Բարև գործընկերներ: Որոշելով StealthWatch-ի տեղադրման նվազագույն պահանջները , մենք կարող ենք սկսել արտադրանքի տեղակայումը:
1. StealthWatch-ի տեղակայման մեթոդներ
StealthWatch-ին «դիպչելու» մի քանի եղանակ կա.
- - լաբորատոր աշխատանքի ամպային ծառայություն;
- Ամպի վրա հիմնված. – այստեղ ձեր սարքից Netflow-ը կհոսի ամպի մեջ և այնտեղ կվերլուծվի StealthWatch ծրագրաշարի միջոցով.
- Ներքին POV () – այն մեթոդով, որը ես հետևեցի, նրանք ձեզ կուղարկեն 4 օր ներկառուցված լիցենզիաներով վիրտուալ մեքենաների 90 OVF ֆայլեր, որոնք կարող են տեղակայվել կորպորատիվ ցանցի հատուկ սերվերի վրա:
Չնայած ներբեռնված վիրտուալ մեքենաների առատությանը, նվազագույն աշխատանքային կոնֆիգուրացիայի համար բավական է միայն 2-ը՝ StealthWatch Management Console և FlowCollector: Այնուամենայնիվ, եթե չկա ցանցային սարք, որը կարող է արտահանել Netflow-ը FlowCollector, ապա անհրաժեշտ է նաև տեղակայել FlowSensor-ը, քանի որ վերջինս թույլ է տալիս հավաքել Netflow-ը՝ օգտագործելով SPAN/RSPAN տեխնոլոգիաները:
Ինչպես ես ավելի վաղ ասացի, ձեր իրական ցանցը կարող է հանդես գալ որպես լաբորատոր նստարան, քանի որ StealthWatch-ին անհրաժեշտ է միայն պատճենել, կամ, ավելի ճիշտ, սեղմել տրաֆիկի կրկնօրինակը: Ստորև նկարը ցույց է տալիս իմ ցանցը, որտեղ անվտանգության դարպասի վրա ես կկազմաձևեմ Netflow Exporter-ը և արդյունքում կուղարկեմ Netflow-ը կոլեկտորին:
Ապագա VM-ներ մուտք գործելու համար ձեր firewall-ում պետք է թույլատրվեն հետևյալ պորտերը, եթե ունեք այդպիսին.
TCP 22 լ TCP 25 լ TCP 389 լ TCP 443 լ TCP 2393 լ TCP 5222 լ UDP 53 լ UDP 123 լ UDP 161 լ UDP 162 լ UDP 389 լ UDP 514 l UDP 2055 l UDP6343
Դրանցից մի քանիսը հայտնի ծառայություններ են, որոշները վերապահված են Cisco-ի ծառայությունների համար:
Իմ դեպքում ես պարզապես տեղադրեցի StelathWatch-ը նույն ցանցում, ինչ Check Point-ը, և ստիպված չէի կարգավորել թույլտվության որևէ կանոն:
2. FlowCollector-ի տեղադրում՝ օգտագործելով VMware vSphere որպես օրինակ
2.1. Սեղմեք Browse և ընտրեք OVF file1: Ռեսուրսների առկայությունը ստուգելուց հետո անցեք մենյու View, Inventory → Networking (Ctrl+Shift+N):
2.2. Ցանցային ներդիրում վիրտուալ անջատիչի կարգավորումներում ընտրեք Նոր բաշխված նավահանգիստների խումբ:
2.3. Սահմանեք անունը, թող լինի StealthWatchPortGroup, մնացած կարգավորումները կարելի է անել այնպես, ինչպես սքրինշոթում է, և սեղմեք Next:
2.4. Մենք ավարտում ենք Port Group-ի ստեղծումը Finish կոճակով:
2.5. Եկեք խմբագրենք ստեղծված Port Group-ի կարգավորումները՝ աջ սեղմելով պորտի խմբի վրա և ընտրելով Edit Settings: Անվտանգության ներդիրում համոզվեք, որ միացրեք «անառակ ռեժիմը», Անառակ ռեժիմ → Ընդունել → Լավ:
2.6. Որպես օրինակ, եկեք ներմուծենք OVF FlowCollector-ը, որի ներբեռնման հղումը ուղարկվել է Cisco-ի ինժեների կողմից GVE հարցումից հետո: Աջ սեղմեք այն հոսթի վրա, որի վրա նախատեսում եք տեղակայել VM-ը և ընտրեք Deploy OVF Template: Ինչ վերաբերում է հատկացված տարածքին, ապա այն «կսկսվի» 50 ԳԲ-ից, սակայն մարտական պայմանների համար խորհուրդ է տրվում հատկացնել 200 գիգաբայթ։
2.7. Ընտրեք այն թղթապանակը, որտեղ գտնվում է OVF ֆայլը:
2.8. Սեղմեք «Հաջորդ»:
2.9. Մենք նշում ենք անունը և սերվերը, որտեղ այն տեղադրում ենք:
2.10. Արդյունքում մենք ստանում ենք հետևյալ նկարը և սեղմում «Finish»:
2.11. Մենք հետևում ենք նույն քայլերին՝ StealthWatch Management Console-ը տեղակայելու համար:
2.12. Այժմ դուք պետք է նշեք անհրաժեշտ ցանցերը ինտերֆեյսներում, որպեսզի FlowCollector-ը տեսնի և՛ SMC-ը, և՛ այն սարքերը, որոնցից Netflow-ը կարտահանվի:
3. Initializing StealthWatch Management Console
3.1. Գնալով տեղադրված SMCVE մեքենայի վահանակ, դուք կտեսնեք ձեր մուտքի և գաղտնաբառը մուտքագրելու տեղ, լռելյայն sysadmin/lan1cope.
3.2. Մենք գնում ենք կառավարման կետ, սահմանում ենք IP հասցեն և ցանցի այլ պարամետրեր, ապա հաստատում դրանց փոփոխությունները: Սարքը կվերագործարկվի:
3.3. Գնացեք վեբ ինտերֆեյս (https-ի միջոցով SMC-ում ձեր նշած հասցեով) և սկզբնավորեք վահանակը, լռելյայն մուտքի/գաղտնաբառ. admin/lan411cope.
Հ.Գ. պատահում է, որ այն չի բացվում Google Chrome-ում, Explorer-ը միշտ կօգնի:
3.4. Համոզվեք, որ փոխեք գաղտնաբառերը, սահմանեք DNS, NTP սերվերներ, տիրույթ և այլն: Կարգավորումները ինտուիտիվ են:
3.5. «Դիմել» կոճակը սեղմելուց հետո սարքը նորից կվերագործարկվի: 5-7 րոպե հետո կարող եք նորից միանալ այս հասցեին; StealthWatch-ը կկառավարվի վեբ ինտերֆեյսի միջոցով:
4. FlowCollector-ի կարգավորում
4.1. Նույնն է կոլեկցիոների դեպքում: Նախ, CLI-ում մենք նշում ենք IP հասցեն, դիմակը, տիրույթը, այնուհետև FC-ն վերաբեռնվում է: Այնուհետև կարող եք միանալ վեբ ինտերֆեյսին նշված հասցեով և կատարել նույն հիմնական կարգավորումը: Հաշվի առնելով այն հանգամանքը, որ կարգավորումները նման են, մանրամասն սքրինշոթները բաց են թողնվում: Հավատարմագրեր Մտնել նույնը.
4.2. Նախավերջին կետում դուք պետք է սահմանեք SMC-ի IP հասցեն, այս դեպքում վահանակը կտեսնի սարքը, դուք պետք է հաստատեք այս կարգավորումը՝ մուտքագրելով ձեր հավատարմագրերը:
4.3. Ընտրեք տիրույթը StealthWatch-ի համար, այն ավելի վաղ սահմանվել է, և պորտը 2055 – սովորական Netflow, եթե աշխատում եք sFlow, port-ի հետ 6343.
5. Netflow Exporter կոնֆիգուրացիա
5.1. Netflow արտահանողը կարգավորելու համար խորհուրդ եմ տալիս դիմել սրան , ահա Netflow արտահանողի կազմաձևման հիմնական ուղեցույցները բազմաթիվ սարքերի համար՝ Cisco, Check Point, Fortinet:
5.2. Մեր դեպքում, կրկնում եմ, մենք Netflow-ն արտահանում ենք Check Point gateway-ից։ Netflow արտահանողը կազմաձևված է վեբ ինտերֆեյսի նույն անունով ներդիրում (Gaia Portal): Դա անելու համար սեղմեք «Ավելացնել», նշեք Netflow-ի տարբերակը և անհրաժեշտ պորտը:
6. StealthWatch-ի աշխատանքի վերլուծություն
6.1. Անցնելով SMC վեբ ինտերֆեյս, վահանակներ > Ցանցային անվտանգություն բաժնի առաջին էջում կարող եք տեսնել, որ տրաֆիկը սկսվել է:
6.2. Որոշ կարգավորումներ, օրինակ՝ հյուրընկալողներին խմբերի բաժանելը, առանձին ինտերֆեյսների, դրանց բեռնվածության մոնիտորինգը, կոլեկտորների կառավարումը և այլն, կարելի է գտնել միայն StealthWatch Java հավելվածում: Իհարկե, Cisco-ն կամաց-կամաց փոխանցում է ողջ ֆունկցիոնալությունը բրաուզերի տարբերակին, և մենք շուտով կհրաժարվենք նման աշխատասեղանի հաճախորդից:
Հավելվածը տեղադրելու համար նախ պետք է տեղադրել (Ես տեղադրել եմ 8-րդ տարբերակը, չնայած ասվում է, որ այն աջակցվում է մինչև 10) Oracle-ի պաշտոնական կայքից։
Կառավարման վահանակի վեբ ինտերֆեյսի վերին աջ անկյունում ներբեռնելու համար պետք է սեղմել «Desktop Client» կոճակը:
Ստիպողաբար պահում և տեղադրում ես հաճախորդը, java-ն, ամենայն հավանականությամբ, կհայհոյի դրան, հնարավոր է, որ անհրաժեշտ լինի ավելացնել հոսթը java-ի բացառություններին:
Արդյունքում բացահայտվում է բավականին հստակ հաճախորդ, որում հեշտ է տեսնել արտահանողների, ինտերֆեյսների, հարձակումների և դրանց հոսքերի բեռնումը։
7. StealthWatch կենտրոնական կառավարում
7.1. Կենտրոնական կառավարման ներդիրը պարունակում է բոլոր սարքերը, որոնք տեղակայված են StealthWatch-ի մաս, ինչպիսիք են՝ FlowCollector, FlowSensor, UDP-Director և Endpoint Concetrator: Այնտեղ կարող եք կառավարել ցանցի կարգավորումները և սարքի ծառայությունները, լիցենզիաները և ձեռքով անջատել սարքը:
Դուք կարող եք գնալ դրան՝ սեղմելով վերին աջ անկյունում գտնվող «փոխանցման» վրա և ընտրելով Կենտրոնական կառավարում:
7.2. Անցնելով «Խմբագրել սարքի կազմաձևումը» FlowCollector-ում, դուք կտեսնեք SSH, NTP և ցանցային այլ կարգավորումներ՝ կապված հենց հավելվածի հետ: Գնալու համար ընտրեք Գործողություններ → Խմբագրել սարքի կազմաձևումը պահանջվող սարքի համար:
7.3. Լիցենզիայի կառավարումը կարելի է գտնել նաև Կենտրոնական կառավարում > Կառավարել լիցենզիաներ ներդիրում: Տրվում են փորձնական լիցենզիաներ GVE հարցման դեպքում 90 օր.
Ապրանքը պատրաստ է! Հաջորդ մասում մենք կանդրադառնանք, թե ինչպես կարող է StealthWatch-ը ճանաչել հարձակումները և ստեղծել հաշվետվություններ:
Source: www.habr.com