Pozdrav kolege! Odredivši minimalne zahtjeve za implementaciju StealthWatcha u , možemo početi s implementacijom proizvoda.
1. Metode za implementaciju StealthWatcha
Postoji nekoliko načina da "dodirnete" StealthWatch:
- – usluga u oblaku za laboratorijski rad;
- U oblaku: – ovdje će Netflow s vašeg uređaja teći u oblak i tamo će ga analizirati softver StealthWatch;
- Lokalni POV () – metoda koju sam slijedio, poslat će vam 4 OVF datoteke virtualnih strojeva s ugrađenim licencama za 90 dana, koje se mogu postaviti na namjenski poslužitelj na korporativnoj mreži.
Unatoč obilju preuzetih virtualnih strojeva, za minimalnu radnu konfiguraciju dovoljna su samo 2: StealthWatch Management Console i FlowCollector. Međutim, ako ne postoji mrežni uređaj koji može izvesti Netflow u FlowCollector, tada je također potrebno implementirati FlowSensor, budući da vam potonji omogućuje prikupljanje Netflowa pomoću SPAN/RSPAN tehnologija.
Kao što sam ranije rekao, vaša stvarna mreža može djelovati kao laboratorijski stol, jer StealthWatch treba samo kopiju, ili, točnije, stisak kopije prometa. Slika ispod prikazuje moju mrežu, gdje ću na sigurnosnom pristupniku konfigurirati Netflow Exporter i kao rezultat toga poslati Netflow sakupljaču.
Za pristup budućim VM-ovima, sljedeći priključci trebaju biti dopušteni na vašem vatrozidu, ako ga imate:
TCP 22 l TCP 25 l TCP 389 l TCP 443 l TCP 2393 l TCP 5222 l UDP 53 l UDP 123 l UDP 161 l UDP 162 l UDP 389 l UDP 514 l UDP 2055 l UDP 6343
Neki od njih su dobro poznati servisi, neki su rezervirani za Cisco servise.
U mom slučaju jednostavno sam implementirao StelathWatch na istoj mreži kao i Check Point i nisam morao konfigurirati nikakva pravila dopuštenja.
2. Instalacija FlowCollectora koristeći VMware vSphere kao primjer
2.1. Kliknite Pregledaj i odaberite OVF datoteku1. Nakon provjere dostupnosti resursa idite na izbornik Pogled, Inventar → Umrežavanje (Ctrl+Shift+N).
2.2. Na kartici Umrežavanje odaberite Nova grupa distribuiranih priključaka u postavkama virtualnog prekidača.
2.3. Namjestite ime, neka bude StealthWatchPortGroup, ostale postavke možete napraviti kao na snimku i kliknite Dalje.
2.4. Završavamo kreiranje Port Group tipkom Finish.
2.5. Uredimo postavke stvorene grupe priključaka desnim klikom na grupu priključaka i odabirom Uredi postavke. Na kartici Sigurnost svakako omogućite “promiskuitetni način rada”, promiskuitetni način → Prihvati → U redu.
2.6. Kao primjer, uvezimo OVF FlowCollector, vezu za preuzimanje za koju je poslao Cisco inženjer nakon GVE zahtjeva. Desnom tipkom miša kliknite host na kojem planirate implementirati VM i odaberite Deploy OVF Template. Što se tiče dodijeljenog prostora, "startat će" na 50 GB, ali za borbene uvjete preporuča se izdvojiti 200 gigabajta.
2.7. Odaberite mapu u kojoj se nalazi OVF datoteka.
2.8. Pritisnite "Dalje".
2.9. Navodimo ime i poslužitelj na kojem ga postavljamo.
2.10. Kao rezultat toga dobivamo sljedeću sliku i kliknemo "Završi".
2.11. Slijedimo iste korake za implementaciju StealthWatch Management Console.
2.12. Sada trebate navesti potrebne mreže u sučeljima kako bi FlowCollector vidio i SMC i uređaje s kojih će se Netflow izvoziti.
3. Inicijalizacija upravljačke konzole StealthWatch
3.1. Odlaskom na konzolu instaliranog SMCVE stroja, vidjet ćete mjesto za unos vaše prijave i lozinke, prema zadanim postavkama sysadmin/lan1cope.
3.2. Idemo na stavku Upravljanje, postavljamo IP adresu i druge mrežne parametre, a zatim potvrđujemo njihove promjene. Uređaj će se ponovno pokrenuti.
3.3. Idite na web sučelje (putem https na adresu koju ste naveli u SMC-u) i inicijalizirajte konzolu, zadana prijava/lozinka - admin/lan411cope.
PS: dogodi se da se ne otvori u Google Chromeu, Explorer će uvijek pomoći.
3.4. Svakako promijenite lozinke, postavite DNS, NTP poslužitelje, domenu itd. Postavke su intuitivne.
3.5. Nakon što kliknete gumb "Primijeni", uređaj će se ponovo pokrenuti. Nakon 5-7 minuta možete se ponovno spojiti na ovu adresu; StealthWatchom će se upravljati putem web sučelja.
4. Postavljanje FlowCollectora
4.1. Isto je i sa kolektorom. Prvo, u CLI-ju specificiramo IP adresu, masku, domenu, a zatim se FC ponovno pokreće. Zatim se možete spojiti na web sučelje na navedenoj adresi i izvršiti isto osnovno postavljanje. Zbog činjenice da su postavke slične, detaljne snimke zaslona su izostavljene. vjerodajnice ući isto.
4.2. Na pretposljednjoj točki morate postaviti IP adresu SMC-a, u ovom slučaju konzola će vidjeti uređaj, morat ćete potvrditi ovu postavku unosom svojih vjerodajnica.
4.3. Odaberite domenu za StealthWatch, postavljena je ranije i priključak 2055 – regularni Netflow, ako radite sa sFlowom, port 6343.
5. Netflow Exporter konfiguracija
5.1. Da biste konfigurirali Netflow izvoznik, preporučujem da se okrenete ovome , ovdje su glavni vodiči za konfiguriranje Netflow izvoznika za mnoge uređaje: Cisco, Check Point, Fortinet.
5.2. U našem slučaju, ponavljam, izvozimo Netflow s pristupnika Check Point. Netflow izvoznik se konfigurira u istoimenoj kartici u web sučelju (Gaia Portal). Da biste to učinili, kliknite "Dodaj", navedite verziju Netflowa i potrebni priključak.
6. Analiza rada StealthWatcha
6.1. Odlaskom na SMC web sučelje, na prvoj stranici Dashboards > Network Security možete vidjeti da je promet krenuo!
6.2. Neke postavke, na primjer, dijeljenje hostova u grupe, praćenje pojedinačnih sučelja, njihovo opterećenje, upravljanje kolektorima i drugo, mogu se pronaći samo u StealthWatch Java aplikaciji. Naravno, Cisco polako prenosi sve funkcionalnosti na verziju preglednika i uskoro ćemo odustati od takvog desktop klijenta.
Da biste instalirali aplikaciju, prvo morate instalirati (Ja sam instalirao verziju 8, iako se kaže da je podržana do 10) sa službene Oracle stranice.
U gornjem desnom kutu web sučelja upravljačke konzole, za preuzimanje, morate kliknuti gumb "Desktop Client".
Spremaš i instaliraš klijent na silu, java će ga najvjerojatnije psovati, možda treba dodati host u java iznimke.
Kao rezultat, otkriva se prilično jasan klijent u kojem je lako vidjeti učitavanje izvoznika, sučelja, napada i njihovih tokova.
7. StealthWatch središnje upravljanje
7.1. Kartica Central Management sadrži sve uređaje koji su dio postavljenog StealthWatcha, kao što su: FlowCollector, FlowSensor, UDP-Director i Endpoint Concetrator. Tamo možete upravljati postavkama mreže i uslugama uređaja, licencama i ručno isključiti uređaj.
Do nje možete doći tako da kliknete na "zupčanik" u gornjem desnom kutu i odaberete Središnje upravljanje.
7.2. Odlaskom na Uredi konfiguraciju uređaja u FlowCollectoru, vidjet ćete SSH, NTP i druge mrežne postavke povezane sa samom aplikacijom. Da biste krenuli, odaberite Radnje → Uredi konfiguraciju uređaja za traženi uređaj.
7.3. Upravljanje licencama također se može pronaći na kartici Središnje upravljanje > Upravljanje licencama. Daju se probne licence u slučaju GVE zahtjeva 90 dana.
Proizvod je spreman za upotrebu! U sljedećem ćemo dijelu pogledati kako StealthWatch može prepoznati napade i generirati izvješća.
Izvor: www.habr.com