Hej kolleger! Efter at have fastlagt minimumskravene for at implementere StealthWatch i , kan vi begynde at implementere produktet.
1. Metoder til implementering af StealthWatch
Der er flere måder at "røre" på StealthWatch:
- – cloud-tjeneste til laboratoriearbejde;
- Skybaseret: – her vil Netflow fra din enhed flyde ind i skyen og vil blive analyseret der af StealthWatch-software;
- On-premise POV () – metoden jeg fulgte, vil de sende dig 4 OVF-filer af virtuelle maskiner med indbyggede licenser i 90 dage, som kan installeres på en dedikeret server på virksomhedens netværk.
På trods af overfloden af downloadede virtuelle maskiner er kun 2 nok til en minimal fungerende konfiguration: StealthWatch Management Console og FlowCollector. Men hvis der ikke er nogen netværksenhed, der kan eksportere Netflow til FlowCollector, så er det også nødvendigt at implementere FlowSensor, da sidstnævnte giver dig mulighed for at indsamle Netflow ved hjælp af SPAN/RSPAN-teknologier.
Som jeg sagde tidligere, kan dit rigtige netværk fungere som en laboratoriebænk, da StealthWatch kun behøver en kopi, eller mere korrekt, et klem af en kopi af trafikken. Billedet herunder viser mit netværk, hvor jeg på sikkerhedsgatewayen konfigurerer Netflow-eksportøren og som følge heraf sender Netflow til samleren.
For at få adgang til fremtidige VM'er bør følgende porte være tilladt på din firewall, hvis du har en:
TCP 22 l TCP 25 l TCP 389 l TCP 443 l TCP 2393 l TCP 5222 l UDP 53 l UDP 123 l UDP 161 l UDP 162 l UDP 389 l UDP 514 l UDP 2055 l UDP 6343
Nogle af dem er velkendte tjenester, nogle er forbeholdt Cisco-tjenester.
I mit tilfælde installerede jeg simpelthen StelathWatch på det samme netværk som Check Point og behøvede ikke at konfigurere nogen tilladelsesregler.
2. Installation af FlowCollector vha. VMware vSphere som eksempel
2.1. Klik på Gennemse, og vælg OVF-fil1. Når du har kontrolleret tilgængeligheden af ressourcer, skal du gå til menuen Vis, Inventar → Netværk (Ctrl+Shift+N).
2.2. På fanen Netværk skal du vælge Ny distribueret portgruppe i indstillingerne for den virtuelle switch.
2.3. Indstil navnet, lad det være StealthWatchPortGroup, resten af indstillingerne kan laves som på skærmbilledet og klik på Næste.
2.4. Vi afslutter oprettelsen af havnegruppen med knappen Udfør.
2.5. Lad os redigere indstillingerne for den oprettede portgruppe ved at højreklikke på portgruppen og vælge Rediger indstillinger. På fanen Sikkerhed skal du sørge for at aktivere "promiskuøs tilstand", promiskuøs tilstand → Accepter → OK.
2.6. Lad os som et eksempel importere OVF FlowCollector, hvor downloadlinket blev sendt af en Cisco-ingeniør efter en GVE-anmodning. Højreklik på den vært, som du planlægger at implementere VM'en på, og vælg Deploy OVF Template. Med hensyn til den tildelte plads vil den "starte op" ved 50 GB, men til kampforhold anbefales det at allokere 200 gigabyte.
2.7. Vælg den mappe, hvor OVF-filen er placeret.
2.8. Klik på "Næste".
2.9. Vi angiver navnet og serveren, hvor vi installerer det.
2.10. Som et resultat får vi følgende billede og klikker på "Udfør".
2.11. Vi følger de samme trin for at implementere StealthWatch Management Console.
2.12. Nu skal du angive de nødvendige netværk i grænsefladerne, så FlowCollector ser både SMC'en og de enheder, som Netflow vil blive eksporteret fra.
3. Initialisering af StealthWatch Management Console
3.1. Ved at gå til konsollen på den installerede SMCVE-maskine, vil du som standard se et sted at indtaste dit login og adgangskode sysadmin/lan1cope.
3.2. Vi går til punktet Management, indstiller IP-adressen og andre netværksparametre, og bekræfter derefter deres ændringer. Enheden genstarter.
3.3. Gå til webgrænsefladen (via https til den adresse, du har angivet i SMC) og initialiser konsollen, standard login/adgangskode - admin/lan411cope.
PS: det sker, at det ikke åbner i Google Chrome, Explorer vil altid hjælpe.
3.4. Sørg for at ændre adgangskoder, indstille DNS, NTP-servere, domæne osv. Indstillingerne er intuitive.
3.5. Efter at have klikket på knappen "Anvend", genstarter enheden igen. Efter 5-7 minutter kan du oprette forbindelse igen til denne adresse; StealthWatch vil blive administreret via en webgrænseflade.
4. Opsætning af FlowCollector
4.1. Det er det samme med samleren. Først specificerer vi IP-adressen, masken, domænet i CLI'en, så genstarter FC'en. Du kan derefter oprette forbindelse til webgrænsefladen på den angivne adresse og udføre den samme grundlæggende opsætning. På grund af det faktum, at indstillingerne er ens, er detaljerede skærmbilleder udeladt. Legitimationsoplysninger at gå ind det samme.
4.2. På det næstsidste tidspunkt skal du indstille SMC'ens IP-adresse, i dette tilfælde vil konsollen se enheden, du skal bekræfte denne indstilling ved at indtaste dine legitimationsoplysninger.
4.3. Vælg domænet for StealthWatch, det blev indstillet tidligere, og porten 2055 – almindelig Netflow, hvis du arbejder med sFlow, port 6343.
5. Netflow Exporter-konfiguration
5.1. For at konfigurere Netflow-eksportøren anbefaler jeg stærkt, at du vender dig til dette , her er de vigtigste vejledninger til konfiguration af Netflow-eksportøren til mange enheder: Cisco, Check Point, Fortinet.
5.2. I vores tilfælde, jeg gentager, eksporterer vi Netflow fra Check Point-gatewayen. Netflow-eksportør konfigureres i en fane med samme navn i webgrænsefladen (Gaia Portal). For at gøre dette, klik på "Tilføj", angiv Netflow-versionen og den nødvendige port.
6. Analyse af StealthWatch drift
6.1. Går du til SMC-webgrænsefladen, på den første side af Dashboards > Network Security kan du se, at trafikken er startet!
6.2. Nogle indstillinger, for eksempel opdeling af værter i grupper, overvågning af individuelle grænseflader, deres belastning, håndtering af samlere og mere, kan kun findes i StealthWatch Java-applikationen. Selvfølgelig overfører Cisco langsomt al funktionalitet til browserversionen, og vi vil snart opgive en sådan desktop-klient.
For at installere applikationen skal du først installere (Jeg installerede version 8, selvom det siges, at den understøttes op til 10) fra den officielle Oracle-hjemmeside.
I øverste højre hjørne af administrationskonsollens webgrænseflade skal du klikke på knappen "Desktop Client" for at downloade.
Du gemmer og installerer klienten med magt, java vil højst sandsynligt bande på det, du skal muligvis tilføje værten til java-undtagelser.
Som et resultat afsløres en ret overskuelig klient, hvor det er let at se belastningen af eksportører, grænseflader, angreb og deres flows.
7. StealthWatch Central Management
7.1. Fanen Central Management indeholder alle enheder, der er en del af det implementerede StealthWatch, såsom: FlowCollector, FlowSensor, UDP-Director og Endpoint Concetrator. Der kan du administrere netværksindstillinger og enhedstjenester, licenser og manuelt slukke for enheden.
Du kan gå til det ved at klikke på "gearet" i øverste højre hjørne og vælge Central Management.
7.2. Ved at gå til Edit Appliance Configuration i FlowCollector vil du se SSH, NTP og andre netværksindstillinger relateret til selve appen. For at gå, vælg Handlinger → Rediger enhedskonfiguration for den påkrævede enhed.
7.3. Licensstyring kan også findes i fanen Central styring > Administrer licenser. Der gives prøvelicenser i tilfælde af GVE-anmodning 90 dag.
Produktet er klar til brug! I den næste del vil vi se på, hvordan StealthWatch kan genkende angreb og generere rapporter.
Kilde: www.habr.com