StealthWatch: cleachdadh agus rèiteachadh. Pàirt 2
Halo a cho-obraichean! Às deidh dha na riatanasan as ìsle a dhearbhadh airson StealthWatch a chuir a-steach pàirt mu dheireadh, faodaidh sinn tòiseachadh a 'cleachdadh an toraidh.
1. Dòighean airson StealthWatch a chleachdadh
Tha grunn dhòighean ann airson “suathadh” ris an StealthWatch:
dcloud - seirbheis sgòthan airson obair obair-lann;
Stèidhichte air Cloud: Stealthwatch cloud saor an asgaidh - an seo bidh Netflow bhon inneal agad a’ sruthadh a-steach don sgòth agus thèid a sgrùdadh an sin le bathar-bog StealthWatch;
POV air an togalach (Iarrtas GVE) - an dòigh a lean mi, cuiridh iad thugad 4 faidhlichean OVF de dh ’innealan brìgheil le ceadan togte airson 90 latha, a dh’ fhaodar a chuir a-steach air frithealaiche sònraichte air an lìonra corporra.
A dh’ aindeoin pailteas innealan brìgheil a chaidh a luchdachadh sìos, airson glè bheag de rèiteachadh obrach chan eil ach 2 gu leòr: StealthWatch Management Console agus FlowCollector. Ach, mura h-eil inneal lìonraidh ann as urrainn Netflow às-mhalairt gu FlowCollector, tha e riatanach cuideachd FlowSensor a chleachdadh, leis gu bheil an tè mu dheireadh a’ toirt cothrom dhut Netflow a chruinneachadh a’ cleachdadh teicneòlasan SPAN/RSPAN.
Mar a thuirt mi na bu thràithe, faodaidh an fhìor lìonra agad a bhith na bheing obair-lann, leis nach fheum StealthWatch ach leth-bhreac, no, nas ceart, brùthadh leth-bhreac de thrafaig. Tha an dealbh gu h-ìosal a’ sealltainn an lìonra agam, far am bi mi a’ rèiteachadh an Netflow Exporter air a’ gheata tèarainteachd agus, mar thoradh air an sin, cuiridh mi Netflow chun neach-cruinneachaidh.
Gus faighinn gu VMn san àm ri teachd, bu chòir na puirt a leanas a bhith ceadaichte air do bhalla-teine, ma tha fear agad:
TCP 22 l TCP 25 l TCP 389 l TCP 443 l TCP 2393 l TCP 5222 l UDP 53 l UDP 123 l UDP 161 l UDP 162 l UDP 389 l UDP 514 l UDP 2055 l UDP 6343
Tha cuid dhiubh nan seirbheisean ainmeil, cuid dhiubh glèidhte airson seirbheisean Cisco.
Anns a 'chùis agam, chuir mi dìreach StelathWatch air an aon lìonra ri Check Point, agus cha robh agam ri riaghailtean cead sam bith a rèiteachadh.
2. Stàlaich FlowCollector cleachdadh VMware vSphere mar eisimpleir
2.1. Briog air Browse agus tagh OVF file1. Às deidh dhut sgrùdadh a dhèanamh air na goireasan a tha rim faighinn, rachaibh chun chlàr View, Inventory → Networking (Ctrl + Shift + N).
2.2. Anns an taba Networking, tagh buidheann puirt New Distributed anns na roghainnean suidse mas-fhìor.
2.3. Suidhich an t-ainm, leig leis gur e StealthWatchPortGroup a th ’ann, faodar an còrr de na roghainnean a dhèanamh mar a tha san ath-sgrìn agus cliog An ath-.
2.4. Cuiridh sinn crìoch air cruthachadh Buidheann Port leis a’ phutan Crìochnaich.
2.5. Deasaich sinn roghainnean a’ Bhuidheann Port a chaidh a chruthachadh le bhith a’ briogadh deas air a’ bhuidheann puirt agus a’ taghadh Deasaich Settings. Anns an taba Tèarainteachd, dèan cinnteach gun cuir thu an comas “modh promiscuous”, Modh gealltanach → Gabh → Ceart gu leòr.
2.6. Mar eisimpleir, bheir sinn a-steach OVF FlowCollector, an ceangal luchdaich sìos air a chuir le innleadair Cisco às deidh iarrtas GVE. Dèan briogadh deas air an òstair air a bheil thu an dùil an VM a chleachdadh agus tagh Cleachd OVF Template. A thaobh an àite a chaidh a shònrachadh, bidh e “a’ tòiseachadh ”aig 50 GB, ach airson suidheachaidhean sabaid thathas a’ moladh 200 gigabytes a riarachadh.
2.7. Tagh am pasgan far a bheil am faidhle OVF suidhichte.
2.8. Cliog air “Air adhart”.
2.9. Bidh sinn a’ comharrachadh an ainm agus an fhrithealaiche far am bi sinn ga chleachdadh.
2.10. Mar thoradh air an sin, gheibh sinn an dealbh a leanas agus cliog air “Crìochnaich”.
2.11. Leanaidh sinn na h-aon cheumannan gus an StealthWatch Management Console a chleachdadh.
2.12. A-nis feumaidh tu na lìonraidhean riatanach a shònrachadh anns an eadar-aghaidh gus am faic FlowCollector an dà chuid an SMC agus na h-innealan às an tèid Netflow a chuir a-mach.
3. A' tòiseachadh StealthWatch Management Console
3.1. Le bhith a’ dol gu consol an inneal SMCVE a chaidh a chuir a-steach, chì thu àite airson do logadh a-steach agus facal-faire a chuir a-steach, gu bunaiteach sysadmin/lan1cope.
3.2. Bidh sinn a’ dol chun nì riaghlaidh, suidhich an seòladh IP agus paramadairean lìonra eile, agus an uairsin dearbhaich na h-atharrachaidhean aca. Thèid an inneal ath-thòiseachadh.
3.3. Rach don eadar-aghaidh lìn (tro https chun an t-seòlaidh a shònraich thu ann an SMC) agus tòisich an consol, logadh a-steach / facal-faire bunaiteach - rianaire/lan411cope.
PS: Tha e a’ tachairt nach fosgail Google Chrome, cuidichidh Explorer an-còmhnaidh.
3.5. Às deidh dhut briogadh air a’ phutan “Cuir a-steach”, thèid an inneal ath-thòiseachadh a-rithist. Às deidh 5-7 mionaidean faodaidh tu ceangal a-rithist ris an t-seòladh seo; Thèid StealthWatch a riaghladh tro eadar-aghaidh lìn.
4. A 'suidheachadh FlowCollector
4.1. Tha e an aon rud leis an neach-cruinneachaidh. An toiseach, anns an CLI bidh sinn a’ sònrachadh an seòladh IP, masg, àrainn, an uairsin bidh an FC ag ath-thòiseachadh. Faodaidh tu an uairsin ceangal ris an eadar-aghaidh lìn aig an t-seòladh ainmichte agus an aon stèidheachadh bunaiteach a dhèanamh. Leis gu bheil na roghainnean coltach, tha seallaidhean-sgrìn mionaideach air am fàgail air falbh. Teisteanasan a steach An t-aon rud.
4.2. Aig a’ cheann mu dheireadh, feumaidh tu seòladh IP an SMC a shuidheachadh, anns a’ chùis seo chì an consol an inneal, feumaidh tu an suidheachadh seo a dhearbhadh le bhith a’ cuir a-steach na teisteasan agad.
4.3. Tagh an àrainn airson StealthWatch, chaidh a shuidheachadh na bu tràithe, agus am port 2055 - Netflow cunbhalach, ma tha thu ag obair le sFlow, port 6343.
5. rèiteachadh Netflow Exporter
5.1. Gus an às-mhalairt Netflow a rèiteachadh, tha mi gu mòr a’ moladh tionndadh gu seo stòras , seo na prìomh stiùiridhean airson a bhith a’ rèiteachadh an às-mhalairt Netflow airson iomadh inneal: Cisco, Check Point, Fortinet.
5.2. Anns a ’chùis againn, bidh mi ag ath-aithris, tha sinn a’ cur a-mach Netflow bho gheata Check Point. Tha às-mhalairt Netflow air a rèiteachadh ann an taba den aon ainm anns an eadar-aghaidh lìn (Gaia Portal). Gus seo a dhèanamh, cliog air “Cuir ris”, sònraich an dreach Netflow agus am port a tha a dhìth.
6. Mion-sgrùdadh air obrachadh StealthWatch
6.1. A’ dol gu eadar-aghaidh lìn SMC, air a’ chiad duilleag de Dashboards> Network Security chì thu gu bheil an trafaic air tòiseachadh!
6.2. Chan fhaighear cuid de shuidheachaidhean, mar eisimpleir, a’ roinneadh luchd-aoigheachd ann am buidhnean, a’ cumail sùil air eadar-aghaidh fa leth, an luchd, a’ stiùireadh luchd-cruinneachaidh agus feadhainn eile anns an tagradh StealthWatch Java. Gu dearbh, tha Cisco gu slaodach a’ gluasad a h-uile gnìomh gu dreach a’ bhrobhsair agus a dh’ aithghearr trèigidh sinn a leithid de neach-dèiligidh deasg.
Gus an aplacaid a stàladh, feumaidh tu an toiseach a stàladh JRE (Chuir mi a-steach dreach 8, ged a thathar ag ràdh gu bheil e a’ faighinn taic suas gu 10) bho làrach-lìn oifigeil Oracle.
Anns an oisean gu h-àrd air an làimh dheis de eadar-aghaidh lìn a ’chonsail riaghlaidh, gus a luchdachadh sìos, feumaidh tu briogadh air a’ phutan “Desktop Client”.
Bidh thu a’ sàbhaladh agus a’ stàladh an neach-dèiligidh gu làidir, tha e glè choltach gum bi java a’ mionnachadh air, is dòcha gum feum thu an aoigh a chuir ri eisgeachdan java.
Mar thoradh air an sin, tha teachdaiche gu math soilleir air fhoillseachadh, anns a bheil e furasta fhaicinn luchdachadh às-mhalairt, eadar-aghaidh, ionnsaighean agus na sruthan aca.
7. Stiùireadh Meadhanach StealthWatch
7.1. Anns an taba Central Management tha a h-uile inneal a tha nam pàirt den StealthWatch a chaidh a chleachdadh, leithid: FlowCollector, FlowSensor, UDP-Director agus Endpoint Concetrator. An sin faodaidh tu roghainnean lìonra agus seirbheisean inneal, ceadan, agus an inneal a chuir dheth le làimh.
Faodaidh tu a dhol thuige le bhith a’ briogadh air an “gèar” san oisean gu h-àrd air an làimh dheis agus a’ taghadh Central Management.
7.2. Le bhith a’ dol gu Deasaich Configuration Appliance in FlowCollector, chì thu SSH, NTP agus suidheachaidhean lìonra eile co-cheangailte ris an aplacaid fhèin. Airson a dhol, tagh Gnìomhan → Deasaich Appliance Configuration airson an inneal a tha a dhìth.
7.3. Gheibhear stiùireadh ceadachais cuideachd anns an taba Central Management> Stiùirich ceadan. Thathas a’ toirt seachad ceadan deuchainn gun fhios nach bi iarrtas GVE ann Latha 90.
Tha an toradh deiseil airson a dhol! Anns an ath phàirt, seallaidh sinn ri mar as urrainn do StealthWatch ionnsaighean aithneachadh agus aithisgean a ghineadh.