Tere kolleegid! Olles määranud kindlaks miinimumnõuded StealthWatchi juurutamiseks , saame alustada toote juurutamist.
1. StealthWatchi juurutamise meetodid
StealthWatchi "puudutamiseks" on mitu võimalust:
- – pilveteenus laboritöödeks;
- Pilvepõhine: – siin voolab teie seadmest Netflow pilve ja seda analüüsib seal StealthWatchi tarkvara;
- Kohapealne POV () – meetod, mida ma järgisin, saadavad nad teile 4 päeva jooksul 90 OVF-faili sisseehitatud litsentsidega virtuaalmasinatest, mida saab juurutada ettevõtte võrgu spetsiaalses serveris.
Vaatamata allalaaditud virtuaalmasinate rohkusele piisab minimaalse töökonfiguratsiooni jaoks vaid kahest: StealthWatchi halduskonsoolist ja FlowCollectorist. Kui aga pole ühtegi võrguseadet, mis saaks Netflow'i FlowCollectori eksportida, siis on vaja juurutada ka FlowSensor, kuna viimane võimaldab koguda Netflow'i SPAN/RSPAN tehnoloogiate abil.
Nagu ma varem ütlesin, võib teie tõeline võrk toimida laboratoorse töölauana, kuna StealthWatch vajab ainult koopiat või, õigemini, liikluse koopiat. Alloleval pildil on minu võrk, kus turvalüüsis konfigureerin Netflow Exporteri ja saadan selle tulemusena Netflow kollektorile.
Tulevastele virtuaalsetele masinatele juurdepääsemiseks peaksid teie tulemüüris olema lubatud järgmised pordid, kui teil see on.
TCP 22 l TCP 25 l TCP 389 l TCP 443 l TCP 2393 l TCP 5222 l UDP 53 l UDP 123 l UDP 161 l UDP 162 l UDP 389 l UDP 514 l 2055 l UDP
Mõned neist on tuntud teenused, mõned on reserveeritud Cisco teenustele.
Minu puhul juurutasin StelathWatchi lihtsalt Check Pointiga samasse võrku ja ei pidanud lubade reegleid konfigureerima.
2. FlowCollectori installimine, kasutades näitena VMware vSphere'i
2.1. Klõpsake nuppu Sirvi ja valige OVF-fail1. Pärast ressursside saadavuse kontrollimist minge menüüsse Vaade, Inventory → Networking (Ctrl+Shift+N).
2.2. Vahekaardil Võrgundus valige virtuaalse lüliti seadetes Uus hajutatud pordi rühm.
2.3. Määra nimi, olgu selleks StealthWatchPortGroup, ülejäänud seaded saab teha nagu ekraanipildil ja vajutada Next.
2.4. Sadamagrupi loomise lõpetame nupuga Finish.
2.5. Redigeerime loodud pordigrupi sätteid, paremklõpsates pordirühmal ja valides Redigeeri sätteid. Vahekaardil Turvalisus lubage kindlasti "promiscuous mode", Promiscuous Mode → Nõustun → OK.
2.6. Näiteks impordime OVF FlowCollectori, mille allalaadimislingi saatis Cisco insener pärast GVE päringut. Paremklõpsake hostil, millele kavatsete VM-i juurutada, ja valige käsk Deploy OVF Template. Mis puutub eraldatud ruumi, siis see "käivitub" 50 GB juures, kuid lahingutingimuste jaoks on soovitatav eraldada 200 gigabaiti.
2.7. Valige kaust, kus OVF-fail asub.
2.8. Klõpsake nuppu "Järgmine".
2.9. Nimetame nime ja serveri, kuhu selle juurutame.
2.10. Selle tulemusena saame järgmise pildi ja klõpsake nuppu "Lõpeta".
2.11. Järgime samu samme StealthWatchi halduskonsooli juurutamiseks.
2.12. Nüüd tuleb liidestes määrata vajalikud võrgud, et FlowCollector näeks nii SMC-d kui ka seadmeid, millest Netflow eksporditakse.
3. StealthWatchi halduskonsooli lähtestamine
3.1. Minnes installitud SMCVE masina konsooli, näete vaikimisi kohta, kuhu sisestada oma sisselogimine ja parool sysadmin/lan1cope.
3.2. Me läheme haldusüksusesse, määrame IP-aadressi ja muud võrguparameetrid ning kinnitame seejärel nende muudatused. Seade taaskäivitub.
3.3. Minge veebiliidesele (https kaudu SMC-s määratud aadressile) ja lähtestage konsool, vaikimisi sisselogimine/parool - admin/lan411cope.
PS: juhtub, et see ei avane Google Chrome'is, Explorer aitab alati.
3.4. Muutke kindlasti paroolid, määrake DNS, NTP-serverid, domeen jne. Seadistused on intuitiivsed.
3.5. Pärast nupu "Rakenda" klõpsamist taaskäivitub seade uuesti. 5-7 minuti pärast saate sellele aadressile uuesti ühenduse luua; StealthWatchi hallatakse veebiliidese kaudu.
4. FlowCollectori seadistamine
4.1. Kollektsionääriga on sama lugu. Esiteks määrame CLI-s IP-aadressi, maski, domeeni ja seejärel FC taaskäivitamise. Seejärel saate määratud aadressil ühenduse luua veebiliidesega ja teha sama põhiseadistuse. Kuna seaded on sarnased, jäetakse üksikasjalikud ekraanipildid välja. Volikirjad sisenema sama.
4.2. Eelviimases punktis peate määrama SMC IP-aadressi, sel juhul näeb konsool seadet, peate selle sätte kinnitama, sisestades oma mandaadid.
4.3. Valige StealthWatchi domeen, see määrati varem, ja port 2055 - tavaline Netflow, kui töötate sFlow'ga, port 6343.
5. Netflow Exporteri konfiguratsioon
5.1. Netflow eksportija konfigureerimiseks soovitan tungivalt selle poole pöörduda , siin on peamised juhendid Netflow eksportija konfigureerimiseks paljude seadmete jaoks: Cisco, Check Point, Fortinet.
5.2. Kordan, et meie puhul ekspordime Netflow'i Check Pointi lüüsist. Netflow eksportija on konfigureeritud veebiliidese (Gaia portaali) samanimelisel vahekaardil. Selleks klõpsake nuppu "Lisa", määrake Netflow versioon ja vajalik port.
6. StealthWatchi toimimise analüüs
6.1. SMC veebiliidesesse minnes on Armatuurlauad > Võrguturve esimesel lehel näha, et liiklus on alanud!
6.2. Mõned sätted, näiteks hostide jagamine rühmadesse, üksikute liideste, nende koormuse jälgimine, kollektsionääride haldamine ja palju muud, on saadaval ainult StealthWatch Java rakenduses. Loomulikult viib Cisco kogu funktsionaalsuse aeglaselt üle brauseri versioonile ja peagi loobume sellisest töölauakliendist.
Rakenduse installimiseks peate esmalt installima (Installeerisin versiooni 8, kuigi väidetavalt on seda toetatud kuni 10) Oracle'i ametlikult veebisaidilt.
Halduskonsooli veebiliidese paremas ülanurgas peate allalaadimiseks klõpsama nuppu "Töölauaklient".
Salvestate ja installite kliendi sunniviisiliselt, tõenäoliselt sõimab java seda, võib-olla peate lisama java eranditele hosti.
Selle tulemusena selgub üsna selge klient, milles on hästi näha eksportijate laadimine, liidesed, rünnakud ja nende vood.
7. StealthWatchi keskhaldus
7.1. Vahekaart Keskhaldus sisaldab kõiki seadmeid, mis on juurutatud StealthWatchi osad, näiteks: FlowCollector, FlowSensor, UDP-Director ja Endpoint Concetrator. Seal saate hallata võrgusätteid ja seadmeteenuseid, litsentse ning seadet käsitsi välja lülitada.
Selle avamiseks klõpsake paremas ülanurgas oleval hammasrattal ja valite Keskhaldus.
7.2. Kui lähete FlowCollectoris jaotisse Muuda seadme konfiguratsiooni, näete SSH-d, NTP-d ja muid rakenduse endaga seotud võrgusätteid. Et minna, valige vajaliku seadme jaoks Toimingud → Muuda seadme konfiguratsiooni.
7.3. Litsentsihalduse leiate ka vahekaardilt Keskhaldus > Litsentside haldamine. GVE taotluse korral antakse proovilitsentsid 90 päeva.
Toode on kasutamiseks valmis! Järgmises osas vaatleme, kuidas StealthWatch suudab rünnakuid ära tunda ja aruandeid genereerida.
Allikas: www.habr.com