Habari wenzangu! Baada ya kubainisha mahitaji ya chini zaidi ya kupeleka StealthWatch ndani , tunaweza kuanza kupeleka bidhaa.
1. Mbinu za kupeleka StealthWatch
Kuna njia kadhaa za "kugusa" StealthWatch:
- - huduma ya wingu kwa kazi ya maabara;
- Kulingana na Wingu: - hapa Netflow kutoka kwa kifaa chako itatiririka hadi kwenye wingu na itachambuliwa hapo na programu ya StealthWatch;
- POV ya ndani () - njia niliyofuata, watakutumia faili 4 za OVF za mashine za kawaida zilizo na leseni zilizojengwa kwa siku 90, ambazo zinaweza kutumwa kwenye seva iliyojitolea kwenye mtandao wa ushirika.
Licha ya wingi wa mashine pepe zilizopakuliwa, kwa usanidi mdogo wa kufanya kazi ni 2 tu zinazotosha: StealthWatch Management Console na FlowCollector. Hata hivyo, ikiwa hakuna kifaa cha mtandao ambacho kinaweza kuhamisha Netflow kwa FlowCollector, basi ni muhimu pia kupeleka FlowSensor, kwa kuwa mwisho hukuruhusu kukusanya Netflow kwa kutumia teknolojia za SPAN/RSPAN.
Kama nilivyosema hapo awali, mtandao wako halisi unaweza kufanya kama benchi ya maabara, kwani StealthWatch inahitaji nakala tu, au, kwa usahihi zaidi, kubana kwa nakala ya trafiki. Picha hapa chini inaonyesha mtandao wangu, ambapo kwenye lango la usalama nitasanidi Netflow Exporter na, kwa matokeo, nitatuma Netflow kwa mtoza.
Ili kufikia VM za siku zijazo, bandari zifuatazo zinapaswa kuruhusiwa kwenye ngome yako, ikiwa unayo:
TCP 22 l TCP 25 l TCP 389 l TCP 443 l TCP 2393 l TCP 5222 l UDP 53 l UDP 123 l UDP 161 l UDP 162 l UDP 389 l UDP 514 UDP 2055 6343 UDP XNUMX
Baadhi yao ni huduma zinazojulikana, zingine zimehifadhiwa kwa huduma za Cisco.
Kwa upande wangu, nilituma StelathWatch kwenye mtandao sawa na Check Point, na sikulazimika kusanidi sheria zozote za ruhusa.
2. Kusakinisha FlowCollector kwa kutumia VMware vSphere kama mfano
2.1. Bofya Vinjari na uchague faili ya OVF1. Baada ya kuangalia upatikanaji wa rasilimali, nenda kwenye menyu Tazama, Mali β Mtandao (Ctrl+Shift+N).
2.2. Katika kichupo cha Mtandao, chagua Kikundi kipya cha bandari Inayosambazwa katika mipangilio ya swichi pepe.
2.3. Weka jina, acha liwe StealthWatchPortGroup, mipangilio mingine yote inaweza kufanywa kama kwenye picha ya skrini na ubofye Inayofuata.
2.4. Tunakamilisha uundaji wa Kundi la Bandari na kifungo cha Kumaliza.
2.5. Hebu tuhariri mipangilio ya Kikundi cha Bandari kilichoundwa kwa kubofya kulia kwenye kikundi cha bandari na kuchagua Badilisha Mipangilio. Katika kichupo cha Usalama, hakikisha kuwezesha "hali ya uasherati", Hali ya Uasherati β Kubali β Sawa.
2.6. Kama mfano, hebu tuingize OVF FlowCollector, kiungo cha kupakua ambacho kilitumwa na mhandisi wa Cisco baada ya ombi la GVE. Bofya kulia kwenye seva pangishi ambayo unapanga kupeleka VM na uchague Tumia Kiolezo cha OVF. Kuhusu nafasi iliyotengwa, "itaanza" kwa GB 50, lakini kwa hali ya kupambana inashauriwa kutenga gigabytes 200.
2.7. Chagua folda ambapo faili ya OVF iko.
2.8. Bonyeza "Ijayo".
2.9. Tunaonyesha jina na seva ambapo tunaipeleka.
2.10. Matokeo yake, tunapata picha ifuatayo na bofya "Maliza".
2.11. Tunafuata hatua zile zile ili kusambaza Dashibodi ya Usimamizi ya StealthWatch.
2.12. Sasa unahitaji kubainisha mitandao muhimu katika violesura ili FlowCollector ione SMC na vifaa ambavyo Netflow itasafirishwa.
3. Kuanzisha Dashibodi ya Usimamizi ya StealthWatch
3.1. Kwa kwenda kwenye console ya mashine iliyosakinishwa ya SMCVE, utaona mahali pa kuingiza kuingia kwako na nenosiri, kwa default sysadmin/lan1cope.
3.2. Tunakwenda kwenye kipengee cha Usimamizi, weka anwani ya IP na vigezo vingine vya mtandao, kisha uhakikishe mabadiliko yao. Kifaa kitaanza upya.
3.3. Nenda kwenye kiolesura cha wavuti (kupitia https kwa anwani uliyotaja katika SMC) na uanzishe koni, kuingia kwa msingi/nenosiri - admin/lan411cope.
PS: hutokea kwamba haifungui kwenye Google Chrome, Explorer itasaidia daima.
3.4. Hakikisha kubadilisha nywila, kuweka seva za DNS, NTP, kikoa, nk. Mipangilio ni angavu.
3.5. Baada ya kubofya kitufe cha "Weka", kifaa kitaanza tena. Baada ya dakika 5-7 unaweza kuunganisha tena kwa anwani hii; StealthWatch itadhibitiwa kupitia kiolesura cha wavuti.
4. Kuanzisha FlowCollector
4.1. Ni sawa na mkusanyaji. Kwanza, katika CLI tunataja anwani ya IP, mask, kikoa, kisha FC inafungua upya. Kisha unaweza kuunganisha kwenye kiolesura cha wavuti kwenye anwani maalum na kutekeleza usanidi sawa wa kimsingi. Kwa sababu ya ukweli kwamba mipangilio ni sawa, viwambo vya kina vimeachwa. Hati tambulishi kuingia sawa.
4.2. Katika hatua ya mwisho, unahitaji kuweka anwani ya IP ya SMC, katika kesi hii console itaona kifaa, utakuwa na kuthibitisha mpangilio huu kwa kuingiza sifa zako.
4.3. Chagua kikoa cha StealthWatch, kiliwekwa mapema, na bandari 2055 - Netflow ya kawaida, ikiwa unafanya kazi na sFlow, bandari 6343.
5. Usanidi wa Netflow Exporter
5.1. Ili kusanidi msafirishaji wa Netflow, ninapendekeza sana kugeukia hii , hapa kuna miongozo kuu ya kusanidi msafirishaji wa Netflow kwa vifaa vingi: Cisco, Check Point, Fortinet.
5.2. Kwa upande wetu, narudia, tunasafirisha Netflow kutoka kwa lango la Check Point. Kisafirishaji cha Netflow kimesanidiwa katika kichupo cha jina sawa katika kiolesura cha wavuti (Gaia Portal). Ili kufanya hivyo, bofya "Ongeza", taja toleo la Netflow na bandari inayohitajika.
6. Uchambuzi wa uendeshaji wa StealthWatch
6.1. Ukienda kwenye kiolesura cha wavuti cha SMC, kwenye ukurasa wa kwanza wa Dashibodi > Usalama wa Mtandao unaweza kuona kwamba trafiki imeanza!
6.2. Baadhi ya mipangilio, kwa mfano, kugawanya seva pangishi katika vikundi, kufuatilia violesura vya mtu binafsi, mzigo wao, wasimamizi wa wakusanyaji, na zaidi, inaweza kupatikana tu katika programu ya StealthWatch Java. Bila shaka, Cisco inahamisha utendakazi wote polepole kwa toleo la kivinjari na hivi karibuni tutaachana na mteja kama huyo wa eneo-kazi.
Ili kusakinisha programu, lazima kwanza usakinishe (Nilisakinisha toleo la 8, ingawa inasemekana kwamba linatumika hadi 10) kutoka kwa tovuti rasmi ya Oracle.
Kona ya juu ya kulia ya kiolesura cha wavuti cha koni ya usimamizi, kupakua, lazima ubofye kitufe cha "Mteja wa Eneo-kazi".
Unahifadhi na kusakinisha mteja kwa lazima, java itaapa, unaweza kuhitaji kuongeza mwenyeji kwa vighairi vya java.
Matokeo yake, mteja wa haki wazi hufunuliwa, ambayo ni rahisi kuona upakiaji wa wauzaji nje, interfaces, mashambulizi na mtiririko wao.
7. StealthWatch Central Management
7.1. Kichupo cha Usimamizi Mkuu kina vifaa vyote ambavyo ni sehemu ya StealthWatch iliyotumiwa, kama vile: FlowCollector, FlowSensor, UDP-Director na Endpoint Concetrator. Huko unaweza kudhibiti mipangilio ya mtandao na huduma za kifaa, leseni na kuzima kifaa wewe mwenyewe.
Unaweza kwenda kwa hiyo kwa kubofya "gia" kwenye kona ya juu ya kulia na kuchagua Usimamizi wa Kati.
7.2. Kwa kwenda kwa Hariri Usanidi wa Kifaa katika FlowCollector, utaona SSH, NTP na mipangilio mingine ya mtandao inayohusiana na programu yenyewe. Ili kwenda, chagua Vitendo β Badilisha Usanidi wa Kifaa kwa kifaa kinachohitajika.
7.3. Usimamizi wa leseni unaweza pia kupatikana katika kichupo cha Usimamizi Mkuu > Dhibiti Leseni. Leseni za majaribio katika kesi ya ombi la GVE hutolewa kwa 90 siku.
Bidhaa iko tayari kwenda! Katika sehemu inayofuata, tutaangalia jinsi StealthWatch inavyoweza kutambua mashambulizi na kutoa ripoti.
Chanzo: mapenzi.com