StealthWatch: வரிசைப்படுத்தல் மற்றும் கட்டமைப்பு. பகுதி 2
வணக்கம் சக ஊழியர்களே! StealthWatch ஐப் பயன்படுத்துவதற்கான குறைந்தபட்சத் தேவைகளை முடிவு செய்த பிறகு கடைசி பகுதி, நாம் தயாரிப்பு வெளியீட்டைத் தொடங்கலாம்.
மேகம் சார்ந்த: ஸ்டெல்த்வாட்ச் கிளவுட் இலவச சோதனை - இங்கே உங்கள் சாதனத்திலிருந்து Netflow கிளவுட்டில் விழும் மற்றும் StealthWatch மென்பொருள் அதை அங்கு பகுப்பாய்வு செய்யும்;
வளாகத்தில் POVGVE கோரிக்கை) - நான் சென்ற வழியில், 4 நாட்களுக்கு உள்ளமைக்கப்பட்ட உரிமங்களைக் கொண்ட மெய்நிகர் இயந்திரங்களின் 90 OVF கோப்புகள் உங்களுக்கு வழங்கப்படும், அவை கார்ப்பரேட் நெட்வொர்க்கில் உள்ள பிரத்யேக சேவையகத்தில் பயன்படுத்தப்படலாம்.
பதிவிறக்கம் செய்யப்பட்ட மெய்நிகர் இயந்திரங்கள் ஏராளமாக இருந்தாலும், குறைந்தபட்ச செயல்பாட்டு உள்ளமைவுக்கு 2 மட்டுமே போதுமானது: StealthWatch Management Console மற்றும் FlowCollector. இருப்பினும், ஃப்ளோகலெக்டருக்கு நெட்ஃப்ளோவை ஏற்றுமதி செய்யக்கூடிய நெட்வொர்க் சாதனம் இல்லை என்றால், ஃப்ளோசென்சரை வரிசைப்படுத்துவதும் அவசியம், ஏனெனில் பிந்தையது, SPAN / RSPAN தொழில்நுட்பங்களைப் பயன்படுத்தி, நெட்ஃப்ளோவை சேகரிக்க உங்களை அனுமதிக்கிறது.
ஒரு ஆய்வக நிலைப்பாட்டில், நான் முன்பே கூறியது போல், உங்கள் உண்மையான நெட்வொர்க் செயல்பட முடியும், ஏனெனில் StealthWatch ஒரு நகல் அல்லது, இன்னும் சரியாக, டிராஃபிக்கின் சுருக்க நகல் மட்டுமே தேவை. கீழே உள்ள படம் எனது நெட்வொர்க்கைக் காட்டுகிறது, அங்கு பாதுகாப்பு நுழைவாயிலில் நான் Netflow ஏற்றுமதியாளரை உள்ளமைப்பேன், இதன் விளைவாக, நான் சேகரிப்பாளருக்கு Netflow அனுப்புவேன்.
எதிர்கால VMகளை அணுக, உங்கள் ஃபயர்வால், ஏதேனும் இருந்தால், பின்வரும் போர்ட்களை அனுமதிக்க வேண்டும்:
TCP 22 l TCP 25 l TCP 389 l TCP 443 l TCP 2393 l TCP 5222 l UDP 53 l UDP 123 l UDP 161 l UDP 162 l UDP 389 l UDP 514 l UDP 2055
அவற்றில் சில நன்கு அறியப்பட்ட சேவைகள், சில சிஸ்கோ சேவைகளுக்காக ஒதுக்கப்பட்டவை.
என் விஷயத்தில், செக் பாயின்ட் இருக்கும் அதே நெட்வொர்க்கில் ஸ்டெலத்வாட்சைப் பயன்படுத்தினேன், அனுமதி விதிகள் எதையும் உள்ளமைக்க வேண்டியதில்லை.
2. உதாரணமாக VMware vSphere ஐப் பயன்படுத்தி FlowCollector ஐ நிறுவுதல்
2.1 உலாவு என்பதைக் கிளிக் செய்து OVF கோப்பு1 என்பதைத் தேர்ந்தெடுக்கவும். வளங்கள் கிடைப்பதைச் சரிபார்த்த பிறகு, மெனுவுக்குச் செல்லவும் காட்சி, சரக்கு → நெட்வொர்க்கிங் (Ctrl+Shift+N).
2.2 நெட்வொர்க்கிங் தாவலில், மெய்நிகர் சுவிட்ச் அமைப்புகளில் புதிய விநியோகிக்கப்பட்ட போர்ட் குழுவைத் தேர்ந்தெடுக்கவும்.
2.3 நாங்கள் பெயரை அமைக்கிறோம், அது StealthWatchPortGroup ஆக இருக்கட்டும், மீதமுள்ள அமைப்புகளை ஸ்கிரீன்ஷாட்டில் உள்ளதைப் போல செய்து அடுத்து என்பதைக் கிளிக் செய்யவும்.
2.4 பினிஷ் பொத்தானைக் கொண்டு போர்ட் குழுவின் உருவாக்கத்தை முடிக்கிறோம்.
2.5 போர்ட் குழுவில் வலது கிளிக் செய்வதன் மூலம் உருவாக்கப்பட்ட போர்ட் குழுவிற்கான அமைப்புகளைத் திருத்துவோம், அமைப்புகளைத் திருத்து என்பதைத் தேர்ந்தெடுக்கவும். பாதுகாப்புத் தாவலில், "விபச்சார பயன்முறை", ப்ரோமிஸ்குயூஸ் மோட் → ஏற்றுக்கொள் → சரி என்பதை இயக்குவதை உறுதிப்படுத்தவும்.
2.6 உதாரணமாக, OVF FlowCollector ஐ இறக்குமதி செய்வோம், அதன் பதிவிறக்க இணைப்பு GVE கோரிக்கைக்குப் பிறகு சிஸ்கோ பொறியாளரால் அனுப்பப்பட்டது. நீங்கள் VM ஐப் பயன்படுத்தத் திட்டமிடும் ஹோஸ்டில் வலது கிளிக் செய்வதன் மூலம், OVF டெம்ப்ளேட்டைப் பயன்படுத்து என்பதைத் தேர்ந்தெடுக்கவும். ஒதுக்கப்பட்ட இடத்தைப் பொறுத்தவரை, இது 50 ஜிபியில் "தொடங்கும்", ஆனால் போர் நிலைமைகளுக்கு 200 ஜிகாபைட்களை ஒதுக்க பரிந்துரைக்கப்படுகிறது.
2.7 OVF கோப்பு அமைந்துள்ள கோப்புறையைத் தேர்ந்தெடுக்கவும்.
2.8 நாங்கள் "அடுத்து" அழுத்துகிறோம்.
2.9 பெயர் மற்றும் சேவையகத்தை நாங்கள் எங்கு பயன்படுத்துகிறோம் என்பதைக் குறிப்பிடவும்.
2.10 இதன் விளைவாக, பின்வரும் படத்தைப் பெற்று, "பினிஷ்" என்பதைக் கிளிக் செய்க.
2.11 StealthWatch Management Consoleஐப் பயன்படுத்த, அதே படிகளைப் பின்பற்றவும்.
2.12 இப்போது நீங்கள் தேவையான நெட்வொர்க்குகளை இடைமுகங்களில் குறிப்பிட வேண்டும், இதனால் FlowCollector SMC மற்றும் Netflow ஏற்றுமதி செய்யப்படும் சாதனங்கள் இரண்டையும் பார்க்க முடியும்.
3. StealthWatch மேலாண்மை கன்சோலைத் தொடங்குதல்
3.1 நிறுவப்பட்ட SMCVE இயந்திரத்தின் கன்சோலுக்குச் சென்றால், இயல்புநிலையாக உள்நுழைவு மற்றும் கடவுச்சொல்லை உள்ளிடுவதற்கான இடத்தைக் காண்பீர்கள். sysadmin/lan1cope.
3.2 நாங்கள் மேலாண்மை உருப்படிக்குச் சென்று, ஐபி முகவரி மற்றும் பிற பிணைய அளவுருக்களை அமைத்து, அவற்றின் மாற்றத்தை உறுதிப்படுத்தவும். சாதனம் மீண்டும் துவக்கப்படும்.
3.3 நாங்கள் இணைய இடைமுகத்திற்குச் சென்று (நீங்கள் SMC அமைக்கும் முகவரிக்கு https வழியாக) மற்றும் கன்சோலை துவக்குகிறோம், இயல்புநிலை உள்நுழைவு / கடவுச்சொல் நிர்வாகம்/lan411cope.
PS: இது Google Chrome இல் திறக்கப்படவில்லை, எக்ஸ்ப்ளோரர் எப்போதும் உதவும்.
3.4 கடவுச்சொற்களை மாற்றவும், DNS, NTP சேவையகங்கள், டொமைன் மற்றும் பலவற்றை அமைக்கவும். அமைப்புகள் உள்ளுணர்வு.
3.5 "விண்ணப்பிக்கவும்" பொத்தானைக் கிளிக் செய்த பிறகு, சாதனம் மீண்டும் துவக்கப்படும். 5-7 நிமிடங்களுக்குப் பிறகு, இந்த முகவரியில் மீண்டும் இணைக்கலாம்; StealthWatch இணைய இடைமுகம் மூலம் நிர்வகிக்கப்படும்.
4. FlowCollector ஐ அமைத்தல்
4.1 கலெக்டருக்கும் அப்படித்தான். முதலில், CLI இல் IP முகவரி, முகமூடி, டொமைன் ஆகியவற்றைக் குறிப்பிடுகிறோம், பின்னர் FC மறுதொடக்கம் செய்யப்படுகிறது. அதன் பிறகு, நீங்கள் குறிப்பிட்ட முகவரியில் இணைய இடைமுகத்துடன் இணைக்கலாம் மற்றும் அதே அடிப்படை உள்ளமைவைச் செய்யலாம். ஒத்த அமைப்புகளின் காரணமாக, விரிவான ஸ்கிரீன்ஷாட்கள் தவிர்க்கப்பட்டன. சான்றுகளை நுழைவதற்கு அதே.
4.2 இறுதி கட்டத்தில், நீங்கள் SMC ஐபி முகவரியை அமைக்க வேண்டும், இதில் கன்சோல் சாதனத்தைப் பார்க்கும், நற்சான்றிதழ்களை உள்ளிடுவதன் மூலம் இந்த அமைப்பை நீங்கள் உறுதிப்படுத்த வேண்டும்.
4.3. StealthWatch க்கான டொமைனைத் தேர்ந்தெடுக்கிறோம், அது முன்பு அமைக்கப்பட்டது, மற்றும் துறைமுகம் 2055 - வழக்கமான Netflow, நீங்கள் sFlow, port உடன் பணிபுரிந்தால் 6343.
5. Netflow ஏற்றுமதியாளர் கட்டமைப்பு
5.1 Netflow ஏற்றுமதியாளரை உள்ளமைக்க, இதைப் பரிந்துரைக்க நான் மிகவும் பரிந்துரைக்கிறேன் வளம் , பல சாதனங்களுக்கு Netflow ஏற்றுமதியாளரை உள்ளமைப்பதற்கான முக்கிய வழிகாட்டிகள் இங்கே உள்ளன: Cisco, Check Point, Fortinet.
5.2 எங்கள் விஷயத்தில், நான் மீண்டும் சொல்கிறேன், நாங்கள் செக் பாயிண்ட் கேட்வேயில் இருந்து நெட்ஃப்ளோவை ஏற்றுமதி செய்கிறோம். Netflow ஏற்றுமதியாளர் இணைய இடைமுகத்தில் (Gaia Portal) பெயரில் உள்ள ஒரு தாவலில் கட்டமைக்கப்பட்டுள்ளது. இதைச் செய்ய, "சேர்" என்பதைக் கிளிக் செய்து, Netflow பதிப்பு மற்றும் தேவையான போர்ட்டைக் குறிப்பிடவும்.
6. StealthWatch வேலையின் பகுப்பாய்வு
6.1. SMC இணைய இடைமுகத்திற்குச் சென்றால், Dashboards > Network Security என்பதன் முதல் பக்கத்தில், ட்ராஃபிக் போய்விட்டதைக் காணலாம்!
6.2 ஹோஸ்ட்களை குழுக்களாகப் பிரித்தல், தனிப்பட்ட இடைமுகங்களைக் கண்காணித்தல், அவற்றின் பணிச்சுமை, சேகரிப்பாளர்களை நிர்வகித்தல் மற்றும் பல போன்ற சில அமைப்புகளை StealthWatch Java பயன்பாட்டில் மட்டுமே காண முடியும். நிச்சயமாக, சிஸ்கோ மெதுவாக அனைத்து செயல்பாடுகளையும் உலாவி பதிப்பிற்கு மாற்றுகிறது, மேலும் இதுபோன்ற டெஸ்க்டாப் கிளையண்டை விரைவில் கைவிடுவோம்.
பயன்பாட்டை நிறுவ, நீங்கள் முதலில் நிறுவ வேண்டும் JRE (நான் பதிப்பு 8 ஐ நிறுவினேன், இருப்பினும் இது 10 வரை ஆதரிக்கப்படும் என்று கூறுகிறது) அதிகாரப்பூர்வ Oracle இணையதளத்தில் இருந்து.
பதிவிறக்கம் செய்ய மேலாண்மை கன்சோலின் வலை இடைமுகத்தின் மேல் வலது மூலையில், நீங்கள் "டெஸ்க்டாப் கிளையண்ட்" பொத்தானைக் கிளிக் செய்ய வேண்டும்.
நீங்கள் கிளையண்டை வலுக்கட்டாயமாக சேமித்து நிறுவுகிறீர்கள், ஜாவா அதை சத்தியம் செய்யும், ஜாவா விதிவிலக்குகளில் ஹோஸ்டைச் சேர்க்க வேண்டியிருக்கும்.
இதன் விளைவாக, ஒரு தெளிவான கிளையன்ட் திறக்கிறது, இதில் ஏற்றுமதியாளர்கள், இடைமுகங்கள், தாக்குதல்கள் மற்றும் அவற்றின் ஓட்டங்களை ஏற்றுவதை எளிதாகக் காணலாம்.
7. StealthWatch மத்திய மேலாண்மை
7.1. ஃப்ளோகலெக்டர், ஃப்ளோசென்சர், யுடிபி-டைரக்டர் மற்றும் எண்ட்பாயிண்ட் கன்செட்ரேட்டர் போன்ற பயன்படுத்தப்பட்ட ஸ்டீல்த்வாட்சின் ஒரு பகுதியாக இருக்கும் அனைத்து சாதனங்களும் மத்திய மேலாண்மை தாவலில் உள்ளன. அங்கு நீங்கள் நெட்வொர்க் அமைப்புகள் மற்றும் சாதன சேவைகள், உரிமங்களை நிர்வகிக்கலாம் மற்றும் சாதனத்தை கைமுறையாக முடக்கலாம்.
மேல் வலது மூலையில் உள்ள "கியர்" என்பதைக் கிளிக் செய்து மத்திய நிர்வாகத்தைத் தேர்ந்தெடுப்பதன் மூலம் நீங்கள் அதற்குச் செல்லலாம்.
7.2 FlowCollector இன் எடிட் அப்ளையன்ஸ் உள்ளமைவுக்குச் செல்வதன் மூலம், SSH, NTP மற்றும் அப்ளையன்ஸுடன் தொடர்புடைய பிற நெட்வொர்க் அமைப்புகளைப் பார்ப்பீர்கள். செல்ல, தேவையான சாதனத்திற்கான செயல்கள் → எடிட் அப்ளையன்ஸ் உள்ளமைவைத் தேர்ந்தெடுக்கவும்.
7.3 உரிம நிர்வாகத்தை மத்திய மேலாண்மை > உரிமங்களை நிர்வகி தாவலின் கீழும் காணலாம். GVE கோரிக்கையின் போது சோதனை உரிமங்கள் வழங்கப்படும் 90 நாட்கள்.
தயாரிப்பு செல்ல தயாராக உள்ளது! அடுத்த பகுதியில், StealthWatch எவ்வாறு தாக்குதல்களை அடையாளம் கண்டு அறிக்கைகளை உருவாக்குகிறது என்பதைப் பார்ப்போம்.