Hei kollegaer! Etter å ha bestemt minimumskravene for å distribuere StealthWatch i , kan vi begynne å distribuere produktet.
1. Metoder for å distribuere StealthWatch
Det er flere måter å "røre" på StealthWatch:
- – skytjeneste for laboratoriearbeid;
- Skybasert: – her vil Netflow fra enheten din strømme inn i skyen og vil bli analysert der av StealthWatch-programvare;
- POV på stedet () – metoden jeg fulgte, vil de sende deg 4 OVF-filer av virtuelle maskiner med innebygde lisenser i 90 dager, som kan distribueres på en dedikert server på bedriftsnettverket.
Til tross for overfloden av nedlastede virtuelle maskiner, for en minimal fungerende konfigurasjon er bare 2 nok: StealthWatch Management Console og FlowCollector. Men hvis det ikke er noen nettverksenhet som kan eksportere Netflow til FlowCollector, er det også nødvendig å distribuere FlowSensor, siden sistnevnte lar deg samle Netflow ved å bruke SPAN/RSPAN-teknologier.
Som jeg sa tidligere, kan ditt virkelige nettverk fungere som en laboratoriebenk, siden StealthWatch bare trenger en kopi, eller mer korrekt, en klemme av en kopi av trafikken. Bildet nedenfor viser nettverket mitt, hvor jeg på sikkerhetsgatewayen vil konfigurere Netflow Exporter og som et resultat sende Netflow til samleren.
For å få tilgang til fremtidige VM-er, bør følgende porter være tillatt på brannmuren din, hvis du har en:
TCP 22 l TCP 25 l TCP 389 l TCP 443 l TCP 2393 l TCP 5222 l UDP 53 l UDP 123 l UDP 161 l UDP 162 l UDP 389 l UDP 514 l UDP 2055 l UDP 6343
Noen av dem er velkjente tjenester, noen er forbeholdt Cisco-tjenester.
I mitt tilfelle distribuerte jeg ganske enkelt StelathWatch på samme nettverk som Check Point, og trengte ikke å konfigurere noen tillatelsesregler.
2. Installere FlowCollector ved å bruke VMware vSphere som eksempel
2.1. Klikk på Bla gjennom og velg OVF-fil1. Etter å ha sjekket tilgjengeligheten av ressurser, gå til menyen Vis, Inventar → Nettverk (Ctrl+Shift+N).
2.2. I kategorien Nettverk velger du Ny distribuert portgruppe i innstillingene for virtuell svitsj.
2.3. Sett navnet, la det være StealthWatchPortGroup, resten av innstillingene kan gjøres som på skjermbildet og klikk Neste.
2.4. Vi fullfører opprettelsen av havnegruppen med Fullfør-knappen.
2.5. La oss redigere innstillingene for den opprettede portgruppen ved å høyreklikke på portgruppen og velge Rediger innstillinger. I kategorien Sikkerhet, sørg for å aktivere "promiskuøs modus", promiskuøs modus → Godta → OK.
2.6. Som et eksempel, la oss importere OVF FlowCollector, nedlastingslenken som ble sendt av en Cisco-ingeniør etter en GVE-forespørsel. Høyreklikk på verten du planlegger å distribuere VM på, og velg Deploy OVF Template. Når det gjelder den tildelte plassen, vil den "starte opp" ved 50 GB, men for kampforhold anbefales det å tildele 200 gigabyte.
2.7. Velg mappen der OVF-filen er plassert.
2.8. Klikk "Neste".
2.9. Vi angir navnet og serveren der vi distribuerer det.
2.10. Som et resultat får vi følgende bilde og klikker på "Fullfør".
2.11. Vi følger de samme trinnene for å distribuere StealthWatch Management Console.
2.12. Nå bør du spesifisere de nødvendige nettverkene i grensesnittene slik at FlowCollector ser både SMC og enhetene som Netflow skal eksporteres fra.
3. Initialisering av StealthWatch Management Console
3.1. Ved å gå til konsollen til den installerte SMCVE-maskinen, vil du se et sted å skrive inn login og passord, som standard sysadmin/lan1cope.
3.2. Vi går til administrasjonselementet, setter IP-adressen og andre nettverksparametere, og bekrefter deretter endringene. Enheten vil starte på nytt.
3.3. Gå til nettgrensesnittet (via https til adressen du spesifiserte i SMC) og initialiser konsollen, standard pålogging/passord - admin/lan411cope.
PS: det hender at den ikke åpnes i Google Chrome, Explorer vil alltid hjelpe.
3.4. Sørg for å endre passord, angi DNS, NTP-servere, domene osv. Innstillingene er intuitive.
3.5. Etter å ha klikket på "Bruk"-knappen, starter enheten på nytt. Etter 5-7 minutter kan du koble til denne adressen igjen; StealthWatch vil bli administrert via et nettgrensesnitt.
4. Sette opp FlowCollector
4.1. Det er det samme med samleren. Først, i CLI spesifiserer vi IP-adressen, masken, domenet, så starter FC på nytt. Du kan deretter koble til nettgrensesnittet på den angitte adressen og utføre det samme grunnleggende oppsettet. På grunn av det faktum at innstillingene er like, er detaljerte skjermbilder utelatt. Legitimasjon å gå inn det samme.
4.2. På det nest siste punktet må du angi IP-adressen til SMC, i dette tilfellet vil konsollen se enheten, du må bekrefte denne innstillingen ved å skrive inn legitimasjonen din.
4.3. Velg domenet for StealthWatch, det ble satt tidligere, og porten 2055 – vanlig Netflow, hvis du jobber med sFlow, port 6343.
5. Konfigurasjon av Netflow Exporter
5.1. For å konfigurere Netflow-eksportøren anbefaler jeg på det sterkeste å vende seg til denne , her er hovedveiledningene for å konfigurere Netflow-eksportøren for mange enheter: Cisco, Check Point, Fortinet.
5.2. I vårt tilfelle, jeg gjentar, eksporterer vi Netflow fra Check Point-gatewayen. Netflow-eksportør konfigureres i en fane med samme navn i webgrensesnittet (Gaia Portal). For å gjøre dette, klikk "Legg til", spesifiser Netflow-versjonen og den nødvendige porten.
6. Analyse av StealthWatch-operasjonen
6.1. Når du går til SMC-nettgrensesnittet, på den første siden av Dashboards > Network Security kan du se at trafikken har startet!
6.2. Noen innstillinger, for eksempel å dele verter i grupper, overvåke individuelle grensesnitt, deres belastning, administrere samlere og mer, kan bare finnes i StealthWatch Java-applikasjonen. Selvfølgelig overfører Cisco sakte all funksjonalitet til nettleserversjonen, og vi vil snart forlate en slik skrivebordsklient.
For å installere applikasjonen må du først installere (Jeg installerte versjon 8, selv om det sies at den støttes opptil 10) fra den offisielle Oracle-nettsiden.
Øverst til høyre i nettgrensesnittet til administrasjonskonsollen må du klikke på "Desktop Client"-knappen for å laste ned.
Du lagrer og installerer klienten med makt, java vil mest sannsynlig sverge på det, du må kanskje legge til verten til java-unntak.
Som et resultat avsløres en ganske tydelig klient, der det er lett å se lasting av eksportører, grensesnitt, angrep og deres flyt.
7. StealthWatch sentralstyring
7.1. Sentral administrasjon-fanen inneholder alle enheter som er en del av den utplasserte StealthWatch, for eksempel: FlowCollector, FlowSensor, UDP-Director og Endpoint Concetrator. Der kan du administrere nettverksinnstillinger og enhetstjenester, lisenser og manuelt slå av enheten.
Du kan gå til den ved å klikke på "tannhjulet" i øvre høyre hjørne og velge Sentral administrasjon.
7.2. Ved å gå til Rediger enhetskonfigurasjon i FlowCollector vil du se SSH, NTP og andre nettverksinnstillinger relatert til selve appen. For å gå, velg Handlinger → Rediger enhetskonfigurasjon for den nødvendige enheten.
7.3. Lisensadministrasjon finnes også i Sentral administrasjon > Administrer lisenser-fanen. Prøvelisenser i tilfelle GVE-forespørsel er gitt for 90 dager.
Produktet er klart til bruk! I neste del skal vi se på hvordan StealthWatch kan gjenkjenne angrep og generere rapporter.
Kilde: www.habr.com