Paikallinen POV (GVE-pyyntö) – noudattamallani menetelmällä he lähettävät sinulle 4 OVF-tiedostoa virtuaalikoneen sisäänrakennetuilla lisensseillä 90 päivän ajaksi, jotka voidaan ottaa käyttöön omistetulla palvelimella yritysverkossa.
Huolimatta ladattujen virtuaalikoneiden runsaudesta, minimaaliseen toimivaan kokoonpanoon riittää vain 2: StealthWatch Management Console ja FlowCollector. Jos ei kuitenkaan ole verkkolaitetta, joka voisi viedä Netflow:ta FlowCollectoriin, on myös tarpeen ottaa käyttöön FlowSensor, koska jälkimmäinen mahdollistaa Netflow:n keräämisen SPAN/RSPAN-tekniikoilla.
Kuten aiemmin sanoin, todellinen verkkosi voi toimia laboratoriopenkinä, koska StealthWatch tarvitsee vain kopion tai, oikeammin, puristuksen kopiosta liikenteestä. Alla olevassa kuvassa näkyy verkkoni, jossa turvayhdyskäytävässä määritän Netflow Exporterin ja sen seurauksena lähetän Netflown keräilijälle.
Jotta voit käyttää tulevia virtuaalikoneita, seuraavat portit tulisi sallia palomuurissasi, jos sinulla on sellainen:
TCP 22 l TCP 25 l TCP 389 l TCP 443 l TCP 2393 l TCP 5222 l UDP 53 l UDP 123 l UDP 161 l UDP 162 l UDP 389 l UDP 514 l U2055l UDP
Osa niistä on tunnettuja palveluita, osa on varattu Ciscon palveluille.
Minun tapauksessani otin vain StelathWatchin käyttöön samassa verkossa kuin Check Point, eikä minun tarvinnut määrittää mitään käyttöoikeussääntöjä.
2. FlowCollectorin asentaminen käyttämällä esimerkkinä VMware vSphereä
2.1. Napsauta Selaa ja valitse OVF-tiedosto1. Kun olet tarkistanut resurssien saatavuuden, siirry valikkoon Näytä, Varasto → Verkko (Ctrl+Shift+N).
2.2. Valitse Verkko-välilehden virtuaalikytkimen asetuksista Uusi hajautettu porttiryhmä.
2.3. Aseta nimi, olkoon se StealthWatchPortGroup, loput asetukset voidaan tehdä kuten kuvakaappauksessa ja napsauta Seuraava.
2.4. Viimeistelemme Port Groupin luomisen Finish-painikkeella.
2.5. Muokataan luodun porttiryhmän asetuksia napsauttamalla porttiryhmää hiiren kakkospainikkeella ja valitsemalla Muokkaa asetuksia. Varmista, että Suojaus-välilehdellä on käytössä "promiscuous mode", Promiscuous Mode → Accept → OK.
2.6. Esimerkkinä tuodaan OVF FlowCollector, jonka latauslinkin lähetti Ciscon insinööri GVE-pyynnön jälkeen. Napsauta hiiren kakkospainikkeella isäntä, jossa aiot ottaa VM:n käyttöön, ja valitse Ota käyttöön OVF-malli. Mitä tulee varattuun tilaan, se "käynnistyy" 50 Gt: sta, mutta taisteluolosuhteisiin suositellaan 200 gigatavun varaamista.
2.7. Valitse kansio, jossa OVF-tiedosto sijaitsee.
2.8. Napsauta "Seuraava".
2.9. Ilmoitamme nimen ja palvelimen, jossa otamme sen käyttöön.
2.10. Tuloksena saamme seuraavan kuvan ja napsautamme "Valmis".
2.11. Noudatamme samoja vaiheita ottaaksesi käyttöön StealthWatch-hallintakonsolin.
2.12. Nyt sinun on määritettävä tarvittavat verkot rajapinnoissa, jotta FlowCollector näkee sekä SMC:n että laitteet, joista Netflow viedään.
3. StealthWatch-hallintakonsolin alustaminen
3.1. Kun siirryt asennetun SMCVE-koneen konsoliin, näet oletuksena paikan, johon voit syöttää kirjautumistunnuksesi ja salasanasi sysadmin/lan1cope.
3.2. Siirrymme Hallinta-kohtaan, asetamme IP-osoitteen ja muut verkkoparametrit ja vahvistamme niiden muutokset. Laite käynnistyy uudelleen.
3.3. Siirry verkkokäyttöliittymään (https:n kautta SMC:ssä määrittämääsi osoitteeseen) ja alusta konsoli, oletuskirjautumistunnus/salasana - admin/lan411cope.
PS: sattuu, että se ei avaudu Google Chromessa, Explorer auttaa aina.
3.4. Muista vaihtaa salasanat, asettaa DNS, NTP-palvelimet, verkkotunnus jne. Asetukset ovat intuitiivisia.
3.5. Kun olet napsauttanut "Käytä"-painiketta, laite käynnistyy uudelleen. 5-7 minuutin kuluttua voit muodostaa yhteyden uudelleen tähän osoitteeseen; StealthWatchia hallitaan verkkokäyttöliittymän kautta.
4. FlowCollectorin määrittäminen
4.1. Sama juttu keräilijän kanssa. Ensin määritämme CLI:ssä IP-osoitteen, maskin, toimialueen, sitten FC käynnistyy uudelleen. Tämän jälkeen voit muodostaa yhteyden verkkokäyttöliittymään määritetyssä osoitteessa ja suorittaa samat perusasetukset. Koska asetukset ovat samanlaiset, yksityiskohtaiset kuvakaappaukset jätetään pois. Valtuustiedot päästä sisään sama.
4.2. Toiseksi viimeisessä kohdassa sinun on asetettava SMC:n IP-osoite, tässä tapauksessa konsoli näkee laitteen, sinun on vahvistettava tämä asetus kirjoittamalla valtuustietosi.
4.3. Valitse StealthWatchin toimialue, se oli asetettu aiemmin, ja portti 2055 – tavallinen Netflow, jos työskentelet sFlow:n kanssa, portti 6343.
5. Netflow Exporter -määritykset
5.1. Netflow-vientiohjelman konfiguroimiseksi suosittelen käyttämään tätä resurssi , tässä ovat tärkeimmät oppaat Netflow-vientiohjelman määrittämiseen useille laitteille: Cisco, Check Point, Fortinet.
5.2. Meidän tapauksessamme, toistan, viemme Netflow'n Check Point -yhdyskäytävästä. Netflow-vienti on määritetty verkkoliittymän (Gaia-portaali) samannimiseen välilehteen. Voit tehdä tämän napsauttamalla "Lisää", määrittämällä Netflow-version ja tarvittavan portin.
6. StealthWatch-toiminnan analyysi
6.1. SMC-verkkoliittymään siirtymällä Dashboards > Network Security -sivun ensimmäisellä sivulla näet, että liikenne on alkanut!
6.2. Jotkut asetukset, kuten isäntien jakaminen ryhmiin, yksittäisten käyttöliittymien valvonta, niiden kuormitus, keräilijöiden hallinta ja paljon muuta, löytyvät vain StealthWatch Java -sovelluksesta. Tietenkin Cisco siirtää kaikki toiminnot hitaasti selainversioon ja hylkäämme pian tällaisen työpöytäasiakkaan.
Jotta voit asentaa sovelluksen, sinun on ensin asennettava JRE (Asensin version 8, vaikka sanotaan, että sitä tuetaan 10 asti) Oraclen viralliselta verkkosivustolta.
Hallintakonsolin verkkokäyttöliittymän oikeassa yläkulmassa ladataksesi sinun on napsautettava "Desktop Client" -painiketta.
Tallennat ja asennat asiakkaan väkisin, java todennäköisesti vannoo sitä, saatat joutua lisäämään isäntä java-poikkeuksiin.
Tuloksena paljastuu melko selkeä asiakas, jossa on helppo nähdä viejien latautuminen, rajapinnat, hyökkäykset ja niiden kulku.
7. StealthWatch Central Management
7.1. Keskushallinta-välilehti sisältää kaikki laitteet, jotka ovat osa käyttöön otettua StealthWatchia, kuten: FlowCollector, FlowSensor, UDP-Director ja Endpoint Concetrator. Siellä voit hallita verkkoasetuksia ja laitepalveluita, lisenssejä ja sammuttaa laitteen manuaalisesti.
Pääset siihen napsauttamalla oikeassa yläkulmassa olevaa hammasrataskuvaketta ja valitsemalla Keskushallinta.
7.2. Kun siirryt Muokkaa laitekokoonpanoa FlowCollectorissa, näet SSH-, NTP- ja muut verkkoasetukset, jotka liittyvät itse sovellukseen. Siirry valitsemalla haluamasi laitteen Toiminnot → Muokkaa laitekokoonpanoa.
7.3. Lisenssien hallinta löytyy myös Keskushallinta > Hallinnoi lisenssejä -välilehdeltä. Kokeiluluvat GVE-pyynnön tapauksessa myönnetään 90 päivää.
Tuote on valmis käyttöön! Seuraavassa osassa tarkastellaan, kuinka StealthWatch voi tunnistaa hyökkäykset ja luoda raportteja.