StealthWatch: Bereitstellung und Konfiguration. Teil 2

StealthWatch: Bereitstellung und Konfiguration. Teil 2

Hallo, Kollegen! Nachdem wir die minimalen Anforderungen fĂŒr die Bereitstellung von StealthWatch in dem vorherigen Teil, können wir mit der Implementierung des Produkts beginnen.

1. Bereitstellungsmöglichkeiten fĂŒr StealthWatch

Es gibt mehrere Möglichkeiten, StealthWatch nÀher kennenzulernen:

  • dcloud – Cloud-basierter Laborservice;
  • Cloud-basiert: Stealthwatch Cloud Kostenloser Test – hier wird Netflow von Ihrem GerĂ€t in die Cloud gesendet und von der StealthWatch-Software analysiert;
  • On-Premise POV (GVE-Anfrage) – dies war der Weg, den ich gewĂ€hlt habe. Sie erhalten 4 OVF-Dateien virtueller Maschinen mit integrierten Lizenzen fĂŒr 90 Tage, die auf einem dedizierten Server im Unternehmensnetzwerk bereitgestellt werden können.


Trotz der Vielzahl an heruntergeladenen virtuellen Maschinen reicht fĂŒr die minimale Arbeitskonfiguration nur 2 aus: die StealthWatch Management Console und den FlowCollector. Sollte jedoch kein NetzwerkgerĂ€t zur VerfĂŒgung stehen, das Netflow an den FlowCollector exportieren kann, muss auch der FlowSensor bereitgestellt werden, da dieser mithilfe der SPAN/RSPAN-Technologie Netflow sammeln kann.

Wie bereits erwÀhnt, kann Ihre reale Netzwerkumgebung als Laborstand dienen, da StealthWatch lediglich eine Kopie, oder besser gesagt, einen Auszug des Traffics benötigt. Im folgenden Bild sehen Sie mein Netzwerk, in dem ich den Netflow Exporter am Sicherheitssystem konfiguriere und somit Netflow an den Collector sende.

StealthWatch: Bereitstellung und Konfiguration. Teil 2

Um Zugriff auf zukĂŒnftige VMs zu erhalten, sollten Sie auf Ihrer Firewall, sofern vorhanden, die folgenden Ports freigeben:

TCP 22 | TCP 25 | TCP 389 | TCP 443 | TCP 2393 | TCP 5222 | UDP 53 | UDP 123 | UDP 161 | UDP 162 | UDP 389 | UDP 514 | UDP 2055 | UDP 6343

Einige davon sind allgemein bekannte Dienste, andere sind fĂŒr Cisco-Dienste reserviert.
In meinem Fall habe ich StealthWatch einfach im gleichen Netzwerk wie Check Point bereitgestellt, ohne dass dazu Regeln zur Freigabe konfiguriert werden mussten.

2. Installation des FlowCollectors am Beispiel von VMware vSphere

2.1. Klicken Sie auf Browse und wĂ€hlen Sie die OVF-Datei aus. ÜberprĂŒfen Sie die VerfĂŒgbarkeit der Ressourcen und gehen Sie zu View, Inventory → Networking (Strg+Umschalt+N).

StealthWatch: Bereitstellung und Konfiguration. Teil 2

2.2. Im Reiter Networking wÀhlen wir in den Einstellungen des virtuellen Switches eine neue verteilte Portgruppe aus.

StealthWatch: Bereitstellung und Konfiguration. Teil 2

2.3. Geben Sie einen Namen an, lassen Sie es StealthWatchPortGroup sein, die anderen Einstellungen können wie auf dem Screenshot vorgenommen werden, und klicken Sie auf Next.

StealthWatch: Bereitstellung und Konfiguration. Teil 2

StealthWatch: Bereitstellung und Konfiguration. Teil 2

2.4. Schließen Sie die Erstellung der Portgruppe mit der SchaltflĂ€che Finish ab.

StealthWatch: Bereitstellung und Konfiguration. Teil 2

2.5. In der erstellten Portgruppe passen wir die Einstellungen an, indem wir mit der rechten Maustaste auf die Portgruppe klicken und ‚Einstellungen bearbeiten‘ wĂ€hlen. Im Tab Sicherheit aktivieren wir unbedingt den ‚Sichtlosen Modus‘, Promiscuous Mode → Accept → OK.

StealthWatch: Bereitstellung und Konfiguration. Teil 2

2.6. Als Beispiel importieren wir den OVF FlowCollector, dessen Download-Link uns der Cisco-Ingenieur nach der GVE-Anfrage gesendet hat. Klicken Sie mit der rechten Maustaste auf den Host, auf dem Sie die VM bereitstellen möchten, und wĂ€hlen Sie ‚OVF-Vorlage bereitstellen‘. FĂŒr den benötigten Speicherplatz: 50 GB reichen aus, jedoch wird empfohlen, fĂŒr den produktiven Einsatz etwa 200 GB bereitzustellen.

StealthWatch: Bereitstellung und Konfiguration. Teil 2

2.7. WĂ€hlen Sie den Ordner aus, in dem sich die OVF-Datei befindet.

StealthWatch: Bereitstellung und Konfiguration. Teil 2

2.8. Klicken Sie auf ‚Weiter‘.

StealthWatch: Bereitstellung und Konfiguration. Teil 2

2.9. Geben Sie den Namen und den Server an, auf dem wir das bereitstellen.

StealthWatch: Bereitstellung und Konfiguration. Teil 2

2.10. Am Ende erhalten wir das folgende Bild und klicken auf ‚Fertigstellen‘.

StealthWatch: Bereitstellung und Konfiguration. Teil 2

2.11. Wiederholen Sie die gleichen Schritte, um die StealthWatch Management Console bereitzustellen.

StealthWatch: Bereitstellung und Konfiguration. Teil 2

2.12. Jetzt mĂŒssen die erforderlichen Netzwerke in den Schnittstellen angegeben werden, damit der FlowCollector sowohl SMC als auch die GerĂ€te sehen kann, von denen Netflow exportiert wird.

3. Initialisierung der StealthWatch Management Console

3.1. Wenn Sie die Konsole der installierten Maschine SMCVE betreten, sehen Sie das Eingabefeld fĂŒr den Benutzernamen und das Passwort, standardmĂ€ĂŸig sysadmin/lan1cope.

StealthWatch: Bereitstellung und Konfiguration. Teil 2

3.2. Gehen Sie zum Punkt Management, geben Sie die IP-Adresse und andere Netzwerkeinstellungen ein und bestĂ€tigen Sie die Änderungen. Das GerĂ€t wird neu gestartet.

StealthWatch: Bereitstellung und Konfiguration. Teil 2

StealthWatch: Bereitstellung und Konfiguration. Teil 2

StealthWatch: Bereitstellung und Konfiguration. Teil 2

3.3. Wechseln Sie zur Web-OberflĂ€che (ĂŒber https zu der Adresse, die Sie im SMC angegeben haben) und initialisieren Sie die Konsole. Standard-Login/Passwort – admin/lan411cope.

P.S.: Manchmal öffnet sich die Seite in Google Chrome nicht, der Explorer funktioniert jedoch immer.

StealthWatch: Bereitstellung und Konfiguration. Teil 2

3.4. Ändern Sie unbedingt die Passwörter, geben Sie DNS, NTP-Server, die Domain und weitere Einstellungen ein. Die Einstellungen sind intuitiv verstĂ€ndlich.

StealthWatch: Bereitstellung und Konfiguration. Teil 2

3.5. Nach dem DrĂŒcken der SchaltflĂ€che „Übernehmen“ startet das GerĂ€t erneut. Nach 5-7 Minuten können Sie sich erneut unter dieser Adresse verbinden; die Steuerung von StealthWatch erfolgt ĂŒber die Web-OberflĂ€che.

StealthWatch: Bereitstellung und Konfiguration. Teil 2

4. Einrichtung des FlowCollectors

4.1. Beim Collector ist alles dasselbe. Zuerst geben wir im CLI die IP-Adresse, die Maske und die Domain an, danach wird der FC neu gestartet. Anschließend können Sie sich ĂŒber die angegebene Adresse mit der Web-OberflĂ€che verbinden und die gleiche Grundkonfiguration vornehmen. Da die Einstellungen Ă€hnlich sind, werden detaillierte Screenshots weggelassen. Zugangsdaten zum Login sind die gleichen.

StealthWatch: Bereitstellung und Konfiguration. Teil 2

4.2. Im vorletzten Schritt muss die IP-Adresse des SMC festgelegt werden, damit die Konsole das GerĂ€t erkennen kann; zur BestĂ€tigung dieser Einstellung mĂŒssen Benutzeranmeldeinformationen eingegeben werden.

StealthWatch: Bereitstellung und Konfiguration. Teil 2

4.3. WĂ€hlen Sie die Domain fĂŒr StealthWatch aus, die zuvor festgelegt wurde, sowie den Port. 2055 – ĂŒblicherweise Netflow, wenn Sie mit sFlow arbeiten, den Port 6343.

StealthWatch: Bereitstellung und Konfiguration. Teil 2

5. Konfiguration des Netflow Exporters

5.1. Zur Einrichtung des Netflow Exporters empfehle ich dringend, auf diese Ressource , hier finden Sie die grundlegenden Anleitungen zur Konfiguration des Netflow Exporters fĂŒr viele GerĂ€te: Cisco, Check Point, Fortinet.

5.2. In unserem Fall exportieren wir Netflow von der Check Point-Gateway. Die Einrichtung des Netflow Exporters erfolgt ĂŒber einen gleichnamigen Tab im Web-Interface (Gaia Portal). Dazu sollten Sie auf „HinzufĂŒgen“ klicken, die Netflow-Version angeben und den erforderlichen Port auswĂ€hlen.

StealthWatch: Bereitstellung und Konfiguration. Teil 2

6. Analyse der StealthWatch-Arbeit

6.1. Wenn Sie sich im Web-Interface des SMC befinden, ist auf der ersten Seite Dashboards > Network Security zu sehen, dass der Traffic lÀuft!

StealthWatch: Bereitstellung und Konfiguration. Teil 2

6.2. Einige Einstellungen, wie z.B. die Gruppierung von Hosts, das Monitoring einzelner Schnittstellen, deren Auslastung, das Management von Collectoren und weitere Funktionen, finden Sie ausschließlich in der Java-Anwendung StealthWatch. Cisco ĂŒbertrĂ€gt jedoch nach und nach alle Funktionen in die Browser-Version, und bald werden wir auf diesen Desktop-Client verzichten.

Um die Anwendung zu installieren, mĂŒssen Sie zuvor JRE (ich habe Version 8 installiert, obwohl gesagt wird, dass bis zu 10 unterstĂŒtzt wird) von der offiziellen Oracle-Website herunterladen.

Oben rechts in der BenutzeroberflĂ€che der Verwaltungskonsole mĂŒssen Sie auf die SchaltflĂ€che „Desktop Client“ klicken, um den Download zu starten.

StealthWatch: Bereitstellung und Konfiguration. Teil 2

Sie speichern und installieren den Client manuell; Java wird wahrscheinlich Warnungen ausgeben, möglicherweise mĂŒssen Sie den Host in die Java-Ausnahmen eintragen.

Das Ergebnis ist ein recht verstÀndlicher Client, in dem Sie die Auslastung der Exporteure, Schnittstellen, Angriffe und deren Datenströme leicht einsehen können.

StealthWatch: Bereitstellung und Konfiguration. Teil 2

StealthWatch: Bereitstellung und Konfiguration. Teil 2

StealthWatch: Bereitstellung und Konfiguration. Teil 2

7. StealthWatch Zentrale Verwaltung

7.1. Im Bereich Central Management befinden sich alle GerÀte, die Teil des bereitgestellten StealthWatch sind, wie FlowCollector, FlowSensor, UDP-Director und Endpoint Concentrator. Hier können Sie die Netzwerkeinstellungen und Dienste der GerÀte, Lizenzen verwalten und das GerÀt manuell ausschalten.

Sie können zu diesem Bereich gelangen, indem Sie auf das "Zahnrad" in der oberen rechten Ecke klicken und Central Management auswÀhlen.

StealthWatch: Bereitstellung und Konfiguration. Teil 2

StealthWatch: Bereitstellung und Konfiguration. Teil 2

7.2. Wenn Sie im FlowCollector die Appliance-Konfiguration bearbeiten, sehen Sie die Einstellungen fĂŒr SSH, NTP und andere Netzwerkeinstellungen, die direkt die Appliance betreffen. Um anzeigen zu können, wĂ€hlen Sie Aktionen → Appliance-Konfiguration bearbeiten des entsprechenden GerĂ€ts.

StealthWatch: Bereitstellung und Konfiguration. Teil 2

StealthWatch: Bereitstellung und Konfiguration. Teil 2

StealthWatch: Bereitstellung und Konfiguration. Teil 2

7.3. Das Lizenzmanagement finden Sie ebenfalls im Bereich Central Management > Lizenzen verwalten. Testlizenzen werden im Falle einer GVE-Anfrage fĂŒr 90 Tage.

StealthWatch: Bereitstellung und Konfiguration. Teil 2

Das Produkt ist einsatzbereit! Im nÀchsten Abschnitt werden wir uns ansehen, wie StealthWatch Angriffe erkennen und Berichte generieren kann.

Quelle: habr.com

Kaufen Sie zuverlĂ€ssiges Hosting fĂŒr Websites mit DDoS-Schutz, VPS VDS-Server đŸ”„ Kaufen Sie zuverlĂ€ssiges Hosting fĂŒr Websites mit DDoS-Schutz, VPS VDS-Server | ProHoster