Halló félagar! Að hafa ákvarðað lágmarkskröfur til að dreifa StealthWatch í , getum við byrjað að dreifa vörunni.
1. Aðferðir til að dreifa StealthWatch
Það eru nokkrar leiðir til að „snerta“ StealthWatch:
- – skýjaþjónusta fyrir rannsóknarstofuvinnu;
- Skýja byggt: – hér mun Netflow frá tækinu þínu streyma inn í skýið og verður greint þar með StealthWatch hugbúnaði;
- POV á staðnum () – aðferðin sem ég fylgdi, þeir munu senda þér 4 OVF skrár af sýndarvélum með innbyggðum leyfum í 90 daga, sem hægt er að setja á sérstakan netþjón á fyrirtækjanetinu.
Þrátt fyrir gnægð niðurhalaðra sýndarvéla eru aðeins 2 nóg fyrir lágmarksvinnuuppsetningu: StealthWatch Management Console og FlowCollector. Hins vegar, ef það er ekkert nettæki sem getur flutt Netflow út í FlowCollector, þá er líka nauðsynlegt að nota FlowSensor, þar sem hið síðarnefnda gerir þér kleift að safna Netflow með SPAN/RSPAN tækni.
Eins og ég sagði áðan, getur raunverulegt netkerfi þitt virkað sem rannsóknarstofubekkur, þar sem StealthWatch þarf aðeins afrit, eða réttara sagt, kreista af afriti af umferð. Myndin hér að neðan sýnir netið mitt, þar sem ég á öryggisgáttinni mun stilla Netflow Exporter og mun þar af leiðandi senda Netflow til safnarans.
Til að fá aðgang að VM í framtíðinni ætti að leyfa eftirfarandi tengi á eldveggnum þínum, ef þú ert með slíkan:
TCP 22 l TCP 25 l TCP 389 l TCP 443 l TCP 2393 l TCP 5222 l UDP 53 l UDP 123 l UDP 161 l UDP 162 l UDP 389 l UDP 514 l UDP 2055 l UDP 6343
Sum þeirra eru vel þekkt þjónusta, önnur eru frátekin fyrir Cisco þjónustu.
Í mínu tilviki setti ég einfaldlega StelathWatch á sama net og Check Point og þurfti ekki að stilla neinar leyfisreglur.
2. Uppsetning FlowCollector með því að nota VMware vSphere sem dæmi
2.1. Smelltu á Browse og veldu OVF file1. Eftir að hafa athugað framboð á tilföngum, farðu í valmyndina Skoða, Birgðir → Netkerfi (Ctrl+Shift+N).
2.2. Í Networking flipanum, veldu New Distributed port group í sýndarrofastillingunum.
2.3. Stilltu nafnið, láttu það vera StealthWatchPortGroup, restina af stillingunum er hægt að gera eins og á skjámyndinni og smelltu á Next.
2.4. Við ljúkum stofnun hafnarhópsins með hnappinum Ljúka.
2.5. Við skulum breyta stillingum stofnaðs hafnarhóps með því að hægrismella á hafnarhópinn og velja Breyta stillingum. Í öryggisflipanum, vertu viss um að virkja „lausahamur“, lausagangur → Samþykkja → Í lagi.
2.6. Sem dæmi skulum við flytja inn OVF FlowCollector, niðurhalstengillinn fyrir hann var sendur af Cisco verkfræðingi eftir GVE beiðni. Hægrismelltu á hýsilinn sem þú ætlar að setja upp VM á og veldu Deploy OVF Template. Varðandi úthlutað pláss mun það „ræsa“ við 50 GB, en fyrir bardagaaðstæður er mælt með því að úthluta 200 gígabætum.
2.7. Veldu möppuna þar sem OVF skráin er staðsett.
2.8. Smelltu á „Næsta“.
2.9. Við tilgreinum nafnið og netþjóninn þar sem við sendum það.
2.10. Fyrir vikið fáum við eftirfarandi mynd og smellum á „Ljúka“.
2.11. Við fylgjum sömu skrefum til að dreifa StealthWatch stjórnborðinu.
2.12. Nú þarftu að tilgreina nauðsynleg netkerfi í viðmótunum þannig að FlowCollector sjái bæði SMC og tækin sem Netflow verður flutt út úr.
3. Frumstillingar StealthWatch Management Console
3.1. Með því að fara á stjórnborðið á uppsettu SMCVE vélinni muntu sjá stað til að slá inn notandanafnið þitt og lykilorð, sjálfgefið sysadmin/lan1cope.
3.2. Við förum í stjórnunaratriðið, stillum IP tölu og aðrar netbreytur og staðfestum síðan breytingar þeirra. Tækið mun endurræsa.
3.3. Farðu í vefviðmótið (í gegnum https á heimilisfangið sem þú tilgreindir í SMC) og frumstilltu stjórnborðið, sjálfgefið innskráning/lykilorð - admin/lan411cope.
PS: það gerist að það opnast ekki í Google Chrome, Explorer mun alltaf hjálpa.
3.4. Vertu viss um að breyta lykilorðum, stilla DNS, NTP netþjóna, lén osfrv. Stillingarnar eru leiðandi.
3.5. Eftir að hafa smellt á „Apply“ hnappinn mun tækið endurræsa sig aftur. Eftir 5-7 mínútur geturðu tengst aftur við þetta heimilisfang; StealthWatch verður stjórnað í gegnum vefviðmót.
4. Uppsetning FlowCollector
4.1. Það er eins með safnarann. Fyrst í CLI tilgreinum við IP tölu, grímu, lén, síðan endurræsir FC. Þú getur síðan tengst vefviðmótinu á tilgreindu heimilisfangi og framkvæmt sömu grunnuppsetningu. Vegna þess að stillingarnar eru svipaðar er nákvæmum skjámyndum sleppt. Skilríki að koma inn það sama.
4.2. Á næstsíðasta tímapunkti þarftu að stilla IP-tölu SMC, í þessu tilviki mun stjórnborðið sjá tækið, þú verður að staðfesta þessa stillingu með því að slá inn persónuskilríki.
4.3. Veldu lénið fyrir StealthWatch, það var stillt áðan, og höfnina 2055 – venjulegt Netflow, ef þú ert að vinna með sFlow, port 6343.
5. Stilling Netflow Exporter
5.1. Til að stilla Netflow útflytjanda mæli ég eindregið með því að snúa sér að þessu , hér eru helstu leiðbeiningar til að stilla Netflow útflytjanda fyrir mörg tæki: Cisco, Check Point, Fortinet.
5.2. Í okkar tilviki, ég endurtek, erum við að flytja út Netflow frá Check Point gáttinni. Netflow útflytjandi er stilltur í flipa með sama nafni í vefviðmótinu (Gaia Portal). Til að gera þetta, smelltu á „Bæta við“, tilgreindu Netflow útgáfuna og nauðsynlega höfn.
6. Greining á StealthWatch rekstri
6.1. Þegar þú ferð í SMC vefviðmótið, á fyrstu síðu Mælaborðs > Netöryggis geturðu séð að umferðin er hafin!
6.2. Sumar stillingar, til dæmis, skiptingu gestgjafa í hópa, eftirlit með einstökum viðmótum, álagi þeirra, stjórnun safnara og fleira, er aðeins að finna í StealthWatch Java forritinu. Auðvitað er Cisco hægt og rólega að flytja alla virkni yfir í vafraútgáfuna og við munum brátt yfirgefa slíkan skjáborðsbiðlara.
Til að setja upp forritið verður þú fyrst að setja upp (Ég setti upp útgáfu 8, þó að það sé sagt að hún sé studd allt að 10) frá opinberu Oracle vefsíðunni.
Í efra hægra horninu á vefviðmóti stjórnborðsins, til að hlaða niður, verður þú að smella á hnappinn „Desktop Client“.
Þú vistar og setur upp biðlarann með valdi, java mun líklegast sverja það, þú gætir þurft að bæta hýslinum við java undantekningar.
Fyrir vikið kemur í ljós nokkuð skýr viðskiptavinur, þar sem auðvelt er að sjá hleðslu útflytjenda, viðmót, árásir og flæði þeirra.
7. Miðstýring StealthWatch
7.1. Miðstýring flipinn inniheldur öll tæki sem eru hluti af uppsettu StealthWatch, svo sem: FlowCollector, FlowSensor, UDP-Director og Endpoint Concetrator. Þar geturðu stjórnað netstillingum og tækjaþjónustu, leyfi og slökkt handvirkt á tækinu.
Þú getur farið í það með því að smella á „gír“ í efra hægra horninu og velja Miðstjórn.
7.2. Með því að fara í Edit Appliance Configuration í FlowCollector muntu sjá SSH, NTP og aðrar netstillingar sem tengjast appinu sjálfu. Til að fara skaltu velja Aðgerðir → Breyta uppsetningu tækis fyrir tilskilið tæki.
7.3. Leyfisstjórnun er einnig að finna á flipanum Miðstýring > Stjórna leyfi. Gefið er fyrir reynsluleyfi ef beiðni um GVE er gerð 90 daga.
Varan er tilbúin til notkunar! Í næsta hluta munum við skoða hvernig StealthWatch getur þekkt árásir og búið til skýrslur.
Heimild: www.habr.com