
Dobrý den, kolegové! Po stanovení minimálních požadavků pro nasazení StealthWatch v , můžeme začít s nasazením produktu.
1. Metody nasazení StealthWatch
Existuje několik způsobů, jak se „dotknout“ StealthWatch:
- – cloudová služba pro laboratorní práci;
- Cloudové řešení: – zde bude Netflow z vašeho zařízení odeslán do cloudu a tam analyzován softwarem StealthWatch;
- Pohled z místa konání () – metodou, kterou jsem použil, vám budou zaslány 4 soubory OVF virtuálních počítačů s vestavěnými 90denními licencemi, které lze nasadit na dedikovaný server v podnikové síti.
Navzdory množství stažených virtuálních strojů postačují pro minimální funkční konfiguraci pouze dva: StealthWatch Management Console a FlowCollector. Pokud však neexistuje žádné síťové zařízení, které by mohlo exportovat netflow do FlowCollectoru, je nutné nasadit i FlowSensor, protože ten druhý umožňuje sběr netflow pomocí technologií SPAN/RSPAN.
Jak jsem již zmínil, vaše skutečná síť může sloužit jako laboratorní zařízení, protože StealthWatch potřebuje pouze kopii, nebo přesněji řečeno, destilovanou kopii provozu. Obrázek níže ukazuje mou síť, kde nastavím Netflow Exporter na bezpečnostní bráně a v důsledku toho odešlu Netflow do kolektoru.

Pro přístup k budoucím virtuálním počítačům by měly být na vašem firewallu povoleny následující porty, pokud nějaký máte:
TCP 22 l TCP 25 l TCP 389 l TCP 443 l TCP 2393 l TCP 5222 l UDP 53 l UDP 123 l UDP 161 l UDP 162 l UDP 389 l UDP 514 l UDP 2055 l UDP 6343
Některé z nich jsou veřejně známé služby, některé jsou vyhrazeny pro služby společnosti Cisco.
V mém případě jsem jednoduše nasadil StelathWatch na stejnou síť jako Check Point a nemusel jsem konfigurovat žádná pravidla oprávnění.
2. Instalace FlowCollectoru na příkladu VMware vSphere
2.1. Klikněte na Procházet a vyberte soubor OVF1. Po kontrole dostupnosti zdrojů přejděte do nabídky Zobrazit, Inventář → Sítě (Ctrl+Shift+N).

2.2. Na kartě Síť vyberte v nastavení virtuálního přepínače možnost Nová distribuovaná skupina portů.

2.3. Nastavte název na StealthWatchPortGroup. Zbývající nastavení lze provést dle obrázku a kliknout na tlačítko Další.


2.4. Dokončete vytvoření skupiny portů kliknutím na tlačítko Dokončit.

2.5. Upravte nastavení vytvořené skupiny portů kliknutím pravým tlačítkem myši na skupinu portů a výběrem možnosti Upravit nastavení. Na kartě Zabezpečení nezapomeňte povolit možnost „Promiskuitní režim“: Promiskuitní režim → Přijmout → OK.

2.6. Jako příklad si importujme OVF FlowCollector, jehož odkaz ke stažení zaslal technik společnosti Cisco po požadavku GVE. Klikněte pravým tlačítkem myši na hostitele, na kterém plánujete virtuální počítač nasadit, a vyberte možnost Nasadit šablonu OVF. Vzhledem k přidělenému prostoru poběží na 50 GB, ale pro produkční použití se doporučuje 200 GB.

2.7. Vyberte složku, ve které se nachází soubor OVF.

2.8. Klikněte na tlačítko „Další“.

2.9. Uvedeme název a server, kam jej nasadíme.

2.10. Výsledkem je následující obrázek, po kterém klikneme na tlačítko „Dokončit“.

2.11. Stejné kroky provedeme i pro nasazení konzole pro správu StealthWatch.

2.12. Nyní je třeba v rozhraních specifikovat požadované sítě, aby FlowCollector viděl jak SMC, tak zařízení, ze kterých bude Netflow exportován.
3. Inicializace konzole pro správu StealthWatch
3.1. Po přechodu do konzole nainstalovaného počítače SMCVE se ve výchozím nastavení zobrazí místo pro zadání přihlašovacího jména a hesla. systémový admin/lan1cope.

3.2. Přejděte do sekce Správa, nastavte IP adresu a další síťové parametry a poté potvrďte změny. Zařízení se restartuje.



3.3. Přejděte do webového rozhraní (přes https na adresu, kterou jste zadali pro SMC) a inicializujte konzoli, výchozí přihlašovací jméno/heslo je admin/lan411cope.
PS: Někdy se to v Google Chrome neotevře, ale Průzkumník vždycky pomůže.

3.4. Nezapomeňte změnit hesla, nastavit DNS, NTP servery, doménu a další nastavení. Nastavení je intuitivní.

3.5. Po kliknutí na tlačítko „Použít“ se zařízení znovu restartuje. Po 5–7 minutách se můžete k této adrese znovu připojit; StealthWatch bude spravován přes webové rozhraní.

4. Konfigurace FlowCollectoru
4.1. Nastavení kolektoru je stejné. Nejprve zadejte IP adresu, masku a doménu do CLI, poté se FC restartuje. Poté se můžete připojit k webovému rozhraní na zadané adrese a provést stejnou základní konfiguraci. Protože nastavení jsou podobná, podrobné snímky obrazovky jsou vynechány. Pověření vstoupit stejný.

4.2. V předposledním kroku je třeba nastavit IP adresu SMC. To umožní konzoli vidět zařízení. Toto nastavení budete muset potvrdit zadáním svých přihlašovacích údajů.

4.3. Vyberte doménu pro StealthWatch, která byla nastavena dříve, a port 2055 - běžný Netflow, pokud pracujete s sFlow, port 6343.

5. Konfigurace exportéru Netflow
5.1 Pro konfiguraci exportéru Netflow důrazně doporučuji použít tento Zde jsou hlavní návody pro konfiguraci exportéru Netflow pro mnoho zařízení: Cisco, Check Point, Fortinet.
5.2. V našem případě exportujeme Netflow z brány Check Point. Konfigurace exportéru Netflow se provádí na podobně pojmenované kartě ve webovém rozhraní (Gaia Portal). Chcete-li to provést, klikněte na „Přidat“, zadejte verzi Netflow a vyberte požadovaný port.

6. Analýza StealthWatch
6.1. Po přechodu do webového rozhraní SMC, hned na první stránce Dashboards > Network Security (Řídicí panely > Zabezpečení sítě), vidíte, že provoz probíhá!

6.2. Některá nastavení, jako je rozdělení hostitelů do skupin, sledování jednotlivých rozhraní a jejich zátěže, správa kolektorů a další, lze nalézt pouze v aplikaci StealthWatch v jazyce Java. Cisco samozřejmě postupně migruje veškerou funkcionalitu do verze pro prohlížeč a brzy tohoto desktopového klienta ukončíme.
Chcete-li nainstalovat aplikaci, musíte ji nejprve nainstalovat (Nainstaloval jsem verzi 8, i když se tam píše, že je podporována až 10) z oficiálních stránek Oracle.
Chcete-li jej stáhnout, klikněte na tlačítko „Desktop Client“ v pravém horním rohu webového rozhraní konzole pro správu.

Klienta uložíte a nainstalujete násilně, Java si na něj s největší pravděpodobností bude stěžovat, možná budete muset hostitele přidat do výjimek Java.
Výsledkem je poměrně intuitivní klient, který umožňuje snadno sledovat načítání exportérů, rozhraní, útoků a jejich toků.



7. Centrální správa StealthWatch
7.1. Karta Centrální správa zobrazuje všechna zařízení, která jsou součástí nasazeného StealthWatch, včetně FlowCollector, FlowSensor, UDP-Director a Endpoint Concetrator. Zde můžete spravovat síťová nastavení a služby zařízení, licence a ručně vypnout zařízení.
Dostanete se k němu kliknutím na ozubené kolo v pravém horním rohu a výběrem možnosti Centrální správa.


7.2. V sekci Upravit konfiguraci zařízení v aplikaci FlowCollector uvidíte nastavení SSH, NTP a další síťová nastavení související se samotným zařízením. Chcete-li to provést, vyberte pro požadované zařízení možnost Akce → Upravit konfiguraci zařízení.



7.3. Správu licencí naleznete také na kartě Centrální správa > Správa licencí. Zkušební licence se vydávají v případě požadavku GVE. 90 dny.

Produkt je připraven k použití! V další části se podíváme na to, jak StealthWatch dokáže detekovat útoky a generovat zprávy.
Zdroj: www.habr.com
