VietÄjais POV (GVE pieprasÄ«jums) ā metode, kuru izmantoju, viÅi jums nosÅ«tÄ«s 4 virtuÄlo maŔīnu OVF failus ar iebÅ«vÄtÄm licencÄm uz 90 dienÄm, kurus var izvietot uz speciÄla servera korporatÄ«vajÄ tÄ«klÄ.
Neskatoties uz lejupielÄdÄto virtuÄlo maŔīnu pÄrpilnÄ«bu, minimÄlai darba konfigurÄcijai pietiek tikai ar 2: StealthWatch pÄrvaldÄ«bas konsole un FlowCollector. TomÄr, ja nav tÄ«kla ierÄ«ces, kas varÄtu eksportÄt Netflow uz FlowCollector, ir nepiecieÅ”ams arÄ« izvietot FlowSensor, jo pÄdÄjais ļauj apkopot Netflow, izmantojot SPAN/RSPAN tehnoloÄ£ijas.
KÄ jau teicu iepriekÅ”, jÅ«su Ä«stais tÄ«kls var darboties kÄ laboratorijas stends, jo StealthWatch ir nepiecieÅ”ama tikai kopija vai, pareizÄk sakot, trafika kopijas izspiedums. ZemÄk redzamajÄ attÄlÄ redzams mans tÄ«kls, kurÄ es droŔības vÄrtejÄ konfigurÄÅ”u Netflow Exporter un rezultÄtÄ nosÅ«tÄ«Å”u Netflow uz savÄcÄju.
Lai piekļūtu turpmÄkajÄm virtuÄlajÄm maŔīnÄm, ugunsmÅ«rÄ«, ja jums tÄds ir, ir jÄatļauj tÄlÄk norÄdÄ«tie porti.
TCP 22 l TCP 25 l TCP 389 l TCP 443 l TCP 2393 l TCP 5222 l UDP 53 l UDP 123 l UDP 161 l UDP 162 l UDP 389 l UDP 514 l 2055dp UDP
Daži no tiem ir labi zinÄmi pakalpojumi, daži ir rezervÄti Cisco pakalpojumiem.
ManÄ gadÄ«jumÄ es vienkÄrÅ”i izvietoju StelathWatch tajÄ paÅ”Ä tÄ«klÄ, kur Check Point, un man nebija jÄkonfigurÄ nekÄdi atļauju noteikumi.
2. FlowCollector instalÄÅ”ana, kÄ piemÄru izmantojot VMware vSphere
2.1. NoklikŔķiniet uz PÄrlÅ«kot un atlasiet OVF fails1. PÄc resursu pieejamÄ«bas pÄrbaudes dodieties uz izvÄlni Skats, InventÄri ā TÄ«kloÅ”ana (Ctrl+Shift+N).
2.2. CilnÄ Networking virtuÄlÄ slÄdža iestatÄ«jumos atlasiet Jauna izplatÄ«tÄ porta grupa.
2.3. Iestatiet nosaukumu, lai tas bÅ«tu StealthWatchPortGroup, pÄrÄjos iestatÄ«jumus var veikt kÄ ekrÄnuzÅÄmumÄ un noklikŔķiniet uz TÄlÄk.
2.4. Portu grupas izveidi pabeidzam ar pogu Finish.
2.5. RediÄ£Äsim izveidotÄs portu grupas iestatÄ«jumus, ar peles labo pogu noklikŔķinot uz portu grupas un izvÄloties RediÄ£Ät iestatÄ«jumus. CilnÄ DroŔība noteikti iespÄjojiet āpromiscuous modeā, Promiscuous Mode ā Accept ā OK.
2.6. PiemÄram, importÄsim OVF FlowCollector, kura lejupielÄdes saiti nosÅ«tÄ«ja Cisco inženieris pÄc GVE pieprasÄ«juma. Ar peles labo pogu noklikŔķiniet uz resursdatora, kurÄ plÄnojat izvietot virtuÄlo maŔīnu, un atlasiet Izvietot OVF veidni. RunÄjot par pieŔķirto vietu, tas "iesÄks" pie 50 GB, bet kaujas apstÄkļiem ieteicams atvÄlÄt 200 gigabaitus.
2.7. Atlasiet mapi, kurÄ atrodas OVF fails.
2.8. NoklikŔķiniet uz "TÄlÄk".
2.9. MÄs norÄdÄm nosaukumu un serveri, kurÄ mÄs to izvietojam.
2.10. RezultÄtÄ mÄs iegÅ«stam Å”Ädu attÄlu un noklikŔķiniet uz "Pabeigt".
3.1. Dodoties uz instalÄtÄs SMCVE maŔīnas konsoli, pÄc noklusÄjuma redzÄsit vietu, kur ievadÄ«t savu pieteikumvÄrdu un paroli sysadmin/lan1cope.
3.2. MÄs ejam uz vienumu PÄrvaldÄ«ba, iestatÄm IP adresi un citus tÄ«kla parametrus, pÄc tam apstiprinÄm to izmaiÅas. IerÄ«ce tiks restartÄta.
3.3. Dodieties uz tÄ«mekļa saskarni (izmantojot https uz adresi, kuru norÄdÄ«jÄt SMC) un inicializÄjiet konsoli, noklusÄjuma pieteikumvÄrdu/paroli - admin/lan411cope.
PS: gadÄs, ka tas neatveras pÄrlÅ«kÄ Google Chrome, Explorer vienmÄr palÄ«dzÄs.
3.4. Noteikti nomainiet paroles, iestatiet DNS, NTP serverus, domÄnu utt. IestatÄ«jumi ir intuitÄ«vi.
3.5. PÄc noklikŔķinÄÅ”anas uz pogas āLietotā, ierÄ«ce tiks restartÄta. PÄc 5-7 minÅ«tÄm jÅ«s varat atkal izveidot savienojumu ar Å”o adresi; StealthWatch tiks pÄrvaldÄ«ts, izmantojot tÄ«mekļa saskarni.
4. FlowCollector iestatīŔana
4.1. TÄpat ir ar kolekcionÄru. PirmkÄrt, CLI mÄs norÄdÄm IP adresi, masku, domÄnu, pÄc tam FC atsÄknÄÅ”anu. PÄc tam varat izveidot savienojumu ar tÄ«mekļa saskarni norÄdÄ«tajÄ adresÄ un veikt to paÅ”u pamata iestatÄ«Å”anu. TÄ kÄ iestatÄ«jumi ir lÄ«dzÄ«gi, detalizÄti ekrÄnuzÅÄmumi tiek izlaisti. AkreditÄcijas dati lai ievadÄ«tu tas pats.
4.2. PriekÅ”pÄdÄjÄ punktÄ ir jÄiestata SMC IP adrese, Å”ajÄ gadÄ«jumÄ konsole redzÄs ierÄ«ci, jums bÅ«s jÄapstiprina Å”is iestatÄ«jums, ievadot savus akreditÄcijas datus.
4.3. Atlasiet StealthWatch domÄnu, kas tika iestatÄ«ts agrÄk, un portu 2055 ā parastÄ Netflow, ja strÄdÄjat ar sFlow, portu 6343.
5. Netflow Exporter konfigurÄcija
5.1. Lai konfigurÄtu Netflow eksportÄtÄju, es ļoti iesaku pievÄrsties Å”im resurss , Å”eit ir galvenÄs rokasgrÄmatas Netflow eksportÄtÄja konfigurÄÅ”anai daudzÄm ierÄ«cÄm: Cisco, Check Point, Fortinet.
5.2. MÅ«su gadÄ«jumÄ, es atkÄrtoju, mÄs eksportÄjam Netflow no Check Point vÄrtejas. Netflow eksportÄtÄjs ir konfigurÄts tÄda paÅ”a nosaukuma cilnÄ tÄ«mekļa saskarnÄ (Gaia portÄlÄ). Lai to izdarÄ«tu, noklikŔķiniet uz āPievienotā, norÄdiet Netflow versiju un vajadzÄ«go portu.
6. StealthWatch darbības analīze
6.1. PÄrejot uz SMC tÄ«mekļa saskarni, pirmajÄ Dashboards > Network Security lapÄ var redzÄt, ka trafiks ir sÄkusies!
6.2. Dažus iestatÄ«jumus, piemÄram, saimniekdatoru sadalÄ«Å”anu grupÄs, atseviŔķu saskarÅu uzraudzÄ«bu, to slodzi, kolekcionÄru pÄrvaldÄ«bu un citus iestatÄ«jumus, var atrast tikai StealthWatch Java lietojumprogrammÄ. Protams, Cisco pamazÄm visu funkcionalitÄti pÄrnes uz pÄrlÅ«kprogrammas versiju un mÄs drÄ«zumÄ atteiksim no Å”Äda desktop klienta.
Lai instalÄtu programmu, vispirms ir jÄinstalÄ JRE (Es instalÄju versiju 8, lai gan tiek teikts, ka tÄ tiek atbalstÄ«ta lÄ«dz 10) no oficiÄlÄs Oracle vietnes.
PÄrvaldÄ«bas konsoles tÄ«mekļa saskarnes augÅ”ÄjÄ labajÄ stÅ«rÄ«, lai lejupielÄdÄtu, jÄnoklikŔķina uz pogas āDesktop Clientā.
JÅ«s saglabÄjat un instalÄjat klientu piespiedu kÄrtÄ, java, visticamÄk, to zvÄr, iespÄjams, java izÅÄmumiem bÅ«s jÄpievieno resursdators.
RezultÄtÄ atklÄjas diezgan skaidrs klients, kurÄ labi var redzÄt eksportÄtÄju, interfeisu, uzbrukumu un to plÅ«smu noslogoÅ”anu.
7. StealthWatch centrÄlÄ vadÄ«ba
7.1. CilnÄ CentrÄlÄ pÄrvaldÄ«ba ir visas ierÄ«ces, kas ir daļa no izvietotÄ StealthWatch, piemÄram: FlowCollector, FlowSensor, UDP-Director un Endpoint Concetrator. Tur varat pÄrvaldÄ«t tÄ«kla iestatÄ«jumus un ierÄ«ces pakalpojumus, licences un manuÄli izslÄgt ierÄ«ci.
To var atvÄrt, augÅ”ÄjÄ labajÄ stÅ«rÄ« noklikŔķinot uz zobrata un atlasot CentrÄlÄ pÄrvaldÄ«ba.
7.2. ProgrammÄ FlowCollector atverot sadaļu RediÄ£Ät ierÄ«ces konfigurÄciju, jÅ«s redzÄsit SSH, NTP un citus tÄ«kla iestatÄ«jumus, kas saistÄ«ti ar paÅ”u lietotni. Lai pÄrietu, vajadzÄ«gajai ierÄ«cei atlasiet DarbÄ«bas ā RediÄ£Ät ierÄ«ces konfigurÄciju.
7.3. LicenÄu pÄrvaldÄ«bu var atrast arÄ« cilnÄ CentrÄlÄ pÄrvaldÄ«ba > PÄrvaldÄ«t licences. IzmÄÄ£inÄjuma licences GVE pieprasÄ«juma gadÄ«jumÄ tiek pieŔķirtas 90 dienas.
Produkts ir gatavs lietoÅ”anai! NÄkamajÄ daÄ¼Ä apskatÄ«sim, kÄ StealthWatch var atpazÄ«t uzbrukumus un Ä£enerÄt atskaites.