Hello mga kasamahan! Ang pagkakaroon ng pagtukoy sa mga minimum na kinakailangan para sa pag-deploy ng StealthWatch sa , maaari nating simulan ang pag-deploy ng produkto.
1. Mga paraan para sa pag-deploy ng StealthWatch
Mayroong ilang mga paraan upang "hawakan" ang StealthWatch:
- β serbisyo sa ulap para sa gawaing laboratoryo;
- Batay sa Ulap: β dito dadaloy ang Netflow mula sa iyong device sa cloud at susuriin doon ng StealthWatch software;
- On-premise POV () β ang pamamaraang sinunod ko, padadalhan ka nila ng 4 na OVF file ng mga virtual machine na may mga built-in na lisensya sa loob ng 90 araw, na maaaring i-deploy sa isang dedikadong server sa corporate network.
Sa kabila ng kasaganaan ng mga na-download na virtual machine, para sa isang minimal na configuration ng gumagana, 2 lang ang sapat: StealthWatch Management Console at FlowCollector. Gayunpaman, kung walang network device na maaaring mag-export ng Netflow sa FlowCollector, kailangan ding i-deploy ang FlowSensor, dahil pinapayagan ka ng huli na mangolekta ng Netflow gamit ang mga teknolohiya ng SPAN/RSPAN.
Gaya ng sinabi ko kanina, ang iyong tunay na network ay maaaring kumilos bilang isang laboratory bench, dahil ang StealthWatch ay nangangailangan lamang ng isang kopya, o, mas tama, isang squeeze ng isang kopya ng trapiko. Ang larawan sa ibaba ay nagpapakita ng aking network, kung saan sa gateway ng seguridad ay iko-configure ko ang Netflow Exporter at, bilang resulta, ipapadala ang Netflow sa kolektor.
Upang ma-access ang mga hinaharap na VM, ang mga sumusunod na port ay dapat payagan sa iyong firewall, kung mayroon ka nito:
TCP 22 l TCP 25 l TCP 389 l TCP 443 l TCP 2393 l TCP 5222 l UDP 53 l UDP 123 l UDP 161 l UDP 162 l UDP 389 l UDP 514 l UDP 2055 l UDP 6343
Ang ilan sa mga ito ay mga kilalang serbisyo, ang ilan ay nakalaan para sa mga serbisyo ng Cisco.
Sa aking kaso, nag-deploy lang ako ng StelathWatch sa parehong network bilang Check Point, at hindi na kailangang i-configure ang anumang mga panuntunan sa pahintulot.
2. Pag-install ng FlowCollector gamit ang VMware vSphere bilang isang halimbawa
2.1. I-click ang Mag-browse at piliin ang OVF file1. Pagkatapos suriin ang pagkakaroon ng mga mapagkukunan, pumunta sa menu View, Imbentaryo β Networking (Ctrl+Shift+N).
2.2. Sa tab na Networking, piliin ang New Distributed port group sa mga setting ng virtual switch.
2.3. Itakda ang pangalan, hayaan itong maging StealthWatchPortGroup, ang natitirang mga setting ay maaaring gawin tulad ng sa screenshot at i-click ang Susunod.
2.4. Kinumpleto namin ang paglikha ng Port Group gamit ang Finish button.
2.5. I-edit natin ang mga setting ng ginawang Port Group sa pamamagitan ng pag-right click sa port group at pagpili sa Edit Settings. Sa tab na Seguridad, tiyaking paganahin ang βpromiscuous modeβ, Promiscuous Mode β Accept β OK.
2.6. Bilang halimbawa, mag-import tayo ng OVF FlowCollector, ang link sa pag-download kung saan ipinadala ng isang Cisco engineer pagkatapos ng kahilingan sa GVE. Mag-right-click sa host kung saan plano mong i-deploy ang VM at piliin ang I-deploy ang OVF Template. Tungkol sa inilalaan na espasyo, ito ay "magsisimula" sa 50 GB, ngunit para sa mga kondisyon ng labanan inirerekumenda na maglaan ng 200 gigabytes.
2.7. Piliin ang folder kung saan matatagpuan ang OVF file.
2.8. I-click ang βNextβ.
2.9. Ipinapahiwatig namin ang pangalan at server kung saan namin ito i-deploy.
2.10. Bilang resulta, nakuha namin ang sumusunod na larawan at i-click ang "Tapos na".
2.11. Sinusunod namin ang parehong mga hakbang upang i-deploy ang StealthWatch Management Console.
2.12. Ngayon ay kailangan mong tukuyin ang mga kinakailangang network sa mga interface upang makita ng FlowCollector ang parehong SMC at ang mga device kung saan ie-export ang Netflow.
3. Pagsisimula ng StealthWatch Management Console
3.1. Sa pamamagitan ng pagpunta sa console ng naka-install na SMCVE machine, makikita mo ang isang lugar upang ipasok ang iyong login at password, bilang default sysadmin/lan1cope.
3.2. Pumunta kami sa item na Pamamahala, itakda ang IP address at iba pang mga parameter ng network, pagkatapos ay kumpirmahin ang kanilang mga pagbabago. Magre-reboot ang device.
3.3. Pumunta sa web interface (sa pamamagitan ng https sa address na iyong tinukoy sa SMC) at simulan ang console, default na login/password - admin/lan411cope.
PS: nangyayari na hindi ito nagbubukas sa Google Chrome, palaging tutulong ang Explorer.
3.4. Tiyaking baguhin ang mga password, itakda ang DNS, NTP server, domain, atbp. Ang mga setting ay intuitive.
3.5. Pagkatapos i-click ang pindutang "Ilapat", muling mag-reboot ang device. Pagkatapos ng 5-7 minuto maaari kang kumonekta muli sa address na ito; Ang StealthWatch ay pamamahalaan sa pamamagitan ng isang web interface.
4. Pagse-set up ng FlowCollector
4.1. Ganun din sa collector. Una, sa CLI tinukoy namin ang IP address, mask, domain, pagkatapos ay nag-reboot ang FC. Pagkatapos ay maaari kang kumonekta sa web interface sa tinukoy na address at isagawa ang parehong pangunahing setup. Dahil sa ang katunayan na ang mga setting ay magkatulad, ang mga detalyadong screenshot ay tinanggal. Mga kredensyal para pumasok pareho.
4.2. Sa penultimate point, kailangan mong itakda ang IP address ng SMC, sa kasong ito makikita ng console ang device, kailangan mong kumpirmahin ang setting na ito sa pamamagitan ng pagpasok ng iyong mga kredensyal.
4.3. Piliin ang domain para sa StealthWatch, naitakda ito nang mas maaga, at ang port 2055 β regular na Netflow, kung nagtatrabaho ka sa sFlow, port 6343.
5. Configuration ng Netflow Exporter
5.1. Upang i-configure ang Netflow exporter, lubos kong inirerekumenda na bumaling dito , narito ang mga pangunahing gabay para sa pag-configure ng Netflow exporter para sa maraming device: Cisco, Check Point, Fortinet.
5.2. Sa aming kaso, inuulit ko, ini-export namin ang Netflow mula sa Check Point gateway. Ang Netflow exporter ay na-configure sa isang tab na may parehong pangalan sa web interface (Gaia Portal). Upang gawin ito, i-click ang "Magdagdag", tukuyin ang bersyon ng Netflow at ang kinakailangang port.
6. Pagsusuri ng operasyon ng StealthWatch
6.1. Pagpunta sa SMC web interface, sa unang pahina ng Dashboards > Network Security, makikita mo na nagsimula na ang trapiko!
6.2. Ang ilang mga setting, halimbawa, ang paghahati ng mga host sa mga grupo, pagsubaybay sa mga indibidwal na interface, ang kanilang pagkarga, pamamahala ng mga kolektor at iba pa ay makikita lamang sa StealthWatch Java application. Siyempre, dahan-dahang inililipat ng Cisco ang lahat ng functionality sa bersyon ng browser at malapit na naming abandunahin ang ganoong desktop client.
Upang i-install ang application, kailangan mo munang i-install (Nag-install ako ng bersyon 8, kahit na sinasabing ito ay suportado hanggang 10) mula sa opisyal na website ng Oracle.
Sa kanang sulok sa itaas ng web interface ng management console, para mag-download, dapat mong i-click ang button na βDesktop Clientβ.
Pinilit mong i-save at i-install ang kliyente, malamang na isumpa ito ng java, maaaring kailanganin mong idagdag ang host sa mga pagbubukod sa java.
Bilang isang resulta, ang isang medyo malinaw na kliyente ay ipinahayag, kung saan madaling makita ang pag-load ng mga exporter, mga interface, pag-atake at ang kanilang mga daloy.
7. StealthWatch Central Management
7.1. Ang tab na Central Management ay naglalaman ng lahat ng device na bahagi ng naka-deploy na StealthWatch, gaya ng: FlowCollector, FlowSensor, UDP-Director at Endpoint Concetrator. Doon ay maaari mong pamahalaan ang mga setting ng network at mga serbisyo ng device, mga lisensya, at manu-manong i-off ang device.
Maaari kang pumunta dito sa pamamagitan ng pag-click sa "gear" sa kanang sulok sa itaas at pagpili sa Central Management.
7.2. Sa pamamagitan ng pagpunta sa Edit Appliance Configuration sa FlowCollector, makikita mo ang SSH, NTP at iba pang network setting na nauugnay sa app mismo. Upang pumunta, piliin ang Mga Pagkilos β I-edit ang Configuration ng Appliance para sa kinakailangang device.
7.3. Ang pamamahala ng lisensya ay maaari ding matagpuan sa Central Management > Manage Licenses tab. Ang mga lisensya sa pagsubok sa kaso ng kahilingan ng GVE ay ibinigay para sa 90 araw.
Handa na ang produkto! Sa susunod na bahagi, titingnan natin kung paano makikilala ng StealthWatch ang mga pag-atake at makabuo ng mga ulat.
Pinagmulan: www.habr.com