Helyszíni POV (GVE kérés) – az általam követett módszerrel 4 napig küldenek beépített licencekkel rendelkező virtuális gépek 90 db OVF fájlját, melyeket a céges hálózat egy dedikált szerverén lehet telepíteni.
A rengeteg letöltött virtuális gép ellenére egy minimális működő konfigurációhoz mindössze 2 elegendő: StealthWatch Management Console és FlowCollector. Ha azonban nincs olyan hálózati eszköz, amely a Netflow-t exportálná a FlowCollectorba, akkor a FlowSensor telepítése is szükséges, mivel ez utóbbi lehetővé teszi a Netflow gyűjtését a SPAN/RSPAN technológiák segítségével.
Ahogy korábban mondtam, a valódi hálózata laboratóriumi munkaasztalként is működhet, mivel a StealthWatch-nek csak egy másolatra van szüksége, vagy helyesebben: a forgalom egy másolatára. Az alábbi képen a hálózatom látható, ahol a biztonsági átjárón konfigurálom a Netflow Exportert, és ennek eredményeként elküldöm a Netflow-t a gyűjtőnek.
A jövőbeli virtuális gépek eléréséhez a következő portokat kell engedélyezni a tűzfalon, ha van ilyen:
TCP 22 l TCP 25 l TCP 389 l TCP 443 l TCP 2393 l TCP 5222 l UDP 53 l UDP 123 l UDP 161 l UDP 162 l UDP 389 l UDP 514 l 2055 l UDP 6343
Ezek egy része jól ismert szolgáltatás, van, amelyik a Cisco szolgáltatások számára van fenntartva.
Az én esetemben egyszerűen telepítettem a StelathWatch-et ugyanazon a hálózaton, mint a Check Point, és nem kellett engedélyszabályt konfigurálnom.
2. A FlowCollector telepítése példaként a VMware vSphere használatával
2.1. Kattintson a Tallózás gombra, és válassza az OVF fájl1 lehetőséget. Az erőforrások elérhetőségének ellenőrzése után lépjen a Nézet menü Leltár → Hálózat (Ctrl+Shift+N) menüpontra.
2.2. A Hálózatkezelés lapon válassza az Új elosztott port csoport lehetőséget a virtuális kapcsoló beállításainál.
2.3. Állítsa be a nevet, legyen az StealthWatchPortGroup, a többi beállítást a képernyőképen látható módon végezheti el, majd kattintson a Tovább gombra.
2.4. A Kikötőcsoport létrehozását a Befejezés gombbal fejezzük be.
2.5. Szerkesszük a létrehozott portcsoport beállításait a jobb gombbal a portcsoportra kattintva, és a Beállítások szerkesztése menüpontot választva. A Biztonság lapon feltétlenül engedélyezze a „promiscuous mode” lehetőséget, a Promiscuous Mode → Elfogadás → OK lehetőséget.
2.6. Példaként importáljuk az OVF FlowCollector-t, amelynek letöltési linkjét egy Cisco mérnök küldte el GVE kérés után. Kattintson a jobb gombbal arra a gazdagépre, amelyen a virtuális gépet telepíteni kívánja, és válassza az OVF-sablon telepítése lehetőséget. Ami a lefoglalt területet illeti, 50 GB-ról „indul”, de harci körülményekhez 200 gigabájtot ajánlunk.
2.7. Válassza ki azt a mappát, ahol az OVF fájl található.
2.8. Kattintson a „Tovább” gombra.
2.9. Megjelöljük a nevet és a szervert, ahol telepítjük.
2.10. Ennek eredményeként a következő képet kapjuk, és kattintson a „Befejezés” gombra.
2.11. Ugyanezeket a lépéseket követjük a StealthWatch Management Console üzembe helyezéséhez.
2.12. Most meg kell adnia a szükséges hálózatokat az interfészeken, hogy a FlowCollector lássa mind az SMC-t, mind az eszközöket, amelyekről a Netflow exportálásra kerül.
3. A StealthWatch Management Console inicializálása
3.1. A telepített SMCVE gép konzoljára lépve alapértelmezés szerint megjelenik egy hely, ahol megadhatja bejelentkezési nevét és jelszavát sysadmin/lan1cope.
3.2. Lépjünk a Kezelés elemre, állítsuk be az IP-címet és az egyéb hálózati paramétereket, majd erősítsük meg a változtatásokat. A készülék újraindul.
3.3. Lépjen a webes felületre (https-en keresztül az SMC-ben megadott címre), és inicializálja a konzolt, az alapértelmezett bejelentkezési/jelszót - admin/lan411cope.
PS: előfordul, hogy nem nyílik meg a Google Chrome-ban, az Explorer mindig segít.
3.4. Mindenképpen módosítsa a jelszavakat, állítsa be a DNS-t, az NTP-kiszolgálókat, a tartományt stb. A beállítások intuitívak.
3.5. Az „Alkalmaz” gombra kattintás után a készülék újraindul. 5-7 perc múlva újra csatlakozhat erre a címre; A StealthWatch felügyelete webes felületen keresztül történik.
4. A FlowCollector beállítása
4.1. Ugyanez a helyzet a gyűjtővel. Először a CLI-ben adjuk meg az IP-címet, maszkot, tartományt, majd az FC újraindítását. Ezután a megadott címen csatlakozhat a webes felülethez, és elvégezheti ugyanazt az alapbeállítást. A beállítások hasonlósága miatt a részletes képernyőképek elmaradnak. Hitelesítő adatok belépni ugyanaz.
4.2. Az utolsó előtti pontnál be kell állítani az SMC IP címét, ebben az esetben a konzol látni fogja az eszközt, ezt a beállítást a hitelesítő adatok megadásával kell megerősíteni.
4.3. Válassza ki a korábban beállított StealthWatch tartományt és a portot 2055 – normál Netflow, ha sFlow-val dolgozik, port 6343.
5. A Netflow Exporter konfigurációja
5.1. A Netflow exportőr konfigurálásához erősen ajánlom, hogy forduljon ehhez forrás , itt találhatók a fő útmutatók a Netflow exportőr konfigurálásához számos eszközhöz: Cisco, Check Point, Fortinet.
5.2. A mi esetünkben, ismétlem, a Netflow-t exportáljuk a Check Point átjáróból. A Netflow exportőr a webes felület (Gaia Portal) azonos nevű lapján van konfigurálva. Ehhez kattintson a „Hozzáadás” gombra, adja meg a Netflow verziót és a kívánt portot.
6. A StealthWatch működésének elemzése
6.1. Az SMC webes felületére lépve a Dashboards > Network Security első oldalán láthatod, hogy elindult a forgalom!
6.2. Egyes beállítások, például a gazdagépek csoportokra osztása, az egyes interfészek figyelése, azok betöltése, a gyűjtők kezelése és egyebek csak a StealthWatch Java alkalmazásban találhatók meg. Természetesen a Cisco lassan minden funkciót áthelyez a böngésző verzióra, és hamarosan elhagyjuk az ilyen asztali klienst.
Az alkalmazás telepítéséhez először telepítenie kell JRE (A 8-as verziót telepítettem, bár állítólag 10-ig támogatott) az Oracle hivatalos webhelyéről.
A felügyeleti konzol webes felületének jobb felső sarkában a letöltéshez kattintson az „Asztali kliens” gombra.
Erőszakkal mented és telepíted a klienst, a java nagy valószínűséggel esküdni fog rá, lehet, hogy hozzá kell adni a gazdagépet a java kivételekhez.
Ennek eredményeként feltárul egy meglehetősen tiszta kliens, amelyben jól látható az exportőrök, interfészek, támadások és azok áramlása.
7. StealthWatch központi menedzsment
7.1. A Központi felügyelet lap tartalmazza az összes olyan eszközt, amely a telepített StealthWatch része, például: FlowCollector, FlowSensor, UDP-Director és Endpoint Concetrator. Itt kezelheti a hálózati beállításokat és az eszközszolgáltatásokat, a licenceket, és manuálisan kapcsolhatja ki a készüléket.
A jobb felső sarokban található fogaskerékre kattintva, majd a Központi felügyelet menüpontot választva juthat hozzá.
7.2. Ha a FlowCollectorban a Készülékkonfiguráció szerkesztése részhez lép, látni fogja az SSH-, NTP- és egyéb hálózati beállításokat magával az alkalmazással kapcsolatban. A folytatáshoz válassza a Műveletek → Készülékkonfiguráció szerkesztése menüpontot a kívánt eszközhöz.
7.3. A licenckezelés a Központi kezelés > Licencek kezelése lapon is megtalálható. Próbalicenceket a GVE kérésére adunk 90 nap.
A termék használatra kész! A következő részben megvizsgáljuk, hogyan képes a StealthWatch felismerni a támadásokat és jelentéseket készíteni.