Olá colegas! Tendo determinado os requisitos mínimos para implantação do StealthWatch em , podemos começar a implantar o produto.
1. Métodos para implantação do StealthWatch
Existem várias maneiras de “tocar” no StealthWatch:
- – serviço em nuvem para trabalhos de laboratório;
- Baseado em nuvem: – aqui o Netflow do seu dispositivo fluirá para a nuvem e será analisado lá pelo software StealthWatch;
- Ponto de vista local () – pelo método que segui, eles enviarão 4 arquivos OVF de máquinas virtuais com licenças integradas por 90 dias, que podem ser implantados em um servidor dedicado na rede corporativa.
Apesar da abundância de máquinas virtuais baixadas, para uma configuração mínima de trabalho, apenas 2 são suficientes: StealthWatch Management Console e FlowCollector. Porém, se não houver nenhum dispositivo de rede que possa exportar Netflow para FlowCollector, então também é necessário implantar o FlowSensor, já que este último permite coletar Netflow usando tecnologias SPAN/RSPAN.
Como eu disse anteriormente, sua rede real pode funcionar como uma bancada de laboratório, já que o StealthWatch só precisa de uma cópia, ou, mais corretamente, de uma cópia do tráfego. A figura abaixo mostra minha rede, onde no gateway de segurança irei configurar o Netflow Exporter e, como resultado, enviarei o Netflow para o coletor.
Para acessar futuras VMs, as seguintes portas devem ser permitidas no seu firewall, se você tiver um:
TCP 22 l TCP 25 l TCP 389 l TCP 443 l TCP 2393 l TCP 5222 l UDP 53 l UDP 123 l UDP 161 l UDP 162 l UDP 389 l UDP 514 l UDP 2055 l UDP 6343
Alguns deles são serviços bem conhecidos, outros são reservados para serviços Cisco.
No meu caso, simplesmente implantei o StelathWatch na mesma rede do Check Point e não precisei configurar nenhuma regra de permissão.
2. Instalando o FlowCollector usando VMware vSphere como exemplo
2.1. Clique em Procurar e selecione Arquivo OVF1. Após verificar a disponibilidade dos recursos, acesse o menu Visualizar, Inventário → Rede (Ctrl+Shift+N).
2.2. Na guia Rede, selecione Novo grupo de portas distribuídas nas configurações do switch virtual.
2.3. Defina o nome, seja StealthWatchPortGroup, o restante das configurações podem ser feitas como na imagem e clique em Avançar.
2.4. Concluímos a criação do Grupo de Portas com o botão Concluir.
2.5. Vamos editar as configurações do grupo de portas criado clicando com o botão direito no grupo de portas e selecionando Editar configurações. Na guia Segurança, certifique-se de ativar o “modo promíscuo”, Modo promíscuo → Aceitar → OK.
2.6. Como exemplo, vamos importar o OVF FlowCollector, cujo link de download foi enviado por um engenheiro da Cisco após uma solicitação do GVE. Clique com o botão direito no host no qual você planeja implantar a VM e selecione Implantar modelo OVF. Quanto ao espaço alocado, ele “iniciará” em 50 GB, mas para condições de combate é recomendado alocar 200 gigabytes.
2.7. Selecione a pasta onde o arquivo OVF está localizado.
2.8. Clique em “Avançar”.
2.9. Indicamos o nome e o servidor onde o implantamos.
2.10. Como resultado, obtemos a seguinte imagem e clicamos em “Concluir”.
2.11. Seguimos as mesmas etapas para implantar o console de gerenciamento StealthWatch.
2.12. Agora você precisa especificar as redes necessárias nas interfaces para que o FlowCollector veja o SMC e os dispositivos dos quais o Netflow será exportado.
3. Inicializando o console de gerenciamento StealthWatch
3.1. Acessando o console da máquina SMCVE instalada, você verá um local para inserir seu login e senha, por padrão administrador de sistema/lan1cope.
3.2. Vamos ao item Gerenciamento, definimos o endereço IP e outros parâmetros de rede e, a seguir, confirmamos suas alterações. O dispositivo será reiniciado.
3.3. Vá para a interface web (via https para o endereço que você especificou no SMC) e inicialize o console, login/senha padrão - administrador/lan411cope.
PS: acontece que não abre no Google Chrome, o Explorer sempre vai ajudar.
3.4. Certifique-se de alterar as senhas, definir DNS, servidores NTP, domínio, etc. As configurações são intuitivas.
3.5. Após clicar no botão “Aplicar”, o dispositivo será reiniciado novamente. Após 5 a 7 minutos você poderá se conectar novamente a este endereço; StealthWatch será gerenciado através de uma interface web.
4. Configurando o FlowCollector
4.1. O mesmo acontece com o colecionador. Primeiro, na CLI especificamos o endereço IP, máscara, domínio e, em seguida, o FC é reinicializado. Você pode então conectar-se à interface da web no endereço especificado e realizar a mesma configuração básica. Devido ao fato de as configurações serem semelhantes, as capturas de tela detalhadas são omitidas. Credenciais entrar o mesmo.
4.2. No penúltimo ponto você precisa definir o endereço IP do SMC, neste caso o console verá o dispositivo, você terá que confirmar esta configuração inserindo suas credenciais.
4.3. Selecione o domínio para StealthWatch, ele foi definido anteriormente, e a porta 2055 – Netflow regular, se você estiver trabalhando com sFlow, porta 6343.
5. Configuração do exportador Netflow
5.1. Para configurar o exportador Netflow, recomendo fortemente recorrer a este , aqui estão os principais guias para configurar o exportador Netflow para vários dispositivos: Cisco, Check Point, Fortinet.
5.2. No nosso caso, repito, estamos exportando Netflow do gateway Check Point. O exportador Netflow é configurado em uma aba de mesmo nome na interface web (Portal Gaia). Para fazer isso, clique em “Adicionar”, especifique a versão do Netflow e a porta necessária.
6. Análise da operação StealthWatch
6.1. Indo para a interface web do SMC, na primeira página de Dashboards > Network Security você pode ver que o tráfego começou!
6.2. Algumas configurações, por exemplo, dividir hosts em grupos, monitorar interfaces individuais, sua carga, gerenciar coletores e muito mais, só podem ser encontradas no aplicativo StealthWatch Java. É claro que a Cisco está transferindo lentamente todas as funcionalidades para a versão do navegador e em breve abandonaremos esse cliente de desktop.
Para instalar o aplicativo, você deve primeiro instalar (Instalei a versão 8, embora digam que é suportada até 10) do site oficial da Oracle.
No canto superior direito da interface web do console de gerenciamento, para fazer o download, você deve clicar no botão “Desktop Client”.
Você salva e instala o cliente à força, o java provavelmente irá xingá-lo, pode ser necessário adicionar o host às exceções do java.
Como resultado, revela-se um cliente bastante claro, no qual é fácil visualizar o carregamento dos exportadores, interfaces, ataques e seus fluxos.
7. Gerenciamento Central StealthWatch
7.1. A aba Gerenciamento Central contém todos os dispositivos que fazem parte do StealthWatch implantado, como: FlowCollector, FlowSensor, UDP-Director e Endpoint Concetrator. Lá você pode gerenciar configurações de rede e serviços do dispositivo, licenças e desligar manualmente o dispositivo.
Você pode acessá-lo clicando na “engrenagem” no canto superior direito e selecionando Gerenciamento Central.
7.2. Ao acessar Editar configuração do dispositivo no FlowCollector, você verá SSH, NTP e outras configurações de rede relacionadas ao próprio aplicativo. Para prosseguir, selecione Ações → Editar configuração do dispositivo para o dispositivo necessário.
7.3. O gerenciamento de licenças também pode ser encontrado na guia Gerenciamento Central > Gerenciar Licenças. Licenças de teste em caso de solicitação do GVE são concedidas para Dia 90.
O produto está pronto para uso! Na próxima parte, veremos como o StealthWatch pode reconhecer ataques e gerar relatórios.
Fonte: habr.com