Helo cydweithwyr! Ar ôl pennu'r gofynion sylfaenol ar gyfer defnyddio StealthWatch i mewn , gallwn ddechrau defnyddio'r cynnyrch.
1. Dulliau ar gyfer defnyddio StealthWatch
Mae yna sawl ffordd o “gyffwrdd” â'r StealthWatch:
- – gwasanaeth cwmwl ar gyfer gwaith labordy;
- Seiliedig ar Gwmwl: – yma bydd Netflow o'ch dyfais yn llifo i'r cwmwl ac yn cael ei ddadansoddi yno gan feddalwedd StealthWatch;
- POV ar y safle () - y dull a ddilynais, byddant yn anfon 4 ffeil OVF atoch o beiriannau rhithwir gyda thrwyddedau adeiledig am 90 diwrnod, y gellir eu defnyddio ar weinydd pwrpasol ar y rhwydwaith corfforaethol.
Er gwaethaf y digonedd o beiriannau rhithwir wedi'u llwytho i lawr, ar gyfer cyfluniad gweithio lleiaf posibl dim ond 2 sy'n ddigon: Consol Rheoli StealthWatch a FlowCollector. Fodd bynnag, os nad oes dyfais rhwydwaith a all allforio Netflow i FlowCollector, yna mae angen defnyddio FlowSensor hefyd, gan fod yr olaf yn caniatáu ichi gasglu Netflow gan ddefnyddio technolegau SPAN / RSPAN.
Fel y dywedais yn gynharach, gall eich rhwydwaith go iawn weithredu fel mainc labordy, gan mai dim ond copi sydd ei angen ar StealthWatch, neu, yn fwy cywir, gwasgfa o gopi o draffig. Mae'r llun isod yn dangos fy rhwydwaith, lle ar y porth diogelwch byddaf yn ffurfweddu'r Allforiwr Netflow ac, o ganlyniad, yn anfon Netflow at y casglwr.
I gael mynediad at VMs yn y dyfodol, dylid caniatáu'r porthladdoedd canlynol ar eich wal dân, os oes gennych un:
TCP 22 l TCP 25 l TCP 389 l TCP 443 l TCP 2393 l TCP 5222 l CDU 53 l CDU 123 l CDU 161 l CDU 162 l CDU 389 l CDU 514 l CDU 2055 l CDU 6343
Mae rhai ohonynt yn wasanaethau adnabyddus, mae rhai wedi'u cadw ar gyfer gwasanaethau Cisco.
Yn fy achos i, fe wnes i ddefnyddio StelathWatch ar yr un rhwydwaith â Check Point, ac nid oedd yn rhaid i mi ffurfweddu unrhyw reolau caniatâd.
2. Gosod FlowCollector gan ddefnyddio VMware vSphere fel enghraifft
2.1. Cliciwch Pori a dewis ffeil OVF1. Ar ôl gwirio argaeledd adnoddau, ewch i'r ddewislen View, Inventory → Networking (Ctrl+Shift+N).
2.2. Yn y tab Rhwydweithio, dewiswch grŵp porthladd New Distributed yn y gosodiadau switsh rhithwir.
2.3. Gosodwch yr enw, gadewch iddo fod yn StealthWatchPortGroup, gellir gwneud gweddill y gosodiadau fel yn y sgrin a chliciwch ar Next.
2.4. Rydym yn cwblhau creu'r Grŵp Port gyda'r botwm Gorffen.
2.5. Gadewch i ni olygu gosodiadau'r Port Group a grëwyd trwy dde-glicio ar y grŵp porthladdoedd a dewis Golygu Gosodiadau. Yn y tab Diogelwch, gwnewch yn siŵr eich bod chi'n galluogi “modd annoeth”, Modd Amlwg → Derbyn → Iawn.
2.6. Er enghraifft, gadewch i ni fewnforio OVF FlowCollector, yr anfonwyd y ddolen lawrlwytho ar ei chyfer gan beiriannydd Cisco ar ôl cais GVE. De-gliciwch ar y gwesteiwr rydych chi'n bwriadu defnyddio'r VM arno a dewis Defnyddio Templed OVF. O ran y gofod a neilltuwyd, bydd yn “cychwyn” ar 50 GB, ond ar gyfer amodau ymladd argymhellir dyrannu 200 gigabeit.
2.7. Dewiswch y ffolder lle mae'r ffeil OVF wedi'i lleoli.
2.8. Cliciwch "Nesaf".
2.9. Rydyn ni'n nodi'r enw a'r gweinydd lle rydyn ni'n ei ddefnyddio.
2.10. O ganlyniad, rydym yn cael y llun canlynol a chlicio "Gorffen".
2.11. Rydym yn dilyn yr un camau i ddefnyddio Consol Rheoli StealthWatch.
2.12. Nawr mae angen i chi nodi'r rhwydweithiau angenrheidiol yn y rhyngwynebau fel bod FlowCollector yn gweld y SMC a'r dyfeisiau y bydd Netflow yn cael ei allforio ohonynt.
3. Cychwyn Consol Rheoli StealthWatch
3.1. Trwy fynd i gonsol y peiriant SMCVE sydd wedi'i osod, fe welwch le i nodi'ch mewngofnodi a'ch cyfrinair, yn ddiofyn sysadmin/lan1cope.
3.2. Rydyn ni'n mynd i'r eitem Rheoli, yn gosod y cyfeiriad IP a pharamedrau rhwydwaith eraill, yna'n cadarnhau eu newidiadau. Bydd y ddyfais yn ailgychwyn.
3.3. Ewch i'r rhyngwyneb gwe (trwy https i'r cyfeiriad a nodwyd gennych yn SMC) a dechreuwch y consol, mewngofnodi diofyn / cyfrinair - gweinyddol/lan411cope.
PS: mae'n digwydd nad yw'n agor yn Google Chrome, bydd Explorer bob amser yn helpu.
3.4. Byddwch yn siwr i newid cyfrineiriau, gosod DNS, gweinyddwyr NTP, parth, ac ati. Mae'r gosodiadau yn reddfol.
3.5. Ar ôl clicio ar y botwm "Gwneud Cais", bydd y ddyfais yn ailgychwyn eto. Ar ôl 5-7 munud gallwch gysylltu eto i'r cyfeiriad hwn; Bydd StealthWatch yn cael ei reoli trwy ryngwyneb gwe.
4. Sefydlu FlowCollector
4.1. Mae'r un peth gyda'r casglwr. Yn gyntaf, yn y CLI rydym yn nodi'r cyfeiriad IP, mwgwd, parth, yna mae'r CC yn ailgychwyn. Yna gallwch gysylltu â'r rhyngwyneb gwe yn y cyfeiriad penodedig a gwneud yr un gosodiad sylfaenol. Oherwydd bod y gosodiadau'n debyg, mae sgrinluniau manwl yn cael eu hepgor. Cymwysterau i fynd i mewn yr un.
4.2. Ar y pwynt olaf ond un, mae angen i chi osod cyfeiriad IP y SMC, yn yr achos hwn bydd y consol yn gweld y ddyfais, bydd yn rhaid i chi gadarnhau'r gosodiad hwn trwy nodi'ch tystlythyrau.
4.3. Dewiswch y parth ar gyfer StealthWatch, fe'i gosodwyd yn gynharach, a'r porthladd 2055 – Netflow rheolaidd, os ydych chi'n gweithio gyda sFlow, porthladd 6343.
5. Ffurfweddiad Netflow Exporter
5.1. I ffurfweddu'r allforiwr Netflow, rwy'n argymell yn fawr troi at hyn , dyma'r prif ganllawiau ar gyfer ffurfweddu'r allforiwr Netflow ar gyfer llawer o ddyfeisiau: Cisco, Check Point, Fortinet.
5.2. Yn ein hachos ni, ailadroddaf, rydym yn allforio Netflow o borth y Check Point. Mae allforiwr Netflow wedi'i ffurfweddu mewn tab o'r un enw yn y rhyngwyneb gwe (Gaia Portal). I wneud hyn, cliciwch "Ychwanegu", nodwch y fersiwn Netflow a'r porthladd gofynnol.
6. Dadansoddiad o weithrediad StealthWatch
6.1. Wrth fynd i ryngwyneb gwe SMC, ar dudalen gyntaf Dangosfyrddau > Diogelwch Rhwydwaith gallwch weld bod y traffig wedi cychwyn!
6.2. Dim ond yn y cymhwysiad StealthWatch Java y gellir dod o hyd i rai gosodiadau, er enghraifft, rhannu gwesteiwyr yn grwpiau, monitro rhyngwynebau unigol, eu llwyth, rheoli casglwyr, a mwy. Wrth gwrs, mae Cisco yn trosglwyddo'r holl ymarferoldeb yn araf i fersiwn y porwr a byddwn yn rhoi'r gorau i gleient bwrdd gwaith o'r fath yn fuan.
I osod y cais, rhaid i chi osod yn gyntaf (Fe wnes i osod fersiwn 8, er y dywedir ei fod yn cael ei gefnogi hyd at 10) o wefan swyddogol Oracle.
Yng nghornel dde uchaf rhyngwyneb gwe y consol rheoli, i lawrlwytho, rhaid i chi glicio ar y botwm “Cleient Penbwrdd”.
Rydych chi'n cadw ac yn gosod y cleient yn rymus, mae java yn debygol o dyngu arno, efallai y bydd angen i chi ychwanegu'r gwesteiwr at eithriadau java.
O ganlyniad, datgelir cleient eithaf clir, lle mae'n hawdd gweld llwytho allforwyr, rhyngwynebau, ymosodiadau a'u llif.
7. Rheolaeth Ganolog StealthWatch
7.1. Mae'r tab Rheolaeth Ganolog yn cynnwys yr holl ddyfeisiau sy'n rhan o'r StealthWatch a ddefnyddir, megis: FlowCollector, FlowSensor, UDP-Director a Endpoint Concetrator. Yno, gallwch reoli gosodiadau rhwydwaith a gwasanaethau dyfais, trwyddedau, a diffodd y ddyfais â llaw.
Gallwch fynd ato trwy glicio ar y “gêr” yn y gornel dde uchaf a dewis Rheolaeth Ganolog.
7.2. Trwy fynd i Golygu Ffurfweddiad Offer yn FlowCollector, fe welwch SSH, NTP a gosodiadau rhwydwaith eraill sy'n gysylltiedig â'r app ei hun. I fynd, dewiswch Camau Gweithredu → Golygu Ffurfweddiad Offer ar gyfer y ddyfais ofynnol.
7.3. Gellir dod o hyd i reolaeth trwyddedau hefyd yn y tab Rheolaeth Ganolog > Rheoli Trwyddedau. Rhoddir trwyddedau prawf rhag ofn y gwneir cais am GVE Diwrnod 90.
Mae'r cynnyrch yn barod i fynd! Yn y rhan nesaf, byddwn yn edrych ar sut y gall StealthWatch adnabod ymosodiadau a chynhyrchu adroddiadau.
Ffynhonnell: hab.com