Ahojte kolegovia! Po určení minimálnych požiadaviek na nasadenie StealthWatch v , môžeme začať nasadzovať produkt.
1. Metódy nasadenia StealthWatch
Existuje niekoľko spôsobov, ako sa „dotknúť“ StealthWatch:
- – cloudová služba pre laboratórne práce;
- Cloud: – tu bude Netflow z vášho zariadenia prúdiť do cloudu a bude tam analyzovaný softvérom StealthWatch;
- POV na mieste () – postup, ktorý som zvolil, vám pošlú 4 OVF súbory virtuálnych strojov so zabudovanými licenciami na 90 dní, ktoré je možné nasadiť na dedikovaný server v podnikovej sieti.
Napriek množstvu stiahnutých virtuálnych strojov stačia na minimálnu pracovnú konfiguráciu iba 2: StealthWatch Management Console a FlowCollector. Ak však neexistuje sieťové zariadenie, ktoré by dokázalo exportovať Netflow do FlowCollector, potom je potrebné nasadiť aj FlowSensor, keďže ten umožňuje zhromažďovať Netflow pomocou technológií SPAN/RSPAN.
Ako som už povedal, vaša skutočná sieť môže fungovať ako laboratórna lavica, pretože StealthWatch potrebuje iba kópiu, alebo presnejšie povedané, stlačenie kópie prevádzky. Na obrázku nižšie je moja sieť, kde na bezpečnostnej bráne nakonfigurujem Netflow Exporter a v dôsledku toho pošlem Netflow do kolektora.
Ak chcete získať prístup k budúcim virtuálnym počítačom, na vašom firewalle by mali byť povolené nasledujúce porty, ak ho máte:
TCP 22 l TCP 25 l TCP 389 l TCP 443 l TCP 2393 l TCP 5222 l UDP 53 l UDP 123 l UDP 161 l UDP 162 l UDP 389 l UDP 514 l UDP 2055 l UDP 6343 l
Niektoré z nich sú dobre známe služby, niektoré sú vyhradené pre služby Cisco.
V mojom prípade som jednoducho nasadil StelathWatch v rovnakej sieti ako Check Point a nemusel som konfigurovať žiadne pravidlá povolení.
2. Inštalácia FlowCollector pomocou príkladu VMware vSphere
2.1. Kliknite na Prehľadávať a vyberte súbor OVF1. Po skontrolovaní dostupnosti zdrojov prejdite do ponuky Zobraziť, Inventár → Sieť (Ctrl+Shift+N).
2.2. Na karte Sieť vyberte v nastaveniach virtuálneho prepínača Nová skupina distribuovaných portov.
2.3. Nastavte názov, nech je to StealthWatchPortGroup, ostatné nastavenia môžete vykonať ako na snímke obrazovky a kliknite na Ďalej.
2.4. Vytvorenie skupiny portov dokončíme tlačidlom Dokončiť.
2.5. Upravme nastavenia vytvorenej skupiny portov kliknutím pravým tlačidlom myši na skupinu portov a výberom položky Upraviť nastavenia. Na karte Zabezpečenie nezabudnite povoliť „promiskuitný režim“, Promiskuitný režim → Prijať → OK.
2.6. Ako príklad si importujme OVF FlowCollector, ktorého odkaz na stiahnutie poslal inžinier Cisco po požiadavke GVE. Kliknite pravým tlačidlom myši na hostiteľa, na ktorý plánujete nasadiť VM, a vyberte možnosť Nasadiť šablónu OVF. Čo sa týka prideleného priestoru, „naštartuje“ na 50 GB, no pre bojové podmienky sa odporúča vyčleniť 200 gigabajtov.
2.7. Vyberte priečinok, v ktorom sa nachádza súbor OVF.
2.8. Kliknite na „Ďalej“.
2.9. Uvádzame názov a server, kam ho nasadíme.
2.10. V dôsledku toho dostaneme nasledujúci obrázok a klikneme na „Dokončiť“.
2.11. Pri nasadzovaní riadiacej konzoly StealthWatch postupujeme podľa rovnakých krokov.
2.12. Teraz by ste mali zadať potrebné siete v rozhraniach, aby FlowCollector videl SMC aj zariadenia, z ktorých bude Netflow exportovaný.
3. Inicializácia riadiacej konzoly StealthWatch
3.1. Keď prejdete na konzolu nainštalovaného počítača SMCVE, uvidíte predvolene miesto na zadanie prihlasovacieho mena a hesla sysadmin/lan1cope.
3.2. Prejdeme na položku Správa, nastavíme IP adresu a ďalšie parametre siete a následne potvrdíme ich zmeny. Zariadenie sa reštartuje.
3.3. Prejdite na webové rozhranie (cez https na adresu, ktorú ste zadali v SMC) a inicializujte konzolu, predvolené prihlasovacie meno/heslo - admin/lan411cope.
PS: stane sa, že sa neotvorí v prehliadači Google Chrome, Prieskumník vždy pomôže.
3.4. Nezabudnite zmeniť heslá, nastaviť DNS, NTP servery, doménu atď. Nastavenia sú intuitívne.
3.5. Po kliknutí na tlačidlo „Použiť“ sa zariadenie znova reštartuje. Po 5-7 minútach sa môžete znova pripojiť na túto adresu; StealthWatch bude spravovaný cez webové rozhranie.
4. Nastavenie FlowCollector
4.1. Rovnako je to aj so zberateľom. Najprv v CLI zadáme IP adresu, masku, doménu a potom sa FC reštartuje. Potom sa môžete pripojiť k webovému rozhraniu na zadanej adrese a vykonať rovnaké základné nastavenie. Vzhľadom na to, že nastavenia sú podobné, sú vynechané podrobné snímky obrazovky. poverenia vstúpiť rovnaký.
4.2. V predposlednom bode je potrebné nastaviť IP adresu SMC, v tomto prípade konzola uvidí zariadenie, toto nastavenie budete musieť potvrdiť zadaním svojich prihlasovacích údajov.
4.3. Vyberte doménu pre StealthWatch, ktorá bola nastavená skôr, a port 2055 – bežný Netflow, ak pracujete s sFlow, port 6343.
5. Konfigurácia Netflow Exporter
5.1. Ak chcete nakonfigurovať exportér Netflow, dôrazne vám odporúčam obrátiť sa na toto , tu sú hlavné príručky na konfiguráciu exportéra Netflow pre mnohé zariadenia: Cisco, Check Point, Fortinet.
5.2. V našom prípade, opakujem, exportujeme Netflow z brány Check Point. Netflow exportér sa konfiguruje v rovnomennej záložke vo webovom rozhraní (Gaia Portal). Ak to chcete urobiť, kliknite na „Pridať“, zadajte verziu Netflow a požadovaný port.
6. Analýza prevádzky StealthWatch
6.1. Keď prejdete na webové rozhranie SMC, na prvej stránke Dashboards > Network Security môžete vidieť, že prevádzka začala!
6.2. Niektoré nastavenia, napríklad rozdelenie hostiteľov do skupín, sledovanie jednotlivých rozhraní, ich zaťaženie, správa kolektorov a ďalšie, nájdete iba v Java aplikácii StealthWatch. Samozrejme, Cisco pomaly presúva všetku funkcionalitu do verzie prehliadača a od takéhoto desktopového klienta čoskoro upustíme.
Ak chcete nainštalovať aplikáciu, musíte ju najprv nainštalovať (Nainštaloval som verziu 8, aj keď sa hovorí, že je podporovaná až do 10) z oficiálnej stránky Oracle.
V pravom hornom rohu webového rozhrania riadiacej konzoly na stiahnutie musíte kliknúť na tlačidlo „Desktop Client“.
Klienta uložíte a nainštalujete násilne, java naň s najväčšou pravdepodobnosťou bude nadávať, možno budete musieť pridať hostiteľa do java výnimiek.
Výsledkom je odhalenie pomerne prehľadného klienta, v ktorom je dobre vidieť načítavanie exportérov, rozhraní, útokov a ich tokov.
7. Centrálna správa StealthWatch
7.1. Karta Centrálna správa obsahuje všetky zariadenia, ktoré sú súčasťou nasadeného StealthWatch, ako napríklad: FlowCollector, FlowSensor, UDP-Director a Endpoint Concetrator. Tam môžete spravovať nastavenia siete a služby zariadenia, licencie a manuálne vypnúť zariadenie.
Môžete naň prejsť kliknutím na „ozubené koliesko“ v pravom hornom rohu a výberom položky Centrálna správa.
7.2. Keď prejdete na Upraviť konfiguráciu zariadenia vo FlowCollectore, uvidíte SSH, NTP a ďalšie sieťové nastavenia súvisiace so samotnou aplikáciou. Ak chcete prejsť, vyberte Akcie → Upraviť konfiguráciu zariadenia pre požadované zariadenie.
7.3. Správu licencií nájdete aj na karte Centrálna správa > Správa licencií. Skúšobné licencie v prípade požiadavky GVE sú uvedené pre 90 dni.
Produkt je pripravený na použitie! V ďalšej časti sa pozrieme na to, ako StealthWatch dokáže rozpoznať útoky a generovať správy.
Zdroj: hab.com