canviar les contrasenyes, configurar DNS, servidors NTP, domini, etc. La configuració és intuïtiva.
3.5. Després de fer clic al botó "Aplica", el dispositiu es reiniciarà de nou. Després de 5-7 minuts, us podeu tornar a connectar a aquesta adreça; StealthWatch es gestionarà mitjançant una interfície web.
4. Configuració de FlowCollector
4.1. Amb el col·leccionista passa el mateix. En primer lloc, a la CLI especifiquem l'adreça IP, la màscara, el domini i després el FC es reinicia. A continuació, podeu connectar-vos a la interfície web a l'adreça especificada i dur a terme la mateixa configuració bàsica. A causa del fet que la configuració és similar, s'ometen captures de pantalla detallades. Credencials entrar el mateix.
4.2. En el penúltim punt, cal configurar l'adreça IP de l'SMC, en aquest cas la consola veurà el dispositiu, hauràs de confirmar aquesta configuració introduint les teves credencials.
4.3. Seleccioneu el domini per a StealthWatch, s'ha configurat anteriorment i el port 2055 – Netflow normal, si esteu treballant amb sFlow, port 6343.
5. Configuració de Netflow Exporter
5.1. Per configurar l'exportador de Netflow, us recomano que us feu servir , aquí teniu les guies principals per configurar l'exportador Netflow per a molts dispositius: Cisco, Check Point, Fortinet.
5.2. En el nostre cas, repeteixo, estem exportant Netflow des de la passarel·la Check Point. L'exportador de Netflow es configura en una pestanya del mateix nom a la interfície web (Gaia Portal). Per fer-ho, feu clic a "Afegeix", especifiqueu la versió de Netflow i el port necessari.
6. Anàlisi del funcionament de StealthWatch
6.1. Anant a la interfície web de l'SMC, a la primera pàgina de Dashboards > Network Security podeu veure que el trànsit ha començat!
6.2. Alguns paràmetres, per exemple, dividir els amfitrions en grups, supervisar interfícies individuals, la seva càrrega, gestionar col·leccionistes i molt més, només es poden trobar a l'aplicació Java StealthWatch. Per descomptat, Cisco està transferint lentament tota la funcionalitat a la versió del navegador i aviat abandonarem aquest client d'escriptori.
Per instal·lar l'aplicació, primer heu d'instal·lar-la (Vaig instal·lar la versió 8, tot i que es diu que és compatible fins a 10) des del lloc web oficial d'Oracle.
A l'extrem superior dret de la interfície web de la consola de gestió, per descarregar, heu de fer clic al botó "Client d'escriptori".
Deseu i instal·leu el client a la força, java probablement ho jurarà, potser haureu d'afegir l'amfitrió a les excepcions de Java.
Com a resultat, es revela un client bastant clar, en el qual és fàcil veure la càrrega d'exportadors, interfícies, atacs i els seus fluxos.
7. Gestió central de StealthWatch
7.1. La pestanya Gestió central conté tots els dispositius que formen part del StealthWatch desplegat, com ara: FlowCollector, FlowSensor, UDP-Director i Endpoint Concetrator. Allà podeu gestionar la configuració de la xarxa i els serveis del dispositiu, les llicències i apagar el dispositiu manualment.
Podeu anar-hi fent clic a l'"engranatge" a la cantonada superior dreta i seleccionant Gestió central.
7.2. En anar a Edita la configuració de l'aparell a FlowCollector, veureu SSH, NTP i altres paràmetres de xarxa relacionats amb l'aplicació. Per anar-hi, seleccioneu Accions → Edita la configuració de l'aparell per al dispositiu necessari.
7.3. La gestió de llicències també es pot trobar a la pestanya Gestió central > Gestiona llicències. Es donen llicències de prova en cas de sol·licitud de GVE 90 dies.
El producte està llest per sortir! A la següent part, veurem com StealthWatch pot reconèixer atacs i generar informes.
Font: www.habr.com