Ola compañeiros! Determinados os requisitos mínimos para a implantación de StealthWatch , podemos comezar a implantar o produto.
1. Métodos para a implantación de StealthWatch
Hai varias formas de "tocar" o StealthWatch:
- – servizo na nube para traballos de laboratorio;
- Baseado na nube: – aquí Netflow do teu dispositivo fluirá á nube e será analizado alí polo software StealthWatch;
- Punto de vista local () – o método que seguín, enviaránche 4 ficheiros OVF de máquinas virtuais con licenzas integradas durante 90 días, que se poden implementar nun servidor dedicado na rede corporativa.
A pesar da abundancia de máquinas virtuais descargadas, para unha configuración de traballo mínima só son suficientes 2: StealthWatch Management Console e FlowCollector. Non obstante, se non hai ningún dispositivo de rede que poida exportar Netflow a FlowCollector, tamén é necesario implantar FlowSensor, xa que este último permite recoller Netflow mediante tecnoloxías SPAN/RSPAN.
Como dixen anteriormente, a túa rede real pode actuar como un banco de laboratorio, xa que StealthWatch só necesita unha copia ou, máis correctamente, unha redución dunha copia do tráfico. A imaxe de abaixo mostra a miña rede, onde na pasarela de seguranza configurarei o Netflow Exporter e, como resultado, enviarei Netflow ao colector.
Para acceder a futuras máquinas virtuales, deberían permitirse os seguintes portos no teu firewall, se tes un:
TCP 22 l TCP 25 l TCP 389 l TCP 443 l TCP 2393 l TCP 5222 l UDP 53 l UDP 123 l UDP 161 l UDP 162 l UDP 389 l UDP 514 l UDP 2055 l UDP 6343
Algúns deles son servizos coñecidos, outros están reservados para servizos de Cisco.
No meu caso, simplemente despreguei StelathWatch na mesma rede que Check Point e non tiven que configurar ningunha regra de permisos.
2. Instalación de FlowCollector usando VMware vSphere como exemplo
2.1. Fai clic en Examinar e selecciona o ficheiro OVF1. Despois de comprobar a dispoñibilidade dos recursos, vai ao menú Ver, Inventario → Rede (Ctrl+Maiús+N).
2.2. Na pestana Rede, seleccione Novo grupo de portos distribuídos na configuración do switch virtual.
2.3. Establece o nome, deixa que sexa StealthWatchPortGroup, o resto da configuración pódese facer como na captura de pantalla e fai clic en Seguinte.
2.4. Completamos a creación do Grupo Portuario co botón Finalizar.
2.5. Editemos a configuración do grupo de portos creado facendo clic co botón dereito sobre o grupo de portos e seleccionando Editar configuración. Na pestana Seguridade, asegúrese de activar o "modo promiscuo", Modo promiscuo → Aceptar → Aceptar.
2.6. Como exemplo, importemos OVF FlowCollector, cuxa ligazón de descarga foi enviada por un enxeñeiro de Cisco despois dunha solicitude GVE. Fai clic co botón dereito sobre o host no que queres implantar a máquina virtual e selecciona Implementar modelo OVF. No que respecta ao espazo asignado, "iniciarase" con 50 GB, pero para condicións de combate recoméndase asignar 200 gigabytes.
2.7. Seleccione o cartafol onde se atopa o ficheiro OVF.
2.8. Fai clic en "Seguinte".
2.9. Indicamos o nome e o servidor onde o implantamos.
2.10. Como resultado, obtemos a seguinte imaxe e facemos clic en "Finalizar".
2.11. Seguimos os mesmos pasos para implementar a Consola de xestión de StealthWatch.
2.12. Agora cómpre especificar as redes necesarias nas interfaces para que FlowCollector vexa tanto o SMC como os dispositivos desde os que se exportará Netflow.
3. Iniciando StealthWatch Management Console
3.1. Ao ir á consola da máquina SMCVE instalada, verá un lugar para introducir o seu inicio de sesión e contrasinal, por defecto sysadmin/lan1cope.
3.2. Imos ao elemento Xestión, establecemos o enderezo IP e outros parámetros de rede e, a continuación, confirmamos os seus cambios. O dispositivo reiniciarase.
3.3. Vaia á interface web (a través de https ao enderezo que especificaches en SMC) e inicializa a consola, inicio de sesión/contrasinal predeterminado - admin/lan411cope.
PD: ocorre que non se abre en Google Chrome, o Explorer sempre axudará.
3.4. Asegúrese de cambiar os contrasinais, configurar servidores DNS, NTP, dominio, etc. A configuración é intuitiva.
3.5. Despois de facer clic no botón "Aplicar", o dispositivo reiniciarase de novo. Despois de 5-7 minutos podes conectarte de novo a este enderezo; StealthWatch xestionarase a través dunha interface web.
4. Configuración de FlowCollector
4.1. O mesmo pasa co coleccionista. En primeiro lugar, na CLI especificamos o enderezo IP, a máscara, o dominio e, a continuación, o FC reinicia. A continuación, pode conectarse á interface web no enderezo especificado e realizar a mesma configuración básica. Debido ao feito de que a configuración é semellante, omítense capturas de pantalla detalladas. Credenciais entrar o mesmo.
4.2. No penúltimo punto, cómpre establecer o enderezo IP do SMC, neste caso a consola verá o dispositivo, terás que confirmar esta configuración introducindo as túas credenciais.
4.3. Seleccione o dominio para StealthWatch, que foi definido anteriormente, e o porto 2055 – Netflow normal, se está a traballar con sFlow, port 6343.
5. Configuración do Netflow Exporter
5.1. Para configurar o exportador de Netflow, recoméndolle encarecidamente acudir a isto , aquí están as principais guías para configurar o exportador Netflow para moitos dispositivos: Cisco, Check Point, Fortinet.
5.2. No noso caso, repito, estamos exportando Netflow desde a pasarela de Check Point. O exportador de Netflow está configurado nunha pestana co mesmo nome na interface web (Portal Gaia). Para iso, faga clic en "Engadir", especifique a versión de Netflow e o porto necesario.
6. Análise do funcionamento de StealthWatch
6.1. Ao ir á interface web de SMC, na primeira páxina de Paneis > Seguridade da rede podes ver que o tráfico comezou.
6.2. Algunhas opcións de configuración, por exemplo, dividir hosts en grupos, supervisar interfaces individuais, a súa carga, xestionar colectores e moito máis, só se poden atopar na aplicación Java StealthWatch. Por suposto, Cisco está a transferir lentamente toda a funcionalidade á versión do navegador e en breve abandonaremos un cliente de escritorio deste tipo.
Para instalar a aplicación, primeiro debes instalar (Instalei a versión 8, aínda que se di que é compatible ata 10) desde o sitio web oficial de Oracle.
Na esquina superior dereita da interface web da consola de xestión, para descargar, debes facer clic no botón "Desktop Client".
Gardas e instalas o cliente á forza, o máis probable é que Java o xure, é posible que teñas que engadir o host ás excepcións de Java.
Como resultado, revélase un cliente bastante claro, no que é fácil ver a carga de exportadores, interfaces, ataques e os seus fluxos.
7. Xestión central de StealthWatch
7.1. A pestana Xestión central contén todos os dispositivos que forman parte do StealthWatch implantado, como: FlowCollector, FlowSensor, UDP-Director e Endpoint Concetrator. Alí podes xestionar a configuración da rede e os servizos do dispositivo, as licenzas e apagar o dispositivo manualmente.
Podes ir a el facendo clic na "engrenaxe" na esquina superior dereita e seleccionando Xestión central.
7.2. Ao ir a Editar a configuración do dispositivo en FlowCollector, verá SSH, NTP e outras opcións de rede relacionadas coa propia aplicación. Para ir, seleccione Accións → Editar a configuración do dispositivo para o dispositivo necesario.
7.3. Tamén se pode atopar a xestión de licenzas na pestana Xestión central > Xestionar licenzas. Ofrécense licenzas de proba en caso de solicitude de GVE Día 90.
O produto está listo para usar! Na seguinte parte, veremos como StealthWatch pode recoñecer ataques e xerar informes.
Fonte: www.habr.com