Hello kollegi! Wara li ddetermina r-rekwiżiti minimi għall-iskjerament ta' StealthWatch fi , nistgħu nibdew inħaddmu l-prodott.
1. Metodi għall-iskjerament ta' StealthWatch
Hemm diversi modi kif "tmiss" is-StealthWatch:
- – servizz cloud għal xogħol fil-laboratorju;
- Ibbażat fuq Sħab: – hawn Netflow mit-tagħmir tiegħek se jidħol fis-sħab u se jiġi analizzat hemmhekk mis-softwer StealthWatch;
- POV fil-post () – il-metodu li segwejt, huma jibagħtulek 4 fajls OVF ta 'magni virtwali b'liċenzji integrati għal 90 jum, li jistgħu jiġu skjerati fuq server dedikat fuq in-netwerk korporattiv.
Minkejja l-abbundanza ta 'magni virtwali mniżżla, għal konfigurazzjoni ta' ħidma minima 2 biss huma biżżejjed: StealthWatch Management Console u FlowCollector. Madankollu, jekk ma jkun hemm l-ebda apparat tan-netwerk li jista' jesporta Netflow għal FlowCollector, allura huwa wkoll meħtieġ li tuża FlowSensor, peress li dan tal-aħħar jippermettilek tiġbor Netflow billi tuża teknoloġiji SPAN/RSPAN.
Kif għedt qabel, in-netwerk reali tiegħek jista 'jaġixxi bħala bank tal-laboratorju, peress li StealthWatch jeħtieġ biss kopja, jew, b'mod aktar korrett, għafsa ta' kopja tat-traffiku. L-istampa hawn taħt turi n-netwerk tiegħi, fejn fuq il-portal tas-sigurtà ser nikkonfigura l-Esportatur Netflow u, bħala riżultat, nibgħat Netflow lill-kollettur.
Biex taċċessa VMs futuri, il-portijiet li ġejjin għandhom ikunu permessi fuq il-firewall tiegħek, jekk għandek wieħed:
TCP 22 l TCP 25 l TCP 389 l TCP 443 l TCP 2393 l TCP 5222 l UDP 53 l UDP 123 l UDP 161 l UDP 162 l UDP 389 l UDP 514 l UDP 2055 l UDP 6343
Xi wħud minnhom huma servizzi magħrufa, xi wħud huma riżervati għas-servizzi Cisco.
Fil-każ tiegħi, sempliċement skjerajt StelathWatch fuq l-istess netwerk bħal Check Point, u ma kellix għalfejn tikkonfigura l-ebda regola ta 'permess.
2. Installazzjoni ta' FlowCollector billi tuża VMware vSphere bħala eżempju
2.1. Ikklikkja Ibbrawżja u agħżel OVF file1. Wara li tiċċekkja d-disponibbiltà tar-riżorsi, mur fil-menu View, Inventarju → Netwerking (Ctrl+Shift+N).
2.2. Fit-tab tan-Netwerking, agħżel il-grupp tal-port imqassam Ġdid fis-settings tal-iswiċċ virtwali.
2.3. Issettja l-isem, ħalliha tkun StealthWatchPortGroup, il-bqija tas-settings jistgħu jsiru bħal fil-screenshot u kklikkja Li jmiss.
2.4. Inlestu l-ħolqien tal-Grupp tal-Port bil-buttuna Finish.
2.5. Ejja neditjaw is-settings tal-Grupp tal-Port maħluq billi tikklikkja bil-lemin fuq il-grupp tal-port u tagħżel Edit Settings. Fit-tab tas-Sigurtà, kun żgur li tattiva l-"modalità promiskua", Modalità Promiskwa → Aċċetta → OK.
2.6. Bħala eżempju, ejja nimportaw OVF FlowCollector, li l-link tat-tniżżil għalih intbagħtet minn inġinier Cisco wara talba GVE. Ikklikkja bil-lemin fuq l-host li fuqu qed tippjana li tuża l-VM u agħżel Ikklikkja l-OVF Template. Rigward l-ispazju allokat, se "jibda" f'50 GB, iżda għall-kundizzjonijiet tal-ġlieda huwa rakkomandat li jiġu allokati 200 gigabytes.
2.7. Agħżel il-folder fejn jinsab il-fajl OVF.
2.8. Ikklikkja "Li jmiss".
2.9. Nindikaw l-isem u s-server fejn niskjerawh.
2.10. Bħala riżultat, aħna tikseb l-istampa li ġejja u kklikkja "Finish".
2.11. Aħna nsegwu l-istess passi biex niskjeraw il-Console ta 'Ġestjoni StealthWatch.
2.12. Issa trid tispeċifika n-netwerks meħtieġa fl-interfaces sabiex FlowCollector jara kemm l-SMC kif ukoll l-apparat li minnu Netflow se jiġi esportat.
3. Inizjalizzazzjoni StealthWatch Management Console
3.1. Billi tmur fil-console tal-magna SMCVE installata, tara post fejn tidħol il-login u l-password tiegħek, b'mod awtomatiku sysadmin/lan1cope.
3.2. Immorru għall-oġġett ta 'Ġestjoni, issettja l-indirizz IP u parametri oħra tan-netwerk, imbagħad nikkonfermaw il-bidliet tagħhom. L-apparat se jerġa 'jibda.
3.3. Mur fl-interface tal-web (permezz https għall-indirizz li speċifikajt fl-SMC) u inizjalizza l-console, login/password default - admin/lan411cope.
PS: jiġri li ma jinfetaħx fil-Google Chrome, Explorer dejjem se jgħin.
3.4. Kun żgur li tibdel il-passwords, issettja DNS, servers NTP, dominju, eċċ. Is-settings huma intuwittivi.
3.5. Wara li tikklikkja l-buttuna "Applika", l-apparat jerġa 'jibda. Wara 5-7 minuti tista' terġa' tikkonnettja ma' dan l-indirizz; StealthWatch se jiġi ġestit permezz ta' interface tal-web.
4. Twaqqif ta' FlowCollector
4.1. Huwa l-istess mal-kollettur. L-ewwel, fis-CLI aħna nispeċifikaw l-indirizz IP, maskra, dominju, imbagħad l-FC reboots. Tista' mbagħad tikkonnettja mal-interface tal-web fl-indirizz speċifikat u twettaq l-istess setup bażiku. Minħabba l-fatt li s-settings huma simili, screenshots dettaljati jitħallew barra. Kredenzjali tidħol l-istess.
4.2. Fil-punt ta 'qabel l-aħħar, għandek bżonn tissettja l-indirizz IP tal-SMC, f'dan il-każ il-console se tara l-apparat, ser ikollok tikkonferma dan is-setting billi ddaħħal il-kredenzjali tiegħek.
4.3. Agħżel id-dominju għal StealthWatch, ġie stabbilit qabel, u l-port 2055 – Netflow regolari, jekk qed taħdem ma sFlow, port 6343.
5. Konfigurazzjoni Netflow Exporter
5.1. Biex tikkonfigura l-esportatur Netflow, nirrakkomanda ħafna li ddur għal dan , Hawn huma l-gwidi ewlenin għall-konfigurazzjoni tal-esportatur Netflow għal ħafna apparati: Cisco, Check Point, Fortinet.
5.2. Fil-każ tagħna, nirrepeti, qed nesportaw Netflow mill-portal ta 'Check Point. L-esportatur Netflow huwa kkonfigurat f'tab tal-istess isem fl-interface tal-web (Gaia Portal). Biex tagħmel dan, ikklikkja "Żid", speċifika l-verżjoni Netflow u l-port meħtieġ.
6. Analiżi tal-operat StealthWatch
6.1. Meta tmur għall-interface tal-web SMC, fl-ewwel paġna ta 'Dashboards > Sigurtà tan-Netwerk tista' tara li t-traffiku beda!
6.2. Xi settings, pereżempju, li jinqasmu hosts fi gruppi, jimmonitorjaw interfaces individwali, it-tagħbija tagħhom, jimmaniġġjaw kolletturi, u aktar, jistgħu jinstabu biss fl-applikazzjoni StealthWatch Java. Naturalment, Cisco qed jittrasferixxi bil-mod il-funzjonalità kollha għall-verżjoni tal-browser u dalwaqt se nabbandunaw klijent tad-desktop bħal dan.
Biex tinstalla l-applikazzjoni, l-ewwel trid tinstalla (I installajt il-verżjoni 8, għalkemm jingħad li hija appoġġjata sa 10) mill-websajt uffiċjali tal-Oracle.
Fir-rokna ta 'fuq tal-lemin tal-interface tal-web tal-console ta' ġestjoni, biex tniżżel, trid tikklikkja l-buttuna "Desktop Client".
Inti tiffranka u tinstalla l-klijent bil-forza, java x'aktarx se naħlef fuqu, jista 'jkollok bżonn iżżid l-ospitant ma' eċċezzjonijiet java.
Bħala riżultat, jiġi żvelat klijent pjuttost ċar, li fih huwa faċli li tara t-tagħbija ta 'esportaturi, interfaces, attakki u l-flussi tagħhom.
7. Ġestjoni Ċentrali StealthWatch
7.1. It-tab tal-Ġestjoni Ċentrali fiha l-apparati kollha li huma parti mis-StealthWatch skjerati, bħal: FlowCollector, FlowSensor, UDP-Director u Endpoint Concetrator. Hemmhekk tista' timmaniġġja s-settings tan-netwerk u s-servizzi tal-apparat, il-liċenzji, u itfi l-apparat manwalment.
Tista 'tmur għaliha billi tikklikkja fuq l-"irkaptu" fir-rokna ta' fuq tal-lemin u tagħżel Ġestjoni Ċentrali.
7.2. Billi tmur Editja l-Konfigurazzjoni tal-Appliance f'FlowCollector, tara SSH, NTP u settings oħra tan-netwerk relatati mal-app nnifisha. Biex tmur, agħżel Azzjonijiet → Editja l-Konfigurazzjoni tal-Appliance għall-apparat meħtieġ.
7.3. Il-ġestjoni tal-liċenzja tista' tinstab ukoll fit-tab ta' Ġestjoni Ċentrali > Immaniġġja Liċenzji. Liċenzji ta' prova f'każ ta' talba GVE jingħataw għal 90 jiem.
Il-prodott huwa lest biex imur! Fil-parti li jmiss, aħna ser inħarsu lejn kif StealthWatch jista 'jirrikonoxxi attakki u jiġġenera rapporti.
Sors: www.habr.com