Hallo collega's! Na het bepalen van de minimale vereisten voor het inzetten van StealthWatch in , kunnen we beginnen met de implementatie van het product.
1. Methoden voor het inzetten van StealthWatch
Er zijn verschillende manieren om de StealthWatch te ‘aanraken’:
- – cloudservice voor laboratoriumwerk;
- Cloudgebaseerd: – hier stroomt Netflow van uw apparaat naar de cloud en wordt daar geanalyseerd door StealthWatch-software;
- POV op locatie () – de methode die ik heb gevolgd, ze sturen je 4 OVF-bestanden van virtuele machines met ingebouwde licenties gedurende 90 dagen, die kunnen worden ingezet op een speciale server op het bedrijfsnetwerk.
Ondanks de overvloed aan gedownloade virtuele machines zijn er voor een minimaal werkende configuratie slechts 2 voldoende: StealthWatch Management Console en FlowCollector. Als er echter geen netwerkapparaat is dat Netflow naar FlowCollector kan exporteren, dan is het ook noodzakelijk om FlowSensor in te zetten, aangezien u met laatstgenoemde Netflow kunt verzamelen met behulp van SPAN/RSPAN-technologieën.
Zoals ik al eerder zei, kan je echte netwerk als laboratorium fungeren, omdat StealthWatch alleen maar een kopie nodig heeft, of, beter gezegd, een kopie van een kopie van het verkeer. De onderstaande afbeelding toont mijn netwerk, waar ik op de beveiligingsgateway de Netflow Exporter zal configureren en als resultaat Netflow naar de collector zal sturen.
Om toegang te krijgen tot toekomstige VM's moeten de volgende poorten worden toegestaan op uw firewall, als u die heeft:
TCP 22 l TCP 25 l TCP 389 l TCP 443 l TCP 2393 l TCP 5222 l UDP 53 l UDP 123 l UDP 161 l UDP 162 l UDP 389 l UDP 514 l UDP 2055 l UDP 6343
Sommige ervan zijn bekende services, sommige zijn gereserveerd voor Cisco-services.
In mijn geval heb ik StelathWatch simpelweg op hetzelfde netwerk als Check Point geïmplementeerd en hoefde ik geen toestemmingsregels te configureren.
2. FlowCollector installeren met VMware vSphere als voorbeeld
2.1. Klik op Bladeren en selecteer OVF-bestand1. Nadat u de beschikbaarheid van bronnen heeft gecontroleerd, gaat u naar het menu Beeld, Inventaris → Netwerken (Ctrl+Shift+N).
2.2. Selecteer op het tabblad Netwerken de optie Nieuwe gedistribueerde poortgroep in de virtuele switchinstellingen.
2.3. Stel de naam in, laat het StealthWatchPortGroup zijn, de rest van de instellingen kunt u maken zoals in de screenshot en klik op Volgende.
2.4. Met de knop Voltooien voltooien we het aanmaken van de Portgroep.
2.5. Laten we de instellingen van de gemaakte poortgroep bewerken door met de rechtermuisknop op de poortgroep te klikken en Instellingen bewerken te selecteren. Zorg ervoor dat u op het tabblad Beveiliging de “promiscue modus”, Promiscue modus → Accepteren → OK inschakelt.
2.6. Laten we bijvoorbeeld OVF FlowCollector importeren, waarvan de downloadlink door een Cisco-ingenieur is verzonden na een GVE-verzoek. Klik met de rechtermuisknop op de host waarop u de VM wilt implementeren en selecteer OVF-sjabloon implementeren. Wat de toegewezen ruimte betreft, deze zal "opstarten" met 50 GB, maar voor gevechtsomstandigheden wordt aanbevolen om 200 gigabytes toe te wijzen.
2.7. Selecteer de map waarin het OVF-bestand zich bevindt.
2.8. Klik volgende".
2.9. We geven de naam en server aan waar we het inzetten.
2.10. Als gevolg hiervan krijgen we de volgende afbeelding en klikken we op "Voltooien".
2.11. We volgen dezelfde stappen om de StealthWatch Management Console te implementeren.
2.12. Nu moet u de benodigde netwerken in de interfaces opgeven, zodat FlowCollector zowel de SMC ziet als de apparaten waarvan Netflow wordt geëxporteerd.
3. StealthWatch-beheerconsole initialiseren
3.1. Als u naar de console van de geïnstalleerde SMCVE-machine gaat, ziet u standaard een plaats waar u uw gebruikersnaam en wachtwoord kunt invoeren sysadmin/lan1cope.
3.2. We gaan naar het item Beheer, stellen het IP-adres en andere netwerkparameters in en bevestigen vervolgens hun wijzigingen. Het apparaat zal opnieuw opstarten.
3.3. Ga naar de webinterface (via https naar het adres dat u hebt opgegeven in SMC) en initialiseer de console, standaard login/wachtwoord - admin/lan411cope.
PS: het komt voor dat het niet opent in Google Chrome, Explorer helpt altijd.
3.4. Zorg ervoor dat u wachtwoorden wijzigt, DNS, NTP-servers, domein, enz. instelt. De instellingen zijn intuïtief.
3.5. Nadat u op de knop "Toepassen" hebt geklikt, wordt het apparaat opnieuw opgestart. Na 5-7 minuten kunt u opnieuw verbinding maken met dit adres; StealthWatch wordt beheerd via een webinterface.
4. FlowCollector instellen
4.1. Hetzelfde geldt voor de verzamelaar. Eerst specificeren we in de CLI het IP-adres, het masker en het domein, waarna de FC opnieuw wordt opgestart. Vervolgens kunt u op het opgegeven adres verbinding maken met de webinterface en dezelfde basisconfiguratie uitvoeren. Omdat de instellingen vergelijkbaar zijn, zijn gedetailleerde schermafbeeldingen weggelaten. Referenties binnenkomen hetzelfde.
4.2. Op het voorlaatste punt moet u het IP-adres van de SMC instellen. In dit geval zal de console het apparaat zien. U moet deze instelling bevestigen door uw inloggegevens in te voeren.
4.3. Selecteer het domein voor StealthWatch, dat eerder is ingesteld, en de poort 2055 – reguliere Netflow, als u met sFlow werkt, port 6343.
5. Netflow Exporter-configuratie
5.1. Om de Netflow-exporteur te configureren, raad ik u ten zeerste aan hiernaar te kijken , hier zijn de belangrijkste handleidingen voor het configureren van de Netflow-exporteur voor veel apparaten: Cisco, Check Point, Fortinet.
5.2. In ons geval, ik herhaal, exporteren we Netflow vanuit de Check Point-gateway. Netflow-exporteur wordt geconfigureerd op een tabblad met dezelfde naam in de webinterface (Gaia Portal). Om dit te doen, klikt u op “Toevoegen”, specificeert u de Netflow-versie en de vereiste poort.
6. Analyse van de StealthWatch-werking
6.1. Als u naar de SMC-webinterface gaat, kunt u op de eerste pagina van Dashboards > Netwerkbeveiliging zien dat het verkeer is gestart!
6.2. Sommige instellingen, bijvoorbeeld het verdelen van hosts in groepen, het monitoren van individuele interfaces, hun belasting, het beheren van verzamelprogramma's en meer, zijn alleen te vinden in de StealthWatch Java-applicatie. Natuurlijk draagt Cisco alle functionaliteit langzaam over naar de browserversie en laten we zo'n desktopclient binnenkort varen.
Om de applicatie te installeren, moet u eerst installeren (Ik heb versie 8 geïnstalleerd, hoewel er wordt gezegd dat deze tot 10 wordt ondersteund) vanaf de officiële Oracle-website.
Om te downloaden, moet u in de rechterbovenhoek van de webinterface van de beheerconsole op de knop “Desktop Client” klikken.
U bewaart en installeert de client met geweld, Java zal er hoogstwaarschijnlijk tegen vloeken, het kan zijn dat u de host aan Java-uitzonderingen moet toevoegen.
Als resultaat wordt een vrij duidelijke client onthuld, waarin het laden van exporteurs, interfaces, aanvallen en hun stromen gemakkelijk te zien is.
7. Centraal beheer van StealthWatch
7.1. Op het tabblad Centraal Beheer staan alle apparaten die onderdeel zijn van de ingezette StealthWatch, zoals: FlowCollector, FlowSensor, UDP-Director en Endpoint Concetrator. Daar kunt u netwerkinstellingen, apparaatservices en licenties beheren en het apparaat handmatig uitschakelen.
Je kunt daar naartoe gaan door rechtsboven op het “tandwiel” te klikken en Centraal Beheer te selecteren.
7.2. Als u in FlowCollector naar Apparaatconfiguratie bewerken gaat, ziet u SSH, NTP en andere netwerkinstellingen gerelateerd aan de app zelf. Selecteer hiervoor Acties → Toestelconfiguratie bewerken voor het gewenste apparaat.
7.3. Licentiebeheer vindt u ook op het tabblad Centraal beheer > Licenties beheren. Proeflicenties in geval van GVE-aanvraag worden verstrekt 90 dagen.
Het product is klaar voor gebruik! In het volgende deel bekijken we hoe StealthWatch aanvallen kan herkennen en rapporten kan genereren.
Bron: www.habr.com