¡Hola colegas! Habiendo determinado los requisitos mínimos para implementar StealthWatch en , podemos comenzar a implementar el producto.
1. Métodos para implementar StealthWatch
Hay varias formas de “tocar” el StealthWatch:
- – servicio en la nube para trabajos de laboratorio;
- Basado en la nube: – aquí el Netflow de su dispositivo fluirá a la nube y allí será analizado por el software StealthWatch;
- Punto de vista local () – el método que seguí, te enviarán 4 archivos OVF de máquinas virtuales con licencias integradas durante 90 días, que se pueden implementar en un servidor dedicado en la red corporativa.
A pesar de la abundancia de máquinas virtuales descargadas, para una configuración de trabajo mínima solo dos son suficientes: StealthWatch Management Console y FlowCollector. Sin embargo, si no hay ningún dispositivo de red que pueda exportar Netflow a FlowCollector, entonces también es necesario implementar FlowSensor, ya que este último le permite recopilar Netflow utilizando tecnologías SPAN/RSPAN.
Como dije antes, su red real puede actuar como una mesa de laboratorio, ya que StealthWatch solo necesita una copia o, más correctamente, una copia de una copia del tráfico. La siguiente imagen muestra mi red, donde en la puerta de enlace de seguridad configuraré Netflow Exporter y, como resultado, enviaré Netflow al recopilador.
Para acceder a futuras máquinas virtuales, se deben permitir los siguientes puertos en su firewall, si tiene uno:
TCP 22 l TCP 25 l TCP 389 l TCP 443 l TCP 2393 l TCP 5222 l UDP 53 l UDP 123 l UDP 161 l UDP 162 l UDP 389 l UDP 514 l UDP 2055 l UDP 6343
Algunos de ellos son servicios bien conocidos, otros están reservados para los servicios de Cisco.
En mi caso, simplemente implementé StelathWatch en la misma red que Check Point y no tuve que configurar ninguna regla de permisos.
2. Instalación de FlowCollector usando VMware vSphere como ejemplo
2.1. Haga clic en Examinar y seleccione el archivo OVF1. Después de verificar la disponibilidad de recursos, vaya al menú Ver, Inventario → Redes (Ctrl+Shift+N).
2.2. En la pestaña Redes, seleccione Nuevo grupo de puertos distribuidos en la configuración del conmutador virtual.
2.3. Establezca el nombre, déjelo StealthWatchPortGroup, el resto de las configuraciones se pueden realizar como en la captura de pantalla y haga clic en Siguiente.
2.4. Completamos la creación del Grupo de Puertos con el botón Finalizar.
2.5. Editemos la configuración del grupo de puertos creado haciendo clic derecho en el grupo de puertos y seleccionando Editar configuración. En la pestaña Seguridad, asegúrese de habilitar el "modo promiscuo", Modo promiscuo → Aceptar → Aceptar.
2.6. Como ejemplo, importemos OVF FlowCollector, cuyo enlace de descarga fue enviado por un ingeniero de Cisco después de una solicitud de GVE. Haga clic derecho en el host en el que planea implementar la VM y seleccione Implementar plantilla OVF. En cuanto al espacio asignado, "arrancará" con 50 GB, pero para condiciones de combate se recomienda asignar 200 gigabytes.
2.7. Seleccione la carpeta donde se encuentra el archivo OVF.
2.8. Haga clic en Siguiente".
2.9. Indicamos el nombre y servidor donde lo desplegamos.
2.10. Como resultado, obtenemos la siguiente imagen y hacemos clic en "Finalizar".
2.11. Seguimos los mismos pasos para implementar StealthWatch Management Console.
2.12. Ahora necesita especificar las redes necesarias en las interfaces para que FlowCollector vea tanto el SMC como los dispositivos desde los cuales se exportará Netflow.
3. Inicialización de la consola de administración de StealthWatch
3.1. Al ir a la consola de la máquina SMCVE instalada, verá un lugar para ingresar su nombre de usuario y contraseña, de forma predeterminada. administrador de sistemas/lan1cope.
3.2. Vamos al elemento Gestión, configuramos la dirección IP y otros parámetros de red, luego confirmamos sus cambios. El dispositivo se reiniciará.
3.3. Vaya a la interfaz web (a través de https a la dirección que especificó en SMC) e inicialice la consola, nombre de usuario/contraseña predeterminado: administrador/lan411cope.
PD: sucede que no se abre en Google Chrome, Explorer siempre ayudará.
3.4. Asegúrese de cambiar las contraseñas, configurar DNS, servidores NTP, dominio, etc. La configuración es intuitiva.
3.5. Después de hacer clic en el botón "Aplicar", el dispositivo se reiniciará nuevamente. Después de 5 a 7 minutos podrá conectarse nuevamente a esta dirección; StealthWatch se gestionará a través de una interfaz web.
4. Configurar FlowCollector
4.1. Lo mismo ocurre con el coleccionista. Primero, en la CLI especificamos la dirección IP, la máscara y el dominio, luego el FC se reinicia. Luego podrá conectarse a la interfaz web en la dirección especificada y realizar la misma configuración básica. Debido a que la configuración es similar, se omiten las capturas de pantalla detalladas. Cartas credenciales entrar lo mismo.
4.2. En el penúltimo punto, debe configurar la dirección IP del SMC, en este caso la consola verá el dispositivo, deberá confirmar esta configuración ingresando sus credenciales.
4.3. Seleccione el dominio para StealthWatch, se configuró anteriormente y el puerto 2055 – Netflow normal, si está trabajando con sFlow, puerto 6343.
5. Configuración del exportador Netflow
5.1. Para configurar el exportador Netflow, recomiendo encarecidamente recurrir a este , aquí están las principales guías para configurar el exportador Netflow para muchos dispositivos: Cisco, Check Point, Fortinet.
5.2. En nuestro caso, repito, estamos exportando Netflow desde el gateway de Check Point. El exportador Netflow se configura en una pestaña del mismo nombre en la interfaz web (Portal Gaia). Para hacer esto, haga clic en "Agregar", especifique la versión de Netflow y el puerto requerido.
6. Análisis del funcionamiento de StealthWatch
6.1. Al ir a la interfaz web de SMC, en la primera página de Paneles > Seguridad de red, puede ver que el tráfico ha comenzado.
6.2. Algunas configuraciones, por ejemplo, dividir hosts en grupos, monitorear interfaces individuales, su carga, administrar recopiladores y más, solo se pueden encontrar en la aplicación StealthWatch Java. Por supuesto, Cisco está transfiriendo lentamente todas las funciones a la versión del navegador y pronto abandonaremos dicho cliente de escritorio.
Para instalar la aplicación, primero debe instalar (Yo instalé la versión 8, aunque se dice que se soporta hasta la 10) desde la web oficial de Oracle.
En la esquina superior derecha de la interfaz web de la consola de administración, para descargar, debe hacer clic en el botón “Cliente de escritorio”.
Guarda e instala el cliente a la fuerza, lo más probable es que Java lo maldiga, es posible que deba agregar el host a las excepciones de Java.
Como resultado, se revela un cliente bastante claro, en el que es fácil ver la carga de exportadores, interfaces, ataques y sus flujos.
7. Gestión central de StealthWatch
7.1. La pestaña Administración central contiene todos los dispositivos que forman parte del StealthWatch implementado, como: FlowCollector, FlowSensor, UDP-Director y Endpoint Concetrator. Allí puede administrar la configuración de red y los servicios del dispositivo, las licencias y apagar manualmente el dispositivo.
Puede acceder a él haciendo clic en el "engranaje" en la esquina superior derecha y seleccionando Administración central.
7.2. Al ir a Editar configuración del dispositivo en FlowCollector, verá SSH, NTP y otras configuraciones de red relacionadas con la aplicación misma. Para ir, seleccione Acciones → Editar configuración del dispositivo para el dispositivo requerido.
7.3. La administración de licencias también se puede encontrar en la pestaña Administración central > Administrar licencias. Las licencias de prueba en caso de solicitud de GVE se otorgan para 90 días.
¡El producto está listo para funcionar! En la siguiente parte, veremos cómo StealthWatch puede reconocer ataques y generar informes.
Fuente: habr.com