Kaixo lankideok! StealthWatch-n hedatzeko gutxieneko baldintzak zehaztuta , produktua zabaltzen has gaitezke.
1. StealthWatch hedatzeko metodoak
StealthWatch-a "ukitzeko" hainbat modu daude:
- β hodeiko zerbitzua laborategiko lanetarako;
- Hodeian oinarrituta: β hemen zure gailutik Netflow hodeira isuriko da eta bertan StealthWatch softwareak aztertuko du;
- Lokaleko POV () - jarraitu dudan metodoa, 4 egunez barne lizentzia duten makina birtualen 90 OVF fitxategi bidaliko dizkizute, sare korporatiboko zerbitzari dedikatu batean zabaldu ahal izateko.
Deskargatutako makina birtualak ugariak izan arren, gutxieneko lan-konfigurazio baterako 2 besterik ez dira nahikoa: StealthWatch Management Console eta FlowCollector. Hala ere, Netflow-ra FlowCollector-era esportatu dezakeen sare-gailurik ez badago, FlowSensor ere inplementatzea beharrezkoa da, azken honek SPAN/RSPAN teknologiak erabiliz Netflow biltzeko aukera ematen baitu.
Lehen esan dudan bezala, zure benetako sareak laborategiko banku gisa jardun dezake, StealthWatch-ek kopia bat besterik ez baitu behar, edo, zuzenago esanda, trafikoaren kopia bat estutu. Beheko irudian nire sarea erakusten da, non segurtasun atebidean Netflow Exporter konfiguratuko dudan eta, ondorioz, Netflow biltzailera bidaliko dudan.
Etorkizuneko VM-etara sartzeko, ataka hauek baimenduta egon beharko lirateke zure suebakian, baldin baduzu:
TCP 22 l TCP 25 l TCP 389 l TCP 443 l TCP 2393 l TCP 5222 l UDP 53 l UDP 123 l UDP 161 l UDP 162 l UDP 389 l UDP 514 l UDP 2055 l UDP 6343
Horietako batzuk zerbitzu ezagunak dira, beste batzuk Cisco zerbitzuetarako gordeta daude.
Nire kasuan, StelathWatch Check Point-en sare berean zabaldu nuen, eta ez nuen inolako baimen-araurik konfiguratu beharrik izan.
2. FlowCollector instalatzea VMware vSphere erabiliz adibide gisa
2.1. Sakatu Arakatu eta hautatu OVF fitxategia1. Baliabideen erabilgarritasuna egiaztatu ondoren, joan Ikusi, Inbentarioa β Sareak (Ktrl+Maius+N) menura.
2.2. Sareak fitxan, hautatu Banatutako ataka talde berria etengailu birtualen ezarpenetan.
2.3. Ezarri izena, utzi StealthWatchPortGroup, gainerako ezarpenak pantaila-argazkian bezala egin daitezke eta egin klik Hurrengoa.
2.4. Portu Taldearen sorrera Amaitu botoiarekin osatzen dugu.
2.5. Editatu ditzagun sortutako Portu Taldearen ezarpenak portuko taldean eskuineko botoiarekin klik eginez eta Editatu ezarpenak hautatuta. Segurtasuna fitxan, ziurtatu "modu promiscuous" gaitu duzula, Modu promiscuous β Onartu β Ados.
2.6. Adibide gisa, inporta dezagun OVF FlowCollector, zeinaren deskarga esteka Cisco ingeniari batek bidali zuen GVE eskaera baten ondoren. Egin klik eskuineko botoiaz VM inplementatu nahi duzun ostalarian eta hautatu Inplementatu OVF txantiloia. Esleitutako espazioari dagokionez, 50 GB-tan "hasi" egingo da, baina borroka baldintzetarako 200 gigabyte esleitzea gomendatzen da.
2.7. Hautatu OVF fitxategia dagoen karpeta.
2.8. Egin klik "Hurrengoa".
2.9. Inplementatzen dugun izena eta zerbitzaria adierazten ditugu.
2.10. Ondorioz, hurrengo irudia lortuko dugu eta "Amaitu" sakatuko dugu.
2.11. Urrats berdinak jarraitzen ditugu StealthWatch Kudeaketa Kontsola zabaltzeko.
2.12. Orain beharrezkoak diren sareak zehaztu behar dituzu interfazeetan, FlowCollector-ek SMC eta Netflow esportatuko diren gailuak ikus ditzan.
3. StealthWatch kudeaketa-kontsola hasieratzea
3.1. Instalatutako SMCVE makinaren kontsolara joanez gero, zure saioa hasteko eta pasahitza sartzeko leku bat ikusiko duzu, lehenespenez sysadmin/lan1cope.
3.2. Kudeaketa elementura joango gara, IP helbidea eta sareko beste parametro batzuk ezarriko ditugu, ondoren haien aldaketak berresten ditugu. Gailua berrabiaraziko da.
3.3. Joan web interfazera (httpsren bidez SMCn zehaztu duzun helbidera) eta hasieratu kontsola, saio-hasiera/pasahitza lehenetsia - admin/lan411cope.
PS: gertatzen da Google Chrome-n ez dela irekitzen, Explorer beti lagunduko du.
3.4. Ziurtatu pasahitzak aldatu, DNS, NTP zerbitzariak, domeinua, etab. Ezarpenak intuitiboak dira.
3.5. "Aplikatu" botoia sakatu ondoren, gailua berriro berrabiaraziko da. 5-7 minutu igaro ondoren berriro konekta zaitezke helbide honetara; StealthWatch web interfaze baten bidez kudeatuko da.
4. FlowCollector konfiguratzea
4.1. Kolektorearekin berdin gertatzen da. Lehenik eta behin, CLI-n IP helbidea, maskara, domeinua zehazten dugu, ondoren FC berrabiarazi. Ondoren, zehaztutako helbidean web interfazera konekta zaitezke eta oinarrizko konfigurazio bera egin dezakezu. Ezarpenak antzekoak direnez, pantaila-argazki zehatzak baztertzen dira. Kredentzialak sartu berdina.
4.2. Azkenaurreko puntuan, SMCaren IP helbidea ezarri behar duzu, kasu honetan kontsolak gailua ikusiko du, ezarpen hau berretsi beharko duzu zure kredentzialak sartuz.
4.3. Hautatu StealthWatch-erako domeinua, lehenago ezarri zen eta ataka 2055 β Netflow arrunta, sFlow-rekin lanean ari bazara, ataka 6343.
5. Netflow Exporter konfigurazioa
5.1. Netflow esportatzailea konfiguratzeko, hona jotzea gomendatzen dut , hona hemen gailu askotarako Netflow esportatzailea konfiguratzeko gida nagusiak: Cisco, Check Point, Fortinet.
5.2. Gure kasuan, errepikatzen dut, Netflow esportatzen ari gara Check Point atebidetik. Netflow esportatzailea web interfazeko izen bereko fitxa batean konfiguratuta dago (Gaia Portal). Horretarako, egin klik "Gehitu", zehaztu Netflow bertsioa eta beharrezko ataka.
6. StealthWatch-en funtzionamenduaren analisia
6.1. SMC web interfazera joanez, Arbelak > Sarearen segurtasuna ataleko lehen orrialdean trafikoa hasi dela ikus dezakezu!
6.2. Ezarpen batzuk, adibidez, ostalariak taldetan banatzea, banakako interfazeak kontrolatzea, haien karga, bildumagileak kudeatzea eta abar, StealthWatch Java aplikazioan soilik aurki daitezke. Jakina, Cisco poliki-poliki funtzionalitate guztiak arakatzailearen bertsiora transferitzen ari da eta laster utziko dugu mahaigaineko bezero bat.
Aplikazioa instalatzeko, lehenik instalatu behar duzu (8 bertsioa instalatu nuen, 10era arte onartzen dela esaten den arren) Oracle webgune ofizialetik.
Kudeaketa kontsolaren web interfazearen goiko eskuineko izkinan, deskargatzeko, "Mahaigaineko Bezeroa" botoia sakatu behar duzu.
Bezeroa indarrez gorde eta instalatzen duzu, java-k ziurrenik zin egingo du, baliteke ostalaria java-ren salbuespenetara gehitu behar izatea.
Ondorioz, bezero nahiko argi bat agertzen da, eta bertan erraz ikusten da esportatzaileen, interfazeen, erasoen eta haien fluxuen karga.
7. StealthWatch Kudeaketa Zentrala
7.1. Kudeaketa zentrala fitxak inplementatutako StealthWatch-aren parte diren gailu guztiak ditu, hala nola: FlowCollector, FlowSensor, UDP-Director eta Endpoint Concetrator. Bertan sarearen ezarpenak eta gailuaren zerbitzuak, lizentziak kudea ditzakezu eta gailua eskuz itzali dezakezu.
Bertara joan zaitezke goiko eskuineko izkinan dagoen "engranaje" gainean klik eginez eta Kudeaketa Zentrala hautatuta.
7.2. FlowCollector-en Editatu aparatuaren konfigurazioa atalera joanez gero, SSH, NTP eta aplikazioari berari lotutako sareko beste ezarpen batzuk ikusiko dituzu. Joan nahi baduzu, hautatu Ekintzak β Editatu tresnaren konfigurazioa beharrezko gailurako.
7.3. Lizentzien kudeaketa Kudeaketa zentrala > Kudeatu lizentziak fitxan ere aurki daiteke. GVE eskaeraren kasuan probako lizentziak ematen dira 90 egun.
Produktua prest dago! Hurrengo zatian, StealthWatch-ek erasoak nola antzeman ditzakeen eta txostenak sor ditzakeen ikusiko dugu.
Iturria: www.habr.com