Halo rekan-rekan! Setelah menentukan persyaratan minimum untuk menerapkan StealthWatch di , kita dapat mulai menerapkan produk.
1. Metode penerapan StealthWatch
Ada beberapa cara untuk “menyentuh” StealthWatch:
- – layanan cloud untuk pekerjaan laboratorium;
- Berbasis Cloud: – di sini Netflow dari perangkat Anda akan mengalir ke cloud dan akan dianalisis di sana oleh perangkat lunak StealthWatch;
- POV di tempat () – metode yang saya ikuti, mereka akan mengirimi Anda 4 file OVF mesin virtual dengan lisensi bawaan selama 90 hari, yang dapat digunakan pada server khusus di jaringan perusahaan.
Meskipun banyak mesin virtual yang diunduh, hanya 2 yang cukup untuk konfigurasi kerja minimal: StealthWatch Management Console dan FlowCollector. Namun, jika tidak ada perangkat jaringan yang dapat mengekspor Netflow ke FlowCollector, maka FlowSensor juga perlu diterapkan, karena FlowSensor memungkinkan Anda mengumpulkan Netflow menggunakan teknologi SPAN/RSPAN.
Seperti yang saya katakan sebelumnya, jaringan Anda yang sebenarnya dapat bertindak sebagai laboratorium, karena StealthWatch hanya memerlukan salinan, atau, lebih tepatnya, salinan lalu lintas. Gambar di bawah menunjukkan jaringan saya, di mana pada gateway keamanan saya akan mengkonfigurasi Netflow Eksportir dan, sebagai hasilnya, akan mengirimkan Netflow ke kolektor.
Untuk mengakses VM masa depan, port berikut harus diizinkan di firewall Anda, jika Anda memilikinya:
TCP 22 l TCP 25 l TCP 389 l TCP 443 l TCP 2393 l TCP 5222 l UDP 53 l UDP 123 l UDP 161 l UDP 162 l UDP 389 l UDP 514 l UDP 2055 l UDP 6343
Beberapa di antaranya adalah layanan terkenal, beberapa dicadangkan untuk layanan Cisco.
Dalam kasus saya, saya cukup menyebarkan StelathWatch di jaringan yang sama dengan Check Point, dan tidak perlu mengonfigurasi aturan izin apa pun.
2. Menginstal FlowCollector menggunakan contoh VMware vSphere
2.1. Klik Telusuri dan pilih file OVF1. Setelah memeriksa ketersediaan sumber daya, masuk ke menu Lihat, Inventaris → Jaringan (Ctrl+Shift+N).
2.2. Di tab Jaringan, pilih grup port Terdistribusi Baru di pengaturan sakelar virtual.
2.3. Beri nama biar StealthWatchPortGroup, selebihnya setting bisa dilakukan seperti di screenshot lalu klik Next.
2.4. Kami menyelesaikan pembuatan Port Group dengan tombol Finish.
2.5. Mari kita edit pengaturan Grup Port yang dibuat dengan mengklik kanan pada grup port dan memilih Edit Pengaturan. Di tab Keamanan, pastikan untuk mengaktifkan “mode promiscuous”, Mode Promiscuous → Terima → OK.
2.6. Sebagai contoh, mari kita impor OVF FlowCollector, tautan unduhan yang dikirimkan oleh insinyur Cisco setelah permintaan GVE. Klik kanan pada host tempat Anda berencana untuk menyebarkan VM dan pilih Terapkan Templat OVF. Mengenai ruang yang dialokasikan, itu akan “memulai” pada 50 GB, tetapi untuk kondisi pertempuran disarankan untuk mengalokasikan 200 gigabyte.
2.7. Pilih folder tempat file OVF berada.
2.8. Klik "Selanjutnya".
2.9. Kami menunjukkan nama dan server tempat kami menyebarkannya.
2.10. Hasilnya, kita mendapatkan gambar berikut dan klik "Selesai".
2.11. Kami mengikuti langkah yang sama untuk menerapkan Konsol Manajemen StealthWatch.
2.12. Sekarang Anda perlu menentukan jaringan yang diperlukan di antarmuka sehingga FlowCollector melihat SMC dan perangkat dari mana Netflow akan diekspor.
3. Menginisialisasi Konsol Manajemen StealthWatch
3.1. Dengan masuk ke konsol mesin SMCVE yang terinstal, Anda akan melihat tempat untuk memasukkan login dan kata sandi Anda, secara default sysadmin/lan1cope.
3.2. Kami pergi ke item Manajemen, mengatur alamat IP dan parameter jaringan lainnya, lalu mengonfirmasi perubahannya. Perangkat akan reboot.
3.3. Buka antarmuka web (melalui https ke alamat yang Anda tentukan di SMC) dan inisialisasi konsol, login/kata sandi default - admin/lan411cope.
PS: kebetulan tidak terbuka di Google Chrome, Explorer akan selalu membantu.
3.4. Pastikan untuk mengubah kata sandi, mengatur DNS, server NTP, domain, dll. Pengaturannya intuitif.
3.5. Setelah mengklik tombol “Terapkan”, perangkat akan reboot lagi. Setelah 5-7 menit Anda dapat terhubung kembali ke alamat ini; StealthWatch akan dikelola melalui antarmuka web.
4. Menyiapkan FlowCollector
4.1. Begitu pula dengan kolektornya. Pertama, di CLI kita tentukan alamat IP, mask, domain, lalu FC reboot. Anda kemudian dapat terhubung ke antarmuka web di alamat yang ditentukan dan melakukan pengaturan dasar yang sama. Karena pengaturannya serupa, tangkapan layar mendetail dihilangkan. Kredensial memasuki sama.
4.2. Pada titik kedua dari belakang, Anda perlu mengatur alamat IP SMC, dalam hal ini konsol akan melihat perangkat, Anda harus mengonfirmasi pengaturan ini dengan memasukkan kredensial Anda.
4.3. Pilih domain untuk StealthWatch, yang telah disetel sebelumnya, dan portnya 2055 – Netflow biasa, jika Anda bekerja dengan sFlow, port 6343.
5. Konfigurasi Eksportir Netflow
5.1. Untuk mengonfigurasi eksportir Netflow, saya sangat menyarankan untuk beralih ke ini , berikut panduan utama untuk mengonfigurasi eksportir Netflow untuk banyak perangkat: Cisco, Check Point, Fortinet.
5.2. Dalam kasus kami, saya ulangi, kami mengekspor Netflow dari gateway Check Point. Eksportir Netflow dikonfigurasikan di tab dengan nama yang sama di antarmuka web (Portal Gaia). Untuk melakukan ini, klik “Tambah”, tentukan versi Netflow dan port yang diperlukan.
6. Analisis operasi StealthWatch
6.1. Masuk ke antarmuka web SMC, di halaman pertama Dasbor > Keamanan Jaringan Anda dapat melihat bahwa lalu lintas telah dimulai!
6.2. Beberapa pengaturan, misalnya membagi host menjadi beberapa grup, memantau antarmuka individu, memuatnya, mengelola kolektor, dan banyak lagi, hanya dapat ditemukan di aplikasi StealthWatch Java. Tentu saja, Cisco perlahan-lahan mentransfer semua fungsi ke versi browser dan kami akan segera meninggalkan klien desktop tersebut.
Untuk menginstal aplikasi, Anda harus menginstal terlebih dahulu (Saya menginstal versi 8, meskipun dikatakan didukung hingga 10) dari situs resmi Oracle.
Di sudut kanan atas antarmuka web konsol manajemen, untuk mengunduh, Anda harus mengklik tombol "Klien Desktop".
Anda menyimpan dan menginstal klien secara paksa, kemungkinan besar Java akan bersumpah, Anda mungkin perlu menambahkan host ke pengecualian Java.
Hasilnya, klien yang cukup jelas terungkap, di mana mudah untuk melihat pemuatan eksportir, antarmuka, serangan, dan alurnya.
7. Manajemen Pusat StealthWatch
7.1. Tab Manajemen Pusat berisi semua perangkat yang merupakan bagian dari StealthWatch yang diterapkan, seperti: FlowCollector, FlowSensor, UDP-Director, dan Endpoint Concetrator. Di sana Anda dapat mengelola pengaturan jaringan dan layanan perangkat, lisensi, dan mematikan perangkat secara manual.
Anda dapat membukanya dengan mengklik “roda gigi” di sudut kanan atas dan memilih Manajemen Pusat.
7.2. Dengan masuk ke Edit Konfigurasi Peralatan di FlowCollector, Anda akan melihat SSH, NTP, dan pengaturan jaringan lain yang terkait dengan aplikasi itu sendiri. Untuk melanjutkan, pilih Tindakan → Edit Konfigurasi Peralatan untuk perangkat yang diperlukan.
7.3. Manajemen lisensi juga dapat ditemukan di tab Manajemen Pusat > Kelola Lisensi. Lisensi percobaan jika permintaan GVE diberikan 90 hari.
Produk siap digunakan! Pada bagian selanjutnya, kita akan melihat bagaimana StealthWatch dapat mengenali serangan dan menghasilkan laporan.
Sumber: www.habr.com