Сайн байна уу хамт олон! StealthWatch-г байрлуулахад тавигдах хамгийн бага шаардлагыг тодорхойлсон
1. StealthWatch-г ашиглах аргууд
StealthWatch-д "хүрэх" хэд хэдэн арга байдаг:
dcloud – лабораторийн ажилд зориулсан үүлэн үйлчилгээ;- Үүлэнд суурилсан:
Stealthwatch Cloud үнэгүй туршилт – энд таны төхөөрөмжөөс Netflow үүлэн рүү урсаж, StealthWatch программ хангамжаар тэнд дүн шинжилгээ хийх болно; - Газар дээрх POV (
GVE хүсэлт ) - Миний дагаж мөрдсөн арга бол тэд танд 4 хоногийн турш суурилуулсан лицензтэй виртуал машинуудын 90 OVF файлыг илгээх бөгөөд үүнийг корпорацийн сүлжээн дэх тусгай сервер дээр байрлуулах боломжтой.
Татаж авсан олон тооны виртуал машинуудыг үл харгалзан хамгийн бага ажиллах тохиргоонд ердөө 2 нь л хангалттай: StealthWatch Management Console болон FlowCollector. Гэсэн хэдий ч, хэрэв Netflow-ийг FlowCollector руу экспортлох сүлжээний төхөөрөмж байхгүй бол FlowSensor-ийг ашиглах шаардлагатай, учир нь сүүлийнх нь SPAN/RSPAN технологийг ашиглан Netflow цуглуулах боломжийг олгодог.
Өмнө дурьдсанчлан StealthWatch нь зөвхөн хуулбар, эсвэл илүү зөв бол хөдөлгөөний хуулбарыг шахах шаардлагатай тул таны жинхэнэ сүлжээ лабораторийн вандан болж чадна. Доорх зураг нь аюулгүй байдлын гарц дээр Netflow экспортлогчийг тохируулж, үр дүнд нь Netflow-ийг коллектор руу илгээх сүлжээг харуулж байна.
Ирээдүйн VM-д хандахын тулд, хэрэв танд байгаа бол таны галт хананд дараах портуудыг зөвшөөрөх ёстой:
TCP 22 л TCP 25 л TCP 389 л TCP 443 л TCP 2393 л TCP 5222 л UDP 53 л UDP 123 л UDP 161 л UDP 162 л UDP 389 л UDP 514 2055 UDP6343l
Тэдгээрийн зарим нь алдартай үйлчилгээнүүд, зарим нь Cisco үйлчилгээнд зориулагдсан байдаг.
Миний хувьд StelathWatch-ийг Check Point-тэй ижил сүлжээнд суулгасан бөгөөд ямар ч зөвшөөрлийн дүрмийг тохируулах шаардлагагүй байсан.
2. Жишээ болгон VMware vSphere ашиглан FlowCollector суулгаж байна
2.1. Browse товчийг дараад OVF файл1-г сонгоно уу. Нөөц байгаа эсэхийг шалгасны дараа View, Inventory → Networking (Ctrl+Shift+N) цэс рүү очно уу.
2.2. Сүлжээний таб дээрээс виртуал шилжүүлэгчийн тохиргооноос Шинэ тархсан портын бүлгийг сонгоно уу.
2.3. Нэрийг нь тохируулаад StealthWatchPortGroup байг, үлдсэн тохиргоог дэлгэцийн зураг дээрх шиг хийж, "Дараах" дээр дарна уу.
2.4. Бид Finish товчийг ашиглан портын бүлгийг үүсгэж дуусгана.
2.5. Портын бүлэг дээр хулганы баруун товчийг дараад "Тохиргоог засах" гэснийг сонгон үүсгэсэн портын бүлгийн тохиргоог засъя. "Аюулгүй байдал" таб дээр "Зөвшөөрөх горим", Садар самуун горим → Зөвшөөрөх → ЗА-г идэвхжүүлэхээ мартуузай.
2.6. Жишээ болгон, GVE хүсэлтийн дараа Cisco инженер илгээсэн татаж авах холбоосыг OVF FlowCollector-г импортолъё. VM-ийг байрлуулахаар төлөвлөж буй хост дээрээ хулганы баруун товчийг дараад OVF загварыг байрлуулах гэснийг сонгоно уу. Хуваарилагдсан зайны хувьд энэ нь 50 ГБ-аас "эхлэх" боловч байлдааны нөхцөлд 200 гигабайтыг хуваарилахыг зөвлөж байна.
2.7. OVF файл байгаа хавтсыг сонгоно уу.
2.8. "Дараах" дээр дарна уу.
2.9. Бид үүнийг хаана байрлуулах нэр, серверийг зааж өгдөг.
2.10. Үүний үр дүнд бид дараах зургийг аваад "Finish" дээр дарна уу.
2.11. Бид StealthWatch Удирдлагын Консолыг суулгахын тулд ижил алхмуудыг дагана.
2.12. Одоо та FlowCollector нь SMC болон Netflow экспортлох төхөөрөмжүүдийг хоёуланг нь харахын тулд интерфейсүүдэд шаардлагатай сүлжээг зааж өгөх хэрэгтэй.
3. StealthWatch удирдлагын консолыг эхлүүлж байна
3.1. Суулгасан SMCVE машины консол руу орсноор та анхдагчаар нэвтрэх болон нууц үгээ оруулах газрыг харах болно. sysadmin/lan1cope.
3.2. Бид Удирдлагын зүйл рүү очиж, IP хаяг болон сүлжээний бусад параметрүүдийг тохируулж, өөрчлөлтийг баталгаажуулна уу. Төхөөрөмж дахин ачаалах болно.
3.3. Вэб интерфэйс рүү (https-ээр дамжуулан SMC-д заасан хаягаар) очиж консол, анхдагч нэвтрэх/нууц үгээ эхлүүлнэ үү - admin/lan411cope.
Жич: Энэ нь Google Chrome дээр нээгддэггүй тул Explorer үргэлж туслах болно.
3.4. Нууц үг солих, DNS, NTP сервер, домэйн гэх мэтийг тохируулахаа мартуузай. Тохиргоонууд нь ойлгомжтой.
3.5. "Хэрэглэх" товчийг дарсны дараа төхөөрөмж дахин асах болно. 5-7 минутын дараа та энэ хаяг руу дахин холбогдох боломжтой; StealthWatch нь вэб интерфэйсээр удирдагдах болно.
4. FlowCollector-г тохируулах
4.1. Коллекторын хувьд ч мөн адил. Эхлээд CLI дээр бид IP хаяг, маск, домэйныг зааж өгөөд дараа нь FC дахин ачаалагдана. Дараа нь та заасан хаягаар вэб интерфэйстэй холбогдож, ижил үндсэн тохиргоог хийж болно. Тохиргоонууд нь ижил төстэй байгаа тул нарийвчилсан дэлгэцийн агшинг оруулаагүй болно. Итгэмжлэл орох адилхан.
4.2. Эцсийн шатанд та SMC-ийн IP хаягийг тохируулах хэрэгтэй бөгөөд энэ тохиолдолд консол нь төхөөрөмжийг харах болно, та итгэмжлэлээ оруулан энэ тохиргоог баталгаажуулах шаардлагатай болно.
4.3. StealthWatch-ийн домэйн, өмнө нь тохируулагдсан, портыг сонгоно уу 2055 – ердийн Netflow, хэрэв та sFlow-тэй ажиллаж байгаа бол порт 6343.
5. Netflow экспортлогчийн тохиргоо
5.1. Netflow экспортлогчийг тохируулахын тулд би үүнд хандахыг зөвлөж байна
5.2. Манай тохиолдолд, би давтан хэлье, бид Check Point гарцаас Netflow-ийг экспортлож байна. Netflow экспортлогчийг вэб интерфэйс (Gaia портал) дээрх ижил нэртэй таб дээр тохируулсан. Үүнийг хийхийн тулд "Нэмэх" дээр дарж, Netflow хувилбар болон шаардлагатай портыг зааж өгнө үү.
6. StealthWatch үйлдлийн шинжилгээ
6.1. SMC вэб интерфэйс рүү ороход Хяналтын самбар > Сүлжээний аюулгүй байдлын эхний хуудсан дээр та траффик эхэлснийг харж болно!
6.2. Зарим тохиргоо, жишээлбэл, хостуудыг бүлэгт хуваах, хувь хүний интерфейс, тэдгээрийн ачааллыг хянах, коллекторыг удирдах гэх мэтийг зөвхөн StealthWatch Java програмаас олж болно. Мэдээжийн хэрэг, Cisco бүх функцийг хөтчийн хувилбар руу аажмаар шилжүүлж байгаа бөгөөд бид удахгүй ийм ширээний клиентээс татгалзах болно.
Програмыг суулгахын тулд эхлээд суулгах хэрэгтэй
Удирдлагын консолын вэб интерфейсийн баруун дээд буланд татаж авахын тулд та "Ширээний үйлчлүүлэгч" товчийг дарах ёстой.
Та үйлчлүүлэгчийг хүчээр хадгалж суулгана, java үүнийг харааж зүхэх болно, та java-н үл хамаарах зүйлд хост нэмэх шаардлагатай байж магадгүй юм.
Үүний үр дүнд экспортлогчдын ачаалал, интерфэйс, халдлага, тэдгээрийн урсгалыг харахад хялбар үйлчлүүлэгч илчлэгдсэн.
7. StealthWatch төв удирдлага
7.1. Төвийн удирдлагын таб нь суулгасан StealthWatch-ийн нэг хэсэг болох FlowCollector, FlowSensor, UDP-Director, Endpoint Concetrator зэрэг бүх төхөөрөмжийг агуулдаг. Тэнд та сүлжээний тохиргоо болон төхөөрөмжийн үйлчилгээ, лицензийг удирдаж, төхөөрөмжийг гараар унтрааж болно.
Та баруун дээд буланд байрлах "араа" дээр товшоод Төвийн менежментийг сонгон очиж болно.
7.2. FlowCollector дахь Төхөөрөмжийн тохиргоог засах хэсэгт очсоноор та SSH, NTP болон програмтай холбоотой бусад сүлжээний тохиргоог харах болно. Явахын тулд шаардлагатай төхөөрөмжид Үйлдлүүд → Төхөөрөмжийн тохиргоог засах гэснийг сонгоно уу.
7.3. Лицензийн менежментийг мөн Төвийн удирдлага > Лицензийг удирдах таб дээрээс олж болно. GVE хүсэлт гаргасан тохиолдолд туршилтын лицензийг олгодог 90 хоног.
Бүтээгдэхүүн явахад бэлэн байна! Дараагийн хэсэгт бид StealthWatch хэрхэн халдлагыг таньж, тайлан гаргаж болохыг харах болно.
Эх сурвалж: www.habr.com