Hallo kollega's! Nei it fêststellen fan de minimale easken foar it ynsetten fan StealthWatch yn , kinne wy begjinne mei it ynsetten fan it produkt.
1. Metoaden foar it ynsetten fan StealthWatch
D'r binne ferskate manieren om de StealthWatch te "oanreitsje":
- - wolktsjinst foar laboratoariumwurk;
- Wolke basearre: - hjir sil Netflow fan jo apparaat yn 'e wolk streame en sil dêr wurde analysearre troch StealthWatch-software;
- On-premise POV () - de metoade dy't ik folge, se stjoere jo 4 OVF-bestannen fan firtuele masines mei ynboude lisinsjes foar 90 dagen, dy't kinne wurde ynset op in tawijd tsjinner op it bedriuwsnetwurk.
Nettsjinsteande de oerfloed fan ynladen firtuele masines, foar in minimale wurkjende konfiguraasje binne mar 2 genôch: StealthWatch Management Console en FlowCollector. As d'r lykwols gjin netwurkapparaat is dat Netflow kin eksportearje nei FlowCollector, dan is it ek nedich om FlowSensor yn te setten, om't de lêste jo Netflow kinne sammelje mei SPAN / RSPAN-technologyen.
Lykas ik earder sei, kin jo echte netwurk fungearje as in laboratoariumbank, om't StealthWatch allinich in kopy nedich hat, of, krekter, in squeeze fan in kopy fan ferkear. De ôfbylding hjirûnder lit myn netwurk sjen, wêr't ik op 'e befeiligingspoarte de Netflow Exporter sil konfigurearje en, as gefolch, Netflow nei de samler stjoere.
Om tagong te krijen ta takomstige VM's, moatte de folgjende havens tastien wêze op jo firewall, as jo ien hawwe:
TCP 22 l TCP 25 l TCP 389 l TCP 443 l TCP 2393 l TCP 5222 l UDP 53 l UDP 123 l UDP 161 l UDP 162 l UDP 389 l UDP 514 l UDP 2055 l UDP 6343
Guon fan harren binne bekende tsjinsten, guon binne reservearre foar Cisco tsjinsten.
Yn myn gefal haw ik StelathWatch gewoan ynset op itselde netwurk as Check Point, en hoegde gjin tastimmingregels yn te stellen.
2. Ynstallearje FlowCollector mei help fan VMware vSphere as foarbyld
2.1. Klikje op Blêdzje en selektearje OVF-bestân1. Nei it kontrolearjen fan de beskikberens fan boarnen, gean nei it menu Besjoch, Ynventaris → Netwurk (Ctrl+Shift+N).
2.2. Selektearje yn it ljepblêd Networking Nije ferdielde poartegroep yn 'e firtuele switchynstellingen.
2.3. Stel de namme yn, lit it wêze StealthWatchPortGroup, de rest fan 'e ynstellings kinne wurde makke lykas yn' e skermprint en klikje Folgjende.
2.4. Wy foltôgje de skepping fan 'e Port Group mei de knop Finish.
2.5. Litte wy de ynstellings fan 'e makke Port Group bewurkje troch rjochts te klikken op' e poartegroep en selektearje Ynstellings bewurkje. Yn 'e Feiligens ljepper, wês wis dat jo "promiskueuze modus" ynskeakelje, Promiskueuze modus → Akseptearje → OK.
2.6. As foarbyld, lit ús ymportearje OVF FlowCollector, de ynlaad keppeling wêrfoar waard stjoerd troch in Cisco yngenieur nei in GVE fersyk. Rjochts-klikke op de host wêrop jo fan plan binne de VM yn te setten en selektearje OVF-sjabloan ynsette. Oangeande de tawiisde romte sil it "opstarte" op 50 GB, mar foar bestridingsbetingsten wurdt it oanrikkemandearre om 200 gigabytes te tawizen.
2.7. Selektearje de map wêr't it OVF-bestân leit.
2.8. Klik op "Folgjende".
2.9. Wy jouwe de namme en tsjinner oan wêr't wy it ynsette.
2.10. As gefolch krije wy de folgjende ôfbylding en klikje op "Finish".
2.11. Wy folgje deselde stappen om de StealthWatch Management Console yn te setten.
2.12. No moatte jo de nedige netwurken yn 'e ynterfaces opjaan, sadat FlowCollector sawol de SMC as de apparaten sjocht wêrfan Netflow sil wurde eksportearre.
3. Inisjalisearjen fan StealthWatch Management Console
3.1. Troch nei de konsole fan 'e ynstalleare SMCVE-masine te gean, sille jo in plak sjen om jo oanmelding en wachtwurd yn te fieren, standert sysadmin/lan1cope.
3.2. Wy geane nei it item Behear, set it IP-adres en oare netwurkparameters yn, befêstigje dan har wizigingen. It apparaat sil opnij starte.
3.3. Gean nei de webynterface (fia https nei it adres dat jo opjûn hawwe yn SMC) en inisjalisearje de konsole, standert login / wachtwurd - admin/lan411cope.
PS: it bart dat it net iepenet yn Google Chrome, Explorer sil altyd helpe.
3.4. Wês wis dat jo wachtwurden feroarje, DNS, NTP-tsjinners, domein, ensfh. De ynstellings binne yntuïtyf.
3.5. Nei it klikken op de "Tapasse" knop, it apparaat sil opnij opstarte. Nei 5-7 minuten kinne jo opnij ferbine mei dit adres; StealthWatch sil wurde beheard fia in webynterface.
4. Ynstelle FlowCollector
4.1. It is itselde mei de samler. Earst, yn 'e CLI spesifisearje wy it IP-adres, masker, domein, dan wurdt de FC opnij starte. Jo kinne dan ferbine mei de webynterface op it opjûne adres en deselde basiskonfiguraasje útfiere. Fanwegen it feit dat de ynstellings ferlykber binne, wurde detaillearre skermôfbyldings weilitten. Credentials der yn komme itselde.
4.2. Op it foarlêste punt moatte jo it IP-adres fan 'e SMC ynstelle, yn dit gefal sil de konsole it apparaat sjen, jo moatte dizze ynstelling befestigje troch jo referinsjes yn te fieren.
4.3. Selektearje it domein foar StealthWatch, it waard earder ynsteld, en de haven 2055 - reguliere Netflow, as jo wurkje mei sFlow, haven 6343.
5. Netflow Exporter konfiguraasje
5.1. Om de Netflow-eksporteur te konfigurearjen, ried ik tige oan om hjir nei te wikseljen , Hjir binne de haadgidsen foar it konfigurearjen fan de Netflow-eksporteur foar in protte apparaten: Cisco, Check Point, Fortinet.
5.2. Yn ús gefal, ik werhelje, eksportearje wy Netflow fan 'e Check Point-poarte. Netflow-eksporteur is konfigureare yn in ljepper mei deselde namme yn 'e webynterface (Gaia Portal). Om dit te dwaan, klikje op "Tafoegje", spesifisearje de Netflow-ferzje en de fereaske poarte.
6. Analyse fan StealthWatch operaasje
6.1. Gean nei de SMC-webynterface, op 'e earste side fan Dashboards> Netwurkfeiligens kinne jo sjen dat it ferkear begon is!
6.2. Guon ynstellings, bygelyks it ferdielen fan hosts yn groepen, it kontrolearjen fan yndividuele ynterfaces, har lading, it behearen fan samlers, en mear, kinne allinich fûn wurde yn 'e StealthWatch Java-applikaasje. Fansels bringt Cisco stadichoan alle funksjonaliteit oer nei de browserferzje en wy sille sa'n buroblêdkliïnt ynkoarten ferlitte.
Om de applikaasje te ynstallearjen, moatte jo earst ynstallearje (Ik ynstallearre ferzje 8, hoewol't it wurdt sein dat it wurdt stipe oant 10) út de offisjele Oracle webside.
Yn 'e rjochter boppeste hoeke fan' e webynterface fan 'e behearkonsole, om te downloaden, moatte jo op de knop "Desktop Client" klikke.
Jo bewarje en ynstallearje de kliïnt mei geweld, java sil it nei alle gedachten swarre, jo moatte miskien de host tafoegje oan java-útsûnderings.
As resultaat wurdt in frij dúdlike kliïnt iepenbiere, wêryn it maklik is om it laden fan eksporteurs, ynterfaces, oanfallen en har streamen te sjen.
7. StealthWatch Central Management
7.1. It ljepblêd Sintraal behear befettet alle apparaten dy't diel útmeitsje fan 'e ynset StealthWatch, lykas: FlowCollector, FlowSensor, UDP-Director en Endpoint Concetrator. Dêr kinne jo netwurkynstellingen en apparaattsjinsten, lisinsjes beheare en it apparaat manuell útsette.
Jo kinne dernei gean troch te klikken op de "gear" yn 'e rjochter boppeste hoeke en selektearje Sintraal behear.
7.2. Troch te gean nei Appliance-konfiguraasje bewurkje yn FlowCollector, sille jo SSH, NTP en oare netwurkynstellingen sjen yn ferbân mei de app sels. Om te gean, selektearje Aksjes → Apparaatkonfiguraasje bewurkje foar it fereaske apparaat.
7.3. Lisinsjebehear is ek te finen yn it ljepblêd Sintraal behear > Lisinsjes beheare. Trial lisinsjes yn gefal fan GVE fersyk wurdt jûn foar 90 dagen.
It produkt is klear om te gean! Yn it folgjende diel sille wy sjen nei hoe't StealthWatch oanfallen kin werkenne en rapporten generearje.
Boarne: www.habr.com