Hello mga kauban! Ang pagtino sa minimum nga mga kinahanglanon alang sa pag-deploy sa StealthWatch sa , makasugod na ta sa pagdeploy sa produkto.
1. Mga pamaagi sa pagdeploy sa StealthWatch
Adunay daghang mga paagi sa "paghikap" sa StealthWatch:
- - serbisyo sa panganod alang sa pagtrabaho sa laboratoryo;
- Gibase sa Cloud: β dinhi ang Netflow gikan sa imong device moagos ngadto sa panganod ug didto tukion sa StealthWatch software;
- On-premise nga POV () β ang pamaagi nga akong gisunod, ipadala nila kanimo ang 4 ka OVF nga mga file sa mga virtual machine nga adunay mga built-in nga lisensya sulod sa 90 ka adlaw, nga mahimong i-deploy sa usa ka dedikado nga server sa corporate network.
Bisan pa sa kadaghan sa na-download nga virtual nga mga makina, alang sa gamay nga pag-configure sa pagtrabaho igo ra ang 2: StealthWatch Management Console ug FlowCollector. Apan, kung walay network device nga maka-export sa Netflow ngadto sa FlowCollector, nan kinahanglan usab nga i-deploy ang FlowSensor, tungod kay ang ulahi nagtugot kanimo sa pagkolekta sa Netflow gamit ang SPAN/RSPAN nga mga teknolohiya.
Sama sa akong giingon sa sayo pa, ang imong tinuud nga network mahimoβg molihok ingon usa ka bangko sa laboratoryo, tungod kay ang StealthWatch nanginahanglan lamang usa ka kopya, o, labi ka husto, usa ka pagpislit sa usa ka kopya sa trapiko. Ang hulagway sa ubos nagpakita sa akong network, diin sa gateway sa seguridad akong i-configure ang Netflow Exporter ug, isip resulta, ipadala ang Netflow ngadto sa kolektor.
Aron ma-access ang umaabot nga mga VM, ang mosunod nga mga pantalan kinahanglan nga tugutan sa imong firewall, kung ikaw adunay usa:
TCP 22 l TCP 25 l TCP 389 l TCP 443 l TCP 2393 l TCP 5222 l UDP 53 l UDP 123 l UDP 161 l UDP 162 l UDP 389 l UDP 514 l UDP 2055 l UDP 6343
Ang uban niini ilado nga mga serbisyo, ang uban gitagana alang sa mga serbisyo sa Cisco.
Sa akong kaso, gipakatap lang nako ang StelathWatch sa parehas nga network sama sa Check Point, ug dili kinahanglan nga i-configure ang bisan unsang mga lagda sa pagtugot.
2. Pag-instalar sa FlowCollector gamit ang VMware vSphere isip pananglitan
2.1. I-klik ang Browse ug pilia ang OVF file1. Human masusi ang pagkaanaa sa mga kahinguhaan, adto sa menu View, Inventory β Networking (Ctrl+Shift+N).
2.2. Sa tab nga Networking, pilia ang Bag-ong Giapod-apod nga grupo sa pantalan sa mga setting sa virtual switch.
2.3. Ibutang ang ngalan, himoa kini nga StealthWatchPortGroup, ang nahabilin nga mga setting mahimoβg sama sa screenshot ug i-klik ang Next.
2.4. Gikompleto namo ang paghimo sa Port Group gamit ang Finish button.
2.5. Atong usbon ang mga setting sa gihimo nga Port Group pinaagi sa pag-right-click sa port group ug pagpili sa Edit Settings. Sa tab nga Seguridad, siguroha nga mahimo ang "promiscuous mode", Promiscuous Mode β Accept β OK.
2.6. Isip usa ka pananglitan, atong i-import ang OVF FlowCollector, ang link sa pag-download nga gipadala sa usa ka engineer sa Cisco pagkahuman sa hangyo sa GVE. Pag-right-click sa host diin plano nimo nga i-deploy ang VM ug pilia ang Deploy OVF Template. Mahitungod sa gigahin nga luna, kini "magsugod" sa 50 GB, apan alang sa mga kondisyon sa kombat girekomenda nga maggahin og 200 gigabytes.
2.7. Pilia ang folder diin nahimutang ang OVF file.
2.8. Pag-klik sa "Sunod".
2.9. Gipakita namo ang ngalan ug server kung asa namo kini i-deploy.
2.10. Ingon usa ka sangputanan, makuha namon ang mosunod nga litrato ug i-klik ang "Finish".
2.11. Gisunod namo ang parehas nga mga lakang aron ma-deploy ang StealthWatch Management Console.
2.12. Karon kinahanglan nimong ipiho ang kinahanglan nga mga network sa mga interface aron makita sa FlowCollector ang SMC ug ang mga aparato diin ma-export ang Netflow.
3. Pagsugod sa StealthWatch Management Console
3.1. Pinaagi sa pag-adto sa console sa na-install nga makina nga SMCVE, makakita ka usa ka lugar aron masulod ang imong login ug password, pinaagi sa default sysadmin/lan1cope.
3.2. Moadto kami sa item sa Pagdumala, ibutang ang IP address ug uban pang mga parameter sa network, dayon kumpirmahi ang ilang mga pagbag-o. Ang aparato mag-reboot.
3.3. Lakaw ngadto sa web interface (pinaagi sa https sa adres nga imong gitakda sa SMC) ug pagsugod sa console, default login/password - admin/lan411cope.
P.S.: Nahitabo nga ang Google Chrome dili magbukas, ang Explorer kanunay nga motabang.
3.4. Siguruha nga usbon ang mga password, itakda ang DNS, NTP server, domain, ug uban pa. Ang mga setting intuitive.
3.5. Human sa pag-klik sa "Apply" button, ang device mag-reboot pag-usab. Human sa 5-7 ka minuto mahimo nimong makonektar pag-usab sa kini nga adres; Ang StealthWatch pagadumalahon pinaagi sa web interface.
4. Pag-set up sa FlowCollector
4.1. Pareho ra sa kolektor. Una, sa CLI atong gipiho ang IP address, mask, domain, unya ang FC reboots. Mahimo nimong makonektar ang interface sa web sa piho nga adres ug himuon ang parehas nga sukaranan nga pag-setup. Tungod sa kamatuoran nga ang mga setting parehas, ang mga detalyado nga screenshot wala iapil. Mga kredensyal sa pagsulod pareho ra.
4.2. Sa penultimate nga punto, kinahanglan nimo nga itakda ang IP address sa SMC, sa kini nga kaso makita sa console ang aparato, kinahanglan nimo nga kumpirmahon kini nga setting pinaagi sa pagsulod sa imong mga kredensyal.
4.3. Pilia ang domain para sa StealthWatch, kini gitakda sa sayo pa, ug ang pantalan 2055 β regular nga Netflow, kung nagtrabaho ka sa sFlow, port 6343.
5. Konfigurasyon sa Netflow Exporter
5.1. Aron ma-configure ang Netflow exporter, girekomenda ko kaayo ang pagpabalik niini , ania ang mga nag-unang giya sa pag-configure sa Netflow exporter alang sa daghang mga himan: Cisco, Check Point, Fortinet.
5.2. Sa among kaso, akong gisubli, among gi-eksport ang Netflow gikan sa Check Point gateway. Ang Netflow exporter gi-configure sa usa ka tab nga parehas nga ngalan sa web interface (Gaia Portal). Aron mahimo kini, i-klik ang "Add", ipiho ang bersyon sa Netflow ug ang gikinahanglan nga pantalan.
6. Pagtuki sa StealthWatch nga operasyon
6.1. Pag-adto sa SMC web interface, sa unang panid sa Dashboards> Network Security imong makita nga nagsugod na ang trapiko!
6.2. Ang pipila ka mga setting, pananglitan, pagbahin sa mga host ngadto sa mga grupo, pag-monitor sa indibidwal nga mga interface, ilang load, pagdumala sa mga kolektor ug uban pa makita lamang sa StealthWatch Java nga aplikasyon. Siyempre, hinayhinay nga gibalhin sa Cisco ang tanan nga gamit sa bersyon sa browser ug sa dili madugay biyaan na namon ang ingon nga kliyente sa desktop.
Aron ma-install ang aplikasyon, kinahanglan nimo una nga i-install (Gi-install nako ang bersyon 8, bisan kung giingon nga kini gisuportahan hangtod sa 10) gikan sa opisyal nga website sa Oracle.
Sa ibabaw nga tuo nga suok sa web interface sa management console, aron ma-download, kinahanglan nimo nga i-klik ang "Desktop Client" nga buton.
Gitipigan nimo ug gi-install ang kliyente nga pinugos, ang java lagmit nga manumpa niini, kinahanglan nimo nga idugang ang host sa mga eksepsiyon sa java.
Ingon usa ka sangputanan, usa ka medyo tin-aw nga kliyente ang gipadayag, diin dali nga makita ang pagkarga sa mga eksporter, mga interface, pag-atake ug ang ilang mga dagan.
7. StealthWatch Central Management
7.1. Ang tab nga Central Management naglangkob sa tanan nga mga aparato nga bahin sa gipakatap nga StealthWatch, sama sa: FlowCollector, FlowSensor, UDP-Director ug Endpoint Concetrator. Didto mahimo nimong madumala ang mga setting sa network ug mga serbisyo sa aparato, mga lisensya, ug mano-mano nga i-off ang aparato.
Makaadto ka niini pinaagi sa pag-klik sa "gear" sa taas nga tuo nga suok ug pagpili sa Central Management.
7.2. Pinaagi sa pag-adto sa Edit Appliance Configuration sa FlowCollector, imong makita ang SSH, NTP ug uban pang mga setting sa network nga may kalabutan sa app mismo. Aron makaadto, pilia ang Mga Aksyon β I-edit ang Configuration sa Appliance alang sa gikinahanglan nga device.
7.3. Ang pagdumala sa lisensya makita usab sa Central Management > Manage Licenses tab. Gihatag ang mga lisensya sa pagsulay kung adunay hangyo sa GVE 90 nga mga adlaw.
Ang produkto andam na nga moadto! Sa sunod nga bahin, atong tan-awon kung giunsa ang StealthWatch makaila sa mga pag-atake ug makamugna og mga taho.
Source: www.habr.com