Salutami i culleghi ! Dopu avè determinatu i requisiti minimi per implementà StealthWatch in , pudemu cumincià à implementà u pruduttu.
1. Metudu per implementà StealthWatch
Ci hè parechje manere di "toccu" u StealthWatch:
- - serviziu cloud per u travagliu di laboratoriu;
- Basatu in nuvola: - quì Netflow da u vostru dispositivu flussu in u nuvulu è serà analizatu quì da u software StealthWatch;
- POV in situ () - u metudu chì aghju seguitu, vi mandaranu 4 schedarii OVF di macchine virtuali cù licenze integrate per 90 ghjorni, chì ponu esse implementati in un servitore dedicatu in a reta corporativa.
Malgradu l'abbundanza di macchine virtuali scaricate, per una cunfigurazione minima di travagliu solu 2 sò abbastanza: StealthWatch Management Console è FlowCollector. In ogni casu, s'ellu ùn ci hè micca un dispositivu di rete chì pò esse esportatu Netflow à FlowCollector, allora hè ancu necessariu implementà FlowSensor, postu chì l'ultimu permette di cullà Netflow cù tecnulugia SPAN / RSPAN.
Comu dissi prima, a vostra reta reale pò agisce cum'è un bancu di laboratoriu, postu chì StealthWatch hà solu bisognu di una copia, o, più currettamente, di una striscia di una copia di u trafficu. A stampa sottu mostra a mo reta, induve nantu à a porta di sicurità cunfigurà u Netflow Exporter è, in u risultatu, mandarà Netflow à u cullettore.
Per accede à i futuri VM, i porti seguenti devenu esse permessi nantu à u vostru firewall, se avete unu:
TCP 22 l TCP 25 l TCP 389 l TCP 443 l TCP 2393 l TCP 5222 l UDP 53 l UDP 123 l UDP 161 l UDP 162 l UDP 389 l UDP 514 l UDP 2055 l UDP 6343
Certi di elli sò servizii cunnisciuti, certi sò riservati à i servizii Cisco.
In u mo casu, aghju simpliciamente implementatu StelathWatch in a listessa reta cum'è Check Point, è ùn avia micca bisognu di cunfigurà alcuna regula di permessu.
2. Installazione di FlowCollector cù VMware vSphere cum'è un esempiu
2.1. Cliccate Sfoglia è selezziunate OVF file1. Dopu avè verificatu a dispunibilità di risorse, andate à u menu Vede, Inventariu → Networking (Ctrl+Shift+N).
2.2. In a tabulazione Networking, selezziunate New Port Distributed group in i paràmetri di u switch virtuale.
2.3. Fate u nome, lasciate esse StealthWatchPortGroup, u restu di i paràmetri ponu esse fatti cum'è in a screenshot è cliccate Next.
2.4. Cumpitemu a creazione di u Gruppu Portu cù u buttone Finisce.
2.5. Editemu i paràmetri di u Gruppu Portu creatu clicchendu right-click nant'à u gruppu portu è selezziunate Edit Settings. In a tabulazione di Sicurezza, assicuratevi di attivà u "modu promiscuous", Mode Promiscuous → Accetta → OK.
2.6. Per esempiu, impurtate OVF FlowCollector, u ligame di scaricamentu per quale hè statu mandatu da un ingegnere Cisco dopu una dumanda GVE. Cliccate cù u dirittu nantu à l'ospite nantu à quale pensa à implementà a VM è selezziunate Implementa Template OVF. In quantu à u spaziu attribuitu, "inizierà" à 50 GB, ma per e cundizioni di cummattimentu hè cunsigliatu di assignà 200 gigabytes.
2.7. Selezziunà u cartulare induve si trova u schedariu OVF.
2.8. Cliccate "Next".
2.9. Indichemu u nome è u servitore induve l'avemu implementatu.
2.10. In u risultatu, avemu a seguente stampa è cliccate "Finish".
2.11. Seguimu i stessi passi per implementà a Console di Gestione StealthWatch.
2.12. Avà avete bisognu di specificà e rete necessarie in l'interfacce per chì FlowCollector vede sia l'SMC sia i dispositi da quale Netflow serà esportatu.
3. Initializing StealthWatch Management Console
3.1. Andendu à a cunsola di a macchina SMCVE installata, vi vede un locu per inserisce u vostru login è password, per difettu. sysadmin/lan1cope.
3.2. Andemu à l'elementu Gestione, stabilisce l'indirizzu IP è altri paràmetri di a rete, dopu cunfirmà i so cambiamenti. U dispusitivu hà da reboot.
3.3. Andate à l'interfaccia web (via https à l'indirizzu chì avete specificatu in SMC) è inizializza a cunsola, login / password predeterminatu - admin/lan411cope.
PS: succede chì ùn si apre micca in Google Chrome, l'Explorer sempre aiuterà.
3.4. Assicuratevi di cambià password, stabilisce DNS, servitori NTP, duminiu, etc. I paràmetri sò intuitivi.
3.5. Dopu à cliccà nant'à u buttone "Apply", u dispusitivu vi reboot dinò. Dopu à 5-7 minuti, pudete cunnette torna à questu indirizzu; StealthWatch serà gestitu via una interfaccia web.
4. Stallà FlowCollector
4.1. Hè listessu cù u cullettore. Prima, in u CLI spicificà l'indirizzu IP, a maschera, u duminiu, dopu l'FC reboots. Pudete tandu cunnette à l'interfaccia web à l'indirizzu specificatu è eseguisce a stessa configurazione di basa. A causa di u fattu chì i paràmetri sò simili, i screenshots detallati sò omessi. Credenziali per entre u listessu.
4.2. À u penultimu puntu, avete bisognu di stabilisce l'indirizzu IP di u SMC, in questu casu, a cunsola vi vede u dispusitivu, avete da cunfirmà sta paràmetra inserendu e vostre credenziali.
4.3. Selezziunate u duminiu per StealthWatch, hè statu stabilitu prima, è u portu 2055 - Netflow rigulari, s'è vo sò u travagliu cù sFlow, portu 6343.
5. Configurazione Netflow Exporter
5.1. Per cunfigurà l'esportatore Netflow, vi cunsigliu assai di vultà à questu , Eccu i principali guide per a cunfigurazione di l'exportatore Netflow per parechji dispositi: Cisco, Check Point, Fortinet.
5.2. In u nostru casu, ripetu, esportemu Netflow da a porta di Check Point. L'esportatore Netflow hè cunfiguratu in una tabulazione di u listessu nome in l'interfaccia web (Gaia Portal). Per fà questu, cliccate "Add", specificate a versione Netflow è u portu necessariu.
6. Analisi di u funziunamentu StealthWatch
6.1. Andendu à l'interfaccia web SMC, in a prima pagina di Dashboards> Network Security pudete vede chì u trafficu hà iniziatu!
6.2. Certi paràmetri, per esempiu, dividendu l'ospiti in gruppi, u monitoraghju di l'interfaccia individuali, a so carica, a gestione di i cullettori è altri ponu esse truvati solu in l'applicazione Java StealthWatch. Di sicuru, Cisco hè lentamente trasfirendu tutte e funziunalità à a versione di u navigatore è prestu abbanduneremu un tali cliente di desktop.
Per installà l'applicazione, prima deve esse installatu (Aghju installatu a versione 8, ancu s'ellu si dice chì hè supportatu finu à 10) da u situ web ufficiale di Oracle.
In l'angulu superiore drittu di l'interfaccia web di a cunsola di gestione, per scaricà, duvete cliccà u buttone "Desktop Client".
Salvate è installate u cliente in forza, java probabilmente ghjurà, pudete avè bisognu di aghjunghje l'ospite à l'eccezzioni java.
In u risultatu, un cliente abbastanza chjaru hè revelatu, in quale hè faciule per vede a carica di l'esportatori, l'interfaccia, l'attacchi è i so flussi.
7. StealthWatch Central Management
7.1. A tabulazione Central Management cuntene tutti i dispositi chì facenu parte di u StealthWatch implementatu, cum'è: FlowCollector, FlowSensor, UDP-Director è Endpoint Concetrator. Quì pudete gestisce i paràmetri di a rete è i servizii di u dispositivu, licenze, è spegne manualmente u dispusitivu.
Pudete andà à ellu clicchendu nant'à u "gear" in u cantonu suprana dritta è sceglie Gestione Centrale.
7.2. Andendu à Edite a Configurazione di l'Appliance in FlowCollector, vi vede SSH, NTP è altri paràmetri di rete ligati à l'app stessu. Per andà, selezziunate Azioni → Edite a cunfigurazione di l'appliance per u dispusitivu necessariu.
7.3. A gestione di licenze pò ancu esse truvata in a tabulazione Central Management> Manage Licenses. Licenze di prova in casu di dumanda GVE sò datu Ghjorni di 90.
U pruduttu hè prestu per andà! In a prossima parte, guardemu cumu StealthWatch pò ricunnosce attacchi è generà rapporti.
Source: www.habr.com