On-premise POV (žádost GVE) – metodou, kterou jsem zvolil já, vám pošlou 4 OVF soubory virtuálních strojů s vestavěnými licencemi na 90 dní, které lze nasadit na dedikovaný server v podnikové síti.
Navzdory množství stažených virtuálních strojů stačí pro minimální pracovní konfiguraci pouze 2: StealthWatch Management Console a FlowCollector. Pokud však neexistuje síťové zařízení, které by dokázalo exportovat Netflow do FlowCollectoru, pak je také nutné nasadit FlowSensor, protože ten umožňuje shromažďovat Netflow pomocí technologií SPAN/RSPAN.
Jak jsem řekl dříve, vaše skutečná síť může fungovat jako laboratorní lavice, protože StealthWatch potřebuje pouze kopii, nebo přesněji zmáčknutí kopie provozu. Na obrázku níže je moje síť, kde na bezpečnostní bráně nakonfiguruji Netflow Exporter a v důsledku toho pošlu Netflow do kolektoru.
Pro přístup k budoucím virtuálním počítačům by měly být na vaší bráně firewall povoleny následující porty, pokud je máte:
TCP 22 l TCP 25 l TCP 389 l TCP 443 l TCP 2393 l TCP 5222 l UDP 53 l UDP 123 l UDP 161 l UDP 162 l UDP 389 l UDP 514 l UDP 2055 l UDP 6343 l
Některé z nich jsou dobře známé služby, některé jsou vyhrazeny pro služby Cisco.
V mém případě jsem jednoduše nasadil StelathWatch ve stejné síti jako Check Point a nemusel jsem konfigurovat žádná pravidla oprávnění.
2. Instalace FlowCollector pomocí příkladu VMware vSphere
2.1. Klikněte na Procházet a vyberte soubor OVF1. Po kontrole dostupnosti zdrojů přejděte do nabídky Zobrazit, Inventář → Síť (Ctrl+Shift+N).
2.2. Na kartě Síť vyberte v nastavení virtuálního přepínače Nová skupina distribuovaných portů.
2.3. Nastavte název, nechejte to být StealthWatchPortGroup, zbytek nastavení lze provést jako na snímku obrazovky a klikněte na Další.
2.4. Vytvoření skupiny portů dokončíme tlačítkem Dokončit.
2.5. Upravme nastavení vytvořené skupiny portů kliknutím pravým tlačítkem myši na skupinu portů a výběrem možnosti Upravit nastavení. Na kartě Zabezpečení nezapomeňte povolit „promiskuitní režim“, Promiskuitní režim → Přijmout → OK.
2.6. Jako příklad uveďme import OVF FlowCollector, jehož odkaz ke stažení byl zaslán technikem Cisco po požadavku GVE. Klepněte pravým tlačítkem myši na hostitele, na který chcete virtuální počítač nasadit, a vyberte možnost Nasadit šablonu OVF. Ohledně přiděleného prostoru se „rozjede“ na 50 GB, ale pro bojové podmínky se doporučuje alokovat 200 gigabajtů.
2.7. Vyberte složku, kde se nachází soubor OVF.
2.8. Klikněte na „Další“.
2.9. Uvádíme název a server, kam jej nasadíme.
2.10. V důsledku toho získáme následující obrázek a klikneme na „Dokončit“.
2.11. Při nasazení konzoly StealthWatch Management Console postupujeme podle stejných kroků.
2.12. Nyní musíte v rozhraních zadat potřebné sítě, aby FlowCollector viděl SMC i zařízení, ze kterých bude Netflow exportován.
3.1. Přechodem do konzole nainstalovaného stroje SMCVE uvidíte místo pro zadání přihlašovacího jména a hesla, ve výchozím nastavení sysadmin/lan1cope.
3.2. Přejdeme do položky Správa, nastavíme IP adresu a další síťové parametry, poté potvrdíme jejich změny. Zařízení se restartuje.
3.3. Přejděte na webové rozhraní (přes https na adresu, kterou jste zadali v SMC) a inicializujte konzolu, výchozí přihlašovací jméno/heslo - admin/lan411cope.
PS: stane se, že se neotevře v Google Chrome, Průzkumník vždy pomůže.
3.4. Nezapomeňte změnit hesla, nastavit DNS, NTP servery, doménu atd. Nastavení je intuitivní.
3.5. Po kliknutí na tlačítko „Použít“ se zařízení znovu restartuje. Po 5-7 minutách se můžete znovu připojit na tuto adresu; StealthWatch bude spravován přes webové rozhraní.
4. Nastavení FlowCollectoru
4.1. Stejné je to se sběratelem. Nejprve v CLI zadáme IP adresu, masku, doménu a poté se FC restartuje. Poté se můžete na zadané adrese připojit k webovému rozhraní a provést stejné základní nastavení. Vzhledem k tomu, že nastavení je podobné, jsou vynechány podrobné snímky obrazovky. Pověření vstoupit stejný.
4.2. V předposledním bodě je potřeba nastavit IP adresu SMC, v tomto případě konzole zařízení uvidí, toto nastavení budete muset potvrdit zadáním svých přihlašovacích údajů.
4.3. Vyberte doménu pro StealthWatch, která byla nastavena dříve, a port 2055 – běžný Netflow, pokud pracujete s sFlow, port 6343.
5. Konfigurace Netflow Exporter
5.1. Chcete-li nakonfigurovat exportér Netflow, velmi doporučuji obrátit se na toto zdroj , zde jsou hlavní příručky pro konfiguraci exportéru Netflow pro mnoho zařízení: Cisco, Check Point, Fortinet.
5.2. V našem případě, opakuji, exportujeme Netflow z brány Check Point. Netflow exportér se konfiguruje ve stejnojmenné záložce webového rozhraní (Gaia Portal). Chcete-li to provést, klikněte na „Přidat“, zadejte verzi Netflow a požadovaný port.
6. Analýza provozu StealthWatch
6.1. Když přejdete na webové rozhraní SMC, na první stránce Dashboards > Network Security můžete vidět, že provoz začal!
6.2. Některá nastavení, například rozdělení hostitelů do skupin, sledování jednotlivých rozhraní, jejich zatížení, správa kolektorů a další, najdete pouze v Java aplikaci StealthWatch. Cisco samozřejmě všechny funkce pomalu přenáší do verze prohlížeče a od takového desktopového klienta brzy upustíme.
Chcete-li aplikaci nainstalovat, musíte nejprve nainstalovat JRE (Nainstaloval jsem verzi 8, i když se uvádí, že je podporována až do 10) z oficiálních stránek Oracle.
V pravém horním rohu webového rozhraní konzoly pro správu, chcete-li stáhnout, musíte kliknout na tlačítko „Desktop Client“.
Klienta uložíte a nainstalujete násilně, java na něj bude s největší pravděpodobností nadávat, možná budete muset přidat hostitele do java výjimek.
Díky tomu se odhalí celkem přehledný klient, ve kterém je dobře vidět načítání exportérů, rozhraní, útoků a jejich toků.
7. Centrální správa StealthWatch
7.1. Karta Centrální správa obsahuje všechna zařízení, která jsou součástí nasazených hodinek StealthWatch, jako jsou: FlowCollector, FlowSensor, UDP-Director a Endpoint Concetrator. Zde můžete spravovat nastavení sítě a služby zařízení, licence a ručně zařízení vypnout.
Můžete na něj přejít kliknutím na „ozubené kolo“ v pravém horním rohu a výběrem Centrální správa.
7.2. Když přejdete na Upravit konfiguraci zařízení ve FlowCollectoru, uvidíte SSH, NTP a další síťová nastavení související se samotnou aplikací. Chcete-li to provést, vyberte Akce → Upravit konfiguraci zařízení pro požadované zařízení.
7.3. Správu licencí lze také nalézt na kartě Centrální správa > Správa licencí. Zkušební licence v případě požadavku GVE jsou uvedeny pro 90 dny.
Produkt je připraven k použití! V příštím díle se podíváme na to, jak StealthWatch dokáže rozpoznat útoky a generovat zprávy.