Halo kolega! Sanggeus nangtukeun sarat minimum pikeun deploying StealthWatch di , urang bisa ngamimitian deploying produk.
1. Métode pikeun nyebarkeun StealthWatch
Aya sababaraha cara pikeun "ngarampa" StealthWatch:
- - jasa awan pikeun karya laboratorium;
- Dumasar Awan: - di dieu Netflow tina alat anjeun bakal ngalir kana awan sareng bakal dianalisis di dinya ku parangkat lunak StealthWatch;
- POV di tempat () - Metoda I dituturkeun, aranjeunna bakal dikirim Anjeun 4 file OVF tina mesin virtual kalawan diwangun-di lisénsi pikeun 90 poé, nu bisa deployed dina dedicated server dina jaringan perusahaan.
Sanaos seueur mesin virtual anu diunduh, pikeun konfigurasi kerja minimal ngan ukur 2: Konsol Manajemén StealthWatch sareng FlowCollector. Nanging, upami teu aya alat jaringan anu tiasa ngékspor Netflow ka FlowCollector, maka éta ogé kedah nyebarkeun FlowSensor, sabab anu terakhir ngamungkinkeun anjeun pikeun ngumpulkeun Netflow nganggo téknologi SPAN / RSPAN.
Salaku Cenah mah tadi, jaringan nyata Anjeun bisa meta salaku bangku laboratorium, saprak StealthWatch ngan perlu salinan a, atawa, leuwih bener, a squeeze tina salinan lalulintas. Gambar di handap ieu nunjukkeun jaringan kuring, dimana dina gateway kaamanan kuring bakal ngonpigurasikeun Netflow Exporter sareng, salaku hasilna, bakal ngirim Netflow ka kolektor.
Pikeun ngaksés VM anu bakal datang, palabuhan di handap ieu kedah diidinan dina firewall anjeun, upami anjeun gaduh:
TCP 22 l TCP 25 l TCP 389 l TCP 443 l TCP 2393 l TCP 5222 l UDP 53 l UDP 123 l UDP 161 l UDP 162 l UDP 389 l UDP 514 l UDP 2055 l UDP 6343
Sababaraha di antarana mangrupakeun jasa well-dipikawanoh, sababaraha ditangtayungan pikeun layanan Cisco.
Bisi kuring, kuring ngan saukur nyebarkeun StelathWatch dina jaringan anu sami sareng Check Point, sareng henteu kedah ngonpigurasikeun aturan idin.
2. Masang FlowCollector ngagunakeun VMware vSphere sabagé conto
2.1. Klik Kotektak tur pilih file OVF1. Saatos mariksa kasadiaan sumberdaya, buka menu View, Inventory → Networking (Ctrl+Shift+N).
2.2. Dina tab Jejaring, pilih grup port Distribusi Anyar dina setélan switch virtual.
2.3. Setel nami, hayu janten StealthWatchPortGroup, sesa setélan tiasa dilakukeun sapertos dina layar sareng klik Teras.
2.4. Urang ngalengkepan kreasi Port Grup kalayan tombol Rengse.
2.5. Hayu urang ngédit setélan tina Port Grup dijieun ku-klik katuhu dina grup port tur milih Édit Setélan. Dina tab Kaamanan, pastikeun pikeun ngaktipkeun "mode promiscuous", Mode Promiscuous → Narima → OK.
2.6. Salaku conto, hayu urang ngimpor OVF FlowCollector, link download anu dikirim ku insinyur Cisco saatos pamundut GVE. Klik-katuhu dina host dimana anjeun badé nyebarkeun VM sareng pilih Deploy OVF Template. Ngeunaan rohangan anu dialokasikeun, éta bakal "ngamimitian" dina 50 GB, tapi pikeun kaayaan tempur disarankeun pikeun nyayogikeun 200 gigabyte.
2.7. Pilih folder dimana file OVF ayana.
2.8. Pencét "Salajengna".
2.9. Kami nunjukkeun nami sareng server dimana kami nyebarkeunana.
2.10. Hasilna, urang nampi gambar di handap ieu sareng klik "Rengse".
2.11. Kami nuturkeun léngkah anu sami pikeun nyebarkeun StealthWatch Management Console.
2.12. Ayeuna anjeun kedah netepkeun jaringan anu diperyogikeun dina antarmuka supados FlowCollector ningali SMC sareng alat anu Netflow bakal diékspor.
3. Initializing StealthWatch Manajemén Konsol
3.1. Ku bade ka konsol tina mesin SMCVE dipasang, anjeun bakal nempo hiji tempat pikeun nuliskeun login sareng kecap akses Anjeun, sacara standar sysadmin / lan1cope.
3.2. Kami angkat ka item Manajemén, setel alamat IP sareng parameter jaringan anu sanés, teras mastikeun parobahanana. Alat bakal reboot.
3.3. Pindah ka antarmuka wéb (ngaliwatan HTTPS ka alamat anu anjeun jelaskeun dina SMC) sareng ngamimitian konsol, login / sandi standar - admin / lan411cope.
PS: eta kajadian nu teu muka dina Google Chrome, Explorer bakal salawasna mantuan kaluar.
3.4. Pastikeun pikeun ngarobah kecap akses, nyetél DNS, server NTP, domain, jsb. Setélan anu intuitif.
3.5. Saatos ngaklik tombol "Larapkeun", alat bakal reboot deui. Saatos 5-7 menit anjeun tiasa nyambung deui ka alamat ieu; StealthWatch bakal dikokolakeun ngaliwatan antarmuka wéb.
4. Nyetél FlowCollector
4.1. Sarua jeung kolektor. Kahiji, dina CLI urang nangtukeun alamat IP, topeng, domain, lajeng FC reboots. Anjeun teras tiasa nyambung ka antarmuka wéb dina alamat anu ditangtukeun sareng ngalaksanakeun pangaturan dasar anu sami. Kusabab kanyataan yén setélanna sami, Potret layar lengkep dileungitkeun. Kapercayaan asup sami.
4.2. Dina titik penultimate, anjeun kedah nyetél alamat IP tina SMC, dina hal ieu konsol bakal ningali alat, anjeun kedah mastikeun setelan ieu ku cara nuliskeun kapercayaan anjeun.
4.3. Pilih domain pikeun StealthWatch, éta diatur saméméhna, sarta port 2055 - Netflow biasa, upami anjeun damel sareng sFlow, port 6343.
5. Konfigurasi Netflow Ékspor
5.1. Pikeun ngonpigurasikeun eksportir Netflow, kuring nyarankeun pisan pikeun ngabalikan ieu , Ieu mangrupikeun pituduh utama pikeun ngonpigurasikeun eksportir Netflow pikeun seueur alat: Cisco, Check Point, Fortinet.
5.2. Dina kasus urang, kuring ngulang, urang ngekspor Netflow tina gateway Check Point. Éksportir Netflow dikonpigurasi dina tab anu nami anu sami dina antarmuka wéb (Portal Gaia). Jang ngalampahkeun ieu, klik "Tambahkeun", tangtukeun versi Netflow jeung port diperlukeun.
6. Analisis operasi StealthWatch
6.1. Перейдя в веб-интерфейс SMC, на первой же странице Dashboards > Network Security видно, что трафик пошел!
6.2. Sababaraha setélan, contona, ngabagi host kana grup, ngawaskeun antarmuka individu, bebanna, ngatur kolektor, sareng seueur deui, ngan tiasa dipendakan dina aplikasi Java StealthWatch. Tangtosna, Cisco lalaunan nransferkeun sadaya pungsionalitasna kana versi browser sareng kami bakal pas ngantunkeun klien desktop sapertos kitu.
Pikeun masang aplikasi, anjeun kedah masang heula (Kuring dipasang versi 8, sanajan ceuk eta dirojong nepi ka 10) ti ramatloka resmi Oracle.
Di pojok katuhu luhur antarmuka wéb tina konsol manajemén, pikeun diunduh, anjeun kedah klik tombol "Klién Desktop".
Anjeun simpen tur masang klien nu forcibly, java paling dipikaresep bakal sumpah di dinya, Anjeun bisa jadi kudu nambahkeun host kana iwal java.
Hasilna, hiji klien cukup jelas diungkabkeun, nu gampang pikeun nempo loading eksportir, interfaces, serangan jeung aliran maranéhanana.
7. StealthWatch Manajemén Tengah
7.1. Tab Manajemén Pusat ngandung sadaya alat anu mangrupikeun bagian tina StealthWatch anu disebarkeun, sapertos: FlowCollector, FlowSensor, UDP-Director sareng Endpoint Concetrator. Di dinya anjeun tiasa ngatur setelan jaringan sareng jasa alat, lisensi, sareng mareuman alat sacara manual.
Anjeun tiasa angkat ka éta ku ngaklik "gear" di pojok kanan luhur sareng milih Manajemén Pusat.
7.2. Ku bade Édit Konfigurasi Perkakas dina FlowCollector, anjeun bakal ningali SSH, NTP sareng setélan jaringan sanés anu aya hubunganana sareng aplikasi éta sorangan. Pikeun angkat, pilih Aksi → Édit Konfigurasi Perkakas kanggo alat anu diperyogikeun.
7.3. Manajemén lisénsi ogé tiasa dipendakan dina tab Manajemén Pusat> Atur Lisensi. Lisensi sidang bisi pamundut GVE dibikeun pikeun poé 90.
Produkna parantos siap! Dina bagian salajengna, urang bakal ningali kumaha StealthWatch tiasa mikawanoh serangan sareng ngahasilkeun laporan.
sumber: www.habr.com