Silav hevalno! Ji bo bicîhkirina StealthWatch-ê hewcedariyên herî kêm diyar kirin , em dikarin dest bi belavkirina hilberê bikin.
1. Rêbazên ji bo bicihkirina StealthWatch
Gelek awayên "destpêkirina" StealthWatch hene:
- - karûbarê ewr ji bo xebata laboratîfê;
- Cloud Based: - li vir Netflow ji cîhaza we dê di nav ewrê de biherike û dê li wir ji hêla nermalava StealthWatch ve were analîz kirin;
- POV li ser bingehê () - Rêbaza ku min şopand, ew ê 4 rojan 90 pelên OVF yên makîneyên virtual bi lîsansên çêkirî ji we re bişînin, ku dikarin li ser serverek taybetî ya li ser tora pargîdanî werin bicîh kirin.
Tevî pirbûna makîneyên virtual yên dakêşandî, ji bo mîhengek xebatê ya hindik tenê 2 bes in: Konsola Rêveberiya StealthWatch û FlowCollector. Lêbelê, heke amûrek torê tune ku bikaribe Netflow ji FlowCollector re derxîne, wê hingê pêdivî ye ku FlowSensor jî were bicîh kirin, ji ber ku ya paşîn dihêle hûn bi karanîna teknolojiyên SPAN/RSPAN Netflow berhev bikin.
Wekî ku min berê jî got, tora weya rastîn dikare wekî bencek laboratîfê tevbigere, ji ber ku StealthWatch tenê hewceyê kopiyek, an, rasttir, pişkek kopiyek trafîkê ye. Wêneyê li jêr tora min nîşan dide, li ku derê li ser deriyê ewlehiyê ez ê Netflow Exporter mîheng bikim û, wekî encam, dê Netflow ji berhevkar re bişînim.
Ji bo gihîştina VM-yên paşerojê, heke we yek hebe, divê portên jêrîn li ser dîwarê weya agir were destûr kirin:
TCP 22 l TCP 25 l TCP 389 l TCP 443 l TCP 2393 l TCP 5222 l UDP 53 l UDP 123 l UDP 161 l UDP 162 l UDP 389 l UDP 514 l UDP 2055 l UDP6343
Hin ji wan karûbarên naskirî ne, hin ji bo karûbarên Cisco têne veqetandin.
Di doza min de, min bi tenê StelathWatch li ser heman torê ya Check Point bicîh kir, û neçar ma ku tu qaîdeyên destûrê mîheng bikim.
2. Sazkirina FlowCollector bi karanîna VMware vSphere wekî nimûne
2.1. Bikirtînin Browse û pelê OVF1 hilbijêrin. Piştî ku hebûna çavkaniyan kontrol bikin, biçin menuya Nîşan, Inventory → Torgilok (Ctrl+Shift+N).
2.2. Di tabloya Torgilokê de, di mîhengên guheztina virtual de koma porta Nû ya Dabeşkirî hilbijêrin.
2.3. Navê bicîh bikin, bila ew bibe StealthWatchPortGroup, mîhengên mayî dikarin wekî di dîmenê de bêne çêkirin û Next bikirtînin.
2.4. Em afirandina Koma Portê bi bişkoja Finish temam dikin.
2.5. Werin em mîhengên Koma Portê ya hatî afirandin bi rast-klîkkirina koma portê û bijartina Mîhengên Biguherîne biguherînin. Di tabloya Ewlekariyê de, pê ewle bin ku hûn "moda berbelav" çalak bikin, Modeya nepenî → Qebûl → OK.
2.6. Mînakî, em OVF FlowCollector-ê derxînin, zencîreya dakêşanê ya ku ji hêla endezyarek Cisco ve piştî daxwazek GVE hatî şandin. Li ser mêvandarê ku hûn plan dikin ku VM-ê li ser bicîh bikin-rast-klîk bikin û Şablonên OVF-ê Deploy hilbijêrin. Di derbarê cîhê veqetandî de, ew ê di 50 GB de "destpêk bike", lê ji bo şert û mercên şer tê pêşniyar kirin ku 200 gigabayt veqetînin.
2.7. Peldanka ku pelê OVF lê ye hilbijêrin.
2.8. "Next" bikirtînin.
2.9. Em nav û servera ku em lê bicîh dikin destnîşan dikin.
2.10. Wekî encamek, em wêneya jêrîn digirin û "Finish" bikirtînin.
2.11. Em heman gavan dişopînin da ku Konsola Rêvebiriya StealthWatch bicîh bikin.
2.12. Naha hûn hewce ne ku di navbeynkaran de torên pêwîst diyar bikin da ku FlowCollector hem SMC û hem jî cîhazên ku Netflow jê têne derxistin bibîne.
3. Destpêkirina Konsola Rêveberiya StealthWatch
3.1. Bi çûna konsolxaneya makîneya SMCVE ya sazkirî, hûn ê cîhek bibînin ku têketin û şîfreya xwe têkevin, ji hêla xwerû. sysadmin/lan1cope.
3.2. Em diçin ser babetê Rêvebiriyê, navnîşana IP-yê û pîvanên din ên torê destnîşan dikin, dûv re guhertinên wan piştrast dikin. Amûr dê ji nû ve dest pê bike.
3.3. Herin navgîniya malperê (bi rêya https-ê navnîşana ku we di SMC-ê de diyar kiriye) û konsolê dest pê bikin, têketin / şîfreya xwerû - admin/lan411cope.
PS: diqewime ku ew di Google Chrome de venabe, Explorer dê her gav alîkariyê bike.
3.4. Bawer bikin ku şîfreyan biguhezînin, serverên DNS, NTP, domain, hwd saz bikin. Mîhengên intuitive in.
3.5. Piştî ku bişkojka "Sepandin" bikirtînin, cîhaz dê dîsa ji nû ve dest pê bike. Piştî 5-7 deqîqeyan hûn dikarin dîsa bi vê navnîşanê ve girêdin; StealthWatch dê bi navgînek webê ve were rêvebirin.
4. Sazkirina FlowCollector
4.1. Bi berhevkar re jî wisa ye. Pêşîn, di CLI de em navnîşana IP-ê, mask, domainê diyar dikin, paşê FC ji nû ve dest pê dike. Dûv re hûn dikarin li navnîşana diyarkirî bi navgîniya webê ve girêbidin û heman sazkirina bingehîn pêk bînin. Ji ber rastiya ku mîhengan wekhev in, dîmenên hûrgulî têne derxistin. Şehadan ketin hemen.
4.2. Di xala paşîn de, hûn hewce ne ku navnîşana IP-ya SMC-ê saz bikin, di vê rewşê de konsol dê cîhazê bibîne, hûn neçar in ku vê mîhengê bi têketina pêbaweriyên xwe piştrast bikin.
4.3. Ji bo StealthWatch domainê hilbijêrin, ew berê hate saz kirin, û port 2055 - Netflow birêkûpêk, heke hûn bi sFlow, port re dixebitin 6343.
5. Veavakirina Netflow Exporter
5.1. Ji bo mîhengkirina hinardekarê Netflow, ez bi tundî pêşniyar dikim ku serî li vê yekê bidin , li vir rêberên sereke yên mîhengkirina hinardekarê Netflow ji bo gelek cîhazan hene: Cisco, Check Point, Fortinet.
5.2. Di doza me de, ez dubare dikim, em Netflow ji deriyê Check Point derdixin. Hinardekarê Netflow-ê di tabloyek bi heman navî de di navgîniya malperê de (Gaia Portal) ve hatî mîheng kirin. Ji bo vê yekê, "Lê zêde bike" bikirtînin, guhertoya Netflow û porta pêwîst diyar bikin.
6. Analîza operasyona StealthWatch
6.1. Herin navrûya tevna SMC, li ser rûpela yekem a Dashboards> Ewlekariya Torê hûn dikarin bibînin ku seyrûsefer dest pê kiriye!
6.2. Hin mîhengan, wek nimûne, dabeşkirina mêvandaran li koman, çavdêrîkirina navbeynkariya kesane, barkirina wan, birêvebirina berhevkaran, û hêj bêtir, tenê di sepana StealthWatch Java de têne dîtin. Bê guman, Cisco hêdî hêdî hemî fonksiyonê vediguhezîne guhertoya gerokê û em ê di demek nêzîk de dev ji xerîdarek sermaseya wusa berdin.
Ji bo sazkirina serîlêdanê, divê hûn pêşî saz bikin (Min guhertoya 8 saz kir, her çend tê gotin ku ew heya 10-ê piştgirî ye) ji malpera fermî ya Oracle.
Li quncika jorîn a rastê ya navbeynkariya tevneyê ya konsolê rêveberiyê, ji bo dakêşandinê, divê hûn bişkoka "Xerîdarê Sermaseyê" bikirtînin.
Hûn bi zorê xerîdar hilînin û saz bikin, java bi îhtîmalek mezin wê sond bixwe, dibe ku hûn hewce ne ku mêvandar li îstîsnayên javayê zêde bikin.
Wekî encamek, xerîdarek pir zelal tê xuyang kirin, ku tê de hêsan e ku meriv barkirina hinardekaran, navbeynkaran, êrişan û herikîna wan bibîne.
7. Rêveberiya Navendî ya StealthWatch
7.1. Tabloya Rêvebiriya Navendî hemî amûrên ku beşek in ji StealthWatch-a hatî bicîh kirin vedihewîne, wek: FlowCollector, FlowSensor, UDP-Director û Endpoint Concetrator. Li wir hûn dikarin mîhengên torê û karûbarên cîhazê, lîsans, rêvebirin û bi destan amûrê biqewirînin.
Hûn dikarin bi tikandina li ser "gear" li quncikê jorê rastê û bijartina Rêvebiriya Navendî biçin wê.
7.2. Bi çûna Veavakirina Pêvekê ya li FlowCollector-ê, hûn ê SSH, NTP û mîhengên torê yên din ên ku bi serîlêdanê ve girêdayî ne bibînin. Ji bo ku biçin, ji bo cîhaza pêwîst Çalakî → Veavakirina Appliance Biguherîne hilbijêrin.
7.3. Rêvebiriya Lîsansê dikare di tabloya Rêvebiriya Navendî> Birêvebirina Lîsansan de jî were dîtin. Di doza daxwaza GVE de lîsansên ceribandinê têne dayîn Rojên 90.
Hilber amade ye ku biçin! Di beşa paşîn de, em ê binihêrin ka StealthWatch çawa dikare êrîşan nas bike û raporan çêbike.
Source: www.habr.com