Здраво колеге! Након што смо одредили минималне захтеве за примену СтеалтхВатцх-а у , можемо почети са применом производа.
1. Методе за примену СтеалтхВатцх-а
Постоји неколико начина да "додирнете" СтеалтхВатцх:
- – цлоуд сервис за лабораторијски рад;
- Засновано на облаку: – овде ће Нетфлов са вашег уређаја тећи у облак и тамо ће бити анализиран софтвером СтеалтхВатцх;
- ПОВ на локацији () – методом који сам следио, они ће вам послати 4 ОВФ датотеке виртуелних машина са уграђеним лиценцама на 90 дана, које се могу поставити на наменски сервер на корпоративној мрежи.
Упркос обиљу преузетих виртуелних машина, за минималну радну конфигурацију су довољне само 2: СтеалтхВатцх Манагемент Цонсоле и ФловЦоллецтор. Међутим, ако не постоји мрежни уређај који може да експортује Нетфлов у ФловЦоллецтор, онда је такође неопходно применити ФловСенсор, пошто вам овај други омогућава да прикупљате Нетфлов користећи СПАН/РСПАН технологије.
Као што сам раније рекао, ваша стварна мрежа може да делује као лабораторијска клупа, пошто СтеалтхВатцх-у треба само копија, или, тачније, стискање копије саобраћаја. Слика испод приказује моју мрежу, где ћу на сигурносном пролазу конфигурисати Нетфлов Екпортер и, као резултат, послати Нетфлов колектору.
Да бисте приступили будућим ВМ-овима, следећи портови би требало да буду дозвољени на вашем заштитном зиду, ако га имате:
ТЦП 22 л ТЦП 25 л ТЦП 389 л ТЦП 443 л ТЦП 2393 л ТЦП 5222 л УДП 53 л УДП 123 л УДП 161 л УДП 162 л УДП 389 л УДП 514 л УДП 2055 л УДП 6343 л УДП XNUMXл
Неки од њих су добро познати сервиси, неки су резервисани за Цисцо услуге.
У мом случају, једноставно сам поставио СтелатхВатцх на истој мрежи као Цхецк Поинт и нисам морао да конфигуришем никаква правила дозвола.
2. Инсталирање ФловЦоллецтор-а користећи ВМваре вСпхере као пример
2.1. Кликните на Бровсе и изаберите ОВФ филе1. Након што проверите доступност ресурса, идите на мени Поглед, Инвентар → Мрежа (Цтрл+Схифт+Н).
2.2. На картици Нетворкинг изаберите Нев Дистрибутед порт гроуп у подешавањима виртуелног прекидача.
2.3. Подесите име, нека буде СтеалтхВатцхПортГроуп, остала подешавања можете направити као на снимку екрана и кликните на Нект.
2.4. Завршавамо креирање групе портова са дугметом Заврши.
2.5. Уредимо подешавања креиране групе портова тако што ћемо десним тастером миша кликнути на групу портова и изабрати Едит Сеттингс. На картици Безбедност, обавезно омогућите „промискуитетни режим“, Промискуитетни режим → Прихвати → ОК.
2.6. Као пример, хајде да увеземо ОВФ ФловЦоллецтор, везу за преузимање за коју је послао Цисцо инжењер након ГВЕ захтева. Кликните десним тастером миша на хост на коме планирате да примените ВМ и изаберите Деплои ОВФ Темплате. Што се тиче додељеног простора, он ће се „покренути“ на 50 ГБ, али за борбене услове препоручује се издвајање 200 гигабајта.
2.7. Изаберите фасциклу у којој се налази ОВФ датотека.
2.8. Кликните на „Даље“.
2.9. Назначавамо име и сервер на коме га постављамо.
2.10. Као резултат, добијамо следећу слику и кликнемо на „Заврши“.
2.11. Пратимо исте кораке да применимо СтеалтхВатцх Манагемент Цонсоле.
2.12. Сада морате да наведете потребне мреже у интерфејсима тако да ФловЦоллецтор види и СМЦ и уређаје са којих ће Нетфлов бити извезен.
3. Иницијализација конзоле за управљање СтеалтхВатцх
3.1. Одласком на конзолу инсталиране СМЦВЕ машине, видећете место за унос ваше пријаве и лозинке, подразумевано сисадмин/лан1цопе.
3.2. Идемо на ставку Управљање, постављамо ИП адресу и друге мрежне параметре, а затим потврђујемо њихове промене. Уређај ће се поново покренути.
3.3. Идите на веб интерфејс (преко хттпс на адресу коју сте навели у СМЦ-у) и иницијализујте конзолу, подразумевана пријава/лозинка - админ/лан411цопе.
ПС: дешава се да се не отвори у Гоогле Цхроме-у, Екплорер ће увек помоћи.
3.4. Обавезно промените лозинке, подесите ДНС, НТП сервере, домен итд. Подешавања су интуитивна.
3.5. Након што кликнете на дугме „Примени“, уређај ће се поново покренути. Након 5-7 минута можете се поново повезати на ову адресу; СтеалтхВатцх-ом ће се управљати преко веб интерфејса.
4. Подешавање ФловЦоллецтор-а
4.1. Исто је и са колектором. Прво, у ЦЛИ-у наводимо ИП адресу, маску, домен, а затим се ФЦ поново покреће. Затим се можете повезати на веб интерфејс на наведеној адреси и извршити исто основно подешавање. Због чињенице да су подешавања слична, детаљни снимци екрана су изостављени. Akreditivi ући исти.
4.2. У претпоследњој тачки, потребно је да подесите ИП адресу СМЦ-а, у овом случају ће конзола видети уређај, мораћете да потврдите ово подешавање уносом својих акредитива.
4.3. Изаберите домен за СтеалтхВатцх, који је раније постављен, и порт 2055 – обичан Нетфлов, ако радите са сФлов, порт 6343.
5. Конфигурација Нетфлов Екпортер-а
5.1. Да бисте конфигурисали Нетфлов извозник, топло препоручујем да се окренете овоме , ево главних водича за конфигурисање Нетфлов извозника за многе уређаје: Цисцо, Цхецк Поинт, Фортинет.
5.2. У нашем случају, понављам, извозимо Нетфлов са Цхецк Поинт гатеваи-а. Нетфлов извозник је конфигурисан на картици истог имена у веб интерфејсу (Гаиа Портал). Да бисте то урадили, кликните на „Додај“, наведите верзију Нетфлов-а и потребан порт.
6. Анализа рада СтеалтхВатцх-а
6.1. Одласком на СМЦ веб интерфејс, на првој страници Дасхбоардс > Нетворк Сецурити можете видети да је саобраћај почео!
6.2. Нека подешавања, на пример, подела хостова у групе, праћење појединачних интерфејса, њихово оптерећење, управљање колекторима и још много тога, могу се наћи само у СтеалтхВатцх Јава апликацији. Наравно, Цисцо полако преноси сву функционалност на верзију претраживача и ускоро ћемо напустити такав десктоп клијент.
Да бисте инсталирали апликацију, прво морате да је инсталирате (Инсталирао сам верзију 8, иако се каже да је подржана до 10) са званичног сајта Орацле.
У горњем десном углу веб интерфејса управљачке конзоле, да бисте преузели, морате кликнути на дугме „Десктоп Цлиент“.
Насилно сачувате и инсталирате клијента, јава ће га највероватније опсовати, можда ћете морати да додате хост у јава изузетке.
Као резултат, открива се прилично јасан клијент, у коме је лако видети учитавање експортера, интерфејса, напада и њихових токова.
7. Централно управљање СтеалтхВатцх-ом
7.1. Картица Централно управљање садржи све уређаје који су део примењеног СтеалтхВатцх-а, као што су: ФловЦоллецтор, ФловСенсор, УДП-Дирецтор и Ендпоинт Цонцетратор. Тамо можете да управљате мрежним подешавањима и услугама уређаја, лиценцама и ручно искључите уређај.
Можете отићи до њега тако што ћете кликнути на „зупчаник“ у горњем десном углу и изабрати Централно управљање.
7.2. Ако одете на Уреди конфигурацију уређаја у ФловЦоллецтор-у, видећете ССХ, НТП и друге мрежне поставке повезане са самом апликацијом. Да бисте отишли, изаберите Акције → Уреди конфигурацију уређаја за потребан уређај.
7.3. Управљање лиценцама се такође може наћи на картици Централно управљање > Управљање лиценцама. Дају се пробне дозволе у случају ГВЕ захтева КСНУМКС дана.
Производ је спреман за употребу! У следећем делу ћемо погледати како СтеалтхВатцх може да препозна нападе и генерише извештаје.
Извор: ввв.хабр.цом