Pozdravljeni kolegi! Po določitvi minimalnih zahtev za uvedbo StealthWatch v , lahko začnemo uvajati izdelek.
1. Metode za namestitev StealthWatch
StealthWatch se lahko "dotaknete" na več načinov:
- – storitev v oblaku za laboratorijsko delo;
- V oblaku: – tukaj bo Netflow iz vaše naprave stekel v oblak in ga bo tam analizirala programska oprema StealthWatch;
- Lokalni POV () – metoda, ki sem jo uporabil, vam bodo poslali 4 datoteke OVF virtualnih strojev z vgrajenimi licencami za 90 dni, ki jih je mogoče namestiti na namenski strežnik v omrežju podjetja.
Kljub obilici naloženih virtualnih strojev sta za minimalno delujočo konfiguracijo dovolj le 2: StealthWatch Management Console in FlowCollector. Če pa ni nobene omrežne naprave, ki bi lahko izvozila Netflow v FlowCollector, je treba namestiti tudi FlowSensor, saj slednji omogoča zbiranje Netflow s tehnologijami SPAN/RSPAN.
Kot sem že rekel, lahko vaše pravo omrežje deluje kot laboratorijska miza, saj StealthWatch potrebuje le kopijo ali, pravilneje, stiskanje kopije prometa. Spodnja slika prikazuje moje omrežje, kjer bom na varnostnem prehodu konfiguriral Netflow Exporter in posledično poslal Netflow v zbiralnik.
Za dostop do prihodnjih navideznih računalnikov morajo biti na vašem požarnem zidu dovoljena naslednja vrata, če jih imate:
TCP 22 l TCP 25 l TCP 389 l TCP 443 l TCP 2393 l TCP 5222 l UDP 53 l UDP 123 l UDP 161 l UDP 162 l UDP 389 l UDP 514 l UDP 2055 l UDP 6343
Nekatere med njimi so znane storitve, nekatere so rezervirane za storitve Cisco.
V mojem primeru sem preprosto namestil StelathWatch v isto omrežje kot Check Point in mi ni bilo treba konfigurirati nobenih pravil za dovoljenja.
2. Namestitev FlowCollectorja z uporabo VMware vSphere kot primera
2.1. Kliknite Prebrskaj in izberite datoteko OVF1. Ko preverite razpoložljivost virov, pojdite v meni Pogled, Inventar → Omrežje (Ctrl+Shift+N).
2.2. V zavihku Omrežje v nastavitvah navideznega stikala izberite Nova skupina porazdeljenih vrat.
2.3. Nastavite ime, naj bo StealthWatchPortGroup, ostale nastavitve lahko naredite kot na sliki in kliknite Naprej.
2.4. Izdelavo Port Group zaključimo z gumbom Finish.
2.5. Uredimo nastavitve ustvarjene skupine vrat tako, da z desno miškino tipko kliknemo skupino vrat in izberemo Uredi nastavitve. V zavihku Varnost se prepričajte, da ste omogočili »promiskuitetni način«, promiskuitetni način → Sprejmi → V redu.
2.6. Kot primer uvozimo OVF FlowCollector, katerega povezavo za prenos je poslal Ciscov inženir po zahtevi GVE. Z desno miškino tipko kliknite gostitelja, na katerem nameravate namestiti VM, in izberite Razmesti predlogo OVF. Kar zadeva dodeljeni prostor, se bo "zagnal" pri 50 GB, vendar je za bojne pogoje priporočljivo dodeliti 200 gigabajtov.
2.7. Izberite mapo, v kateri se nahaja datoteka OVF.
2.8. Kliknite »Naprej«.
2.9. Navedemo ime in strežnik, kamor ga namestimo.
2.10. Kot rezultat dobimo naslednjo sliko in kliknemo »Dokončaj«.
2.11. Sledimo istim korakom za uvedbo StealthWatch Management Console.
2.12. Zdaj morate v vmesnikih določiti potrebna omrežja, tako da bo FlowCollector videl SMC in naprave, iz katerih bo Netflow izvožen.
3. Inicializacija konzole za upravljanje StealthWatch
3.1. Ko greste na konzolo nameščenega stroja SMCVE, boste videli mesto za vnos vaše prijave in gesla, privzeto sysadmin/lan1cope.
3.2. Gremo na element Upravljanje, nastavimo naslov IP in druge omrežne parametre, nato potrdimo njihove spremembe. Naprava se bo znova zagnala.
3.3. Pojdite na spletni vmesnik (prek https na naslov, ki ste ga navedli v SMC) in inicializirajte konzolo, privzeta prijava/geslo - admin/lan411cope.
P.S.: Zgodi se, da se Google Chrome ne odpre, Explorer bo vedno pomagal.
3.4. Spremenite gesla, nastavite DNS, NTP strežnike, domeno itd. Nastavitve so intuitivne.
3.5. Po kliku na gumb »Uporabi« se bo naprava znova zagnala. Po 5-7 minutah se lahko znova povežete s tem naslovom; StealthWatch bo upravljan prek spletnega vmesnika.
4. Nastavitev FlowCollectorja
4.1. Enako je s kolektorjem. Najprej v CLI določimo naslov IP, masko, domeno, nato se FC ponovno zažene. Nato se lahko povežete s spletnim vmesnikom na podanem naslovu in izvedete isto osnovno nastavitev. Ker so nastavitve podobne, so podrobni posnetki zaslona izpuščeni. Poverilnice vstopiti enako.
4.2. Na predzadnji točki morate nastaviti naslov IP SMC, v tem primeru bo konzola videla napravo, to nastavitev boste morali potrditi z vnosom poverilnic.
4.3. Izberite domeno za StealthWatch, nastavljena je bila prej, in vrata 2055 – običajni Netflow, če delate s sFlow, vrata 6343.
5. Konfiguracija programa Netflow Exporter
5.1. Če želite konfigurirati izvoznik Netflow, toplo priporočam, da se obrnete na to , tukaj so glavni vodniki za konfiguriranje izvoznika Netflow za številne naprave: Cisco, Check Point, Fortinet.
5.2. V našem primeru, ponavljam, izvažamo Netflow iz prehoda Check Point. Netflow izvoznik je konfiguriran v istoimenskem zavihku v spletnem vmesniku (Gaia Portal). Če želite to narediti, kliknite »Dodaj«, določite različico Netflow in zahtevana vrata.
6. Analiza delovanja StealthWatch
6.1. Če greste na spletni vmesnik SMC, na prvi strani Nadzorne plošče > Omrežna varnost vidite, da se je promet začel!
6.2. Nekatere nastavitve, na primer razdelitev gostiteljev v skupine, spremljanje posameznih vmesnikov, njihovo obremenitev, upravljanje zbiralnikov in drugo, lahko najdete samo v aplikaciji StealthWatch Java. Seveda Cisco vse funkcionalnosti počasi prenaša v brskalniško verzijo in bomo takšnega namiznega odjemalca kmalu opustili.
Če želite namestiti aplikacijo, morate najprej namestiti (Namestil sem različico 8, čeprav je rečeno, da je podprta do 10) z uradne strani Oracle.
V zgornjem desnem kotu spletnega vmesnika upravljalne konzole morate za prenos klikniti gumb »Namizni odjemalec«.
Odjemalca shraniš in inštaliraš na silo, java bo najverjetneje prisegala nanj, mogoče bo treba v java izjeme dodati host.
Posledično se razkrije dokaj jasen odjemalec, v katerem je enostavno videti nalaganje izvoznikov, vmesnikov, napadov in njihovih tokov.
7. Centralno upravljanje StealthWatch
7.1. Zavihek Central Management vsebuje vse naprave, ki so del nameščenega StealthWatch, kot so: FlowCollector, FlowSensor, UDP-Director in Endpoint Concetrator. Tam lahko upravljate omrežne nastavitve in storitve naprave, licence ter ročno izklopite napravo.
Do njega lahko pridete tako, da kliknete na "zobnik" v zgornjem desnem kotu in izberete Centralno upravljanje.
7.2. Če odprete Uredi konfiguracijo naprave v FlowCollectorju, boste videli SSH, NTP in druge omrežne nastavitve, povezane s samo aplikacijo. Če želite iti, izberite Dejanja → Uredi konfiguracijo naprave za zahtevano napravo.
7.3. Upravljanje licenc je na voljo tudi v zavihku Central Management > Manage Licenses. Preskusne licence v primeru zahteve GVE so dane 90 dni.
Izdelek je pripravljen za uporabo! V naslednjem delu si bomo ogledali, kako lahko StealthWatch prepozna napade in ustvari poročila.
Vir: www.habr.com