Saluton kolegoj! Determininte la minimumajn postulojn por deploji StealthWatch enen , ni povas komenci deploji la produkton.
1. Metodoj por deploji StealthWatch
Estas pluraj manieroj "tuŝi" la StealthWatch:
- - nuba servo por laboratoria laboro;
- Bazita en Nubo: – ĉi tie Netflow de via aparato fluos en la nubon kaj estos tie analizita per StealthWatch-programaro;
- Surloka POV () - la metodo, kiun mi sekvis, ili sendos al vi 4 OVF-dosierojn de virtualaj maŝinoj kun enkonstruitaj permesiloj dum 90 tagoj, kiuj povas esti deplojitaj sur dediĉita servilo en la kompania reto.
Malgraŭ la abundo de elŝutitaj virtualaj maŝinoj, por minimuma funkcia agordo sufiĉas nur 2: StealthWatch Management Console kaj FlowCollector. Tamen, se ne ekzistas reto-aparato, kiu povas eksporti Netflow al FlowCollector, tiam ankaŭ necesas deploji FlowSensor, ĉar ĉi-lasta permesas kolekti Netflow per SPAN/RSPAN-teknologioj.
Kiel mi diris antaŭe, via reala reto povas funkcii kiel laboratoriobenko, ĉar StealthWatch bezonas nur kopion, aŭ, pli ĝuste, premon de kopio de trafiko. La suba bildo montras mian reton, kie sur la sekureca enirejo mi agordos la Netflow-Eksportilon kaj, kiel rezulto, sendos Netflow al la kolektanto.
Por aliri estontajn VM-ojn, la sekvaj havenoj devus esti permesitaj sur via fajroŝirmilo, se vi havas tian:
TCP 22 l TCP 25 l TCP 389 l TCP 443 l TCP 2393 l TCP 5222 l UDP 53 l UDP 123 l UDP 161 l UDP 162 l UDP 389 l UDP 514 l UDP 2055 l UDP 6343
Iuj el ili estas konataj servoj, iuj estas rezervitaj por Cisco-servoj.
En mia kazo, mi simple deplojis StelathWatch en la sama reto kiel Check Point, kaj ne devis agordi iujn ajn permesregulojn.
2. Instali FlowCollector uzante VMware vSphere kiel ekzemplo
2.1. Klaku Foliumi kaj elektu OVF-dosieron1. Post kontroli la haveblecon de rimedoj, iru al la menuo Vidi, Inventaro → Retoj (Ctrl+Shift+N).
2.2. En la langeto Retoj, elektu Novan Distribuitan havengrupon en la agordoj de virtuala ŝaltilo.
2.3. Agordu la nomon, lasu ĝin StealthWatchPortGroup, la resto de la agordoj povas esti faritaj kiel en la ekrankopio kaj alklaku Sekva.
2.4. Ni kompletigas la kreadon de la Havena Grupo per la butono Fini.
2.5. Ni redaktu la agordojn de la kreita Havena Grupo per dekstra klako sur la havena grupo kaj elektante Redakti Agordojn. En la langeto Sekureco, nepre ebligu "promiscuous mode", Promiscuous Mode → Akceptu → OK.
2.6. Ekzemple, ni importu OVF FlowCollector, kies elŝuta ligilo estis sendita de Cisco-inĝeniero post GVE-peto. Dekstre alklaku la gastiganton sur kiu vi planas disfaldi la VM kaj elektu Deploji OVF-Ŝablonon. Koncerne la asignitan spacon, ĝi "komencos" je 50 GB, sed por batalkondiĉoj rekomendas asigni 200 gigabajtojn.
2.7. Elektu la dosierujon, kie troviĝas la OVF-dosiero.
2.8. Alklaku "Sekva".
2.9. Ni indikas la nomon kaj servilon kie ni deplojas ĝin.
2.10. Kiel rezulto, ni ricevas la sekvan bildon kaj alklakas "Fini".
2.11. Ni sekvas la samajn paŝojn por deploji la StealthWatch Management Console.
2.12. Nun vi devas specifi la necesajn retojn en la interfacoj por ke FlowCollector vidu kaj la SMC kaj la aparatojn de kiuj Netflow estos eksportita.
3. Inicializanta StealthWatch Management Console
3.1. Irante al la konzolo de la instalita SMCVE-maŝino, vi vidos lokon por enigi vian ensaluton kaj pasvorton, defaŭlte sysadmin/lan1cope.
3.2. Ni iras al la Administrado, starigas la IP-adreson kaj aliajn retajn parametrojn, poste konfirmas iliajn ŝanĝojn. La aparato rekomencos.
3.3. Iru al la retinterfaco (per https al la adreso, kiun vi specifis en SMC) kaj pravalorigu la konzolon, defaŭltan ensaluton/pasvorton - admin/lan411cope.
PS: okazas, ke ĝi ne malfermiĝas en Google Chrome, Explorer ĉiam helpos.
3.4. Nepre ŝanĝi pasvortojn, agordi DNS, NTP-servilojn, domajnon, ktp. La agordoj estas intuiciaj.
3.5. Post klako de la butono "Apliki", la aparato denove rekomencos. Post 5-7 minutoj vi povas denove konektiĝi al ĉi tiu adreso; StealthWatch estos administrita per interreta interfaco.
4. Agordi FlowCollector
4.1. Estas same kun la kolektanto. Unue, en la CLI ni specifas la IP-adreson, maskon, domajnon, poste la FC rekomencas. Vi povas tiam konektiĝi al la retinterfaco ĉe la specifita adreso kaj efektivigi la saman bazan agordon. Pro la fakto, ke la agordoj estas similaj, detalaj ekrankopioj estas preterlasitaj. Atestiloj eniri la sama.
4.2. Ĉe la antaŭlasta punkto, vi devas agordi la IP-adreson de la SMC, en ĉi tiu kazo la konzolo vidos la aparaton, vi devos konfirmi ĉi tiun agordon enirante viajn akreditaĵojn.
4.3. Elektu la domajnon por StealthWatch, ĝi estis agordita pli frue, kaj la havenon 2055 – regula Netflow, se vi laboras kun sFlow, port 6343.
5. Netflow Exporter-agordo
5.1. Por agordi la Netflow-eksportilon, mi tre rekomendas turni sin al ĉi tio , jen la ĉefaj gvidiloj por agordi la eksportilon Netflow por multaj aparatoj: Cisco, Check Point, Fortinet.
5.2. En nia kazo, mi ripetas, ni eksportas Netflow de la enirejo de Check Point. Netflow-eksportilo estas agordita en langeto de la sama nomo en la retinterfaco (Gaia Portal). Por fari tion, alklaku "Aldoni", specifu la Netflow-version kaj la bezonatan havenon.
6. Analizo de StealthWatch operacio
6.1. Irante al la TTT-interfaco de SMC, sur la unua paĝo de Dashboards > Network Security vi povas vidi, ke la trafiko komenciĝis!
6.2. Iuj agordoj, ekzemple, dividado de gastigantoj en grupojn, monitorado de individuaj interfacoj, ilia ŝarĝo, administrado de kolektantoj kaj pli, troveblas nur en la StealthWatch Java-aplikaĵo. Kompreneble, Cisco malrapide transdonas ĉiujn funkciojn al la retumila versio kaj ni baldaŭ forlasos tian labortablan klienton.
Por instali la aplikaĵon, vi unue devas instali (Mi instalis version 8, kvankam oni diras, ke ĝi estas subtenata ĝis 10) de la oficiala retejo de Oracle.
En la supra dekstra angulo de la retinterfaco de la administra konzolo, por elŝuti, vi devas alklaki la butonon "Tabla Kliento".
Vi konservas kaj instalas la klienton perforte, java plej verŝajne ĵuros ĝin, vi eble bezonos aldoni la gastiganton al java-esceptoj.
Kiel rezulto, sufiĉe klara kliento estas malkaŝita, en kiu estas facile vidi la ŝarĝon de eksportantoj, interfacoj, atakoj kaj iliaj fluoj.
7. StealthWatch Centra Administrado
7.1. La langeto Centra Administrado enhavas ĉiujn aparatojn kiuj estas parto de la deplojita StealthWatch, kiel: FlowCollector, FlowSensor, UDP-Director kaj Endpoint Concetrator. Tie vi povas administri retajn agordojn kaj aparatajn servojn, licencojn, kaj mane malŝalti la aparaton.
Vi povas iri al ĝi alklakante la "ilaron" en la supra dekstra angulo kaj elektante Centra Administrado.
7.2. Irante al Redakti Aparato-Agordon en FlowCollector, vi vidos SSH, NTP kaj aliajn retajn agordojn rilatajn al la programo mem. Por iri, elektu Agoj → Redakti Aparato-Agordon por la bezonata aparato.
7.3. Licenca administrado ankaŭ troviĝas en la langeto Centra Administrado > Administri Permesiloj. Provaj licencoj en kazo de GVE-peto estas donitaj por 90 tagoj.
La produkto estas preta por iri! En la sekva parto, ni rigardos kiel StealthWatch povas rekoni atakojn kaj generi raportojn.
fonto: www.habr.com