Салам кесиптештер! StealthWatch орнотуу үчүн минималдуу талаптарды аныктагандан кийин , биз продуктуну жайылта баштай алабыз.
1. StealthWatchти жайылтуу ыкмалары
StealthWatchти "тийүүнүн" бир нече жолдору бар:
- – лабораториялык иштер үчүн булут кызматы;
- Булуттун негизинде: – бул жерде сиздин түзмөгүңүздөн Netflow булутка агып, ал жерде StealthWatch программасы тарабынан талданат;
- Жергиликтүү POV () – мен колдонгон ыкма, алар сизге 4 күнгө орнотулган лицензиялары бар виртуалдык машиналардын 90 OVF файлын жөнөтүшөт, аларды корпоративдик тармактагы атайын серверде жайгаштырууга болот.
Жүктөлүп алынган виртуалдык машиналардын көптүгүнө карабастан, минималдуу иштөө конфигурациясы үчүн 2 гана жетиштүү: StealthWatch башкаруу консолу жана FlowCollector. Бирок, Netflow'ту FlowCollector'ка экспорттой турган тармак түзмөгү жок болсо, анда FlowSensorду жайылтуу керек, анткени акыркысы SPAN/RSPAN технологияларын колдонуу менен Netflow чогултууга мүмкүндүк берет.
Мен жогоруда айткандай, сиздин чыныгы тармагыңыз лабораториялык отургуч катары иштей алат, анткени StealthWatch бир гана көчүрмөнү талап кылат, же тагыраак айтканда, трафиктин көчүрмөсүн кысуу керек. Төмөнкү сүрөттө менин тармагым көрсөтүлгөн, коопсуздук шлюзинде мен Netflow экспорттоочуну конфигурациялайм жана натыйжада Netflowды коллекторго жөнөтөм.
Келечектеги VM'лерге кирүү үчүн, эгер сизде бар болсо, брандмауэриңизде төмөнкү портторго уруксат берилиши керек:
TCP 22 л TCP 25 l TCP 389 l TCP 443 l TCP 2393 l TCP 5222 l UDP 53 л UDP 123 l UDP 161 л UDP 162 l UDP 389 l UDP 514 2055 UDP6343
Алардын айрымдары белгилүү кызматтар, кээ бирлери Cisco кызматтары үчүн сакталган.
Менимче, мен StelathWatchти Check Point менен бир тармакка жөн эле жайгаштырдым жана эч кандай уруксат эрежелерин конфигурациялоонун кереги жок болчу.
2. Мисал катары VMware vSphere аркылуу FlowCollector орнотуу
2.1. Карап чыгууну басыңыз жана OVF файлын1 тандаңыз. Ресурстардын болушун текшергенден кийин, менюга өтүңүз Көрүнүш, Инвентаризация → Networking (Ctrl+Shift+N).
2.2. Тармак өтмөгүндө, виртуалдык которуштуруу орнотууларынан Жаңы Бөлүштүрүлгөн порт тобун тандаңыз.
2.3. Атын коюңуз, ал StealthWatchPortGroup болсун, калган орнотууларды скриншоттогудай кылып жасап, Кийинки баскычын басыңыз.
2.4. Finish баскычы менен Порт тобун түзүүнү аяктайбыз.
2.5. Келгиле, порт тобун оң баскыч менен чыкылдатып, Орнотууларды түзөтүүнү тандоо менен түзүлгөн Порт тобунун орнотууларын түзөтөлү. Коопсуздук өтмөгүндө “жыныстык режимди”, Промискуздук режим → Кабыл алуу → OK күйгүзүүнү унутпаңыз.
2.6. Мисал катары, OVF FlowCollector импорттойлу, анын жүктөө шилтемеси Cisco инженери тарабынан GVE өтүнүчүнөн кийин жөнөтүлгөн. VMди жайылтууну пландап жаткан хостту оң баскыч менен чыкылдатып, OVF шаблонун жайылтууну тандаңыз. Бөлүнгөн мейкиндикке келсек, ал 50 ГБда "иштейт", бирок согуштук шарттарда 200 гигабайт бөлүү сунушталат.
2.7. OVF файлы жайгашкан папканы тандаңыз.
2.8. "Кийинкини" чыкылдатыңыз.
2.9. Атын жана серверди кайсы жерде жайгаштырабыз.
2.10. Натыйжада, биз төмөнкү сүрөттү алып, "Бүтүрүү" баскычын чыкылдатыңыз.
2.11. Биз StealthWatch башкаруу консолун жайылтуу үчүн ошол эле кадамдарды аткарабыз.
2.12. Эми сиз FlowCollector SMCди да, Netflow экспорттой турган түзмөктөрдү да көрүшү үчүн интерфейстерде керектүү тармактарды көрсөтүшүңүз керек.
3. StealthWatch башкаруу консолун баштоо
3.1. Орнотулган SMCVE машинасынын консолуна баруу менен, демейки боюнча, логин менен сырсөзүңүздү киргизүү үчүн жерди көрөсүз. sysadmin/lan1cope.
3.2. Биз башкаруу пунктуна барып, IP дарегин жана башка тармак параметрлерин коюп, андан кийин алардын өзгөртүүлөрүн ырастайбыз. Түзмөк кайра жүктөлөт.
3.3. Веб-интерфейске өтүңүз (https аркылуу SMCде көрсөткөн дарекке) жана консолду, демейки логинди/паролду инициализациялаңыз - admin/lan411cope.
PS: ал Google Chrome'до ачылбай калат, Explorer ар дайым жардам берет.
3.4. Сырсөздөрдү өзгөртүүнү, DNS, NTP серверлерин, домендерди ж.б. коюуну унутпаңыз. Орнотуулар интуитивдик.
3.5. "Колдонуу" баскычын чыкылдаткандан кийин, аппарат кайра жүктөлөт. 5-7 мүнөттөн кийин бул дарекке кайра кошула аласыз; StealthWatch веб интерфейси аркылуу башкарылат.
4. FlowCollector орнотуу
4.1. Коллектор менен да ушундай. Биринчиден, CLIде биз IP даректи, масканы, доменди көрсөтөбүз, андан кийин FC кайра жүктөлөт. Андан кийин көрсөтүлгөн дарек боюнча веб-интерфейске кошулуп, ошол эле негизги орнотууну аткара аласыз. Орнотуулар окшош болгондуктан, деталдуу скриншоттор жок. Ишеним грамоталары кирүү ушундай эле.
4.2. Акыркы учурда, сиз SMCдин IP дарегин коюшуңуз керек, бул учурда консоль аппаратты көрөт, бул жөндөөнү өзүңүздүн эсептик маалыматтарыңызды киргизүү менен ырасташыңыз керек болот.
4.3. StealthWatch үчүн доменди тандаңыз, ал мурда коюлган жана порт 2055 – кадимки Netflow, эгер сиз sFlow, порт менен иштеп жатсаңыз 6343.
5. Netflow Экспорттоочу конфигурация
5.1. Netflow экспорттоочуну конфигурациялоо үчүн мен буга кайрылууну сунуштайм , бул жерде көптөгөн түзмөктөр үчүн Netflow экспорттоочуну конфигурациялоо боюнча негизги колдонмолор бар: Cisco, Check Point, Fortinet.
5.2. Биздин учурда, кайталап айтам, биз Check Point шлюзинен Netflow экспорттойбуз. Netflow экспорттоочусу веб-интерфейстеги (Gaia Portal) бирдей аталыштагы өтмөктө конфигурацияланган. Бул үчүн, "Кошуу" баскычын чыкылдатып, Netflow версиясын жана керектүү портту көрсөтүңүз.
6. StealthWatch операциясынын анализи
6.1. SMC веб-интерфейсине өтүп, Башкаруу такталары> Тармак коопсуздугунун биринчи бетинде трафик башталганын көрө аласыз!
6.2. Кээ бир жөндөөлөрдү, мисалы, хостторду топторго бөлүү, жеке интерфейстерди, алардын жүгүн көзөмөлдөө, коллекторлорду башкаруу жана башкаларды StealthWatch Java тиркемесинде гана табууга болот. Албетте, Cisco акырындык менен бардык функцияларды браузердин версиясына өткөрүп жатат жана биз жакында мындай рабочий кардардан баш тартабыз.
Тиркемени орнотуу үчүн алгач орнотуу керек (Мен 8 версиясын орноттум, бирок ал 10го чейин колдоого алынат) Oracle расмий веб-сайтынан.
Башкаруу консолунун веб-интерфейсинин жогорку оң бурчунда, жүктөп алуу үчүн "Иш тактасынын кардары" баскычын басышыңыз керек.
Сиз кардарды күч менен сактап жана орнотуп жатасыз, java ага ант берет, балким, сизге хостту java өзгөчөлүктөрүнө кошуу керек болушу мүмкүн.
Натыйжада, экспортерлордун жүктөлүшүн, интерфейстерди, чабуулдарды жана алардын агымын көрүү оңой болгон кыйла так кардар ачылат.
7. StealthWatch Борбордук Башкаруу
7.1. Борбордук башкаруу өтмөгү орнотулган StealthWatchтин бир бөлүгү болгон бардык түзмөктөрдү камтыйт, мисалы: FlowCollector, FlowSensor, UDP-Director жана Endpoint Concetrator. Ал жерден тармак жөндөөлөрүн жана түзмөк кызматтарын, лицензияларды башкарып, аппаратты кол менен өчүрө аласыз.
Сиз жогорку оң бурчтагы "тиштүү" чыкылдатуу жана Борбордук башкаруу тандоо менен бара аласыз.
7.2. FlowCollector ичиндеги Түзмөктүн конфигурациясын түзөтүүгө баруу менен, сиз SSH, NTP жана колдонмонун өзүнө тиешелүү башка тармак жөндөөлөрүн көрөсүз. Баруу үчүн, керектүү аспап үчүн Аракеттер → Түзмөктүн конфигурациясын оңдоо тандаңыз.
7.3. Лицензияны башкарууну Борбордук башкаруу > Лицензияларды башкаруу өтмөгүнөн да тапса болот. GVE өтүнүчү боюнча сыноо лицензиялары берилет 90 күн.
продукт барууга даяр! Кийинки бөлүктө биз StealthWatch чабуулдарды кантип таанып, отчетторду түзө аларын карап чыгабыз.
Source: www.habr.com