Kumusta, mga kasamahan! Ang pagkakaroon ng pagtukoy sa mga minimum na kinakailangan para sa pag-deploy ng StealthWatch sa , maaari nating simulan ang pag-deploy ng produkto.
1. StealthWatch Deployment Methods
Mayroong ilang mga paraan upang "hawakan" ang StealthWatch:
- – serbisyo sa ulap para sa gawaing laboratoryo;
- Batay sa Ulap: – dito ipapadala ang Netflow mula sa iyong device sa cloud at susuriin doon ng StealthWatch software;
- On-premise POV () – ang paraan na ginamit ko, papadalhan ka ng 4 na OVF file ng mga virtual machine na may built-in na 90-araw na mga lisensya, na maaaring i-deploy sa isang dedikadong server sa corporate network.
Sa kabila ng kasaganaan ng mga na-download na virtual machine, dalawa lang ang sapat para sa kaunting configuration ng gumagana: StealthWatch Management Console at FlowCollector. Gayunpaman, kung walang network device na makakapag-export ng netflow sa FlowCollector, dapat ding i-deploy ang FlowSensor, dahil pinapayagan ng huli ang pagkolekta ng netflow gamit ang mga teknolohiyang SPAN/RSPAN.
Gaya ng nabanggit ko kanina, ang iyong aktwal na network ay maaaring magsilbi bilang isang lab rig, dahil kailangan lang ng StealthWatch ng kopya, o mas tumpak, isang distilled na kopya, ng trapiko. Ipinapakita ng figure sa ibaba ang aking network, kung saan ko iko-configure ang Netflow Exporter sa gateway ng seguridad at, bilang resulta, ipadala ang netflow sa kolektor.
Upang ma-access ang mga hinaharap na VM, ang mga sumusunod na port ay dapat payagan sa iyong firewall, kung mayroon ka nito:
TCP 22 l TCP 25 l TCP 389 l TCP 443 l TCP 2393 l TCP 5222 l UDP 53 l UDP 123 l UDP 161 l UDP 162 l UDP 389 l UDP 514 l UDP 2055 l UDP 6343
Ang ilan sa mga ito ay kilala sa publiko na mga serbisyo, ang ilan ay nakalaan para sa mga serbisyo ng Cisco.
Sa aking kaso, nag-deploy lang ako ng StelathWatch sa parehong network bilang Check Point, at hindi ko na kailangang i-configure ang anumang mga panuntunan sa pahintulot.
2. Pag-install ng FlowCollector gamit ang VMware vSphere bilang isang halimbawa
2.1. I-click ang Mag-browse at piliin ang OVF file1. Pagkatapos suriin ang pagkakaroon ng mga mapagkukunan, pumunta sa View menu, Imbentaryo → Networking (Ctrl+Shift+N).
2.2. Sa tab na Networking, piliin ang New Distributed port group sa mga setting ng virtual switch.
2.3. Itakda ang pangalan sa StealthWatchPortGroup. Ang natitirang mga setting ay maaaring gawin tulad ng ipinapakita sa screenshot, at i-click ang Susunod.
2.4. Kumpletuhin ang paglikha ng Port Group sa pamamagitan ng pag-click sa pindutang Tapusin.
2.5. I-edit ang mga setting ng ginawang Port Group sa pamamagitan ng pag-right click sa port group at pagpili sa Edit Settings. Sa tab na Seguridad, tiyaking paganahin ang "Promiscuous Mode": Promiscuous Mode → Accept → OK.
2.6. Bilang halimbawa, i-import natin ang OVF FlowCollector, ang link sa pag-download kung saan ipinadala ng isang Cisco engineer pagkatapos ng kahilingan sa GVE. I-right-click ang host kung saan mo planong i-deploy ang VM at piliin ang I-deploy ang OVF Template. Tungkol sa inilaan na espasyo, tatakbo ito sa 50 GB, ngunit para sa paggamit ng produksyon, inirerekomenda ang 200 GB.
2.7. Piliin ang folder kung saan matatagpuan ang OVF file.
2.8. I-click ang “Next”.
2.9. Ipinapahiwatig namin ang pangalan at server kung saan namin ito ide-deploy.
2.10. Bilang resulta, nakuha namin ang sumusunod na larawan at i-click ang "Tapos na".
2.11. Ginagawa namin ang parehong mga hakbang upang i-deploy ang StealthWatch Management Console.
2.12. Ngayon ay kailangan mong tukuyin ang mga kinakailangang network sa mga interface upang makita ng FlowCollector ang SMC at ang mga device kung saan ie-export ang Netflow.
3. Pagsisimula ng StealthWatch Management Console
3.1. Pagkatapos pumunta sa console ng naka-install na SMCVE machine, makikita mo ang isang lugar upang ipasok ang login at password, bilang default sysadmin/lan1cope.
3.2. Pumunta sa Pamamahala, itakda ang IP address at iba pang mga parameter ng network, at pagkatapos ay kumpirmahin ang mga pagbabago. Magre-reboot ang device.
3.3. Pumunta sa web interface (sa pamamagitan ng https sa address na iyong tinukoy para sa SMC) at simulan ang console, ang default na login/password ay admin/lan411cope.
PS: Minsan hindi ito bumubukas sa Google Chrome, ngunit palaging tutulong ang Explorer.
3.4. Tiyaking baguhin ang mga password, itakda ang DNS, NTP server, domain, at iba pang mga setting. Ang mga setting ay intuitive.
3.5. Pagkatapos i-click ang "Ilapat," magre-reboot muli ang device. Pagkatapos ng 5-7 minuto, maaari kang kumonekta muli sa address na ito; Ang StealthWatch ay pamamahalaan sa pamamagitan ng web interface.
4. Pag-configure ng FlowCollector
4.1. Ang setup ng kolektor ay pareho. Una, ilagay ang IP address, mask, at domain sa CLI, pagkatapos ay magre-reboot ang FC. Pagkatapos, maaari kang kumonekta sa web interface sa tinukoy na address at gawin ang parehong pangunahing configuration. Dahil magkapareho ang mga setting, inalis ang mga detalyadong screenshot. Mga kredensyal para pumasok pareho.
4.2. Sa penultimate na hakbang, kailangan mong itakda ang SMC IP address. Papayagan nito ang console na makita ang device. Kakailanganin mong kumpirmahin ang setting na ito sa pamamagitan ng paglalagay ng iyong mga kredensyal.
4.3. Piliin ang domain para sa StealthWatch, naitakda ito nang mas maaga, at ang port 2055 - regular na Netflow, kung nagtatrabaho ka sa sFlow, port 6343.
5. Configuration ng Netflow Exporter
5.1 Upang i-configure ang Netflow exporter, lubos kong inirerekomenda na sumangguni dito Narito ang mga pangunahing gabay para sa pag-configure ng Netflow exporter para sa maraming device: Cisco, Check Point, Fortinet.
5.2. Sa aming kaso, ini-export namin ang Netflow mula sa isang Check Point gateway. Ginagawa ang configuration ng netflow exporter sa isang tab na may katulad na pangalan sa web interface (Gaia Portal). Upang gawin ito, i-click ang "Magdagdag," tukuyin ang bersyon ng Netflow, at piliin ang kinakailangang port.
6. Pagsusuri ng StealthWatch
6.1. Pagkatapos pumunta sa web interface ng SMC, sa pinakaunang pahina ng Dashboards > Network Security, makikita mo na dumadaloy ang trapiko!
6.2. Ang ilang mga setting, tulad ng paghahati sa mga host sa mga grupo, pagsubaybay sa mga indibidwal na interface at kanilang pagkarga, pamamahala sa mga kolektor, at higit pa, ay makikita lamang sa StealthWatch Java application. Siyempre, unti-unting inililipat ng Cisco ang lahat ng functionality sa bersyon ng browser, at malapit na naming ihinto ang paggamit sa desktop client na ito.
Upang i-install ang application, kailangan mo munang i-install (Nag-install ako ng bersyon 8, kahit na sinasabi nito na hanggang 10 ang suportado) mula sa opisyal na website ng Oracle.
Upang mag-download, i-click ang button na "Desktop Client" sa kanang sulok sa itaas ng web interface ng management console.
Pinilit mong i-save at i-install ang kliyente, malamang na magreklamo ang Java tungkol dito, maaaring kailanganin mong idagdag ang host sa mga pagbubukod sa Java.
Ang resulta ay isang medyo intuitive na kliyente na nagpapadali sa pag-load ng mga exporter, mga interface, pag-atake, at kanilang mga daloy.
7. StealthWatch Central Management
7.1. Ipinapakita ng tab na Central Management ang lahat ng device na bahagi ng naka-deploy na StealthWatch, kabilang ang FlowCollector, FlowSensor, UDP-Director, at Endpoint Concetrator. Dito maaari mong pamahalaan ang mga setting ng network at mga serbisyo ng device, mga lisensya, at manu-manong isara ang isang device.
Maa-access mo ito sa pamamagitan ng pag-click sa gear sa kanang sulok sa itaas at pagpili sa Central Management.
7.2. Sa pamamagitan ng pagpunta sa Edit Appliance Configuration sa FlowCollector, makikita mo ang SSH, NTP, at iba pang network settings na nauugnay sa appliance mismo. Upang gawin ito, piliin ang Mga Pagkilos → I-edit ang Configuration ng Appliance para sa gustong device.
7.3. Ang pamamahala ng lisensya ay maaari ding matagpuan sa Central Management > Manage Licenses tab. Ang mga lisensya sa pagsubok ay ibinibigay sa kaso ng isang kahilingan sa GVE. 90 araw.
Handa na ang produkto! Sa susunod na seksyon, titingnan natin kung paano matutukoy ng StealthWatch ang mga pag-atake at makabuo ng mga ulat.
Pinagmulan: www.habr.com
