
Сәлем, әріптестер! StealthWatch қолданбасын орналастыруға арналған ең төменгі талаптарды анықтағаннан кейін , біз өнімді орналастыруды бастай аламыз.
1. StealthWatch орналастыру әдістері
StealthWatch-ті «түртудің» бірнеше жолы бар:
- – зертханалық жұмыстарға арналған бұлттық сервис;
- Бұлтқа негізделген: – мұнда құрылғыңыздан Netflow бұлтқа жіберіледі және ол жерде StealthWatch бағдарламалық құралы арқылы талданады;
- Жергілікті POV () – мен пайдаланған әдіс, сізге корпоративтік желідегі арнайы серверде орналастыруға болатын кірістірілген 90 күндік лицензиялары бар виртуалды машиналардың 4 OVF файлы жіберіледі.
Жүктелген виртуалды машиналардың көптігіне қарамастан, ең аз жұмыс конфигурациясы үшін тек екеуі жеткілікті: StealthWatch басқару консолі және FlowCollector. Дегенмен, егер желілік ағынды FlowCollector-қа экспорттай алатын желілік құрылғы болмаса, FlowSensor да қолданылуы керек, себебі соңғысы SPAN/RSPAN технологияларын пайдалана отырып, желі ағынын жинауға мүмкіндік береді.
Жоғарыда айтқанымдай, сіздің нақты желіңіз зертханалық қондырғы ретінде қызмет ете алады, өйткені StealthWatch тек трафиктің көшірмесін немесе дәлірек айтқанда тазартылған көшірмесін қажет етеді. Төмендегі суретте қауіпсіздік шлюзінде Netflow экспорттаушыны конфигурациялайтын және нәтижесінде коллекторға желі ағынын жіберетін желім көрсетілген.

Болашақ виртуалды құрылғыларға қол жеткізу үшін брандмауэрде келесі порттарға рұқсат етілуі керек, егер сізде бар болса:
TCP 22 л TCP 25 л TCP 389 л TCP 443 л TCP 2393 л TCP 5222 L UDP 53 л UDP 123 л UDP 161 л UDP 162 л UDP 389 л UDP 514 514 UDP3l UDP3l
Олардың кейбіреулері жалпыға белгілі қызметтер, кейбіреулері Cisco қызметтері үшін сақталған.
Менің жағдайда мен StelathWatch қолданбасын тек Check Point сияқты желіде орналастырдым және ешқандай рұқсат ережелерін конфигурациялаудың қажеті жоқ еді.
2. Мысал ретінде VMware vSphere арқылы FlowCollector орнату
2.1. Шолу түймесін басып, OVF файлын1 таңдаңыз. Ресурстардың қолжетімділігін тексергеннен кейін Көрініс мәзіріне өтіңіз, Түгендеу → Networking (Ctrl+Shift+N).

2.2. Желі қойындысында виртуалды қосқыш параметрлерінде Жаңа үлестірілген порт тобын таңдаңыз.

2.3. Атауды StealthWatchPortGroup етіп орнатыңыз. Қалған параметрлерді скриншотта көрсетілгендей жасауға болады және «Келесі» түймесін басыңыз.


2.4. Аяқтау түймесін басу арқылы порттар тобын құруды аяқтаңыз.

2.5. Порт тобын тінтуірдің оң жақ түймешігімен басып, Параметрлерді өңдеу пәрменін таңдау арқылы жасалған порттар тобының параметрлерін өңдеңіз. «Қауіпсіздік» қойындысында «Жансыз режимді» қосуды ұмытпаңыз: Азғындық режимі → Қабылдау → OK.

2.6. Мысал ретінде, жүктеп алу сілтемесін Cisco инженері GVE сұрауынан кейін жіберген OVF FlowCollector импорттайық. VM қолдануды жоспарлаған хостты тінтуірдің оң жақ түймешігімен басып, OVF үлгісін орналастыру опциясын таңдаңыз. Бөлінген кеңістікке келетін болсақ, ол 50 ГБ жұмыс істейді, бірақ өндірісте пайдалану үшін 200 ГБ ұсынылады.

2.7. OVF файлы орналасқан қалтаны таңдаңыз.

2.8. «Келесі» түймесін басыңыз.

2.9. Біз оны орналастыратын атау мен серверді көрсетеміз.

2.10. Нәтижесінде біз келесі суретті аламыз және «Аяқтау» түймесін басыңыз.

2.11. Біз StealthWatch басқару консолін қолдану үшін бірдей қадамдарды орындаймыз.

2.12. Енді FlowCollector SMC және Netflow экспортталатын құрылғыларды көре алатындай етіп интерфейстерде қажетті желілерді көрсету керек.
3. StealthWatch басқару консолін инициализациялау
3.1. Орнатылған SMCVE машинасының консоліне өткеннен кейін сіз әдепкі бойынша логин мен құпия сөзді енгізетін орынды көресіз. sysadmin/lan1cope.

3.2. Басқару бөліміне өтіп, IP мекенжайын және басқа желі параметрлерін орнатыңыз, содан кейін өзгертулерді растаңыз. Құрылғы қайта жүктеледі.



3.3. Веб-интерфейске өтіңіз (SMC үшін көрсеткен мекенжайға https арқылы) және консольді инициализациялаңыз, әдепкі логин/пароль admin/lan411cope.
PS: Кейде ол Google Chrome-да ашылмайды, бірақ Explorer әрқашан көмектеседі.

3.4. Құпия сөздерді өзгертуді, DNS, NTP серверлерін, доменді және басқа параметрлерді орнатуды ұмытпаңыз. Параметрлер интуитивті.

3.5. «Қолдану» түймесін басқаннан кейін құрылғы қайта жүктеледі. 5-7 минуттан кейін осы мекенжайға қайта қосылуға болады; StealthWatch веб-интерфейс арқылы басқарылады.

4. FlowCollector конфигурациялау
4.1. Коллекторды орнату бірдей. Алдымен CLI ішіне IP мекенжайын, масканы және доменді енгізіңіз, содан кейін FC қайта жүктеледі. Содан кейін көрсетілген мекенжай бойынша веб-интерфейске қосылып, бірдей негізгі конфигурацияны орындауға болады. Параметрлер ұқсас болғандықтан, егжей-тегжейлі скриншоттар өткізілмейді. Куәлік кіру бірдей.

4.2. Соңғы қадамда SMC IP мекенжайын орнату қажет. Бұл консольге құрылғыны көруге мүмкіндік береді. Бұл параметрді тіркелгі деректерін енгізу арқылы растау қажет.

4.3. StealthWatch доменін таңдаңыз, ол бұрын орнатылған және порт 2055 - кәдімгі Netflow, егер сіз sFlow, портпен жұмыс жасасаңыз 6343.

5. Netflow экспорттаушы конфигурациясы
5.1 Netflow экспортерін конфигурациялау үшін мен осыған сілтеме жасауды ұсынамын Мұнда көптеген құрылғылар үшін Netflow экспорттауын конфигурациялауға арналған негізгі нұсқаулықтар берілген: Cisco, Check Point, Fortinet.
5.2. Біздің жағдайда біз Check Point шлюзінен Netflow экспорттаймыз. Netflow экспорттаушы конфигурациясы веб-интерфейстегі (Gaia порталы) ұқсас аталған қойындыда орындалады. Ол үшін «Қосу» түймесін басып, Netflow нұсқасын көрсетіңіз және қажетті портты таңдаңыз.

6. StealthWatch талдауы
6.1. SMC веб-интерфейсіне өткеннен кейін, Бақылау тақталары > Желілік қауіпсіздік бірінші бетінде трафиктің өтіп жатқанын көре аласыз!

6.2. Хосттарды топтарға бөлу, жеке интерфейстерді және олардың жүктемесін бақылау, коллекторларды басқару және т.б. сияқты кейбір параметрлерді тек StealthWatch Java қолданбасында табуға болады. Әрине, Cisco бірте-бірте барлық функцияларды браузер нұсқасына көшіруде және біз жақын арада бұл жұмыс үстелі клиентін ескіретін боламыз.
Қолданбаны орнату үшін алдымен орнату керек (Мен 8-нұсқасын орнаттым, бірақ 10-ға дейін қолдау көрсетіледі) Oracle ресми веб-сайтынан.
Жүктеп алу үшін басқару консолі веб-интерфейсінің жоғарғы оң жақ бұрышындағы «Жұмыс үстелінің клиенті» түймесін басыңыз.

Сіз клиентті мәжбүрлеп сақтайсыз және орнатасыз, Java бұл туралы шағымдануы мүмкін, сізге хостты Java ерекшеліктеріне қосу қажет болуы мүмкін.
Нәтиже - экспорттаушылардың, интерфейстердің, шабуылдардың және олардың ағындарының жүктелуін көруді жеңілдететін жеткілікті интуитивті клиент.



7. StealthWatch Орталық басқару
7.1. Орталық басқару қойындысы FlowCollector, FlowSensor, UDP-директоры және Endpoint Concetrator қоса алғанда, орналастырылған StealthWatch бөлігі болып табылатын барлық құрылғыларды көрсетеді. Мұнда желі параметрлерін және құрылғы қызметтерін, лицензияларды басқаруға және құрылғыны қолмен өшіруге болады.
Оған жоғарғы оң жақ бұрыштағы редукторды басып, Орталық басқаруды таңдау арқылы қол жеткізуге болады.


7.2. FlowCollector ішіндегі Құрал конфигурациясын өңдеуге өту арқылы сіз SSH, NTP және құрылғының өзіне қатысты басқа желі параметрлерін көресіз. Ол үшін қалаған құрылғы үшін Әрекеттер → Құрал конфигурациясын өңдеу тармағын таңдаңыз.



7.3. Лицензияны басқаруды Орталық басқару > Лицензияларды басқару қойындысынан табуға болады. Сынақ лицензиялары GVE сұрауы болған жағдайда беріледі. 90 күн.

Өнім пайдалануға дайын! Келесі бөлімде StealthWatch шабуылдарды қалай анықтай алатынын және есептерді жасай алатынын қарастырамыз.
Ақпарат көзі: www.habr.com
