StealthWatch: استقرار و پیکربندی. قسمت 2

سلام همکاران! با تعیین حداقل الزامات برای استقرار StealthWatch در آخرین قطعه، می توانیم شروع به استقرار محصول کنیم.

1. روش‌هایی برای استقرار StealthWatch

چندین راه برای «لمس کردن» StealthWatch وجود دارد:

• dcloud – سرویس ابری برای کارهای آزمایشگاهی؛
• مبتنی بر ابر: نسخه آزمایشی رایگان Stealthwatch Cloud - در اینجا Netflow از دستگاه شما به ابر جریان می یابد و توسط نرم افزار StealthWatch در آنجا تجزیه و تحلیل می شود.
• POV در محل (درخواست GVE) – روشی که من دنبال کردم، 4 فایل OVF ماشین های مجازی با مجوزهای داخلی به مدت 90 روز برای شما ارسال می کنند که می توانند روی یک سرور اختصاصی در شبکه شرکتی مستقر شوند.

علیرغم فراوانی ماشین‌های مجازی دانلود شده، برای حداقل پیکربندی کار، تنها ۲ عدد کافی است: StealthWatch Management Console و FlowCollector. با این حال، اگر دستگاه شبکه ای وجود نداشته باشد که بتواند Netflow را به FlowCollector صادر کند، لازم است FlowSensor را نیز مستقر کنید، زیرا دومی به شما امکان می دهد Netflow را با استفاده از فناوری های SPAN/RSPAN جمع آوری کنید.

همانطور که قبلاً گفتم، شبکه واقعی شما می‌تواند به عنوان یک میز آزمایشگاه عمل کند، زیرا StealthWatch فقط به یک کپی یا به عبارت صحیح تر، فشرده کردن یک کپی از ترافیک نیاز دارد. تصویر زیر شبکه من را نشان می دهد، جایی که در دروازه امنیتی، صادر کننده Netflow را پیکربندی می کنم و در نتیجه، Netflow را به جمع کننده ارسال می کنم.

برای دسترسی به VM های آینده، در صورت داشتن پورت های زیر باید روی فایروال شما مجاز باشد:

TCP 22 l TCP 25 l TCP 389 l TCP 443 l TCP 2393 l TCP 5222 l UDP 53 l UDP 123 l UDP 161 l UDP 162 l UDP 389 l UDP 514 l UDP 2055 l UDP l UDP

برخی از آنها سرویس های شناخته شده هستند، برخی برای خدمات سیسکو رزرو شده اند.
در مورد من، من به سادگی StelathWatch را در همان شبکه Check Point مستقر کردم و نیازی به پیکربندی هیچ قانون مجوزی نداشتم.

2. نصب FlowCollector با استفاده از VMware vSphere به عنوان مثال

2.1. روی Browse کلیک کنید و OVF file1 را انتخاب کنید. پس از بررسی در دسترس بودن منابع، به منوی View، Inventory → Networking (Ctrl+Shift+N) بروید.

2.2. در تب Networking، در تنظیمات سوئیچ مجازی، New Distributed port group را انتخاب کنید.

2.3. نام را تنظیم کنید، بگذارید StealthWatchPortGroup باشد، بقیه تنظیمات را می توان مانند تصویر انجام داد و روی Next کلیک کنید.

2.4. ساخت Port Group را با دکمه Finish کامل می کنیم.

2.5. بیایید با کلیک راست روی گروه پورت و انتخاب Edit Settings تنظیمات پورت گروه ایجاد شده را ویرایش کنیم. در برگه امنیت، مطمئن شوید که "حالت غیرقانونی"، "حالت غیرقانونی" ← پذیرش ← OK را فعال کنید.

2.6. به عنوان مثال، اجازه دهید OVF FlowCollector را وارد کنیم، لینک دانلود آن توسط یک مهندس سیسکو پس از درخواست GVE ارسال شده است. روی میزبانی که قصد دارید VM را روی آن مستقر کنید کلیک راست کرده و Deploy OVF Template را انتخاب کنید. با توجه به فضای اختصاص داده شده، با 50 گیگابایت "راه اندازی" می شود، اما برای شرایط جنگی توصیه می شود 200 گیگابایت اختصاص دهید.

2.7. پوشه ای که فایل OVF در آن قرار دارد را انتخاب کنید.

2.8. روی "بعدی" کلیک کنید.

2.9. ما نام و سروری را که در آن مستقر می کنیم را نشان می دهیم.

2.10. در نتیجه، تصویر زیر را دریافت می کنیم و روی "پایان" کلیک می کنیم.

2.11. ما همان مراحل را برای استقرار کنسول مدیریت StealthWatch دنبال می کنیم.

2.12. اکنون باید شبکه های لازم را در اینترفیس ها مشخص کنید تا FlowCollector هم SMC و هم دستگاه هایی را که Netflow از آنها صادر می شود ببیند.

3. راه اندازی کنسول مدیریت StealthWatch

3.1. با رفتن به کنسول دستگاه SMCVE نصب شده، به صورت پیش فرض مکانی برای وارد کردن لاگین و رمز عبور خود مشاهده می کنید. sysadmin/lan1cope.

3.2. ما به آیتم مدیریت می رویم، آدرس IP و سایر پارامترهای شبکه را تنظیم می کنیم، سپس تغییرات آنها را تایید می کنیم. دستگاه راه اندازی مجدد خواهد شد.

3.3. به رابط وب بروید (از طریق https به آدرسی که در SMC مشخص کرده اید) و کنسول را مقداردهی اولیه کنید، ورود به سیستم / رمز عبور پیش فرض - admin/lan411cope.

PS: این اتفاق می افتد که در Google Chrome باز نمی شود، Explorer همیشه به شما کمک می کند.

3.4. حتما رمز عبور را تغییر دهید، سرورهای DNS، NTP، دامنه و غیره را تنظیم کنید. تنظیمات بصری هستند.

3.5. پس از کلیک بر روی دکمه "اعمال"، دستگاه دوباره راه اندازی مجدد می شود. بعد از 5-7 دقیقه می توانید دوباره به این آدرس وصل شوید. StealthWatch از طریق یک رابط وب مدیریت خواهد شد.

4. راه اندازی FlowCollector

4.1. در مورد کلکسیونر هم همینطور است. ابتدا در CLI آدرس IP، ماسک، دامنه را مشخص می کنیم، سپس FC راه اندازی مجدد می شود. سپس می توانید به رابط وب در آدرس مشخص شده متصل شوید و همان تنظیمات اولیه را انجام دهید. با توجه به مشابه بودن تنظیمات، اسکرین شات های دقیق حذف می شوند. اعتبارنامه وارد شدن همان.

4.2. در نقطه ماقبل آخر باید آدرس IP SMC را تنظیم کنید، در این صورت کنسول دستگاه را می بیند، باید با وارد کردن اعتبار خود این تنظیم را تأیید کنید.

4.3. دامنه را برای StealthWatch که قبلا تنظیم شده بود و پورت را انتخاب کنید 2055 - Netflow معمولی، اگر با sFlow کار می کنید، پورت 6343.

5. پیکربندی صادرکننده Netflow

5.1. برای پیکربندی صادرکننده Netflow، من به شدت توصیه می‌کنم به این مورد مراجعه کنید منبع ، در اینجا راهنمای اصلی برای پیکربندی صادرکننده Netflow برای بسیاری از دستگاه ها وجود دارد: Cisco، Check Point، Fortinet.

5.2. در مورد ما، تکرار می کنم، ما Netflow را از دروازه Check Point صادر می کنیم. صادرکننده Netflow در یک برگه به ​​همین نام در رابط وب (Gaia Portal) پیکربندی شده است. برای انجام این کار، روی «افزودن» کلیک کنید، نسخه Netflow و پورت مورد نیاز را مشخص کنید.

6. تجزیه و تحلیل عملیات StealthWatch

6.1. با رفتن به رابط وب SMC، در صفحه اول Dashboards > Network Security می بینید که ترافیک شروع شده است!

6.2. برخی تنظیمات، به عنوان مثال، تقسیم میزبان ها به گروه ها، نظارت بر رابط های فردی، بارگذاری آنها، مدیریت کلکتورها و موارد دیگر، فقط در برنامه جاوا StealthWatch یافت می شوند. البته سیسکو به آرامی تمام قابلیت ها را به نسخه مرورگر منتقل می کند و ما به زودی چنین کلاینت دسکتاپ را کنار خواهیم گذاشت.

برای نصب اپلیکیشن ابتدا باید نصب کنید JRE (نسخه 8 را نصب کردم البته گفته می شود تا 10 ساپورت می شود) از سایت رسمی اوراکل.

در گوشه سمت راست بالای رابط وب کنسول مدیریت، برای دانلود، باید روی دکمه Desktop Client کلیک کنید.

شما کلاینت را به اجبار ذخیره و نصب می کنید، جاوا به احتمال زیاد به آن فحش می دهد، ممکن است لازم باشد هاست را به استثناهای جاوا اضافه کنید.

در نتیجه، یک کلاینت نسبتاً واضح آشکار می شود که در آن به راحتی می توان بارگیری صادرکنندگان، رابط ها، حملات و جریان های آنها را مشاهده کرد.

7. مدیریت مرکزی StealthWatch

7.1. برگه مدیریت مرکزی شامل تمام دستگاه‌هایی است که بخشی از StealthWatch مستقر شده‌اند، مانند: FlowCollector، FlowSensor، UDP-Director و Endpoint Concetrator. در آنجا می توانید تنظیمات شبکه و خدمات دستگاه، مجوزها را مدیریت کرده و دستگاه را به صورت دستی خاموش کنید.

می توانید با کلیک بر روی "چرخ دنده" در گوشه سمت راست بالا و انتخاب Central Management به آن بروید.

7.2. با رفتن به Edit Appliance Configuration در FlowCollector، تنظیمات SSH، NTP و سایر تنظیمات شبکه مربوط به خود برنامه را مشاهده خواهید کرد. برای رفتن، Actions → Edit Appliance Configuration را برای دستگاه مورد نیاز انتخاب کنید.

7.3. مدیریت مجوز را می توان در تب مدیریت مرکزی > مدیریت مجوزها نیز یافت. مجوزهای آزمایشی در صورت درخواست GVE داده می شود روز 90.

محصول آماده عرضه است! در قسمت بعدی، به چگونگی شناسایی حملات StealthWatch و تولید گزارش خواهیم پرداخت.

منبع: www.habr.com