Ciao colleghi! Dopo aver determinato i requisiti minimi per l'implementazione di StealthWatch in , possiamo iniziare a distribuire il prodotto.
1. Metodi per l'implementazione di StealthWatch
Esistono diversi modi per “toccare” lo StealthWatch:
- – servizio cloud per le attività di laboratorio;
- Basato sul cloud: – qui Netflow dal tuo dispositivo confluirà nel cloud e lì verrà analizzato dal software StealthWatch;
- POV in sede () – secondo il metodo che ho seguito, ti verranno inviati 4 file OVF di macchine virtuali con licenze integrate per 90 giorni, che potranno essere distribuiti su un server dedicato nella rete aziendale.
Nonostante l'abbondanza di macchine virtuali scaricate, per una configurazione di lavoro minima ne bastano solo 2: StealthWatch Management Console e FlowCollector. Tuttavia, se non è presente alcun dispositivo di rete in grado di esportare Netflow su FlowCollector, è necessario distribuire anche FlowSensor, poiché quest'ultimo consente di raccogliere Netflow utilizzando le tecnologie SPAN/RSPAN.
Come ho detto prima, la tua rete reale può fungere da banco di laboratorio, poiché StealthWatch necessita solo di una copia o, più correttamente, di una spremuta di copia del traffico. L'immagine sotto mostra la mia rete, dove sul gateway di sicurezza configurerò Netflow Exporter e, di conseguenza, invierò Netflow al collector.
Per accedere alle future VM, è necessario consentire le seguenti porte sul firewall, se ne hai uno:
TCP 22 l TCP 25 l TCP 389 l TCP 443 l TCP 2393 l TCP 5222 l UDP 53 l UDP 123 l UDP 161 l UDP 162 l UDP 389 l UDP 514 l UDP 2055 l UDP 6343
Alcuni di essi sono servizi noti, altri sono riservati ai servizi Cisco.
Nel mio caso, ho semplicemente distribuito StelathWatch sulla stessa rete di Check Point e non ho dovuto configurare alcuna regola di autorizzazione.
2. Installazione di FlowCollector utilizzando VMware vSphere come esempio
2.1. Fare clic su Sfoglia e selezionare il file OVF1. Dopo aver verificato la disponibilità delle risorse, vai al menu Visualizza, Inventario → Rete (Ctrl+Shift+N).
2.2. Nella scheda Rete, seleziona Nuovo gruppo di porte distribuite nelle impostazioni dello switch virtuale.
2.3. Imposta il nome, lascia che sia StealthWatchPortGroup, il resto delle impostazioni può essere effettuato come nello screenshot e fai clic su Avanti.
2.4. Completiamo la creazione del Gruppo di Porte con il pulsante Fine.
2.5. Modifichiamo le impostazioni del gruppo di porte creato facendo clic con il pulsante destro del mouse sul gruppo di porte e selezionando Modifica impostazioni. Nella scheda Sicurezza, assicurati di abilitare la “modalità promiscua”, Modalità promiscua → Accetta → OK.
2.6. Ad esempio, importiamo OVF FlowCollector, il cui collegamento per il download è stato inviato da un tecnico Cisco dopo una richiesta GVE. Fai clic con il pulsante destro del mouse sull'host su cui prevedi di distribuire la VM e seleziona Distribuisci modello OVF. Per quanto riguarda lo spazio allocato, si “avvierà” a 50 GB, ma per le condizioni di combattimento si consiglia di allocare 200 gigabyte.
2.7. Seleziona la cartella in cui si trova il file OVF.
2.8. Fare clic su "Avanti".
2.9. Indichiamo il nome e il server in cui lo distribuiamo.
2.10. Di conseguenza, otteniamo la seguente immagine e facciamo clic su "Fine".
2.11. Seguiamo gli stessi passaggi per distribuire la console di gestione StealthWatch.
2.12. Ora è necessario specificare le reti necessarie nelle interfacce in modo che FlowCollector veda sia l'SMC che i dispositivi da cui verrà esportato Netflow.
3. Inizializzazione della console di gestione StealthWatch
3.1. Andando alla console della macchina SMCVE installata, vedrai un posto dove inserire login e password, per impostazione predefinita amministratore di sistema/lan1cope.
3.2. Andiamo alla voce Gestione, impostiamo l'indirizzo IP e altri parametri di rete, quindi confermiamo le loro modifiche. Il dispositivo si riavvierà.
3.3. Vai all'interfaccia web (tramite https all'indirizzo specificato in SMC) e inizializza la console, login/password predefiniti - admin/lan411cope.
PS: succede che non si apra in Google Chrome, Explorer ti aiuterà sempre.
3.4. Assicurati di cambiare password, impostare DNS, server NTP, dominio, ecc. Le impostazioni sono intuitive.
3.5. Dopo aver fatto clic sul pulsante "Applica", il dispositivo si riavvierà nuovamente. Dopo 5-7 minuti potrai connetterti nuovamente a questo indirizzo; StealthWatch sarà gestito tramite un'interfaccia web.
4. Configurazione di FlowCollector
4.1. È lo stesso con il collezionista. Innanzitutto nella CLI specifichiamo l'indirizzo IP, la maschera, il dominio, quindi l'FC si riavvia. È quindi possibile connettersi all'interfaccia web all'indirizzo specificato ed eseguire la stessa configurazione di base. Dato che le impostazioni sono simili, gli screenshot dettagliati vengono omessi. Credenziali per entrare lo stesso.
4.2. Al penultimo punto è necessario impostare l'indirizzo IP della SMC, in questo caso la console vedrà il dispositivo, dovrai confermare questa impostazione inserendo le tue credenziali.
4.3. Seleziona il dominio per StealthWatch, impostato in precedenza, e la porta 2055 – Netflow normale, se stai lavorando con sFlow, port 6343.
5. Configurazione dell'esportatore Netflow
5.1. Per configurare l'esportatore Netflow, consiglio vivamente di ricorrere a questo , ecco le principali guide per configurare l'esportatore Netflow per molti dispositivi: Cisco, Check Point, Fortinet.
5.2. Nel nostro caso, ripeto, stiamo esportando Netflow dal gateway Check Point. L'esportatore Netflow è configurato in una scheda con lo stesso nome nell'interfaccia web (Gaia Portal). Per fare ciò, fare clic su "Aggiungi", specificare la versione di Netflow e la porta richiesta.
6. Analisi del funzionamento di StealthWatch
6.1. Andando sull'interfaccia web di SMC, nella prima pagina di Dashboards > Network Security puoi vedere che il traffico è iniziato!
6.2. Alcune impostazioni, ad esempio la divisione degli host in gruppi, il monitoraggio delle singole interfacce, il loro carico, la gestione dei raccoglitori e altro, possono essere trovate solo nell'applicazione Java StealthWatch. Naturalmente, Cisco sta lentamente trasferendo tutte le funzionalità alla versione browser e presto abbandoneremo un client desktop di questo tipo.
Per installare l'applicazione, è necessario prima installarla (Ho installato la versione 8, anche se è detto che sia supportata fino alla 10) dal sito ufficiale Oracle.
Nell'angolo in alto a destra dell'interfaccia web della console di gestione, per effettuare il download, è necessario fare clic sul pulsante “Desktop Client”.
Salvi e installi il client forzatamente, molto probabilmente Java lo giurerà, potrebbe essere necessario aggiungere l'host alle eccezioni Java.
Di conseguenza, viene rivelato un client abbastanza chiaro, in cui è facile vedere il caricamento di esportatori, interfacce, attacchi e i loro flussi.
7. Gestione centrale StealthWatch
7.1. La scheda Gestione centrale contiene tutti i dispositivi che fanno parte dello StealthWatch distribuito, come: FlowCollector, FlowSensor, UDP-Director e Endpoint Concetrator. Qui puoi gestire le impostazioni di rete, i servizi del dispositivo, le licenze e spegnere manualmente il dispositivo.
Puoi accedervi facendo clic sull '"ingranaggio" nell'angolo in alto a destra e selezionando Gestione centrale.
7.2. Andando su Modifica configurazione dell'appliance in FlowCollector, vedrai SSH, NTP e altre impostazioni di rete relative all'app stessa. Per procedere, seleziona Azioni → Modifica configurazione dispositivo per il dispositivo richiesto.
7.3. La gestione delle licenze è disponibile anche nella scheda Gestione centrale > Gestisci licenze. Vengono fornite licenze di prova in caso di richiesta GVE 90 giorni.
Il prodotto è pronto per l'uso! Nella parte successiva vedremo come StealthWatch può riconoscere gli attacchi e generare report.
Fonte: habr.com