StealthWatch: განლაგება და კონფიგურაცია. Მე -2 ნაწილი

გამარჯობა კოლეგებო! გადაწყვიტეთ მინიმალური მოთხოვნები StealthWatch-ის განთავსებისთვის ბოლო ნაწილი, ჩვენ შეგვიძლია დავიწყოთ პროდუქტის გაშვება.

1. StealthWatch-ის განლაგების გზები

StealthWatch-ის „შეხების“ რამდენიმე გზა არსებობს:

• dcloud – ლაბორატორიული სამუშაოების ღრუბლოვანი მომსახურება;
• ღრუბელზე დაფუძნებული: Stealthwatch Cloud უფასო საცდელი ვერსია - აქ თქვენი მოწყობილობიდან Netflow ჩავარდება ღრუბელში და StealthWatch პროგრამული უზრუნველყოფა გაანალიზებს მას იქ;
• შენობაში POVGVE მოთხოვნა) - როგორც გავიარე, მოგეცემათ ვირტუალური მანქანების 4 OVF ფაილი ჩაშენებული ლიცენზიებით 90 დღის განმავლობაში, რომლებიც შეიძლება განთავსდეს გამოყოფილ სერვერზე კორპორატიულ ქსელში.

ჩამოტვირთული ვირტუალური მანქანების სიმრავლის მიუხედავად, მინიმალური სამუშაო კონფიგურაციისთვის საკმარისია მხოლოდ 2: StealthWatch Management Console და FlowCollector. ამასთან, თუ არ არსებობს ქსელური მოწყობილობა, რომელსაც შეუძლია Netflow-ის ექსპორტი FlowCollector-ში, მაშინ ასევე აუცილებელია FlowSensor-ის განთავსება, რადგან ეს უკანასკნელი, SPAN / RSPAN ტექნოლოგიების გამოყენებით, საშუალებას გაძლევთ შეაგროვოთ Netflow.

როგორც ლაბორატორიული სტენდი, როგორც ადრე ვთქვი, თქვენს რეალურ ქსელს შეუძლია იმოქმედოს, რადგან StealthWatch-ს სჭირდება მხოლოდ ასლი, ან, უფრო სწორად, ტრაფიკის ასლი. ქვემოთ მოყვანილ სურათზე ნაჩვენებია ჩემი ქსელი, სადაც Security Gateway-ზე დავაკონფიგურირებ Netflow Exporter-ს და, შედეგად, გავაგზავნი Netflow-ს კოლექციონერში.

მომავალ VM-ებზე წვდომისთვის, თქვენს Firewall-მა, ასეთის არსებობის შემთხვევაში, უნდა დაუშვას შემდეგი პორტები:

TCP 22 ლ TCP 25 l TCP 389 l TCP 443 l TCP 2393 l TCP 5222 l UDP 53 l UDP 123 l UDP 161 l UDP 162 l UDP 389 l UDP 514 l UDP l2055

ზოგიერთი მათგანი ცნობილი სერვისია, ნაწილი კი რეზერვირებულია Cisco სერვისებისთვის.
ჩემს შემთხვევაში, მე უბრალოდ განვათავსე StelathWatch იმავე ქსელში, როგორც Check Point და არ მჭირდებოდა რაიმე ნებართვის წესების კონფიგურაცია.

2. FlowCollector-ის ინსტალაცია VMware vSphere-ის გამოყენებით

2.1. დააჭირეთ დათვალიერებას და აირჩიეთ OVF ფაილი1. რესურსების ხელმისაწვდომობის შემოწმების შემდეგ გადადით მენიუში View, Inventory → Networking (Ctrl+Shift+N).

2.2. ქსელის ჩანართში აირჩიეთ ახალი განაწილებული პორტის ჯგუფი ვირტუალური გადართვის პარამეტრებში.

2.3. ჩვენ დავაყენეთ სახელი, მოდით ეს იყოს StealthWatchPortGroup, დანარჩენი პარამეტრები შეიძლება გაკეთდეს როგორც ეკრანის სურათზე და დააჭირეთ შემდეგი.

2.4. ჩვენ ვასრულებთ პორტ ჯგუფის შექმნას Finish ღილაკით.

2.5. ჩვენ შევცვლით შექმნილი პორტ ჯგუფის პარამეტრებს პორტის ჯგუფზე მარჯვენა ღილაკით დაწკაპუნებით, აირჩიეთ Edit Settings. "უსაფრთხოების" ჩანართში, დარწმუნდით, რომ ჩართეთ "პრომისკუური რეჟიმი", უხამსი რეჟიმი → მიღება → OK.

2.6. მაგალითად, მოდით შემოვიტანოთ OVF FlowCollector, რომლის ჩამოტვირთვის ბმული გამოგზავნა Cisco-ს ინჟინერმა GVE მოთხოვნის შემდეგ. ჰოსტზე მაუსის მარჯვენა ღილაკით, სადაც აპირებთ VM-ის განთავსებას, აირჩიეთ Deploy OVF Template. რაც შეეხება გამოყოფილ სივრცეს, ის 50 გბ-ით „ჩაირთვება“, მაგრამ საბრძოლო პირობებისთვის რეკომენდებულია 200 გიგაბაიტის გამოყოფა.

2.7. აირჩიეთ საქაღალდე, სადაც მდებარეობს OVF ფაილი.

2.8. ჩვენ დააჭირეთ "შემდეგი".

2.9. მიუთითეთ სახელი და სერვერი, სადაც განვათავსებთ მას.

2.10. შედეგად, ჩვენ ვიღებთ შემდეგ სურათს და დააჭირეთ ღილაკს "დასრულება".

2.11. მიჰყევით იგივე ნაბიჯებს StealthWatch Management Console-ის გამოსაყენებლად.

2.12. ახლა თქვენ უნდა მიუთითოთ საჭირო ქსელები ინტერფეისებში, რათა FlowCollector-მა ნახოს როგორც SMC, ასევე მოწყობილობები, საიდანაც Netflow იქნება ექსპორტირებული.

3. StealthWatch მართვის კონსოლის ინიციალიზაცია

3.1. დაინსტალირებული SMCVE აპარატის კონსოლზე გადასვლისას დაინახავთ ადგილს შესვლისა და პაროლის შესაყვანად, ნაგულისხმევად. sysadmin/lan1cope.

3.2. ჩვენ მივდივართ მენეჯმენტის პუნქტში, ვაყენებთ IP მისამართს და ქსელის სხვა პარამეტრებს, შემდეგ ვადასტურებთ მათ ცვლილებას. მოწყობილობა გადაიტვირთება.

3.3. ჩვენ მივდივართ ვებ ინტერფეისზე (https-ის საშუალებით იმ მისამართზე, რომელიც თქვენ დააყენეთ SMC) და კონსოლის ინიციალიზაციას ვაკეთებთ, ნაგულისხმევი შესვლა/პაროლი არის admin/lan411cope.

PS: ხდება, რომ ის არ იხსნება Google Chrome-ში, Explorer ყოველთვის დაგეხმარებათ.

3.4. დარწმუნდით, რომ შეცვალეთ პაროლები, დააყენეთ DNS, NTP სერვერები, დომენი და სხვა. პარამეტრები ინტუიციურია.

3.5. ღილაკზე "Apply" დაწკაპუნების შემდეგ, მოწყობილობა ხელახლა გადაიტვირთება. 5-7 წუთის შემდეგ შეგიძლიათ კვლავ დაუკავშირდეთ ამ მისამართზე; StealthWatch იმართება ვებ ინტერფეისის მეშვეობით.

4. FlowCollector-ის დაყენება

4.1. კოლექციონერთანაც ასეა. ჯერ CLI-ში ვაზუსტებთ IP მისამართს, ნიღაბს, დომენს, შემდეგ FC გადაიტვირთება. ამის შემდეგ, შეგიძლიათ დაუკავშირდეთ ვებ ინტერფეისს მითითებულ მისამართზე და შეასრულოთ იგივე ძირითადი კონფიგურაცია. მსგავსი პარამეტრების გამო, დეტალური ეკრანის ანაბეჭდები გამოტოვებულია. რწმუნებათა სიგელები შესვლა იგივე.

4.2. ბოლო წერტილში უნდა დააყენოთ SMC IP მისამართი, ამ შემთხვევაში კონსოლი დაინახავს მოწყობილობას, თქვენ მოგიწევთ ამ პარამეტრის დადასტურება რწმუნებათა სიგელების შეყვანით.

4.3. ჩვენ ვირჩევთ დომენს StealthWatch-ისთვის, ის ადრე იყო დაყენებული და პორტს 2055 - რეგულარული Netflow, თუ მუშაობთ sFlow-თან, პორტთან 6343.

5. Netflow Exporter Configuration

5.1. Netflow-ის ექსპორტიორის კონფიგურაციისთვის, გირჩევთ, მიხედოთ ამას რესურსი , აქ არის ძირითადი სახელმძღვანელო Netflow ექსპორტიორის კონფიგურაციისთვის მრავალი მოწყობილობისთვის: Cisco, Check Point, Fortinet.

5.2. ჩვენს შემთხვევაში, ვიმეორებ, ჩვენ ვაწარმოებთ Netflow-ს ექსპორტს Check Point გეითვეიდან. Netflow ექსპორტიორი კონფიგურირებულია ვებ ინტერფეისის სახელით მსგავსი ჩანართში (Gaia Portal). ამისათვის დააჭირეთ ღილაკს "დამატება", მიუთითეთ Netflow ვერსია და საჭირო პორტი.

6. StealthWatch-ის მუშაობის ანალიზი

6.1. გადადით SMC ვებ ინტერფეისზე, Dashboards > Network Security-ის პირველ გვერდზე, ხედავთ, რომ ტრაფიკი გაქრა!

6.2. ზოგიერთი პარამეტრი, როგორიცაა ჰოსტების ჯგუფებად დაყოფა, ინდივიდუალური ინტერფეისების მონიტორინგი, მათი დატვირთვა, კოლექციონერების მართვა და სხვა, მხოლოდ StealthWatch Java აპლიკაციაშია ნაპოვნი. რა თქმა უნდა, Cisco ნელ-ნელა გადასცემს ყველა ფუნქციონირებას ბრაუზერის ვერსიაზე და ჩვენ მალე მივატოვებთ დესკტოპის ასეთ კლიენტს.

აპლიკაციის დასაყენებლად ჯერ უნდა დააინსტალიროთ JRE (დავაყენე ვერსია 8, თუმცა წერია, რომ ის მხარდაჭერილია 10-მდე) ოფიციალური Oracle-ის ვებსაიტიდან.

ჩამოტვირთვისთვის მართვის კონსოლის ვებ ინტერფეისის ზედა მარჯვენა კუთხეში უნდა დააჭიროთ ღილაკს "Desktop Client".

თქვენ ინახავთ და დააინსტალირეთ კლიენტი იძულებით, java დიდი ალბათობით დაიფიცებს მას, შეიძლება დაგჭირდეთ ჰოსტის დამატება ჯავას გამონაკლისებში.

შედეგად, საკმაოდ მკაფიო კლიენტი იხსნება, რომელშიც ადვილად იხილავთ ექსპორტიორების დატვირთვას, ინტერფეისებს, შეტევებს და მათ ნაკადებს.

7. StealthWatch ცენტრალური მენეჯმენტი

7.1. ცენტრალური მართვის ჩანართი შეიცავს ყველა მოწყობილობას, რომელიც არის განლაგებული StealthWatch-ის ნაწილი, როგორიცაა: FlowCollector, FlowSensor, UDP-Director და Endpoint Concetrator. იქ შეგიძლიათ მართოთ ქსელის პარამეტრები და მოწყობილობის სერვისები, ლიცენზიები და ხელით გამორთოთ მოწყობილობა.

თქვენ შეგიძლიათ მასზე გადახვიდეთ ზედა მარჯვენა კუთხეში "გადაცემათა კოლოფის" დაჭერით და ცენტრალური მენეჯმენტის არჩევით.

7.2. FlowCollector-ის Edit Appliance Configuration-ზე გადასვლით, თქვენ ნახავთ SSH, NTP და სხვა ქსელის პარამეტრებს, რომლებიც დაკავშირებულია თავად მოწყობილობასთან. წასასვლელად აირჩიეთ მოქმედებები → მოწყობილობის კონფიგურაციის რედაქტირება საჭირო მოწყობილობისთვის.

7.3. ლიცენზიის მენეჯმენტი ასევე შეგიძლიათ იხილოთ ცენტრალური მენეჯმენტი > ლიცენზიების მართვა ჩანართში. GVE მოთხოვნის შემთხვევაში საცდელი ლიცენზიები მოცემულია 90 დღით.

პროდუქტი მზად არის გამოსაყენებლად! შემდეგ ნაწილში განვიხილავთ, თუ როგორ შეუძლია StealthWatch-ს შეტევების ამოცნობა და მოხსენებების გენერირება.

წყარო: www.habr.com