Përshëndetje kolegë! Pasi të keni përcaktuar kërkesat minimale për vendosjen e StealthWatch në , ne mund të fillojmë vendosjen e produktit.
1. Metodat për vendosjen e StealthWatch
Ka disa mënyra për të "prekur" StealthWatch:
- – shërbim cloud për punë laboratorike;
- Bazuar në renë kompjuterike: – këtu Netflow nga pajisja juaj do të rrjedhë në cloud dhe do të analizohet atje nga softueri StealthWatch;
- POV në objekt () – metodën që kam ndjekur, ata do t'ju dërgojnë 4 skedarë OVF të makinave virtuale me licenca të integruara për 90 ditë, të cilat mund të vendosen në një server të dedikuar në rrjetin e korporatës.
Pavarësisht nga bollëku i makinave virtuale të shkarkuara, për një konfigurim minimal pune mjaftojnë vetëm 2: StealthWatch Management Console dhe FlowCollector. Sidoqoftë, nëse nuk ka pajisje rrjeti që mund të eksportojë Netflow në FlowCollector, atëherë është gjithashtu e nevojshme të vendosni FlowSensor, pasi ky i fundit ju lejon të mbledhni Netflow duke përdorur teknologjitë SPAN/RSPAN.
Siç thashë më herët, rrjeti juaj i vërtetë mund të veprojë si një stol laboratori, pasi StealthWatch ka nevojë vetëm për një kopje, ose, më saktë, një shtrydhje e një kopje të trafikut. Fotografia më poshtë tregon rrjetin tim, ku në portën e sigurisë do të konfiguroj eksportuesin e Netflow dhe, si rezultat, do ta dërgoj Netflow te kolektori.
Për të hyrë në VM-të e ardhshme, portat e mëposhtme duhet të lejohen në murin tuaj të zjarrit, nëse keni një të tillë:
TCP 22 l TCP 25 l TCP 389 l TCP 443 l TCP 2393 l TCP 5222 l UDP 53 l UDP 123 l UDP 161 l UDP 162 l UDP 389 l UDP 514 l UDP2055
Disa prej tyre janë shërbime të njohura, disa janë të rezervuara për shërbimet Cisco.
Në rastin tim, unë thjesht vendosa StelathWatch në të njëjtin rrjet si Check Point dhe nuk më duhej të konfiguroja asnjë rregull leje.
2. Instalimi i FlowCollector duke përdorur VMware vSphere si shembull
2.1. Klikoni Shfleto dhe zgjidhni skedarin OVF1. Pasi të keni kontrolluar disponueshmërinë e burimeve, shkoni te menyja View, Inventari → Networking (Ctrl+Shift+N).
2.2. Në skedën Rrjetëzimi, zgjidhni grupin e portave të reja të shpërndara në cilësimet e ndërprerësit virtual.
2.3. Vendosni emrin, le të jetë StealthWatchPortGroup, pjesa tjetër e cilësimeve mund të bëhen si në pamjen e ekranit dhe klikoni Next.
2.4. Përfundojmë krijimin e Port Group me butonin Finish.
2.5. Le të modifikojmë cilësimet e Grupit të Portit të krijuar duke klikuar me të djathtën në grupin e porteve dhe duke zgjedhur Edit Settings. Në skedën "Siguria", sigurohuni që të aktivizoni "modaliteti i shthurur", "Modaliteti i pafavorshëm" → Prano → OK.
2.6. Si shembull, le të importojmë OVF FlowCollector, lidhja e shkarkimit për të cilën u dërgua nga një inxhinier Cisco pas një kërkese GVE. Klikoni me të djathtën mbi hostin në të cilin planifikoni të vendosni VM-në dhe zgjidhni Deploy OVF Template. Sa i përket hapësirës së caktuar, ajo do të "fillojë" me 50 GB, por për kushte luftarake rekomandohet të ndani 200 gigabajt.
2.7. Zgjidhni dosjen ku ndodhet skedari OVF.
2.8. Klikoni "Next".
2.9. Ne tregojmë emrin dhe serverin ku e vendosim atë.
2.10. Si rezultat, marrim foton e mëposhtme dhe klikojmë "Finish".
2.11. Ne ndjekim të njëjtat hapa për të vendosur StealthWatch Management Console.
2.12. Tani duhet të specifikoni rrjetet e nevojshme në ndërfaqet në mënyrë që FlowCollector të shohë si SMC-në ashtu edhe pajisjet nga të cilat do të eksportohet Netflow.
3. Inicializimi i konsolës së menaxhimit StealthWatch
3.1. Duke shkuar te tastiera e makinës së instaluar SMCVE, do të shihni një vend për të futur hyrjen dhe fjalëkalimin tuaj, si parazgjedhje sysadmin/lan1cope.
3.2. Shkojmë te artikulli Menaxhimi, vendosim adresën IP dhe parametrat e tjerë të rrjetit, më pas konfirmojmë ndryshimet e tyre. Pajisja do të riniset.
3.3. Shkoni në ndërfaqen e internetit (nëpërmjet https në adresën që keni specifikuar në SMC) dhe inicializoni tastierën, hyrjen/fjalëkalimin e paracaktuar - admin/lan411cope.
PS: ndodh që nuk hapet në Google Chrome, Explorer do të ndihmojë gjithmonë.
3.4. Sigurohuni që të ndryshoni fjalëkalimet, të vendosni serverët DNS, NTP, domenin, etj. Cilësimet janë intuitive.
3.5. Pasi të klikoni butonin "Aplikoni", pajisja do të rindizet përsëri. Pas 5-7 minutash mund të lidheni sërish me këtë adresë; StealthWatch do të menaxhohet nëpërmjet një ndërfaqe në internet.
4. Vendosja e FlowCollector
4.1. Është e njëjta gjë me koleksionistin. Së pari, në CLI ne specifikojmë adresën IP, maskën, domenin, pastaj FC rindizet. Më pas mund të lidheni me ndërfaqen e internetit në adresën e specifikuar dhe të kryeni të njëjtin konfigurim bazë. Për shkak të faktit se cilësimet janë të ngjashme, pamjet e detajuara të ekranit hiqen. Kredencialet të hysh e njëjta.
4.2. Në pikën e parafundit, duhet të vendosni adresën IP të SMC, në këtë rast tastiera do të shohë pajisjen, do të duhet të konfirmoni këtë cilësim duke futur kredencialet tuaja.
4.3. Zgjidhni domenin për StealthWatch, ai ishte vendosur më herët, dhe portin 2055 – Netflow i rregullt, nëse jeni duke punuar me sFlow, port 6343.
5. Konfigurimi i Netflow Exporter
5.1. Për të konfiguruar eksportuesin Netflow, unë rekomandoj shumë t'i drejtoheni kësaj , këtu janë udhëzuesit kryesorë për konfigurimin e eksportuesit Netflow për shumë pajisje: Cisco, Check Point, Fortinet.
5.2. Në rastin tonë, e përsëris, ne po eksportojmë Netflow nga porta Check Point. Eksportuesi Netflow është konfiguruar në një skedë me të njëjtin emër në ndërfaqen e internetit (Gaia Portal). Për ta bërë këtë, klikoni "Shto", specifikoni versionin Netflow dhe portin e kërkuar.
6. Analiza e funksionimit StealthWatch
6.1. Duke shkuar te ndërfaqja e internetit SMC, në faqen e parë të Panelit > Siguria e Rrjetit mund të shihni që trafiku ka filluar!
6.2. Disa cilësime, për shembull, ndarja e hosteve në grupe, monitorimi i ndërfaqeve individuale, ngarkesa e tyre, menaxhimi i koleksionistëve dhe më shumë, mund të gjenden vetëm në aplikacionin StealthWatch Java. Sigurisht, Cisco po transferon ngadalë të gjithë funksionalitetin në versionin e shfletuesit dhe së shpejti do të braktisim një klient të tillë desktop.
Për të instaluar aplikacionin, së pari duhet të instaloni (Kam instaluar versionin 8, megjithëse thuhet se mbështetet deri në 10) nga faqja zyrtare e Oracle.
Në këndin e sipërm të djathtë të ndërfaqes në internet të tastierës së menaxhimit, për të shkarkuar, duhet të klikoni butonin "Desktop Client".
Ju e ruani dhe instaloni klientin me forcë, java ka shumë të ngjarë ta shajë atë, mund t'ju duhet të shtoni hostin në përjashtimet java.
Si rezultat, zbulohet një klient mjaft i qartë, në të cilin është e lehtë të shihet ngarkimi i eksportuesve, ndërfaqet, sulmet dhe rrjedhat e tyre.
7. Menaxhimi Qendror StealthWatch
7.1. Skeda e Menaxhimit Qendror përmban të gjitha pajisjet që janë pjesë e StealthWatch-it të vendosur, si: FlowCollector, FlowSensor, UDP-Director dhe Endpoint Concetrator. Aty mund të menaxhoni cilësimet e rrjetit dhe shërbimet e pajisjes, licencat dhe ta fikni manualisht pajisjen.
Mund të shkoni tek ai duke klikuar në "ingranazhin" në këndin e sipërm të djathtë dhe duke zgjedhur Menaxhimin Qendror.
7.2. Duke shkuar te Edit Configuration Appliance në FlowCollector, do të shihni SSH, NTP dhe cilësime të tjera të rrjetit që lidhen me vetë aplikacionin. Për të shkuar, zgjidhni Veprimet → Ndrysho konfigurimin e pajisjes për pajisjen e kërkuar.
7.3. Menaxhimi i licencave mund të gjendet gjithashtu në skedën Menaxhimi Qendror > Menaxho Licencat. Janë dhënë licencat e provës në rast të kërkesës së GVE Ditë 90.
Produkti është gati për përdorim! Në pjesën tjetër, ne do të shohim se si StealthWatch mund të njohë sulmet dhe të gjenerojë raporte.
Burimi: www.habr.com