Cześć koledzy! Po ustaleniu minimalnych wymagań dotyczących wdrożenia StealthWatch w , możemy rozpocząć wdrażanie produktu.
1. Metody wdrażania StealthWatch
Istnieje kilka sposobów „dotknięcia” zegarka StealthWatch:
- – usługa chmurowa do pracy laboratoryjnej;
- Oparte na chmurze: – tutaj Netflow z Twojego urządzenia będzie spływał do chmury i tam będzie analizowany przez oprogramowanie StealthWatch;
- Punkt widzenia na miejscu () – metodą, którą zastosowałem, wyślą Ci 4 pliki OVF maszyn wirtualnych z wbudowanymi licencjami na 90 dni, które można wdrożyć na serwerze dedykowanym w sieci firmowej.
Pomimo dużej ilości pobranych maszyn wirtualnych, do minimalnej konfiguracji roboczej wystarczą tylko 2: StealthWatch Management Console i FlowCollector. Jeśli jednak nie ma urządzenia sieciowego, które mogłoby wyeksportować Netflow do FlowCollector, konieczne jest również wdrożenie FlowSensor, ponieważ ten ostatni umożliwia zbieranie Netflow przy użyciu technologii SPAN/RSPAN.
Jak powiedziałem wcześniej, twoja prawdziwa sieć może działać jak stół laboratoryjny, ponieważ StealthWatch potrzebuje jedynie kopii, lub, bardziej poprawnie, wyciśnięcia kopii ruchu. Poniższy obrazek przedstawia moją sieć, gdzie na bramce bezpieczeństwa skonfiguruję Netflow Exporter i w rezultacie wyślę Netflow do kolektora.
Aby uzyskać dostęp do przyszłych maszyn wirtualnych, w zaporze sieciowej należy zezwolić na następujące porty, jeśli je posiadasz:
TCP 22 l TCP 25 l TCP 389 l TCP 443 l TCP 2393 l TCP 5222 l UDP 53 l UDP 123 l UDP 161 l UDP 162 l UDP 389 l UDP 514 l UDP 2055 l UDP 6343
Niektóre z nich to usługi dobrze znane, inne są zarezerwowane dla usług Cisco.
W moim przypadku po prostu wdrożyłem StelathWatch w tej samej sieci co Check Point i nie musiałem konfigurować żadnych reguł uprawnień.
2. Instalacja FlowCollector na przykładzie VMware vSphere
2.1. Kliknij Przeglądaj i wybierz plik OVF1. Po sprawdzeniu dostępności zasobów przejdź do menu Widok, Inwentarz → Sieć (Ctrl+Shift+N).
2.2. Na karcie Sieć wybierz opcję Nowa grupa portów rozproszonych w ustawieniach przełącznika wirtualnego.
2.3. Ustaw nazwę, niech będzie to StealthWatchPortGroup, resztę ustawień możesz wykonać jak na zrzucie ekranu i kliknij Dalej.
2.4. Tworzenie Grupy Portów kończymy przyciskiem Zakończ.
2.5. Edytujmy ustawienia utworzonej Grupy Portów, klikając prawym przyciskiem myszy grupę portów i wybierając Edytuj ustawienia. W zakładce Bezpieczeństwo pamiętaj o włączeniu „trybu rozwiązłego”, Tryb rozwiązły → Akceptuj → OK.
2.6. Jako przykład zaimportujmy OVF FlowCollector, którego link do pobrania został przesłany przez inżyniera Cisco na żądanie GVE. Kliknij prawym przyciskiem myszy host, na którym planujesz wdrożyć maszynę wirtualną, i wybierz opcję Wdróż szablon OVF. Jeśli chodzi o przydzieloną przestrzeń, „uruchomi się” przy 50 GB, ale w warunkach bojowych zaleca się przydzielenie 200 gigabajtów.
2.7. Wybierz folder, w którym znajduje się plik OVF.
2.8. Kliknij Następny".
2.9. Wskazujemy nazwę i serwer, na którym go wdrażamy.
2.10. W rezultacie otrzymujemy następujący obraz i klikamy „Zakończ”.
2.11. Wykonujemy te same kroki, aby wdrożyć konsolę zarządzającą StealthWatch.
2.12. Teraz należy określić niezbędne sieci w interfejsach, aby FlowCollector widział zarówno SMC, jak i urządzenia, z których Netflow będzie eksportowany.
3. Inicjowanie konsoli zarządzania StealthWatch
3.1. Przechodząc do konsoli zainstalowanej maszyny SMCVE, domyślnie zobaczysz miejsce na wpisanie loginu i hasła sysadmin/lan1cope.
3.2. Przechodzimy do pozycji Zarządzanie, ustawiamy adres IP i inne parametry sieciowe, a następnie zatwierdzamy ich zmiany. Urządzenie uruchomi się ponownie.
3.3. Przejdź do interfejsu internetowego (przez https na adres podany w SMC) i zainicjuj konsolę, domyślny login/hasło - admin/lan411cope.
PS: zdarza się, że Google Chrome się nie otwiera, Explorer zawsze pomoże.
3.4. Pamiętaj o zmianie haseł, ustawieniu serwerów DNS, NTP, domeny itp. Ustawienia są intuicyjne.
3.5. Po kliknięciu przycisku „Zastosuj” urządzenie uruchomi się ponownie. Po 5-7 minutach możesz ponownie połączyć się z tym adresem; StealthWatch będzie zarządzany poprzez interfejs sieciowy.
4. Konfigurowanie FlowCollectora
4.1. Podobnie jest z kolektorem. Najpierw w CLI podajemy adres IP, maskę, domenę, następnie FC restartuje się. Następnie możesz połączyć się z interfejsem internetowym pod podanym adresem i przeprowadzić tę samą podstawową konfigurację. Ze względu na podobne ustawienia pominięto szczegółowe zrzuty ekranu. Referencje wejść ten sam.
4.2. W przedostatnim momencie musisz ustawić adres IP SMC, w tym przypadku konsola zobaczy urządzenie, będziesz musiał potwierdzić to ustawienie, wprowadzając swoje dane uwierzytelniające.
4.3. Wybierz domenę dla StealthWatch, która została ustawiona wcześniej, i port 2055 – zwykły Netflow, jeśli pracujesz z sFlow, port 6343.
5. Konfiguracja Netflow Exportera
5.1. Aby skonfigurować eksporter Netflow, gorąco polecam zwrócenie się do tego , oto główne przewodniki dotyczące konfiguracji eksportera Netflow dla wielu urządzeń: Cisco, Check Point, Fortinet.
5.2. W naszym przypadku, powtarzam, eksportujemy Netflow z bramki Check Point. Eksporter Netflow konfiguruje się w zakładce o tej samej nazwie w interfejsie internetowym (Portal Gaia). Aby to zrobić, kliknij „Dodaj”, określ wersję Netflow i wymagany port.
6. Analiza działania StealthWatch
6.1. Przechodząc do interfejsu sieciowego SMC, na pierwszej stronie Pulpity > Bezpieczeństwo sieci możesz zobaczyć, że ruch się rozpoczął!
6.2. Niektóre ustawienia, np. dzielenie hostów na grupy, monitorowanie poszczególnych interfejsów, ich obciążenia, zarządzanie kolektorami i inne, znajdziemy wyłącznie w aplikacji Java StealthWatch. Oczywiście Cisco powoli przenosi całą funkcjonalność na wersję przeglądarkową i wkrótce porzucimy takiego klienta desktopowego.
Aby zainstalować aplikację, musisz najpierw ją zainstalować (Zainstalowałem wersję 8, chociaż podobno jest obsługiwana do 10) z oficjalnej strony Oracle.
Aby pobrać, w prawym górnym rogu interfejsu internetowego konsoli zarządzania należy kliknąć przycisk „Klient stacjonarny”.
Zapisujesz i instalujesz klienta na siłę, Java najprawdopodobniej będzie na to przeklinać, może być konieczne dodanie hosta do wyjątków Java.
W rezultacie ujawnia się dość przejrzysty klient, w którym łatwo zobaczyć ładowanie eksporterów, interfejsów, ataków i ich przepływów.
7. Centralne zarządzanie StealthWatch
7.1. Zakładka Centralne zarządzanie zawiera wszystkie urządzenia wchodzące w skład wdrożonego StealthWatch, takie jak: FlowCollector, FlowSensor, UDP-Director i Endpoint Concetrator. Tam możesz zarządzać ustawieniami sieciowymi i usługami urządzenia, licencjami, a także ręcznie wyłączyć urządzenie.
Można do niego przejść klikając na „koło zębate” w prawym górnym rogu i wybierając Centralne Zarządzanie.
7.2. Przechodząc do opcji Edytuj konfigurację urządzenia w FlowCollector, zobaczysz SSH, NTP i inne ustawienia sieciowe związane z samą aplikacją. Aby przejść, wybierz Akcje → Edytuj konfigurację urządzenia dla wymaganego urządzenia.
7.3. Zarządzanie licencjami znajdziesz także w zakładce Centralne zarządzanie > Zarządzaj licencjami. Licencje próbne są wydawane na żądanie GVE Dni 90.
Produkt jest gotowy do użycia! W następnej części przyjrzymy się, jak StealthWatch może rozpoznawać ataki i generować raporty.
Źródło: www.habr.com