
Hallo, Kollegen! Nachdem wir die minimalen Anforderungen fĂŒr die Bereitstellung von StealthWatch in , können wir mit der Implementierung des Produkts beginnen.
1. Bereitstellungsmöglichkeiten fĂŒr StealthWatch
Es gibt mehrere Möglichkeiten, StealthWatch nÀher kennenzulernen:
- â Cloud-basierter Laborservice;
- Cloud-basiert: â hier wird Netflow von Ihrem GerĂ€t in die Cloud gesendet und von der StealthWatch-Software analysiert;
- On-Premise POV () â dies war der Weg, den ich gewĂ€hlt habe. Sie erhalten 4 OVF-Dateien virtueller Maschinen mit integrierten Lizenzen fĂŒr 90 Tage, die auf einem dedizierten Server im Unternehmensnetzwerk bereitgestellt werden können.
Trotz der Vielzahl an heruntergeladenen virtuellen Maschinen reicht fĂŒr die minimale Arbeitskonfiguration nur 2 aus: die StealthWatch Management Console und den FlowCollector. Sollte jedoch kein NetzwerkgerĂ€t zur VerfĂŒgung stehen, das Netflow an den FlowCollector exportieren kann, muss auch der FlowSensor bereitgestellt werden, da dieser mithilfe der SPAN/RSPAN-Technologie Netflow sammeln kann.
Wie bereits erwÀhnt, kann Ihre reale Netzwerkumgebung als Laborstand dienen, da StealthWatch lediglich eine Kopie, oder besser gesagt, einen Auszug des Traffics benötigt. Im folgenden Bild sehen Sie mein Netzwerk, in dem ich den Netflow Exporter am Sicherheitssystem konfiguriere und somit Netflow an den Collector sende.

Um Zugriff auf zukĂŒnftige VMs zu erhalten, sollten Sie auf Ihrer Firewall, sofern vorhanden, die folgenden Ports freigeben:
TCP 22 | TCP 25 | TCP 389 | TCP 443 | TCP 2393 | TCP 5222 | UDP 53 | UDP 123 | UDP 161 | UDP 162 | UDP 389 | UDP 514 | UDP 2055 | UDP 6343
Einige davon sind allgemein bekannte Dienste, andere sind fĂŒr Cisco-Dienste reserviert.
In meinem Fall habe ich StealthWatch einfach im gleichen Netzwerk wie Check Point bereitgestellt, ohne dass dazu Regeln zur Freigabe konfiguriert werden mussten.
2. Installation des FlowCollectors am Beispiel von VMware vSphere
2.1. Klicken Sie auf Browse und wĂ€hlen Sie die OVF-Datei aus. ĂberprĂŒfen Sie die VerfĂŒgbarkeit der Ressourcen und gehen Sie zu View, Inventory â Networking (Strg+Umschalt+N).

2.2. Im Reiter Networking wÀhlen wir in den Einstellungen des virtuellen Switches eine neue verteilte Portgruppe aus.

2.3. Geben Sie einen Namen an, lassen Sie es StealthWatchPortGroup sein, die anderen Einstellungen können wie auf dem Screenshot vorgenommen werden, und klicken Sie auf Next.


2.4. SchlieĂen Sie die Erstellung der Portgruppe mit der SchaltflĂ€che Finish ab.

2.5. In der erstellten Portgruppe passen wir die Einstellungen an, indem wir mit der rechten Maustaste auf die Portgruppe klicken und âEinstellungen bearbeitenâ wĂ€hlen. Im Tab Sicherheit aktivieren wir unbedingt den âSichtlosen Modusâ, Promiscuous Mode â Accept â OK.

2.6. Als Beispiel importieren wir den OVF FlowCollector, dessen Download-Link uns der Cisco-Ingenieur nach der GVE-Anfrage gesendet hat. Klicken Sie mit der rechten Maustaste auf den Host, auf dem Sie die VM bereitstellen möchten, und wĂ€hlen Sie âOVF-Vorlage bereitstellenâ. FĂŒr den benötigten Speicherplatz: 50 GB reichen aus, jedoch wird empfohlen, fĂŒr den produktiven Einsatz etwa 200 GB bereitzustellen.

2.7. WĂ€hlen Sie den Ordner aus, in dem sich die OVF-Datei befindet.

2.8. Klicken Sie auf âWeiterâ.

2.9. Geben Sie den Namen und den Server an, auf dem wir das bereitstellen.

2.10. Am Ende erhalten wir das folgende Bild und klicken auf âFertigstellenâ.

2.11. Wiederholen Sie die gleichen Schritte, um die StealthWatch Management Console bereitzustellen.

2.12. Jetzt mĂŒssen die erforderlichen Netzwerke in den Schnittstellen angegeben werden, damit der FlowCollector sowohl SMC als auch die GerĂ€te sehen kann, von denen Netflow exportiert wird.
3. Initialisierung der StealthWatch Management Console
3.1. Wenn Sie die Konsole der installierten Maschine SMCVE betreten, sehen Sie das Eingabefeld fĂŒr den Benutzernamen und das Passwort, standardmĂ€Ăig sysadmin/lan1cope.

3.2. Gehen Sie zum Punkt Management, geben Sie die IP-Adresse und andere Netzwerkeinstellungen ein und bestĂ€tigen Sie die Ănderungen. Das GerĂ€t wird neu gestartet.



3.3. Wechseln Sie zur Web-OberflĂ€che (ĂŒber https zu der Adresse, die Sie im SMC angegeben haben) und initialisieren Sie die Konsole. Standard-Login/Passwort â admin/lan411cope.
P.S.: Manchmal öffnet sich die Seite in Google Chrome nicht, der Explorer funktioniert jedoch immer.

3.4. Ăndern Sie unbedingt die Passwörter, geben Sie DNS, NTP-Server, die Domain und weitere Einstellungen ein. Die Einstellungen sind intuitiv verstĂ€ndlich.

3.5. Nach dem DrĂŒcken der SchaltflĂ€che âĂbernehmenâ startet das GerĂ€t erneut. Nach 5-7 Minuten können Sie sich erneut unter dieser Adresse verbinden; die Steuerung von StealthWatch erfolgt ĂŒber die Web-OberflĂ€che.

4. Einrichtung des FlowCollectors
4.1. Beim Collector ist alles dasselbe. Zuerst geben wir im CLI die IP-Adresse, die Maske und die Domain an, danach wird der FC neu gestartet. AnschlieĂend können Sie sich ĂŒber die angegebene Adresse mit der Web-OberflĂ€che verbinden und die gleiche Grundkonfiguration vornehmen. Da die Einstellungen Ă€hnlich sind, werden detaillierte Screenshots weggelassen. Zugangsdaten zum Login sind die gleichen.

4.2. Im vorletzten Schritt muss die IP-Adresse des SMC festgelegt werden, damit die Konsole das GerĂ€t erkennen kann; zur BestĂ€tigung dieser Einstellung mĂŒssen Benutzeranmeldeinformationen eingegeben werden.

4.3. WĂ€hlen Sie die Domain fĂŒr StealthWatch aus, die zuvor festgelegt wurde, sowie den Port. 2055 â ĂŒblicherweise Netflow, wenn Sie mit sFlow arbeiten, den Port 6343.

5. Konfiguration des Netflow Exporters
5.1. Zur Einrichtung des Netflow Exporters empfehle ich dringend, auf diese , hier finden Sie die grundlegenden Anleitungen zur Konfiguration des Netflow Exporters fĂŒr viele GerĂ€te: Cisco, Check Point, Fortinet.
5.2. In unserem Fall exportieren wir Netflow von der Check Point-Gateway. Die Einrichtung des Netflow Exporters erfolgt ĂŒber einen gleichnamigen Tab im Web-Interface (Gaia Portal). Dazu sollten Sie auf âHinzufĂŒgenâ klicken, die Netflow-Version angeben und den erforderlichen Port auswĂ€hlen.

6. Analyse der StealthWatch-Arbeit
6.1. Wenn Sie sich im Web-Interface des SMC befinden, ist auf der ersten Seite Dashboards > Network Security zu sehen, dass der Traffic lÀuft!

6.2. Einige Einstellungen, wie z.B. die Gruppierung von Hosts, das Monitoring einzelner Schnittstellen, deren Auslastung, das Management von Collectoren und weitere Funktionen, finden Sie ausschlieĂlich in der Java-Anwendung StealthWatch. Cisco ĂŒbertrĂ€gt jedoch nach und nach alle Funktionen in die Browser-Version, und bald werden wir auf diesen Desktop-Client verzichten.
Um die Anwendung zu installieren, mĂŒssen Sie zuvor (ich habe Version 8 installiert, obwohl gesagt wird, dass bis zu 10 unterstĂŒtzt wird) von der offiziellen Oracle-Website herunterladen.
Oben rechts in der BenutzeroberflĂ€che der Verwaltungskonsole mĂŒssen Sie auf die SchaltflĂ€che âDesktop Clientâ klicken, um den Download zu starten.

Sie speichern und installieren den Client manuell; Java wird wahrscheinlich Warnungen ausgeben, möglicherweise mĂŒssen Sie den Host in die Java-Ausnahmen eintragen.
Das Ergebnis ist ein recht verstÀndlicher Client, in dem Sie die Auslastung der Exporteure, Schnittstellen, Angriffe und deren Datenströme leicht einsehen können.



7. StealthWatch Zentrale Verwaltung
7.1. Im Bereich Central Management befinden sich alle GerÀte, die Teil des bereitgestellten StealthWatch sind, wie FlowCollector, FlowSensor, UDP-Director und Endpoint Concentrator. Hier können Sie die Netzwerkeinstellungen und Dienste der GerÀte, Lizenzen verwalten und das GerÀt manuell ausschalten.
Sie können zu diesem Bereich gelangen, indem Sie auf das "Zahnrad" in der oberen rechten Ecke klicken und Central Management auswÀhlen.


7.2. Wenn Sie im FlowCollector die Appliance-Konfiguration bearbeiten, sehen Sie die Einstellungen fĂŒr SSH, NTP und andere Netzwerkeinstellungen, die direkt die Appliance betreffen. Um anzeigen zu können, wĂ€hlen Sie Aktionen â Appliance-Konfiguration bearbeiten des entsprechenden GerĂ€ts.



7.3. Das Lizenzmanagement finden Sie ebenfalls im Bereich Central Management > Lizenzen verwalten. Testlizenzen werden im Falle einer GVE-Anfrage fĂŒr 90 Tage.

Das Produkt ist einsatzbereit! Im nÀchsten Abschnitt werden wir uns ansehen, wie StealthWatch Angriffe erkennen und Berichte generieren kann.
Quelle: habr.com
