Hallo Kollegen! Nachdem wir die Mindestanforderungen für die Bereitstellung von StealthWatch festgelegt haben , können wir mit der Bereitstellung des Produkts beginnen.
1. Methoden zur Bereitstellung von StealthWatch
Es gibt mehrere Möglichkeiten, die StealthWatch zu „berühren“:
- – Cloud-Dienst für Laborarbeiten;
- Cloudbasiert: – hier fließt der Netflow von Ihrem Gerät in die Cloud und wird dort von der StealthWatch-Software analysiert;
- POV vor Ort () – die Methode, die ich befolgt habe, sendet Ihnen 4 OVF-Dateien virtueller Maschinen mit integrierten Lizenzen für 90 Tage, die auf einem dedizierten Server im Unternehmensnetzwerk bereitgestellt werden können.
Trotz der Fülle heruntergeladener virtueller Maschinen reichen für eine minimale Arbeitskonfiguration nur zwei aus: StealthWatch Management Console und FlowCollector. Wenn jedoch kein Netzwerkgerät vorhanden ist, das Netflow an FlowCollector exportieren kann, muss auch FlowSensor bereitgestellt werden, da dieser es Ihnen ermöglicht, Netflow mithilfe der SPAN/RSPAN-Technologien zu erfassen.
Wie ich bereits sagte, kann Ihr reales Netzwerk als Labortisch fungieren, da StealthWatch nur eine Kopie oder, genauer gesagt, eine Kopie einer Kopie des Datenverkehrs benötigt. Das Bild unten zeigt mein Netzwerk, in dem ich auf dem Sicherheitsgateway den Netflow Exporter konfiguriere und als Ergebnis Netflow an den Collector sende.
Um auf zukünftige VMs zugreifen zu können, sollten die folgenden Ports in Ihrer Firewall zugelassen sein, sofern Sie eine haben:
TCP 22 l TCP 25 l TCP 389 l TCP 443 l TCP 2393 l TCP 5222 l UDP 53 l UDP 123 l UDP 161 l UDP 162 l UDP 389 l UDP 514 l UDP 2055 l UDP 6343
Einige davon sind bekannte Dienste, andere sind Cisco-Diensten vorbehalten.
In meinem Fall habe ich StelathWatch einfach im selben Netzwerk wie Check Point bereitgestellt und musste keine Berechtigungsregeln konfigurieren.
2. Installation von FlowCollector am Beispiel von VMware vSphere
2.1. Klicken Sie auf Durchsuchen und wählen Sie OVF-Datei1 aus. Nachdem Sie die Verfügbarkeit der Ressourcen überprüft haben, gehen Sie zum Menü Ansicht, Inventar → Netzwerk (Strg+Umschalt+N).
2.2. Wählen Sie auf der Registerkarte „Netzwerk“ in den Einstellungen des virtuellen Switches die Option „Neue verteilte Portgruppe“ aus.
2.3. Legen Sie den Namen fest, lassen Sie ihn StealthWatchPortGroup lauten, die restlichen Einstellungen können wie im Screenshot vorgenommen werden und klicken Sie auf Weiter.
2.4. Mit der Schaltfläche „Fertig stellen“ schließen wir die Erstellung der Portgruppe ab.
2.5. Bearbeiten wir die Einstellungen der erstellten Portgruppe, indem wir mit der rechten Maustaste auf die Portgruppe klicken und Einstellungen bearbeiten auswählen. Stellen Sie sicher, dass auf der Registerkarte „Sicherheit“ der „Promiscuous-Modus“ aktiviert ist, Promiscuous-Modus → Akzeptieren → OK.
2.6. Als Beispiel importieren wir OVF FlowCollector, dessen Download-Link von einem Cisco-Techniker nach einer GVE-Anfrage gesendet wurde. Klicken Sie mit der rechten Maustaste auf den Host, auf dem Sie die VM bereitstellen möchten, und wählen Sie OVF-Vorlage bereitstellen aus. Was den zugewiesenen Speicherplatz betrifft, wird er bei 50 GB „starten“, für Kampfbedingungen wird jedoch empfohlen, 200 Gigabyte zuzuweisen.
2.7. Wählen Sie den Ordner aus, in dem sich die OVF-Datei befindet.
2.8. Weiter klicken".
2.9. Wir geben den Namen und den Server an, auf dem wir es bereitstellen.
2.10. Als Ergebnis erhalten wir das folgende Bild und klicken auf „Fertig stellen“.
2.11. Wir befolgen die gleichen Schritte, um die StealthWatch-Verwaltungskonsole bereitzustellen.
2.12. Nun müssen Sie in den Schnittstellen die notwendigen Netzwerke angeben, damit FlowCollector sowohl den SMC als auch die Geräte sieht, von denen Netflow exportiert wird.
3. Initialisierung der StealthWatch-Verwaltungskonsole
3.1. Wenn Sie zur Konsole der installierten SMCVE-Maschine gehen, sehen Sie standardmäßig einen Ort, an dem Sie Ihren Benutzernamen und Ihr Passwort eingeben können sysadmin/lan1cope.
3.2. Wir gehen zum Punkt „Verwaltung“, stellen die IP-Adresse und andere Netzwerkparameter ein und bestätigen dann deren Änderungen. Das Gerät wird neu gestartet.
3.3. Gehen Sie zur Weboberfläche (über https an die Adresse, die Sie in SMC angegeben haben) und initialisieren Sie die Konsole, Standard-Login/Passwort – admin/lan411cope.
PS: Es kommt vor, dass es in Google Chrome nicht geöffnet wird. Der Explorer hilft immer weiter.
3.4. Stellen Sie sicher, dass Sie Passwörter ändern, DNS, NTP-Server, Domäne usw. festlegen. Die Einstellungen sind intuitiv.
3.5. Nachdem Sie auf die Schaltfläche „Übernehmen“ geklickt haben, wird das Gerät erneut neu gestartet. Nach 5-7 Minuten können Sie sich wieder mit dieser Adresse verbinden; StealthWatch wird über eine Weboberfläche verwaltet.
4. FlowCollector einrichten
4.1. Beim Kollektor ist es genauso. Zuerst geben wir in der CLI die IP-Adresse, die Maske und die Domäne an, dann startet der FC neu. Anschließend können Sie sich unter der angegebenen Adresse mit dem Webinterface verbinden und die gleiche Grundeinrichtung durchführen. Da die Einstellungen ähnlich sind, wird auf detaillierte Screenshots verzichtet. Referenzen betreten genau solche.
4.2. Am vorletzten Punkt müssen Sie die IP-Adresse des SMC festlegen. In diesem Fall erkennt die Konsole das Gerät. Sie müssen diese Einstellung durch Eingabe Ihrer Anmeldeinformationen bestätigen.
4.3. Wählen Sie die zuvor festgelegte Domäne für StealthWatch und den Port aus 2055 – regulärer Netflow, wenn Sie mit sFlow arbeiten, Port 6343.
5. Netflow Exporter-Konfiguration
5.1. Um den Netflow-Exporter zu konfigurieren, empfehle ich dringend, sich an diesen zu wenden Hier finden Sie die wichtigsten Anleitungen zum Konfigurieren des Netflow-Exporters für viele Geräte: Cisco, Check Point, Fortinet.
5.2. In unserem Fall, ich wiederhole, exportieren wir Netflow vom Check Point-Gateway. Der Netflow-Exporter wird in einer gleichnamigen Registerkarte in der Weboberfläche (Gaia-Portal) konfiguriert. Klicken Sie dazu auf „Hinzufügen“, geben Sie die Netflow-Version und den gewünschten Port an.
6. Analyse des StealthWatch-Betriebs
6.1. Wenn Sie zur SMC-Weboberfläche gehen, können Sie auf der ersten Seite von Dashboards > Netzwerksicherheit sehen, dass der Datenverkehr begonnen hat!
6.2. Einige Einstellungen, beispielsweise die Einteilung von Hosts in Gruppen, die Überwachung einzelner Schnittstellen, deren Auslastung, die Verwaltung von Collectors und mehr, sind nur in der StealthWatch-Java-Anwendung zu finden. Natürlich überträgt Cisco langsam die gesamte Funktionalität auf die Browser-Version und wir werden bald auf einen solchen Desktop-Client verzichten.
Um die Anwendung zu installieren, müssen Sie sie zuerst installieren (Ich habe Version 8 installiert, obwohl es heißt, dass sie bis 10 unterstützt wird) von der offiziellen Oracle-Website.
In der oberen rechten Ecke der Weboberfläche der Verwaltungskonsole müssen Sie zum Herunterladen auf die Schaltfläche „Desktop Client“ klicken.
Wenn Sie den Client speichern und installieren, wird Java höchstwahrscheinlich darauf schwören. Möglicherweise müssen Sie den Host zu Java-Ausnahmen hinzufügen.
Als Ergebnis wird ein ziemlich übersichtlicher Client angezeigt, in dem die Auslastung von Exporteuren, Schnittstellen, Angriffen und deren Abläufe leicht zu erkennen ist.
7. Zentrale StealthWatch-Verwaltung
7.1. Die Registerkarte „Zentrale Verwaltung“ enthält alle Geräte, die Teil der bereitgestellten StealthWatch sind, wie zum Beispiel: FlowCollector, FlowSensor, UDP-Director und Endpoint Concetrator. Dort können Sie Netzwerkeinstellungen sowie Gerätedienste und Lizenzen verwalten und das Gerät manuell ausschalten.
Sie können dorthin gelangen, indem Sie oben rechts auf das „Zahnrad“ klicken und „Zentrale Verwaltung“ auswählen.
7.2. Wenn Sie in FlowCollector auf „Appliance-Konfiguration bearbeiten“ gehen, werden SSH-, NTP- und andere Netzwerkeinstellungen angezeigt, die sich auf die App selbst beziehen. Wählen Sie dazu Aktionen → Appliance-Konfiguration bearbeiten für das gewünschte Gerät.
7.3. Die Lizenzverwaltung finden Sie auch auf der Registerkarte Zentrale Verwaltung > Lizenzen verwalten. Im Falle einer GVE-Anfrage werden Testlizenzen gewährt 90 Tage.
Das Produkt ist einsatzbereit! Im nächsten Teil schauen wir uns an, wie StealthWatch Angriffe erkennen und Berichte erstellen kann.
Source: habr.com