Γεια σας συνάδελφοι! Έχοντας καθορίσει τις ελάχιστες απαιτήσεις για την ανάπτυξη του StealthWatch , μπορούμε να ξεκινήσουμε την ανάπτυξη του προϊόντος.
1. Μέθοδοι για την ανάπτυξη του StealthWatch
Υπάρχουν διάφοροι τρόποι για να «αγγίξετε» το StealthWatch:
- – υπηρεσία cloud για εργαστηριακές εργασίες·
- Βασισμένο σε σύννεφο: – εδώ το Netflow από τη συσκευή σας θα ρέει στο cloud και θα αναλυθεί εκεί από το λογισμικό StealthWatch.
- POV on-premise () – με τη μέθοδο που ακολούθησα, θα σας στείλουν 4 αρχεία OVF εικονικών μηχανών με ενσωματωμένες άδειες για 90 ημέρες, τα οποία μπορούν να αναπτυχθούν σε έναν αποκλειστικό διακομιστή στο εταιρικό δίκτυο.
Παρά την αφθονία των ληφθέντων εικονικών μηχανών, για μια ελάχιστη διαμόρφωση εργασίας αρκούν μόνο 2: StealthWatch Management Console και FlowCollector. Ωστόσο, εάν δεν υπάρχει συσκευή δικτύου που να μπορεί να εξάγει το Netflow στο FlowCollector, τότε είναι επίσης απαραίτητο να αναπτύξετε το FlowSensor, καθώς το τελευταίο σας επιτρέπει να συλλέγετε Netflow χρησιμοποιώντας τεχνολογίες SPAN/RSPAN.
Όπως είπα νωρίτερα, το πραγματικό σας δίκτυο μπορεί να λειτουργήσει ως πάγκος εργαστηρίου, αφού το StealthWatch χρειάζεται μόνο ένα αντίγραφο ή, πιο σωστά, μια συμπίεση ενός αντιγράφου της κυκλοφορίας. Η παρακάτω εικόνα δείχνει το δίκτυό μου, όπου στην πύλη ασφαλείας θα διαμορφώσω τον Εξαγωγέα Netflow και, ως αποτέλεσμα, θα στείλω το Netflow στον συλλέκτη.
Για να αποκτήσετε πρόσβαση σε μελλοντικά VM, οι ακόλουθες θύρες θα πρέπει να επιτρέπονται στο τείχος προστασίας σας, εάν έχετε:
TCP 22 l TCP 25 l TCP 389 l TCP 443 l TCP 2393 l TCP 5222 l UDP 53 l UDP 123 l UDP 161 l UDP 162 l UDP 389 l UDP 514 l UDP2055
Κάποιες από αυτές είναι γνωστές υπηρεσίες, κάποιες προορίζονται για υπηρεσίες Cisco.
Στην περίπτωσή μου, απλώς ανέπτυξα το StelathWatch στο ίδιο δίκτυο με το Check Point και δεν χρειάστηκε να διαμορφώσω κανέναν κανόνα άδειας.
2. Εγκατάσταση του FlowCollector χρησιμοποιώντας το VMware vSphere ως παράδειγμα
2.1. Κάντε κλικ στο Browse και επιλέξτε OVF file1. Αφού ελέγξετε τη διαθεσιμότητα των πόρων, μεταβείτε στο μενού Προβολή, Απόθεμα → Δικτύωση (Ctrl+Shift+N).
2.2. Στην καρτέλα Δικτύωση, επιλέξτε Νέα ομάδα κατανεμημένων θυρών στις ρυθμίσεις εικονικού μεταγωγέα.
2.3. Ορίστε το όνομα, ας είναι StealthWatchPortGroup, οι υπόλοιπες ρυθμίσεις μπορούν να γίνουν όπως στο στιγμιότυπο οθόνης και κάντε κλικ στο Επόμενο.
2.4. Ολοκληρώνουμε τη δημιουργία του Port Group με το κουμπί Finish.
2.5. Ας επεξεργαστούμε τις ρυθμίσεις της ομάδας θυρών που δημιουργήθηκε κάνοντας δεξί κλικ στην ομάδα θυρών και επιλέγοντας Επεξεργασία ρυθμίσεων. Στην καρτέλα Ασφάλεια, βεβαιωθείτε ότι έχετε ενεργοποιήσει τη "λειτουργία ακατάλληλη", Λειτουργία ακατάλληλη → Αποδοχή → ΟΚ.
2.6. Για παράδειγμα, ας εισαγάγουμε το OVF FlowCollector, ο σύνδεσμος λήψης του οποίου στάλθηκε από έναν μηχανικό της Cisco μετά από αίτημα GVE. Κάντε δεξί κλικ στον κεντρικό υπολογιστή στον οποίο σκοπεύετε να αναπτύξετε το VM και επιλέξτε Deploy OVF Template. Όσον αφορά τον εκχωρημένο χώρο, θα «εκκινήσει» στα 50 GB, αλλά για συνθήκες μάχης συνιστάται να εκχωρήσετε 200 gigabyte.
2.7. Επιλέξτε το φάκελο όπου βρίσκεται το αρχείο OVF.
2.8. Κάντε κλικ στο «Επόμενο».
2.9. Υποδεικνύουμε το όνομα και τον διακομιστή όπου το αναπτύσσουμε.
2.10. Ως αποτέλεσμα, παίρνουμε την παρακάτω εικόνα και κάνουμε κλικ στο "Τέλος".
2.11. Ακολουθούμε τα ίδια βήματα για να αναπτύξουμε την Κονσόλα διαχείρισης StealthWatch.
2.12. Τώρα πρέπει να καθορίσετε τα απαραίτητα δίκτυα στις διεπαφές, ώστε το FlowCollector να βλέπει τόσο το SMC όσο και τις συσκευές από τις οποίες θα γίνει η εξαγωγή του Netflow.
3. Εκκίνηση της Κονσόλας Διαχείρισης StealthWatch
3.1. Μεταβαίνοντας στην κονσόλα του εγκατεστημένου μηχανήματος SMCVE, θα δείτε ένα μέρος για να εισαγάγετε τα στοιχεία σύνδεσης και τον κωδικό πρόσβασής σας, από προεπιλογή sysadmin/lan1cope.
3.2. Πηγαίνουμε στο στοιχείο Διαχείριση, ορίζουμε τη διεύθυνση IP και άλλες παραμέτρους δικτύου και, στη συνέχεια, επιβεβαιώνουμε τις αλλαγές τους. Η συσκευή θα επανεκκινήσει.
3.3. Μεταβείτε στη διεπαφή ιστού (μέσω https στη διεύθυνση που καθορίσατε στο SMC) και αρχικοποιήστε την κονσόλα, προεπιλεγμένη σύνδεση/κωδικό πρόσβασης - admin/lan411cope.
ΥΓ: συμβαίνει να μην ανοίγει στο Google Chrome, ο Explorer θα βοηθά πάντα.
3.4. Φροντίστε να αλλάξετε κωδικούς πρόσβασης, να ορίσετε διακομιστές DNS, NTP, τομέα κ.λπ. Οι ρυθμίσεις είναι διαισθητικές.
3.5. Αφού κάνετε κλικ στο κουμπί "Εφαρμογή", η συσκευή θα επανεκκινήσει ξανά. Μετά από 5-7 λεπτά μπορείτε να συνδεθείτε ξανά σε αυτήν τη διεύθυνση. Η διαχείριση του StealthWatch θα γίνεται μέσω διεπαφής ιστού.
4. Ρύθμιση του FlowCollector
4.1. Το ίδιο συμβαίνει και με τον συλλέκτη. Πρώτα, στο CLI καθορίζουμε τη διεύθυνση IP, τη μάσκα, τον τομέα και μετά γίνεται επανεκκίνηση του FC. Στη συνέχεια, μπορείτε να συνδεθείτε στη διεπαφή ιστού στην καθορισμένη διεύθυνση και να πραγματοποιήσετε την ίδια βασική ρύθμιση. Λόγω του γεγονότος ότι οι ρυθμίσεις είναι παρόμοιες, τα λεπτομερή στιγμιότυπα οθόνης παραλείπονται. Διαπιστευτήρια μπαίνω το ίδιο.
4.2. Στο προτελευταίο σημείο, πρέπει να ορίσετε τη διεύθυνση IP του SMC, σε αυτήν την περίπτωση η κονσόλα θα δει τη συσκευή, θα πρέπει να επιβεβαιώσετε αυτή τη ρύθμιση εισάγοντας τα διαπιστευτήριά σας.
4.3. Επιλέξτε τον τομέα για το StealthWatch, που είχε οριστεί νωρίτερα, και τη θύρα 2055 – κανονικό Netflow, εάν εργάζεστε με sFlow, θύρα 6343.
5. Διαμόρφωση εξαγωγέα Netflow
5.1. Για να διαμορφώσετε τον εξαγωγέα Netflow, συνιστώ ανεπιφύλακτα να στραφείτε σε αυτό , εδώ είναι οι κύριοι οδηγοί για τη διαμόρφωση του εξαγωγέα Netflow για πολλές συσκευές: Cisco, Check Point, Fortinet.
5.2. Στην περίπτωσή μας, επαναλαμβάνω, εξάγουμε το Netflow από την πύλη Check Point. Ο εξαγωγέας Netflow έχει διαμορφωθεί σε μια καρτέλα με το ίδιο όνομα στη διεπαφή ιστού (Gaia Portal). Για να το κάνετε αυτό, κάντε κλικ στο "Προσθήκη", καθορίστε την έκδοση Netflow και την απαιτούμενη θύρα.
6. Ανάλυση λειτουργίας StealthWatch
6.1. Πηγαίνοντας στο web interface της SMC, στην πρώτη σελίδα του Dashboards > Network Security μπορείτε να δείτε ότι η κίνηση έχει ξεκινήσει!
6.2. Ορισμένες ρυθμίσεις, για παράδειγμα, η διαίρεση των κεντρικών υπολογιστών σε ομάδες, η παρακολούθηση μεμονωμένων διεπαφών, το φορτίο τους, η διαχείριση συλλεκτών και άλλα, μπορούν να βρεθούν μόνο στην εφαρμογή Java StealthWatch. Φυσικά, η Cisco μεταφέρει σιγά σιγά όλη τη λειτουργικότητα στην έκδοση του προγράμματος περιήγησης και σύντομα θα εγκαταλείψουμε έναν τέτοιο υπολογιστή υπολογιστή-πελάτη.
Για να εγκαταστήσετε την εφαρμογή, πρέπει πρώτα να εγκαταστήσετε (Εγκατέστησα την έκδοση 8, αν και λέγεται ότι υποστηρίζεται έως και 10) από την επίσημη ιστοσελίδα της Oracle.
Στην επάνω δεξιά γωνία της διεπαφής web της κονσόλας διαχείρισης, για λήψη, πρέπει να κάνετε κλικ στο κουμπί «Πελάτης επιφάνειας εργασίας».
Αποθηκεύετε και εγκαθιστάτε τον πελάτη αναγκαστικά, η java πιθανότατα θα τον βρίσει, ίσως χρειαστεί να προσθέσετε τον κεντρικό υπολογιστή σε εξαιρέσεις java.
Ως αποτέλεσμα, αποκαλύπτεται ένας αρκετά σαφής πελάτης, στον οποίο είναι εύκολο να δείτε τη φόρτωση των εξαγωγέων, των διεπαφών, των επιθέσεων και των ροών τους.
7. Κεντρική διαχείριση StealthWatch
7.1. Η καρτέλα Κεντρική διαχείριση περιέχει όλες τις συσκευές που αποτελούν μέρος του αναπτυγμένου StealthWatch, όπως: FlowCollector, FlowSensor, UDP-Director και Endpoint Concetrator. Εκεί μπορείτε να διαχειριστείτε τις ρυθμίσεις δικτύου και τις υπηρεσίες συσκευής, τις άδειες χρήσης και να απενεργοποιήσετε μη αυτόματα τη συσκευή.
Μπορείτε να μεταβείτε σε αυτό κάνοντας κλικ στο «γρανάζι» στην επάνω δεξιά γωνία και επιλέγοντας Κεντρική διαχείριση.
7.2. Μεταβαίνοντας στην Επεξεργασία διαμόρφωσης συσκευής στο FlowCollector, θα δείτε SSH, NTP και άλλες ρυθμίσεις δικτύου που σχετίζονται με την ίδια την εφαρμογή. Για να μεταβείτε, επιλέξτε Ενέργειες → Επεξεργασία διαμόρφωσης συσκευής για την απαιτούμενη συσκευή.
7.3. Η διαχείριση αδειών μπορεί επίσης να βρεθεί στην καρτέλα Κεντρική διαχείριση > Διαχείριση αδειών. Δίνονται δοκιμαστικές άδειες σε περίπτωση αιτήματος GVE 90 ημέρες.
Το προϊόν είναι έτοιμο! Στο επόμενο μέρος, θα δούμε πώς το StealthWatch μπορεί να αναγνωρίσει επιθέσεις και να δημιουργήσει αναφορές.
Πηγή: www.habr.com