StealthWatch: izvietošana un konfigurēšana. 2. daļa

Sveiki kolēģi! Nosakot minimālās prasības StealthWatch izvietošanai pēdējā daļa, mēs varam sākt produkta izvietošanu.

1. StealthWatch izvietošanas metodes

Ir vairāki veidi, kā “pieskarties” StealthWatch:

• dcloud – mākoņpakalpojums laboratorijas darbiem;
• Uz mākoņiem balstīta: Stealthwatch Cloud bezmaksas izmēģinājuma versija – šeit Netflow no jūsu ierīces ieplūdīs mākonī, un to tur analizēs programmatūra StealthWatch;
• Vietējais POV (GVE pieprasījums) – metode, kuru izmantoju, viņi jums nosūtīs 4 virtuālo mašīnu OVF failus ar iebūvētām licencēm uz 90 dienām, kurus var izvietot uz speciāla servera korporatīvajā tīklā.

Neskatoties uz lejupielādēto virtuālo mašīnu pārpilnību, minimālai darba konfigurācijai pietiek tikai ar 2: StealthWatch pārvaldības konsole un FlowCollector. Tomēr, ja nav tīkla ierīces, kas varētu eksportēt Netflow uz FlowCollector, ir nepieciešams arī izvietot FlowSensor, jo pēdējais ļauj apkopot Netflow, izmantojot SPAN/RSPAN tehnoloģijas.

Kā jau teicu iepriekš, jūsu īstais tīkls var darboties kā laboratorijas stends, jo StealthWatch ir nepieciešama tikai kopija vai, pareizāk sakot, trafika kopijas izspiedums. Zemāk redzamajā attēlā redzams mans tīkls, kurā es drošības vārtejā konfigurēšu Netflow Exporter un rezultātā nosūtīšu Netflow uz savācēju.

Lai piekļūtu turpmākajām virtuālajām mašīnām, ugunsmūrī, ja jums tāds ir, ir jāatļauj tālāk norādītie porti.

TCP 22 l TCP 25 l TCP 389 l TCP 443 l TCP 2393 l TCP 5222 l UDP 53 l UDP 123 l UDP 161 l UDP 162 l UDP 389 l UDP 514 l 2055dp UDP

Daži no tiem ir labi zināmi pakalpojumi, daži ir rezervēti Cisco pakalpojumiem.
Manā gadījumā es vienkārši izvietoju StelathWatch tajā pašā tīklā, kur Check Point, un man nebija jākonfigurē nekādi atļauju noteikumi.

2. FlowCollector instalēšana, kā piemēru izmantojot VMware vSphere

2.1. Noklikšķiniet uz Pārlūkot un atlasiet OVF fails1. Pēc resursu pieejamības pārbaudes dodieties uz izvēlni Skats, Inventāri → Tīklošana (Ctrl+Shift+N).

2.2. Cilnē Networking virtuālā slēdža iestatījumos atlasiet Jauna izplatītā porta grupa.

2.3. Iestatiet nosaukumu, lai tas būtu StealthWatchPortGroup, pārējos iestatījumus var veikt kā ekrānuzņēmumā un noklikšķiniet uz Tālāk.

2.4. Portu grupas izveidi pabeidzam ar pogu Finish.

2.5. Rediģēsim izveidotās portu grupas iestatījumus, ar peles labo pogu noklikšķinot uz portu grupas un izvēloties Rediģēt iestatījumus. Cilnē Drošība noteikti iespējojiet “promiscuous mode”, Promiscuous Mode → Accept → OK.

2.6. Piemēram, importēsim OVF FlowCollector, kura lejupielādes saiti nosūtīja Cisco inženieris pēc GVE pieprasījuma. Ar peles labo pogu noklikšķiniet uz resursdatora, kurā plānojat izvietot virtuālo mašīnu, un atlasiet Izvietot OVF veidni. Runājot par piešķirto vietu, tas "iesāks" pie 50 GB, bet kaujas apstākļiem ieteicams atvēlēt 200 gigabaitus.

2.7. Atlasiet mapi, kurā atrodas OVF fails.

2.8. Noklikšķiniet uz "Tālāk".

2.9. Mēs norādām nosaukumu un serveri, kurā mēs to izvietojam.

2.10. Rezultātā mēs iegūstam šādu attēlu un noklikšķiniet uz "Pabeigt".

2.11. Mēs veicam tās pašas darbības, lai izvietotu StealthWatch pārvaldības konsoli.

2.12. Tagad saskarnēs jānorāda nepieciešamie tīkli, lai FlowCollector redzētu gan SMC, gan ierīces, no kurām Netflow tiks eksportēts.

3. StealthWatch pārvaldības konsoles inicializācija

3.1. Dodoties uz instalētās SMCVE mašīnas konsoli, pēc noklusējuma redzēsit vietu, kur ievadīt savu pieteikumvārdu un paroli sysadmin/lan1cope.

3.2. Mēs ejam uz vienumu Pārvaldība, iestatām IP adresi un citus tīkla parametrus, pēc tam apstiprinām to izmaiņas. Ierīce tiks restartēta.

3.3. Dodieties uz tīmekļa saskarni (izmantojot https uz adresi, kuru norādījāt SMC) un inicializējiet konsoli, noklusējuma pieteikumvārdu/paroli - admin/lan411cope.

PS: gadās, ka tas neatveras pārlūkā Google Chrome, Explorer vienmēr palīdzēs.

3.4. Noteikti nomainiet paroles, iestatiet DNS, NTP serverus, domēnu utt. Iestatījumi ir intuitīvi.

3.5. Pēc noklikšķināšanas uz pogas “Lietot”, ierīce tiks restartēta. Pēc 5-7 minūtēm jūs varat atkal izveidot savienojumu ar šo adresi; StealthWatch tiks pārvaldīts, izmantojot tīmekļa saskarni.

4. FlowCollector iestatīšana

4.1. Tāpat ir ar kolekcionāru. Pirmkārt, CLI mēs norādām IP adresi, masku, domēnu, pēc tam FC atsāknēšanu. Pēc tam varat izveidot savienojumu ar tīmekļa saskarni norādītajā adresē un veikt to pašu pamata iestatīšanu. Tā kā iestatījumi ir līdzīgi, detalizēti ekrānuzņēmumi tiek izlaisti. Akreditācijas dati lai ievadītu tas pats.

4.2. Priekšpēdējā punktā ir jāiestata SMC IP adrese, šajā gadījumā konsole redzēs ierīci, jums būs jāapstiprina šis iestatījums, ievadot savus akreditācijas datus.

4.3. Atlasiet StealthWatch domēnu, kas tika iestatīts agrāk, un portu 2055 – parastā Netflow, ja strādājat ar sFlow, portu 6343.

5. Netflow Exporter konfigurācija

5.1. Lai konfigurētu Netflow eksportētāju, es ļoti iesaku pievērsties šim resurss , šeit ir galvenās rokasgrāmatas Netflow eksportētāja konfigurēšanai daudzām ierīcēm: Cisco, Check Point, Fortinet.

5.2. Mūsu gadījumā, es atkārtoju, mēs eksportējam Netflow no Check Point vārtejas. Netflow eksportētājs ir konfigurēts tāda paša nosaukuma cilnē tīmekļa saskarnē (Gaia portālā). Lai to izdarītu, noklikšķiniet uz “Pievienot”, norādiet Netflow versiju un vajadzīgo portu.

6. StealthWatch darbības analīze

6.1. Pārejot uz SMC tīmekļa saskarni, pirmajā Dashboards > Network Security lapā var redzēt, ka trafiks ir sākusies!

6.2. Dažus iestatījumus, piemēram, saimniekdatoru sadalīšanu grupās, atsevišķu saskarņu uzraudzību, to slodzi, kolekcionāru pārvaldību un citus iestatījumus, var atrast tikai StealthWatch Java lietojumprogrammā. Protams, Cisco pamazām visu funkcionalitāti pārnes uz pārlūkprogrammas versiju un mēs drīzumā atteiksim no šāda desktop klienta.

Lai instalētu programmu, vispirms ir jāinstalē JRE (Es instalēju versiju 8, lai gan tiek teikts, ka tā tiek atbalstīta līdz 10) no oficiālās Oracle vietnes.

Pārvaldības konsoles tīmekļa saskarnes augšējā labajā stūrī, lai lejupielādētu, jānoklikšķina uz pogas “Desktop Client”.

Jūs saglabājat un instalējat klientu piespiedu kārtā, java, visticamāk, to zvēr, iespējams, java izņēmumiem būs jāpievieno resursdators.

Rezultātā atklājas diezgan skaidrs klients, kurā labi var redzēt eksportētāju, interfeisu, uzbrukumu un to plūsmu noslogošanu.

7. StealthWatch centrālā vadība

7.1. Cilnē Centrālā pārvaldība ir visas ierīces, kas ir daļa no izvietotā StealthWatch, piemēram: FlowCollector, FlowSensor, UDP-Director un Endpoint Concetrator. Tur varat pārvaldīt tīkla iestatījumus un ierīces pakalpojumus, licences un manuāli izslēgt ierīci.

To var atvērt, augšējā labajā stūrī noklikšķinot uz zobrata un atlasot Centrālā pārvaldība.

7.2. Programmā FlowCollector atverot sadaļu Rediģēt ierīces konfigurāciju, jūs redzēsit SSH, NTP un citus tīkla iestatījumus, kas saistīti ar pašu lietotni. Lai pārietu, vajadzīgajai ierīcei atlasiet Darbības → Rediģēt ierīces konfigurāciju.

7.3. Licenču pārvaldību var atrast arī cilnē Centrālā pārvaldība > Pārvaldīt licences. Izmēģinājuma licences GVE pieprasījuma gadījumā tiek piešķirtas 90 dienas.

Produkts ir gatavs lietošanai! Nākamajā daļā apskatīsim, kā StealthWatch var atpazīt uzbrukumus un ģenerēt atskaites.

Avots: www.habr.com