Bonjour collègues! Après avoir déterminé la configuration minimale requise pour le déploiement de StealthWatch dans , nous pouvons commencer à déployer le produit.
1. Méthodes de déploiement de StealthWatch
Il existe plusieurs façons de « toucher » la StealthWatch :
- – service cloud pour les travaux de laboratoire ;
- Basé sur le cloud : – ici, le Netflow de votre appareil circulera dans le cloud et y sera analysé par le logiciel StealthWatch ;
- PDV sur site () – la méthode que j'ai suivie, ils vous enverront 4 fichiers OVF de machines virtuelles avec licences intégrées pendant 90 jours, qui pourront être déployées sur un serveur dédié du réseau d'entreprise.
Malgré l'abondance de machines virtuelles téléchargées, pour une configuration de travail minimale, seules 2 suffisent : StealthWatch Management Console et FlowCollector. Cependant, s'il n'existe aucun périphérique réseau capable d'exporter Netflow vers FlowCollector, alors il est également nécessaire de déployer FlowSensor, puisque ce dernier permet de collecter Netflow à l'aide des technologies SPAN/RSPAN.
Comme je l'ai dit plus tôt, votre réseau réel peut servir de banc de laboratoire, puisque StealthWatch n'a besoin que d'une copie, ou, plus exactement, d'une copie d'une copie du trafic. L'image ci-dessous montre mon réseau, où, sur la passerelle de sécurité, je configurerai l'exportateur Netflow et, par conséquent, j'enverrai Netflow au collecteur.
Pour accéder aux futures VM, les ports suivants doivent être autorisés sur votre pare-feu, si vous en avez un :
TCP 22 l TCP 25 l TCP 389 l TCP 443 l TCP 2393 l TCP 5222 l UDP 53 l UDP 123 l UDP 161 l UDP 162 l UDP 389 l UDP 514 l UDP 2055 l UDP 6343
Certains d'entre eux sont des services connus, d'autres sont réservés aux services Cisco.
Dans mon cas, j'ai simplement déployé StelathWatch sur le même réseau que Check Point et je n'ai eu à configurer aucune règle d'autorisation.
2. Installation de FlowCollector en utilisant VMware vSphere comme exemple
2.1. Cliquez sur Parcourir et sélectionnez le fichier OVF1. Après avoir vérifié la disponibilité des ressources, allez dans le menu Affichage, Inventaire → Réseau (Ctrl+Maj+N).
2.2. Dans l'onglet Réseau, sélectionnez Nouveau groupe de ports distribués dans les paramètres du commutateur virtuel.
2.3. Définissez le nom, que ce soit StealthWatchPortGroup, le reste des paramètres peut être défini comme dans la capture d'écran et cliquez sur Suivant.
2.4. Nous terminons la création du groupe de ports avec le bouton Terminer.
2.5. Modifions les paramètres du groupe de ports créé en cliquant avec le bouton droit sur le groupe de ports et en sélectionnant Modifier les paramètres. Dans l'onglet Sécurité, assurez-vous d'activer le « mode promiscuité », Mode promiscuité → Accepter → OK.
2.6. A titre d'exemple, importons OVF FlowCollector, dont le lien de téléchargement a été envoyé par un ingénieur Cisco après une requête GVE. Cliquez avec le bouton droit sur l'hôte sur lequel vous prévoyez de déployer la VM et sélectionnez Déployer le modèle OVF. Concernant l'espace alloué, il « démarrera » à 50 Go, mais pour les conditions de combat il est recommandé d'allouer 200 gigaoctets.
2.7. Sélectionnez le dossier où se trouve le fichier OVF.
2.8. Cliquez sur Suivant".
2.9. Nous indiquons le nom et le serveur sur lequel nous le déployons.
2.10. En conséquence, nous obtenons l'image suivante et cliquons sur « Terminer ».
2.11. Nous suivons les mêmes étapes pour déployer la console de gestion StealthWatch.
2.12. Vous devez maintenant spécifier les réseaux nécessaires dans les interfaces afin que FlowCollector voie à la fois le SMC et les appareils à partir desquels Netflow sera exporté.
3. Initialisation de la console de gestion StealthWatch
3.1. En vous rendant sur la console de la machine SMCVE installée, vous verrez un endroit pour saisir votre login et votre mot de passe, par défaut administrateur système/lan1cope.
3.2. Nous accédons à l'élément Gestion, définissons l'adresse IP et d'autres paramètres réseau, puis confirmons leurs modifications. L'appareil va redémarrer.
3.3. Accédez à l'interface web (via https à l'adresse que vous avez indiquée dans SMC) et initialisez la console, login/mot de passe par défaut - admin/lan411cope.
PS : il arrive qu'il ne s'ouvre pas dans Google Chrome, Explorer vous aidera toujours.
3.4. Assurez-vous de changer les mots de passe, de définir les serveurs DNS, NTP, le domaine, etc. Les réglages sont intuitifs.
3.5. Après avoir cliqué sur le bouton « Appliquer », l'appareil redémarrera à nouveau. Après 5 à 7 minutes, vous pourrez vous reconnecter à cette adresse ; StealthWatch sera géré via une interface web.
4. Configuration de FlowCollector
4.1. C'est la même chose avec le collectionneur. Tout d'abord, dans la CLI, nous spécifions l'adresse IP, le masque, le domaine, puis le FC redémarre. Vous pouvez ensuite vous connecter à l'interface web à l'adresse indiquée et effectuer la même configuration de base. Étant donné que les paramètres sont similaires, les captures d'écran détaillées sont omises. Crédits entrer pareil.
4.2. À l'avant-dernier point, vous devez définir l'adresse IP du SMC, dans ce cas la console verra l'appareil, vous devrez confirmer ce paramètre en saisissant vos identifiants.
4.3. Sélectionnez le domaine pour StealthWatch, il a été défini précédemment et le port 2055 – Netflow standard, si vous travaillez avec sFlow, port 6343.
5. Configuration de l'exportateur Netflow
5.1. Pour configurer l'exportateur Netflow, je vous recommande fortement de vous tourner vers ceci , voici les principaux guides de configuration de l'exportateur Netflow pour de nombreux appareils : Cisco, Check Point, Fortinet.
5.2. Dans notre cas, je le répète, nous exportons Netflow depuis la passerelle Check Point. L'exportateur Netflow est configuré dans un onglet du même nom dans l'interface web (Gaia Portal). Pour cela, cliquez sur « Ajouter », précisez la version Netflow et le port souhaité.
6. Analyse du fonctionnement de StealthWatch
6.1. En allant sur l'interface web de SMC, sur la première page de Tableaux de bord > Sécurité réseau vous pouvez voir que le trafic a commencé !
6.2. Certains paramètres, par exemple la division des hôtes en groupes, la surveillance des interfaces individuelles, leur charge, la gestion des collecteurs, etc., ne peuvent être trouvés que dans l'application Java StealthWatch. Bien entendu, Cisco transfère lentement toutes les fonctionnalités vers la version navigateur et nous abandonnerons bientôt un tel client de bureau.
Pour installer l'application, vous devez d'abord installer (J'ai installé la version 8, même s'il est dit qu'elle est prise en charge jusqu'à 10) depuis le site officiel d'Oracle.
Dans le coin supérieur droit de l'interface web de la console de gestion, pour télécharger, vous devez cliquer sur le bouton « Client de bureau ».
Vous enregistrez et installez le client de force, Java le jurera probablement, vous devrez peut-être ajouter l'hôte aux exceptions Java.
En conséquence, un client assez clair se révèle, dans lequel il est facile de voir le chargement des exportateurs, des interfaces, des attaques et leurs flux.
7. Gestion centrale de StealthWatch
7.1. L'onglet Gestion centrale contient tous les appareils qui font partie du StealthWatch déployé, tels que : FlowCollector, FlowSensor, UDP-Director et Endpoint Concetrator. Là, vous pouvez gérer les paramètres réseau et les services de l'appareil, les licences et éteindre manuellement l'appareil.
Vous pouvez y accéder en cliquant sur « l'engrenage » dans le coin supérieur droit et en sélectionnant Gestion Centrale.
7.2. En accédant à Modifier la configuration de l'appliance dans FlowCollector, vous verrez SSH, NTP et d'autres paramètres réseau liés à l'application elle-même. Pour y aller, sélectionnez Actions → Modifier la configuration de l'appliance pour le périphérique requis.
7.3. La gestion des licences se trouve également dans l'onglet Gestion centrale > Gérer les licences. Des licences d'essai en cas de demande GVE sont accordées pour Jour 90.
Le produit est prêt à partir ! Dans la partie suivante, nous verrons comment StealthWatch peut reconnaître les attaques et générer des rapports.
Source: habr.com