שלום עמיתים! לאחר קביעת הדרישות המינימליות לפריסת StealthWatch ב , נוכל להתחיל לפרוס את המוצר.
1. שיטות לפריסת StealthWatch
ישנן מספר דרכים "לגעת" ב-StealthWatch:
- – שירות ענן לעבודות מעבדה;
- מבוסס ענן: – כאן Netflow מהמכשיר שלך תזרום לענן ותנתח שם על ידי תוכנת StealthWatch;
- POV מקומי () – השיטה בה פעלתי, ישלחו לכם 4 קבצי OVF של מכונות וירטואליות עם רישיונות מובנים למשך 90 יום, אותם ניתן לפרוס על שרת ייעודי ברשת הארגונית.
למרות שפע המכונות הווירטואליות שהורדו, לתצורת עבודה מינימלית מספיקות רק 2: StealthWatch Management Console ו-FlowCollector. עם זאת, אם אין התקן רשת שיכול לייצא את Netflow ל-FlowCollector, אז יש צורך גם לפרוס את FlowSensor, מכיוון שהאחרון מאפשר לך לאסוף את Netflow באמצעות טכנולוגיות SPAN/RSPAN.
כפי שאמרתי קודם, הרשת האמיתית שלך יכולה לשמש כספסל מעבדה, שכן StealthWatch צריך רק עותק, או, יותר נכון, לחיצה של עותק של תעבורה. התמונה למטה מציגה את הרשת שלי, שבה בשער האבטחה אגדיר את Netflow Exporter וכתוצאה מכך אשלח את Netflow לאספן.
כדי לגשת למחשבי VM עתידיים, יש לאפשר את היציאות הבאות בחומת האש שלך, אם יש לך כזו:
TCP 22 l TCP 25 l TCP 389 l TCP 443 l TCP 2393 l TCP 5222 l UDP 53 l UDP 123 l UDP 161 l UDP 162 l UDP 389 l UDP 514 l UDP 2055 l UDP 6343
חלקם שירותים ידועים, חלקם שמורים לשירותי סיסקו.
במקרה שלי, פשוט פרסתי את StelathWatch באותה רשת כמו צ'ק פוינט, ולא הייתי צריך להגדיר כללים של הרשאה.
2. התקנת FlowCollector באמצעות VMware vSphere כדוגמה
2.1. לחץ על עיון ובחר קובץ OVF1. לאחר בדיקת זמינות המשאבים, עבור לתפריט תצוגה, מלאי → רשת (Ctrl+Shift+N).
2.2. בכרטיסייה רשת, בחר קבוצת יציאות מבוזרת חדשה בהגדרות המתג הווירטואלי.
2.3. הגדר את השם, תן לזה להיות StealthWatchPortGroup, ניתן לבצע את שאר ההגדרות כמו בצילום המסך ולחץ על Next.
2.4. אנו משלימים את יצירת קבוצת הנמל עם כפתור סיום.
2.5. בואו נערוך את ההגדרות של קבוצת הפורטים שנוצרה על ידי לחיצה ימנית על קבוצת היציאות ובחירה ב- Edit Settings. בכרטיסייה אבטחה, הקפד להפעיל "מצב מופקר", מצב מופקר ← קבל ← אישור.
2.6. כדוגמה, בואו לייבא את OVF FlowCollector, שקישור ההורדה עבורו נשלח על ידי מהנדס סיסקו לאחר בקשת GVE. לחץ לחיצה ימנית על המארח שבו אתה מתכנן לפרוס את ה-VM ובחר Deploy OVF Template. לגבי השטח המוקצה, הוא "יתחיל" ב-50 גיגה-בייט, אך לתנאי לחימה מומלץ להקצות 200 גיגה-בייט.
2.7. בחר את התיקיה שבה נמצא קובץ ה-OVF.
2.8. הקש "הבא".
2.9. אנו מציינים את השם והשרת שבו אנו פורסים אותו.
2.10. כתוצאה מכך, אנו מקבלים את התמונה הבאה ולוחצים על "סיום".
2.11. אנו מבצעים את אותם השלבים כדי לפרוס את מסוף הניהול StealthWatch.
2.12. כעת עליך לציין את הרשתות הדרושות בממשקים כך ש-FlowCollector יראה גם את ה-SMC וגם את המכשירים שמהם תיוצא Netflow.
3. אתחול קונסולת ניהול StealthWatch
3.1. על ידי מעבר למסוף של מכונת SMCVE המותקנת, תראה מקום להזין את פרטי הכניסה והסיסמה שלך, כברירת מחדל sysadmin/lan1cope.
3.2. אנחנו עוברים לפריט ניהול, מגדירים את כתובת ה-IP ופרמטרים אחרים של הרשת, ואז מאשרים את השינויים שלהם. המכשיר יאתחל מחדש.
3.3. עבור אל ממשק האינטרנט (באמצעות https לכתובת שציינת ב-SMC) ואתחל את המסוף, ברירת מחדל כניסה/סיסמה - admin/lan411cope.
נ.ב: קורה שהוא לא נפתח בגוגל כרום, אקספלורר תמיד יעזור.
3.4. הקפד לשנות סיסמאות, להגדיר DNS, שרתי NTP, דומיין וכו'. ההגדרות אינטואיטיביות.
3.5. לאחר לחיצה על כפתור "החל", המכשיר יאתחל שוב. לאחר 5-7 דקות תוכל להתחבר שוב לכתובת זו; StealthWatch ינוהל באמצעות ממשק אינטרנט.
4. הגדרת FlowCollector
4.1. זה אותו דבר עם האספן. ראשית, ב-CLI אנו מציינים את כתובת ה-IP, המסכה, הדומיין, ואז ה-FC מאתחל מחדש. לאחר מכן תוכל להתחבר לממשק האינטרנט בכתובת שצוינה ולבצע את אותה הגדרה בסיסית. בשל העובדה שההגדרות דומות, צילומי מסך מפורטים מושמטים. אישורים להיכנס אותו הדבר.
4.2. בשלב הלפני אחרון, עליך להגדיר את כתובת ה-IP של ה-SMC, במקרה זה הקונסולה תראה את המכשיר, תצטרך לאשר הגדרה זו על ידי הזנת האישורים שלך.
4.3. בחר את הדומיין עבור StealthWatch, הוא הוגדר קודם לכן, ואת היציאה 2055 - Netflow רגיל, אם אתה עובד עם sFlow, יציאה 6343.
5. תצורת Netflow Exporter
5.1. כדי להגדיר את יצואן Netflow, אני ממליץ בחום לפנות לזה , הנה המדריכים העיקריים להגדרת יצואן Netflow עבור מכשירים רבים: Cisco, Check Point, Fortinet.
5.2. במקרה שלנו, אני חוזר, אנחנו מייצאים את Netflow משער צ'ק פוינט. יצואן Netflow מוגדר בלשונית באותו שם בממשק האינטרנט (Gaia Portal). כדי לעשות זאת, לחץ על "הוסף", ציין את גרסת Netflow ואת היציאה הנדרשת.
6. ניתוח פעולת StealthWatch
6.1. במעבר לממשק האינטרנט של SMC, בעמוד הראשון של לוחות מחוונים > אבטחת רשת תוכלו לראות שהתעבורה התחילה!
6.2. הגדרות מסוימות, למשל, חלוקת מארחים לקבוצות, ניטור ממשקים בודדים, העומס שלהם, ניהול אספנים ועוד, ניתן למצוא רק באפליקציית StealthWatch Java. כמובן שסיסקו מעבירה לאט לאט את כל הפונקציונליות לגרסת הדפדפן ובקרוב נוותר על לקוח שולחני שכזה.
כדי להתקין את האפליקציה, תחילה עליך להתקין (התקנתי גרסה 8, למרות שאומרים שהיא נתמכת עד 10) מהאתר הרשמי של אורקל.
בפינה הימנית העליונה של ממשק האינטרנט של מסוף הניהול, כדי להוריד, עליך ללחוץ על כפתור "לקוח שולחני".
אתה שומר ומתקין את הלקוח בכוח, סביר להניח ש-Java ישבע על זה, ייתכן שיהיה עליך להוסיף את המארח לחריגים של Java.
כתוצאה מכך, מתגלה לקוח ברור למדי, שבו קל לראות את טעינת היצואנים, ממשקים, התקפות וזרימות שלהם.
7. ניהול מרכזי של StealthWatch
7.1. הכרטיסייה ניהול מרכזי מכילה את כל המכשירים שהם חלק מה-StealthWatch הפרוס, כגון: FlowCollector, FlowSensor, UDP-Director ו-Endpoint Concetrator. שם תוכל לנהל הגדרות רשת ושירותי מכשירים, רישיונות ולכבות את המכשיר באופן ידני.
אתה יכול ללכת אליו על ידי לחיצה על "גלגל השיניים" בפינה השמאלית העליונה ובחירה בניהול מרכזי.
7.2. על ידי מעבר ל- Edit Configuration Appliance ב-FlowCollector, תראה SSH, NTP והגדרות רשת אחרות הקשורות לאפליקציה עצמה. כדי ללכת, בחר פעולות ← ערוך תצורת התקן עבור ההתקן הדרוש.
7.3. ניהול רישיונות ניתן למצוא גם בלשונית ניהול מרכזי > ניהול רישיונות. רישיונות ניסיון במקרה של בקשת GVE ניתנים עבור ימי 90.
המוצר מוכן לשימוש! בחלק הבא, נראה כיצד StealthWatch יכולה לזהות התקפות ולהפיק דוחות.
מקור: www.habr.com