StealthWatch: nasazení a konfigurace. Část 2

StealthWatch: nasazení a konfigurace. Část 2

Dobrý den, kolegové! Po stanovení minimálních požadavků pro nasazení StealthWatch v poslední část, můžeme začít s nasazením produktu.

1. Metody nasazení StealthWatch

Existuje několik způsobů, jak se „dotknout“ StealthWatch:

  • dcloud – cloudová služba pro laboratorní práci;
  • Cloudové řešení: Bezplatná zkušební verze Stealthwatch Cloud – zde bude Netflow z vašeho zařízení odeslán do cloudu a tam analyzován softwarem StealthWatch;
  • Pohled z místa konání (žádost GVE) – metodou, kterou jsem použil, vám budou zaslány 4 soubory OVF virtuálních počítačů s vestavěnými 90denními licencemi, které lze nasadit na dedikovaný server v podnikové síti.


Navzdory množství stažených virtuálních strojů postačují pro minimální funkční konfiguraci pouze dva: StealthWatch Management Console a FlowCollector. Pokud však neexistuje žádné síťové zařízení, které by mohlo exportovat netflow do FlowCollectoru, je nutné nasadit i FlowSensor, protože ten druhý umožňuje sběr netflow pomocí technologií SPAN/RSPAN.

Jak jsem již zmínil, vaše skutečná síť může sloužit jako laboratorní zařízení, protože StealthWatch potřebuje pouze kopii, nebo přesněji řečeno, destilovanou kopii provozu. Obrázek níže ukazuje mou síť, kde nastavím Netflow Exporter na bezpečnostní bráně a v důsledku toho odešlu Netflow do kolektoru.

StealthWatch: nasazení a konfigurace. Část 2

Pro přístup k budoucím virtuálním počítačům by měly být na vašem firewallu povoleny následující porty, pokud nějaký máte:

TCP 22 l TCP 25 l TCP 389 l TCP 443 l TCP 2393 l TCP 5222 l UDP 53 l UDP 123 l UDP 161 l UDP 162 l UDP 389 l UDP 514 l UDP 2055 l UDP 6343

Některé z nich jsou veřejně známé služby, některé jsou vyhrazeny pro služby společnosti Cisco.
V mém případě jsem jednoduše nasadil StelathWatch na stejnou síť jako Check Point a nemusel jsem konfigurovat žádná pravidla oprávnění.

2. Instalace FlowCollectoru na příkladu VMware vSphere

2.1. Klikněte na Procházet a vyberte soubor OVF1. Po kontrole dostupnosti zdrojů přejděte do nabídky Zobrazit, Inventář → Sítě (Ctrl+Shift+N).

StealthWatch: nasazení a konfigurace. Část 2

2.2. Na kartě Síť vyberte v nastavení virtuálního přepínače možnost Nová distribuovaná skupina portů.

StealthWatch: nasazení a konfigurace. Část 2

2.3. Nastavte název na StealthWatchPortGroup. Zbývající nastavení lze provést dle obrázku a kliknout na tlačítko Další.

StealthWatch: nasazení a konfigurace. Část 2

StealthWatch: nasazení a konfigurace. Část 2

2.4. Dokončete vytvoření skupiny portů kliknutím na tlačítko Dokončit.

StealthWatch: nasazení a konfigurace. Část 2

2.5. Upravte nastavení vytvořené skupiny portů kliknutím pravým tlačítkem myši na skupinu portů a výběrem možnosti Upravit nastavení. Na kartě Zabezpečení nezapomeňte povolit možnost „Promiskuitní režim“: Promiskuitní režim → Přijmout → OK.

StealthWatch: nasazení a konfigurace. Část 2

2.6. Jako příklad si importujme OVF FlowCollector, jehož odkaz ke stažení zaslal technik společnosti Cisco po požadavku GVE. Klikněte pravým tlačítkem myši na hostitele, na kterém plánujete virtuální počítač nasadit, a vyberte možnost Nasadit šablonu OVF. Vzhledem k přidělenému prostoru poběží na 50 GB, ale pro produkční použití se doporučuje 200 GB.

StealthWatch: nasazení a konfigurace. Část 2

2.7. Vyberte složku, ve které se nachází soubor OVF.

StealthWatch: nasazení a konfigurace. Část 2

2.8. Klikněte na tlačítko „Další“.

StealthWatch: nasazení a konfigurace. Část 2

2.9. Uvedeme název a server, kam jej nasadíme.

StealthWatch: nasazení a konfigurace. Část 2

2.10. Výsledkem je následující obrázek, po kterém klikneme na tlačítko „Dokončit“.

StealthWatch: nasazení a konfigurace. Část 2

2.11. Stejné kroky provedeme i pro nasazení konzole pro správu StealthWatch.

StealthWatch: nasazení a konfigurace. Část 2

2.12. Nyní je třeba v rozhraních specifikovat požadované sítě, aby FlowCollector viděl jak SMC, tak zařízení, ze kterých bude Netflow exportován.

3. Inicializace konzole pro správu StealthWatch

3.1. Po přechodu do konzole nainstalovaného počítače SMCVE se ve výchozím nastavení zobrazí místo pro zadání přihlašovacího jména a hesla. systémový admin/lan1cope.

StealthWatch: nasazení a konfigurace. Část 2

3.2. Přejděte do sekce Správa, nastavte IP adresu a další síťové parametry a poté potvrďte změny. Zařízení se restartuje.

StealthWatch: nasazení a konfigurace. Část 2

StealthWatch: nasazení a konfigurace. Část 2

StealthWatch: nasazení a konfigurace. Část 2

3.3. Přejděte do webového rozhraní (přes https na adresu, kterou jste zadali pro SMC) a inicializujte konzoli, výchozí přihlašovací jméno/heslo je admin/lan411cope.

PS: Někdy se to v Google Chrome neotevře, ale Průzkumník vždycky pomůže.

StealthWatch: nasazení a konfigurace. Část 2

3.4. Nezapomeňte změnit hesla, nastavit DNS, NTP servery, doménu a další nastavení. Nastavení je intuitivní.

StealthWatch: nasazení a konfigurace. Část 2

3.5. Po kliknutí na tlačítko „Použít“ se zařízení znovu restartuje. Po 5–7 minutách se můžete k této adrese znovu připojit; StealthWatch bude spravován přes webové rozhraní.

StealthWatch: nasazení a konfigurace. Část 2

4. Konfigurace FlowCollectoru

4.1. Nastavení kolektoru je stejné. Nejprve zadejte IP adresu, masku a doménu do CLI, poté se FC restartuje. Poté se můžete připojit k webovému rozhraní na zadané adrese a provést stejnou základní konfiguraci. Protože nastavení jsou podobná, podrobné snímky obrazovky jsou vynechány. Pověření vstoupit stejný.

StealthWatch: nasazení a konfigurace. Část 2

4.2. V předposledním kroku je třeba nastavit IP adresu SMC. To umožní konzoli vidět zařízení. Toto nastavení budete muset potvrdit zadáním svých přihlašovacích údajů.

StealthWatch: nasazení a konfigurace. Část 2

4.3. Vyberte doménu pro StealthWatch, která byla nastavena dříve, a port 2055 - běžný Netflow, pokud pracujete s sFlow, port 6343.

StealthWatch: nasazení a konfigurace. Část 2

5. Konfigurace exportéru Netflow

5.1 Pro konfiguraci exportéru Netflow důrazně doporučuji použít tento zdroj Zde jsou hlavní návody pro konfiguraci exportéru Netflow pro mnoho zařízení: Cisco, Check Point, Fortinet.

5.2. V našem případě exportujeme Netflow z brány Check Point. Konfigurace exportéru Netflow se provádí na podobně pojmenované kartě ve webovém rozhraní (Gaia Portal). Chcete-li to provést, klikněte na „Přidat“, zadejte verzi Netflow a vyberte požadovaný port.

StealthWatch: nasazení a konfigurace. Část 2

6. Analýza StealthWatch

6.1. Po přechodu do webového rozhraní SMC, hned na první stránce Dashboards > Network Security (Řídicí panely > Zabezpečení sítě), vidíte, že provoz probíhá!

StealthWatch: nasazení a konfigurace. Část 2

6.2. Některá nastavení, jako je rozdělení hostitelů do skupin, sledování jednotlivých rozhraní a jejich zátěže, správa kolektorů a další, lze nalézt pouze v aplikaci StealthWatch v jazyce Java. Cisco samozřejmě postupně migruje veškerou funkcionalitu do verze pro prohlížeč a brzy tohoto desktopového klienta ukončíme.

Chcete-li nainstalovat aplikaci, musíte ji nejprve nainstalovat JRE (Nainstaloval jsem verzi 8, i když se tam píše, že je podporována až 10) z oficiálních stránek Oracle.

Chcete-li jej stáhnout, klikněte na tlačítko „Desktop Client“ v pravém horním rohu webového rozhraní konzole pro správu.

StealthWatch: nasazení a konfigurace. Část 2

Klienta uložíte a nainstalujete násilně, Java si na něj s největší pravděpodobností bude stěžovat, možná budete muset hostitele přidat do výjimek Java.

Výsledkem je poměrně intuitivní klient, který umožňuje snadno sledovat načítání exportérů, rozhraní, útoků a jejich toků.

StealthWatch: nasazení a konfigurace. Část 2

StealthWatch: nasazení a konfigurace. Část 2

StealthWatch: nasazení a konfigurace. Část 2

7. Centrální správa StealthWatch

7.1. Karta Centrální správa zobrazuje všechna zařízení, která jsou součástí nasazeného StealthWatch, včetně FlowCollector, FlowSensor, UDP-Director a Endpoint Concetrator. Zde můžete spravovat síťová nastavení a služby zařízení, licence a ručně vypnout zařízení.

Dostanete se k němu kliknutím na ozubené kolo v pravém horním rohu a výběrem možnosti Centrální správa.

StealthWatch: nasazení a konfigurace. Část 2

StealthWatch: nasazení a konfigurace. Část 2

7.2. V sekci Upravit konfiguraci zařízení v aplikaci FlowCollector uvidíte nastavení SSH, NTP a další síťová nastavení související se samotným zařízením. Chcete-li to provést, vyberte pro požadované zařízení možnost Akce → Upravit konfiguraci zařízení.

StealthWatch: nasazení a konfigurace. Část 2

StealthWatch: nasazení a konfigurace. Část 2

StealthWatch: nasazení a konfigurace. Část 2

7.3. Správu licencí naleznete také na kartě Centrální správa > Správa licencí. Zkušební licence se vydávají v případě požadavku GVE. 90 dny.

StealthWatch: nasazení a konfigurace. Část 2

Produkt je připraven k použití! V další části se podíváme na to, jak StealthWatch dokáže detekovat útoky a generovat zprávy.

Zdroj: www.habr.com

Kupte si spolehlivý hosting pro stránky s DDoS ochranou, VPS VDS servery 🔥 Kupte si spolehlivý webhosting s ochranou DDoS, VPS VDS servery | ProHoster