Сәлем әріптестер! StealthWatch қолданбасын орналастыруға арналған ең төменгі талаптарды анықтағаннан кейін , біз өнімді орналастыруды бастай аламыз.
1. StealthWatch қолданбасын қолдану әдістері
StealthWatch қолданбасын «түртудің» бірнеше жолы бар:
- – зертханалық жұмыстарға арналған бұлттық сервис;
- Бұлтқа негізделген: – мұнда сіздің құрылғыңыздан Netflow бұлтқа ағып, StealthWatch бағдарламалық құралы арқылы талданады;
- Жергілікті POV () – мен ұстанған әдіс, олар сізге корпоративтік желідегі арнайы серверде орналастыруға болатын кірістірілген лицензиялары бар виртуалды машиналардың 4 OVF файлын жібереді.
Жүктелген виртуалды машиналардың көптігіне қарамастан, ең аз жұмыс конфигурациясы үшін тек 2-еуі жеткілікті: StealthWatch басқару консолі және FlowCollector. Алайда, егер Netflow-ты FlowCollector-қа экспорттай алатын желілік құрылғы болмаса, FlowSensor-ды да орналастыру қажет, себебі соңғысы SPAN/RSPAN технологияларын пайдаланып Netflow жинауға мүмкіндік береді.
Жоғарыда айтқанымдай, сіздің нақты желіңіз зертханалық орындық ретінде әрекет ете алады, өйткені StealthWatch тек көшірмені немесе дәлірек айтқанда, трафик көшірмесін сығуды қажет етеді. Төмендегі суретте менің желім көрсетілген, онда қауіпсіздік шлюзінде мен Netflow экспорттаушысын конфигурациялаймын және нәтижесінде Netflow-ты коллекторға жіберемін.
Болашақ виртуалды құрылғыларға қол жеткізу үшін брандмауэрде келесі порттарға рұқсат етілуі керек, егер сізде бар болса:
TCP 22 л TCP 25 л TCP 389 л TCP 443 л TCP 2393 л TCP 5222 L UDP 53 л UDP 123 л UDP 161 л UDP 162 л UDP 389 л UDP 514 2055 UDP6343l UDPXNUMXl
Олардың кейбіреулері белгілі қызметтер, кейбіреулері Cisco қызметтері үшін сақталған.
Менің жағдайда мен StelathWatch-ті тек Check Point-пен бірдей желіде орналастырдым және ешқандай рұқсат ережелерін конфигурациялаудың қажеті болмады.
2. Мысал ретінде VMware vSphere арқылы FlowCollector орнату
2.1. Шолу түймесін басып, OVF файлын1 таңдаңыз. Ресурстардың қолжетімділігін тексергеннен кейін Көрініс мәзіріне өтіңіз, Түгендеу → Желіге қосылу (Ctrl+Shift+N).
2.2. «Желіге қосылу» қойындысында виртуалды қосқыш параметрлерінде Жаңа бөлінген порт тобын таңдаңыз.
2.3. Атауды орнатыңыз, ол StealthWatchPortGroup болсын, қалған параметрлерді скриншоттағыдай жасауға болады және «Келесі» түймесін басыңыз.
2.4. Аяқтау түймесі арқылы Порт тобын құруды аяқтаймыз.
2.5. Порт тобын тінтуірдің оң жақ түймешігімен басып, Параметрлерді өңдеу пәрменін таңдау арқылы жасалған порттар тобының параметрлерін өңдейік. «Қауіпсіздік» қойындысында «жеңіл режим», «Қайтасыз режим» → Қабылдау → OK опциясын қосуды ұмытпаңыз.
2.6. Мысал ретінде, жүктеп алу сілтемесін Cisco инженері GVE сұрауынан кейін жіберген OVF FlowCollector импорттайық. VM орналастыруды жоспарлаған хостты тінтуірдің оң жақ түймешігімен басып, OVF үлгісін орналастыру таңдаңыз. Бөлінген кеңістікке келетін болсақ, ол 50 ГБ-да «іске қосылады», бірақ ұрыс жағдайында 200 гигабайтты бөлу ұсынылады.
2.7. OVF файлы орналасқан қалтаны таңдаңыз.
2.8. «Келесі» түймесін басыңыз.
2.9. Біз оны орналастыратын атау мен серверді көрсетеміз.
2.10. Нәтижесінде біз келесі суретті аламыз және «Аяқтау» түймесін басыңыз.
2.11. Біз StealthWatch басқару консолін қолдану үшін бірдей қадамдарды орындаймыз.
2.12. Енді FlowCollector SMC және Netflow экспортталатын құрылғыларды көруі үшін интерфейстерде қажетті желілерді көрсету керек.
3. StealthWatch басқару консолін инициализациялау
3.1. Орнатылған SMCVE құрылғысының консоліне өту арқылы сіз әдепкі бойынша логин мен парольді енгізу орнын көресіз. sysadmin/lan1cope.
3.2. Біз «Басқару» тармағына өтіп, IP мекенжайын және басқа желі параметрлерін орнатамыз, содан кейін олардың өзгерістерін растаймыз. Құрылғы қайта жүктеледі.
3.3. Веб-интерфейске өтіңіз (https арқылы SMC-де көрсеткен мекенжайға) және консольді, әдепкі логин/парольді инициализациялаңыз - admin/lan411cope.
PS: ол Google Chrome-да ашылмайды, Explorer әрқашан көмектеседі.
3.4. Құпия сөздерді өзгертуді, DNS, NTP серверлерін, доменді және т.б. орнатуды ұмытпаңыз. Параметрлер интуитивті.
3.5. «Қолдану» түймесін басқаннан кейін құрылғы қайта жүктеледі. 5-7 минуттан кейін осы мекенжайға қайта қосылуға болады; StealthWatch веб-интерфейс арқылы басқарылады.
4. FlowCollector орнату
4.1. Коллектормен де солай. Алдымен, CLI-де IP мекенжайын, масканы, доменді көрсетеміз, содан кейін FC қайта жүктеледі. Содан кейін көрсетілген мекенжай бойынша веб-интерфейске қосылып, бірдей негізгі орнатуды орындауға болады. Параметрлер ұқсас болғандықтан, егжей-тегжейлі скриншоттар өткізілмейді. Куәлік кіру бірдей.
4.2. Соңғы нүктеде SMC IP мекенжайын орнату керек, бұл жағдайда консоль құрылғыны көреді, тіркелгі деректерін енгізу арқылы осы параметрді растау керек.
4.3. StealthWatch доменін таңдаңыз, ол бұрын орнатылған және порт 2055 – кәдімгі Netflow, егер сіз sFlow портымен жұмыс істеп жатсаңыз 6343.
5. Netflow экспорттаушы конфигурациясы
5.1. Netflow экспортерін конфигурациялау үшін мен осыған жүгінуді ұсынамын , мұнда көптеген құрылғылар үшін Netflow экспортерін конфигурациялауға арналған негізгі нұсқаулықтар берілген: Cisco, Check Point, Fortinet.
5.2. Біздің жағдайда, қайталап айтамын, біз Check Point шлюзінен Netflow экспорттаймыз. Netflow экспорттаушысы веб-интерфейстегі (Gaia порталы) аттас қойындыда конфигурацияланған. Ол үшін «Қосу» түймесін басып, Netflow нұсқасын және қажетті портты көрсетіңіз.
6. StealthWatch операциясын талдау
6.1. SMC веб-интерфейсіне өтіп, Бақылау тақталары > Желі қауіпсіздігінің бірінші бетінде трафиктің басталғанын көре аласыз!
6.2. Кейбір параметрлерді, мысалы, хосттарды топтарға бөлу, жеке интерфейстерді, олардың жүктемесін бақылау, коллекторларды басқару және т.б. тек StealthWatch Java қолданбасынан табуға болады. Әрине, Cisco барлық функционалдылықты браузер нұсқасына баяу көшіруде және біз жақын арада мұндай жұмыс үстелі клиентінен бас тартамыз.
Қолданбаны орнату үшін алдымен орнату керек (Мен 8-нұсқасын орнаттым, бірақ оған 10-ға дейін қолдау көрсетіледі) Oracle ресми веб-сайтынан.
Басқару консолінің веб-интерфейсінің жоғарғы оң жақ бұрышында жүктеп алу үшін «Жұмыс үстелінің клиенті» түймесін басу керек.
Сіз клиентті мәжбүрлеп сақтайсыз және орнатасыз, java оған ант береді, сізге хостты java ерекше жағдайларына қосу қажет болуы мүмкін.
Нәтижесінде экспорттаушылардың, интерфейстердің, шабуылдардың және олардың ағындарының жүктелуін оңай көруге болатын жеткілікті анық клиент ашылады.
7. StealthWatch Орталық басқару
7.1. Орталық басқару қойындысында орналастырылған StealthWatch бөлігі болып табылатын барлық құрылғылар бар, мысалы: FlowCollector, FlowSensor, UDP-Director және Endpoint Concetrator. Онда желі параметрлерін және құрылғы қызметтерін, лицензияларды басқаруға және құрылғыны қолмен өшіруге болады.
Оған жоғарғы оң жақ бұрыштағы «тісті беріліс» түймесін басып, Орталық басқаруды таңдау арқылы өтуге болады.
7.2. FlowCollector ішіндегі Құрал конфигурациясын өңдеуге өту арқылы сіз SSH, NTP және қолданбаның өзіне қатысты басқа желі параметрлерін көресіз. Бару үшін қажетті құрылғы үшін Әрекеттер → Құрал конфигурациясын өңдеу тармағын таңдаңыз.
7.3. Лицензияны басқаруды Орталық басқару > Лицензияларды басқару қойындысынан табуға болады. GVE сұрауы кезінде сынақ лицензиялары беріледі 90 күн.
Өнім пайдалануға дайын! Келесі бөлімде біз StealthWatch шабуылдарды қалай тани алатынын және есептерді жасай алатынын қарастырамыз.
Ақпарат көзі: www.habr.com