Halo rekan kerja! Sawise nemtokake syarat minimal kanggo nggunakake StealthWatch ing , kita bisa miwiti deploying produk.
1. Cara kanggo nyebarke StealthWatch
Ana sawetara cara kanggo "ndemek" StealthWatch:
- - layanan maya kanggo karya laboratorium;
- Cloud Based: – ing kene Netflow saka piranti sampeyan bakal mili menyang méga lan bakal dianalisis ana piranti lunak StealthWatch;
- POV ing lokasi () - cara aku tindakake, padha bakal ngirim 4 file OVF saka mesin virtual karo dibangun ing lisensi kanggo 90 dina, kang bisa disebarake ing darmabakti server ing jaringan perusahaan.
Senadyan turah mbrawah saka mesin virtual sing diundhuh, kanggo konfigurasi kerja minimal mung 2 cukup: StealthWatch Management Console lan FlowCollector. Nanging, yen ora ana piranti jaringan sing bisa ngekspor Netflow menyang FlowCollector, mula uga perlu kanggo nyebarake FlowSensor, amarga sing terakhir ngidini sampeyan ngumpulake Netflow nggunakake teknologi SPAN / RSPAN.
Kaya sing dakkandhakake sadurunge, jaringan nyata sampeyan bisa dadi bangku laboratorium, amarga StealthWatch mung butuh salinan, utawa, luwih bener, remot salinan lalu lintas. Gambar ing ngisor iki nuduhake jaringanku, ing ngendi ing gateway keamanan aku bakal ngatur Netflow Exporter lan, minangka asil, bakal ngirim Netflow menyang kolektor.
Kanggo ngakses VM mbesuk, port ing ngisor iki kudu diidini ing firewall, yen sampeyan duwe:
TCP 22 l TCP 25 l TCP 389 l TCP 443 l TCP 2393 l TCP 5222 l UDP 53 l UDP 123 l UDP 161 l UDP 162 l UDP 389 l UDP 514 l UDP 2055 l UDP 6343
Sawetara iku layanan kondhang, sawetara dilindhungi undhang-undhang kanggo layanan Cisco.
Ing kasusku, aku mung masang StelathWatch ing jaringan sing padha karo Check Point, lan ora kudu ngatur aturan ijin.
2. Nginstal FlowCollector nggunakake VMware vSphere minangka conto
2.1. Klik Browse banjur pilih OVF file1. Sawise mriksa kasedhiyan sumber daya, pindhah menyang menu View, Inventory → Networking (Ctrl+Shift+N).
2.2. Ing tab Networking, pilih New Distributed port group in the virtual switch settings.
2.3. Setel jeneng, supaya StealthWatchPortGroup, setelan liyane bisa digawe kaya ing gambar lan klik Sabanjure.
2.4. Kita ngrampungake nggawe Port Group kanthi tombol Rampung.
2.5. Ayo ngowahi setelan saka Port Group digawe kanthi ngeklik tengen ing grup port lan milih Sunting Setelan. Ing tab Keamanan, manawa kanggo ngaktifake "mode promiscuous", Mode Promiscuous → Nampa → OK.
2.6. Contone, ayo ngimpor OVF FlowCollector, link download sing dikirim dening insinyur Cisco sawise panjalukan GVE. Klik-tengen ing host sing sampeyan rencana kanggo nyebarake VM banjur pilih Deploy OVF Template. Babagan papan sing diparengake, bakal "miwiti" ing 50 GB, nanging kanggo kondisi pertempuran dianjurake kanggo nyedhiyakake 200 gigabyte.
2.7. Pilih folder ing ngendi file OVF dumunung.
2.8. Klik "Sabanjure".
2.9. We nunjukaké jeneng lan server ngendi kita masang.
2.10. Akibaté, kita entuk gambar ing ngisor iki lan klik "Rampung".
2.11. Kita tindakake langkah sing padha kanggo masang StealthWatch Management Console.
2.12. Saiki sampeyan kudu nemtokake jaringan sing dibutuhake ing antarmuka supaya FlowCollector ndeleng SMC lan piranti sing bakal diekspor Netflow.
3. Initializing StealthWatch Management Console
3.1. Kanthi pindhah menyang console mesin SMCVE diinstal, sampeyan bakal weruh panggonan kanggo ngetik login lan sandhi, minangka standar sysadmin/lan1cope.
3.2. Kita pindhah menyang item Manajemen, nyetel alamat IP lan paramèter jaringan liyane, banjur konfirmasi owah-owahan. Piranti bakal urip maneh.
3.3. Pindhah menyang antarmuka web (liwat https menyang alamat sing sampeyan nemtokake ing SMC) lan miwiti console, login / sandhi standar - admin/lan411cope.
PS: kedaden sing ora mbukak ing Google Chrome, Explorer bakal tansah bantuan metu.
3.4. Dadi manawa kanggo ngganti tembung sandhi, nyetel DNS, server NTP, domain, lsp. Setelan intuisi.
3.5. Sawise ngeklik tombol "Aplikasi", piranti bakal urip maneh. Sawise 5-7 menit sampeyan bisa nyambung maneh menyang alamat iki; StealthWatch bakal dikelola liwat antarmuka web.
4. Nggawe FlowCollector
4.1. Iku padha karo kolektor. Pisanan, ing CLI kita nemtokake alamat IP, topeng, domain, banjur FC reboots. Sampeyan banjur bisa nyambung menyang antarmuka web ing alamat sing ditemtokake lan nindakake persiyapan dhasar sing padha. Amarga kasunyatan manawa setelan kasebut padha, gambar rinci ora diilangi. Kredensial kanggo mlebu padha.
4.2. Ing titik penultimate, sampeyan kudu nyetel alamat IP saka SMC, ing kasus iki console bakal weruh piranti, sampeyan kudu konfirmasi setelan iki kanthi ngetik kredensial.
4.3. Pilih domain kanggo StealthWatch, wis disetel sadurungé, lan port 2055 – Netflow biasa, yen sampeyan nggarap sFlow, port 6343.
5. Konfigurasi Netflow Exporter
5.1. Kanggo ngatur eksportir Netflow, aku banget nyaranake ngowahi iki , Iki minangka pandhuan utama kanggo ngonfigurasi eksportir Netflow kanggo akeh piranti: Cisco, Check Point, Fortinet.
5.2. Ing kasus kita, aku mbaleni, kita ngekspor Netflow saka gateway Check Point. Eksportir Netflow dikonfigurasi ing tab kanthi jeneng sing padha ing antarmuka web (Gaia Portal). Kanggo nindakake iki, klik "Tambah", nemtokake versi Netflow lan port sing dibutuhake.
6. Analisis operasi StealthWatch
6.1. Menyang antarmuka web SMC, ing kaca pisanan Dashboards> Keamanan Jaringan sampeyan bisa ndeleng manawa lalu lintas wis diwiwiti!
6.2. Sawetara setelan, contone, mbagi host dadi klompok, ngawasi antarmuka individu, muatane, ngatur kolektor, lan liya-liyane, mung bisa ditemokake ing aplikasi Java StealthWatch. Mesthine, Cisco alon-alon nransfer kabeh fungsi menyang versi browser lan kita bakal ninggalake klien desktop kasebut.
Kanggo nginstal aplikasi, sampeyan kudu nginstal dhisik (Aku nginstal versi 8, sanajan wis didhukung nganti 10) saka situs web Oracle resmi.
Ing pojok tengen ndhuwur antarmuka web konsol manajemen, kanggo ngundhuh, sampeyan kudu ngeklik tombol "Klien Desktop".
Sampeyan nyimpen lan nginstal klien meksa, java bakal paling kamungkinan sumpah ing, sampeyan bisa uga kudu nambah inang kanggo java istiméwa.
Akibaté, klien sing cukup jelas dicethakaké, sing gampang dideleng saka eksportir, antarmuka, serangan lan alirane.
7. Manajemen Pusat StealthWatch
7.1. Tab Manajemen Pusat ngemot kabeh piranti sing dadi bagean saka StealthWatch sing disebarake, kayata: FlowCollector, FlowSensor, UDP-Director lan Endpoint Concetrator. Ing kana sampeyan bisa ngatur setelan jaringan lan layanan piranti, lisensi, lan mateni piranti kanthi manual.
Sampeyan bisa pindhah menyang kanthi ngeklik ing "gear" ing pojok tengen ndhuwur lan milih Manajemen Tengah.
7.2. Kanthi pindhah menyang Sunting Konfigurasi Perkakas ing FlowCollector, sampeyan bakal weruh SSH, NTP lan setelan jaringan liyane sing ana gandhengane karo aplikasi kasebut. Kanggo pindhah, pilih Tindakan → Owahi Konfigurasi Piranti kanggo piranti sing dibutuhake.
7.3. Manajemen lisensi uga bisa ditemokake ing tab Manajemen Pusat > Atur Lisensi. Lisensi nyoba ing cilik saka panjalukan GVE diwenehi kanggo 90 dina.
Produk wis siyap! Ing bagean sabanjure, kita bakal ndeleng kepiye StealthWatch bisa ngenali serangan lan ngasilake laporan.
Source: www.habr.com