هيلو ساٿيو! StealthWatch in deploying لاءِ گهٽ ۾ گهٽ گهرجون طئي ڪرڻ ، اسان پيداوار کي ترتيب ڏيڻ شروع ڪري سگھون ٿا.
1. StealthWatch کي ترتيب ڏيڻ جا طريقا
StealthWatch کي ”ٽچ“ ڪرڻ جا ڪيترائي طريقا آهن:
- - ليبارٽري ڪم لاء بادل سروس؛
- بادل تي ٻڌل: - هتي توهان جي ڊوائيس مان نيٽ فلو بادل ۾ وهندو ۽ اتي اسٽيلٿ واچ سافٽ ويئر ذريعي تجزيو ڪيو ويندو؛
- بنياد تي پي او وي () - جنهن طريقي جي مون پيروي ڪئي، اهي توهان کي موڪليندا 4 ورچوئل مشين جون OVF فائلون بلٽ ان لائسنس سان 90 ڏينهن لاءِ، جيڪي ڪارپوريٽ نيٽ ورڪ تي وقف سرور تي رکي سگهجن ٿيون.
ڊائون لوڊ ڪيل ورچوئل مشينن جي گهڻائي جي باوجود، گهٽ ۾ گهٽ ڪم ڪندڙ ترتيب لاءِ صرف 2 ڪافي آهن: اسٽيلٿ واچ مئنيجمينٽ ڪنسول ۽ فلو ڪوليڪٽر. بهرحال، جيڪڏهن ڪو نيٽ ورڪ ڊيوائس ناهي جيڪو نيٽ فلو کي FlowCollector ڏانهن ايڪسپورٽ ڪري سگهي، ته پوءِ اهو FlowSensor لڳائڻ به ضروري آهي، ڇو ته بعد ۾ توهان کي اجازت ڏئي ٿو ته SPAN/RSPAN ٽيڪنالاجي استعمال ڪندي نيٽ فلو گڏ ڪري.
جيئن مون اڳ ۾ چيو، توهان جو حقيقي نيٽ ورڪ هڪ ليبارٽري بينچ جي طور تي ڪم ڪري سگهي ٿو، ڇو ته StealthWatch صرف هڪ ڪاپي جي ضرورت آهي، يا، وڌيڪ صحيح طور تي، ٽرئفڪ جي ڪاپي جي هڪ نچوض. هيٺ ڏنل تصوير منهنجي نيٽ ورڪ کي ڏيکاري ٿي، جتي سيڪيورٽي گيٽ وي تي آئون نيٽ فلو ايڪسپورٽر کي ترتيب ڏيندس ۽ نتيجي طور، ڪليڪٽر ڏانهن نيٽ فلو موڪليندس.
مستقبل جي VMs تائين رسائي حاصل ڪرڻ لاء، هيٺين بندرگاهن کي توهان جي فائر وال تي اجازت ڏني وڃي، جيڪڏهن توهان وٽ آهي:
TCP 22 l TCP 25 l TCP 389 l TCP 443 l TCP 2393 l TCP 5222 l UDP 53 l UDP 123 l UDP 161 l UDP 162 l UDP 389 l UDP 514 l UDP 2055 l UDP 6343 l UXNUMX
انهن مان ڪجهه مشهور خدمتون آهن، ڪجهه سِسکو خدمتن لاءِ مخصوص آهن.
منهنجي حالت ۾، مون صرف اسٽيلٿ واچ کي ساڳئي نيٽ ورڪ تي چيڪ پوائنٽ طور مقرر ڪيو، ۽ ڪنهن به اجازت جي ضابطن کي ترتيب ڏيڻ جي ضرورت نه هئي.
2. مثال طور VMware vSphere استعمال ڪندي FlowCollector کي انسٽال ڪرڻ
2.1. ڪلڪ ڪريو براؤز ڪريو ۽ چونڊيو OVF فائل1. وسيلن جي دستيابي کي جانچڻ کان پوء، مينيو ڏانھن وڃو ڏسو، انوینٽري → نيٽورڪنگ (Ctrl+Shift+N).
2.2. نيٽ ورڪنگ ٽيب ۾، ورچوئل سوئچ سيٽنگون ۾ نئون تقسيم ٿيل پورٽ گروپ چونڊيو.
2.3. نالو سيٽ ڪريو، ان کي StealthWatchPortGroup ٿيڻ ڏيو، باقي سيٽنگون اسڪرين شاٽ ۾ ڪري سگهجن ٿيون ۽ ڪلڪ ڪريو اڳيون.
2.4. اسان پورٽ گروپ جي پيدائش کي ختم ڪرڻ واري بٽڻ سان مڪمل ڪيو.
2.5. اچو ته ٺاهيل پورٽ گروپ جي سيٽنگ کي ايڊٽ ڪريون پورٽ گروپ تي ساڄي ڪلڪ ڪري ۽ ايڊٽ سيٽنگز کي منتخب ڪندي. سيڪيورٽي ٽئب ۾، پڪ ڪريو ته فعال ڪرڻ لاءِ ”پروميسڪوئس موڊ“، پراميسڪوس موڊ → قبول ڪريو → ٺيڪ.
2.6. مثال طور، اچو ته درآمد ڪريون OVF FlowCollector، ڊائون لوڊ لنڪ جنهن لاءِ سسڪو انجنيئر پاران GVE درخواست کان پوءِ موڪليو ويو. ھوسٽ تي ساڄي ڪلڪ ڪريو جنھن تي توھان VM کي ترتيب ڏيڻ جو ارادو ڪيو ۽ منتخب ڪريو Deploy OVF ٽيمپليٽ. مختص ڪيل جڳهه جي حوالي سان، اهو 50 GB تي "شروع" ٿيندو، پر جنگي حالتن لاء، 200 گيگا بائيٽ کي مختص ڪرڻ جي سفارش ڪئي وئي آهي.
2.7. فولڊر چونڊيو جتي OVF فائل واقع آهي.
2.8. "اڳيون" تي ڪلڪ ڪريو.
2.9. اسان نالو ۽ سرور ظاهر ڪندا آهيون جتي اسان ان کي ترتيب ڏيون ٿا.
2.10. نتيجي طور، اسان هيٺ ڏنل تصوير حاصل ڪندا آهيون ۽ "ختم" تي ڪلڪ ڪريو.
2.11. StealthWatch مئنيجمينٽ ڪنسول کي ترتيب ڏيڻ لاءِ اسان ساڳئي قدمن تي عمل ڪريون ٿا.
2.12. ھاڻي توھان کي انٽرفيس ۾ ضروري نيٽ ورڪ بيان ڪرڻ جي ضرورت آھي ته جيئن FlowCollector SMC ۽ ڊوائيسز ٻنهي کي ڏسي جن مان Netflow برآمد ڪيو ويندو.
3. StealthWatch مئنيجمينٽ ڪنسول جي شروعات ڪرڻ
3.1. انسٽال ٿيل SMCVE مشين جي ڪنسول ڏانھن وڃڻ سان، توھان کي ھڪ جڳھ نظر ايندي، توھان جو لاگ ان ۽ پاسورڊ داخل ڪرڻ لاءِ، ڊفالٽ طور sysadmin/lan1cope.
3.2. اسان مئنيجمينٽ آئٽم ڏانھن وڃو، IP پتي ۽ ٻين نيٽ ورڪ پيٽرولن کي سيٽ ڪريو، پوء انھن جي تبديلين جي تصديق ڪريو. ڊوائيس ريبوٽ ڪندو.
3.3. ويب انٽرفيس ڏانھن وڃو (https ذريعي ان ايڊريس ڏانھن جيڪو توھان SMC ۾ بيان ڪيو آھي) ۽ ڪنسول کي شروع ڪريو، ڊفالٽ لاگ ان/پاسورڊ - منتظم/lan411cope.
پي ايس: اهو ٿئي ٿو ته اهو گوگل ڪروم ۾ نه کليل آهي، ايڪسپلورر هميشه مدد ڪندو.
3.4. پاسورڊ تبديل ڪرڻ جي پڪ ڪريو، ڊي اين ايس، اين ٽي پي سرور، ڊومين وغيره سيٽ ڪريو. سيٽنگون غير معمولي آهن.
3.5. "لاڳو ڪريو" بٽڻ تي ڪلڪ ڪرڻ کان پوء، ڊوائيس ٻيهر ريبوٽ ڪندو. 5-7 منٽن کان پوء توهان هن ايڊريس سان ٻيهر ڳنڍي سگهو ٿا؛ StealthWatch ويب انٽرفيس ذريعي منظم ڪيو ويندو.
4. FlowCollector کي ترتيب ڏيڻ
4.1. اهو ئي ڪليڪٽر سان آهي. پهرين، CLI ۾ اسان IP پتي، ماسڪ، ڊومين، پوء ايف سي ريبوٽ بيان ڪريون ٿا. توھان پوءِ مخصوص ايڊريس تي ويب انٽرفيس سان ڳنڍي سگھوٿا ۽ ساڳيو بنيادي سيٽ اپ ڪري سگھو ٿا. انهي حقيقت جي ڪري ته سيٽنگون ساڳيون آهن، تفصيلي اسڪرين شاٽ ختم ڪيا ويا آهن. سندون داخل ٿيڻ ساڳيو.
4.2. آخري نقطي تي، توهان کي SMC جي IP پتي کي سيٽ ڪرڻ جي ضرورت آهي، انهي صورت ۾ ڪنسول ڊوائيس کي ڏسندو، توهان کي پنهنجي سند داخل ڪندي هن سيٽنگ جي تصديق ڪرڻي پوندي.
4.3. StealthWatch لاء ڊومين چونڊيو، اهو اڳ ۾ مقرر ڪيو ويو هو، ۽ بندرگاهه 2055 - باقاعده نيٽ فلو، جيڪڏهن توهان sFlow سان ڪم ڪري رهيا آهيو، پورٽ 6343.
5. Netflow Exporter configuration
5.1. Netflow برآمد ڪندڙ کي ترتيب ڏيڻ لاءِ، مان ھن ڏانھن موٽڻ جي ڏاڍي صلاح ڪريان ٿو ، ھتي آھن مکيه ھدايتون ترتيب ڏيڻ لاءِ نيٽ فلو برآمد ڪندڙ ڪيترن ئي ڊوائيسز لاءِ: سِسڪو، چيڪ پوائنٽ، فورٽينيٽ.
5.2. اسان جي صورت ۾، مان ورجائي ٿو، اسان چيڪ پوائنٽ گيٽ وي کان نيٽ فلو برآمد ڪري رهيا آهيون. نيٽ فلو برآمد ڪندڙ ويب انٽرفيس (Gaia Portal) ۾ ساڳئي نالي جي ٽيب ۾ ترتيب ڏنل آهي. هن کي ڪرڻ لاء، ڪلڪ ڪريو "شامل ڪريو"، وضاحت ڪريو نيٽ فلو ورزن ۽ گهربل پورٽ.
6. StealthWatch آپريشن جو تجزيو
6.1. ايس ايم سي ويب انٽرفيس ڏانهن وڃڻ، ڊيش بورڊ جي پهرين صفحي تي> نيٽورڪ سيڪيورٽي توهان ڏسي سگهو ٿا ته ٽرئفڪ شروع ٿي وئي آهي!
6.2. ڪجهه سيٽنگون، مثال طور، ميزبانن کي گروپن ۾ ورهائڻ، انفرادي انٽرفيس جي نگراني ڪرڻ، انهن جي لوڊ ڪرڻ، ڪليڪٽرن کي منظم ڪرڻ، ۽ وڌيڪ، صرف StealthWatch Java ايپليڪيشن ۾ ڳولي سگهجن ٿا. يقينن، سسڪو سست رفتار سان سڀني ڪارڪردگي کي برائوزر ورزن ڏانهن منتقل ڪري رهيو آهي ۽ اسان جلد ئي اهڙي ڊيسڪ ٽاپ ڪلائنٽ کي ڇڏي ڏينداسين.
ايپليڪيشن کي انسٽال ڪرڻ لاءِ، توهان کي پهريان انسٽال ڪرڻو پوندو (مون نسخو 8 نصب ڪيو، جيتوڻيڪ اهو چيو ويندو آهي ته اهو 10 تائين سپورٽ آهي) سرڪاري Oracle ويب سائيٽ تان.
مئنيجمينٽ ڪنسول جي ويب انٽرفيس جي مٿين ساڄي ڪنڊ ۾، ڊائون لوڊ ڪرڻ لاء، توهان کي "ڊيسڪ ٽاپ ڪلائنٽ" بٽڻ تي ڪلڪ ڪرڻ گهرجي.
توهان ڪلائنٽ کي زبردستي محفوظ ۽ انسٽال ڪريو ٿا، جاوا گهڻو ڪري ان تي قسم کڻندو، توهان کي شايد ميزبان کي جاوا استثنا ۾ شامل ڪرڻ جي ضرورت پوندي.
نتيجي طور، ھڪڙو صاف صاف ڪلائنٽ نازل ڪيو ويو آھي، جنھن ۾ برآمد ڪندڙن جي لوڊشيڊنگ، انٽرفيس، حملن ۽ انھن جي وهڪري کي ڏسڻ لاء آسان آھي.
7. StealthWatch مرڪزي انتظام
7.1. سينٽرل مئنيجمينٽ ٽيب ۾ اهي سڀئي ڊوائيس شامل آهن جيڪي مقرر ڪيل اسٽيلٿ واچ جو حصو آهن، جهڙوڪ: FlowCollector، FlowSensor، UDP-Director ۽ Endpoint Concetrator. اتي توھان منظم ڪري سگھو ٿا نيٽ ورڪ سيٽنگون ۽ ڊيوائس سروسز، لائسنس، ۽ دستي طور تي ڊيوائس بند ڪري سگھو ٿا.
توھان ان ڏانھن وڃو "گيئر" تي ڪلڪ ڪري مٿي ساڄي ڪنڊ ۾ ۽ منتخب ڪريو مرڪزي انتظام.
7.2. FlowCollector ۾ Appliance Configuration کي ايڊٽ ڪرڻ سان، توھان ڏسندؤ SSH، NTP ۽ ٻيون نيٽ ورڪ سيٽنگون پاڻ سان لاڳاپيل ايپ سان. وڃڻ لاءِ، منتخب ڪريو عمل → ايڊٽ ڪريو ايپلائنس ڪنفيگريشن گھربل ڊيوائس لاءِ.
7.3. لائسنس جو انتظام پڻ ڳولهي سگھجي ٿو سينٽرل مئنيجمينٽ> لائسنس جو انتظام ڪريو ٽيب. آزمائشي لائسنس GVE جي درخواست جي صورت ۾ ڏنل آهن 90 ڏينهن.
پيداوار وڃڻ لاء تيار آهي! ايندڙ حصي ۾، اسان ڏسنداسين ته ڪيئن StealthWatch حملن کي سڃاڻي ۽ رپورٽون ٺاهي سگھي ٿو.
جو ذريعو: www.habr.com