Salut colegi! După ce au stabilit cerințele minime pentru implementarea StealthWatch în , putem începe implementarea produsului.
1. Metode de implementare a StealthWatch
Există mai multe moduri de a „atinge” StealthWatch:
- – serviciu cloud pentru munca de laborator;
- Bazat pe cloud: – aici Netflow de pe dispozitivul tău va curge în cloud și va fi analizat acolo de software-ul StealthWatch;
- POV on-premise () – metoda pe care am urmat-o, vă vor trimite 4 fișiere OVF de mașini virtuale cu licențe încorporate timp de 90 de zile, care pot fi implementate pe un server dedicat în rețeaua corporativă.
În ciuda abundenței de mașini virtuale descărcate, pentru o configurație de lucru minimă sunt suficiente doar 2: StealthWatch Management Console și FlowCollector. Cu toate acestea, dacă nu există un dispozitiv de rețea care să poată exporta Netflow în FlowCollector, atunci este, de asemenea, necesar să instalați FlowSensor, deoarece acesta din urmă vă permite să colectați Netflow folosind tehnologiile SPAN/RSPAN.
După cum am spus mai devreme, rețeaua dvs. reală poate acționa ca un banc de laborator, deoarece StealthWatch are nevoie doar de o copie sau, mai corect, de o comprimare a unei copii a traficului. Imaginea de mai jos arată rețeaua mea, unde pe gateway-ul de securitate voi configura Netflow Exporter și, ca urmare, voi trimite Netflow la colector.
Pentru a accesa viitoarele VM, următoarele porturi ar trebui să fie permise pe firewall, dacă aveți unul:
TCP 22 l TCP 25 l TCP 389 l TCP 443 l TCP 2393 l TCP 5222 l UDP 53 l UDP 123 l UDP 161 l UDP 162 l UDP 389 l UDP 514 l UDP 2055 l UDP 6343
Unele dintre ele sunt servicii cunoscute, altele sunt rezervate serviciilor Cisco.
În cazul meu, pur și simplu am implementat StelathWatch în aceeași rețea cu Check Point și nu a trebuit să configurez nicio regulă de permisiune.
2. Instalarea FlowCollector folosind VMware vSphere ca exemplu
2.1. Faceți clic pe Răsfoire și selectați fișierul OVF1. După verificarea disponibilității resurselor, accesați meniul Vizualizare, Inventar → Rețea (Ctrl+Shift+N).
2.2. În fila Rețea, selectați Grup nou de porturi distribuite în setările comutatorului virtual.
2.3. Setați numele, lăsați-l să fie StealthWatchPortGroup, restul setărilor pot fi făcute ca în captură de ecran și faceți clic pe Următorul.
2.4. Finalizăm crearea Grupului de porturi cu butonul Terminare.
2.5. Să edităm setările grupului de porturi creat făcând clic dreapta pe grupul de porturi și selectând Editare setări. În fila Securitate, asigurați-vă că activați „modul promiscuu”, Modul promiscuu → Acceptare → OK.
2.6. De exemplu, să importăm OVF FlowCollector, linkul de descărcare pentru care a fost trimis de un inginer Cisco după o solicitare GVE. Faceți clic dreapta pe gazda pe care intenționați să implementați VM și selectați Implementați șablon OVF. În ceea ce privește spațiul alocat, acesta va „porni” la 50 GB, dar pentru condiții de luptă se recomandă alocarea a 200 de gigaocteți.
2.7. Selectați folderul în care se află fișierul OVF.
2.8. Faceți clic pe „Următorul”.
2.9. Indicăm numele și serverul unde îl implementăm.
2.10. Ca rezultat, obținem următoarea imagine și facem clic pe „Finish”.
2.11. Urmăm aceiași pași pentru a implementa Consola de management StealthWatch.
2.12. Acum trebuie să specificați rețelele necesare în interfețe, astfel încât FlowCollector să vadă atât SMC-ul, cât și dispozitivele de pe care Netflow va fi exportat.
3. Inițializarea StealthWatch Management Console
3.1. Mergând la consola mașinii SMCVE instalate, veți vedea un loc pentru a vă introduce login și parola, implicit sysadmin/lan1cope.
3.2. Mergem la elementul Management, setăm adresa IP și alți parametri de rețea, apoi confirmăm modificările acestora. Dispozitivul se va reporni.
3.3. Accesați interfața web (prin https la adresa pe care ați specificat-o în SMC) și inițializați consola, login/parolă implicită - admin/lan411cope.
PS: se întâmplă că nu se deschide în Google Chrome, Explorer vă va ajuta întotdeauna.
3.4. Asigurați-vă că schimbați parolele, setați serverele DNS, NTP, domeniul etc. Setarile sunt intuitive.
3.5. După ce faceți clic pe butonul „Aplicați”, dispozitivul va reporni din nou. După 5-7 minute vă puteți conecta din nou la această adresă; StealthWatch va fi gestionat printr-o interfață web.
4. Configurarea FlowCollector
4.1. La fel este și cu colecționarul. Mai întâi, în CLI specificăm adresa IP, masca, domeniul, apoi repornește FC. Puteți apoi să vă conectați la interfața web la adresa specificată și să efectuați aceeași configurare de bază. Datorită faptului că setările sunt similare, capturile de ecran detaliate sunt omise. Acreditări a intra aceeași.
4.2. În penultimul punct, trebuie să setați adresa IP a SMC, în acest caz consola va vedea dispozitivul, va trebui să confirmați această setare introducând acreditările.
4.3. Selectați domeniul pentru StealthWatch, acesta a fost setat mai devreme și portul 2055 – Netflow obișnuit, dacă lucrați cu sFlow, port 6343.
5. Configurare Netflow Exporter
5.1. Pentru a configura exportatorul Netflow, vă recomand să apelați la acesta , iată principalele ghiduri pentru configurarea exportatorului Netflow pentru multe dispozitive: Cisco, Check Point, Fortinet.
5.2. În cazul nostru, repet, exportăm Netflow de la gateway-ul Check Point. Exportatorul Netflow este configurat într-o filă cu același nume în interfața web (Gaia Portal). Pentru a face acest lucru, faceți clic pe „Adăugați”, specificați versiunea Netflow și portul necesar.
6. Analiza funcționării StealthWatch
6.1. Mergând la interfața web SMC, pe prima pagină a Dashboards > Network Security poți vedea că traficul a început!
6.2. Unele setări, de exemplu, împărțirea gazdelor în grupuri, monitorizarea interfețelor individuale, încărcarea acestora, gestionarea colectorilor și multe altele, pot fi găsite doar în aplicația Java StealthWatch. Desigur, Cisco transferă încet toate funcționalitățile către versiunea de browser și vom abandona în curând un astfel de client desktop.
Pentru a instala aplicația, trebuie mai întâi să instalați (Am instalat versiunea 8, deși se spune că este suportată până la 10) de pe site-ul oficial Oracle.
În colțul din dreapta sus al interfeței web a consolei de management, pentru a descărca, trebuie să faceți clic pe butonul „Desktop Client”.
Salvați și instalați clientul forțat, cel mai probabil java va înjură, poate fi necesar să adăugați gazda la excepțiile java.
Ca urmare, se dezvăluie un client destul de clar, în care este ușor de văzut încărcarea exportatorilor, interfețelor, atacurilor și fluxurilor acestora.
7. Management central StealthWatch
7.1. Fila Gestionare centrală conține toate dispozitivele care fac parte din StealthWatch implementat, cum ar fi: FlowCollector, FlowSensor, UDP-Director și Endpoint Concetrator. Acolo puteți gestiona setările de rețea și serviciile dispozitivului, licențele și puteți opri manual dispozitivul.
Puteți accesa el făcând clic pe „roată” din colțul din dreapta sus și selectând Gestionare centrală.
7.2. Accesând Editați configurația dispozitivului în FlowCollector, veți vedea SSH, NTP și alte setări de rețea legate de aplicația în sine. Pentru a merge, selectați Acțiuni → Editați configurația aparatului pentru dispozitivul necesar.
7.3. Gestionarea licențelor poate fi găsită și în fila Gestionare centrală > Gestionare licențe. Se acordă licențe de probă în cazul cererii GVE 90 zile.
Produsul este gata de plecare! În partea următoare, vom analiza modul în care StealthWatch poate recunoaște atacurile și genera rapoarte.
Sursa: www.habr.com