Merhaba meslektaşlarım! StealthWatch'u dağıtmak için minimum gereksinimleri belirledikten sonra , ürünü dağıtmaya başlayabiliriz.
1. StealthWatch'u dağıtma yöntemleri
StealthWatch'a "dokunmanın" birkaç yolu vardır:
- – laboratuvar çalışmaları için bulut hizmeti;
- Bulut Tabanlı: – burada cihazınızdan gelen Netflow buluta akacak ve orada StealthWatch yazılımı tarafından analiz edilecektir;
- Şirket içi bakış açısı () - benim izlediğim yöntemle, size kurumsal ağdaki özel bir sunucuya dağıtılabilen, yerleşik lisanslara sahip 4 sanal makine OVF dosyasını 90 gün boyunca gönderecekler.
İndirilen sanal makinelerin çokluğuna rağmen, minimum çalışma yapılandırması için yalnızca 2 tanesi yeterlidir: StealthWatch Yönetim Konsolu ve FlowCollector. Bununla birlikte, Netflow'u FlowCollector'a aktarabilecek bir ağ cihazı yoksa FlowSensor'un da dağıtılması gerekir, çünkü ikincisi SPAN/RSPAN teknolojilerini kullanarak Netflow'u toplamanıza olanak tanır.
Daha önce de söylediğim gibi, StealthWatch'un yalnızca bir kopyaya veya daha doğrusu trafiğin bir kopyasının sıkıştırılmasına ihtiyacı olduğundan gerçek ağınız bir laboratuvar tezgahı görevi görebilir. Aşağıdaki resim, güvenlik ağ geçidinde Netflow Dışa Aktarıcıyı yapılandıracağım ve sonuç olarak Netflow'u toplayıcıya göndereceğim ağımı gösteriyor.
Gelecekteki VM'lere erişmek için, varsa güvenlik duvarınızda aşağıdaki bağlantı noktalarına izin verilmelidir:
TCP 22 l TCP 25 l TCP 389 l TCP 443 l TCP 2393 l TCP 5222 l UDP 53 l UDP 123 l UDP 161 l UDP 162 l UDP 389 l UDP 514 l UDP 2055 l UDP 6343
Bunlardan bazıları iyi bilinen servislerdir, bazıları ise Cisco servislerine ayrılmıştır.
Benim durumumda, StelathWatch'u Check Point ile aynı ağ üzerinde kurdum ve herhangi bir izin kuralı yapılandırmam gerekmedi.
2. VMware vSphere'i örnek olarak kullanarak FlowCollector'ı yükleme
2.1. Gözat'a tıklayın ve OVF dosyası1'i seçin. Kaynakların kullanılabilirliğini kontrol ettikten sonra Görünüm, Envanter → Ağ İletişimi (Ctrl+Shift+N) menüsüne gidin.
2.2. Ağ sekmesinde, sanal anahtar ayarlarında Yeni Dağıtılmış bağlantı noktası grubunu seçin.
2.3. İsmi ayarlayın, StealthWatchPortGroup olsun, geri kalan ayarlar ekran görüntüsündeki gibi yapılabilir ve Next butonuna tıklanır.
2.4. Finish butonu ile Port Grubunun oluşturulmasını tamamlıyoruz.
2.5. Oluşturduğumuz Port Grubunun ayarlarını port grubuna sağ tıklayıp Ayarları Düzenle seçeneğini seçerek düzenleyelim. Güvenlik sekmesinde, "karışık modu", Karışık Modu → Kabul Et → Tamam'ı etkinleştirdiğinizden emin olun.
2.6. Örnek olarak, bir Cisco mühendisinin GVE talebi sonrasında indirme bağlantısı gönderdiği OVF FlowCollector'ı içe aktaralım. VM'yi dağıtmayı planladığınız ana bilgisayara sağ tıklayın ve OVF Şablonunu Dağıt'ı seçin. Tahsis edilen alana gelince, 50 GB'ta "başlayacak", ancak savaş koşulları için 200 gigabayt tahsis edilmesi önerilir.
2.7. OVF dosyasının bulunduğu klasörü seçin.
2.8. Sonrakine tıkla".
2.9. Dağıtımını yapacağımız adı ve sunucuyu belirtiyoruz.
2.10. Sonuç olarak aşağıdaki resmi elde ediyoruz ve “Son”a tıklıyoruz.
2.11. StealthWatch Yönetim Konsolunu dağıtmak için aynı adımları izliyoruz.
2.12. Artık FlowCollector'ın hem SMC'yi hem de Netflow'un dışa aktarılacağı cihazları görebilmesi için arayüzlerde gerekli ağları belirtmeniz gerekiyor.
3. StealthWatch Yönetim Konsolunun Başlatılması
3.1. Kurulu SMCVE makinesinin konsoluna gittiğinizde, varsayılan olarak kullanıcı adınızı ve şifrenizi girebileceğiniz bir yer göreceksiniz. sistem yöneticisi/lan1cope.
3.2. Yönetim öğesine gidiyoruz, IP adresini ve diğer ağ parametrelerini ayarlayıp değişikliklerini onaylıyoruz. Cihaz yeniden başlatılacaktır.
3.3. Web arayüzüne gidin (https aracılığıyla SMC'de belirttiğiniz adrese) ve konsolu başlatın, varsayılan kullanıcı adı/şifre - yönetici/lan411cope.
Not: Google Chrome'da açılmıyor, Explorer her zaman yardımcı olacaktır.
3.4. Şifreleri değiştirdiğinizden, DNS, NTP sunucuları, etki alanı vb. ayarladığınızdan emin olun. Ayarlar sezgiseldir.
3.5. “Uygula” butonuna tıkladıktan sonra cihaz yeniden başlatılacaktır. 5-7 dakika sonra tekrar bu adrese bağlanabilirsiniz; StealthWatch bir web arayüzü aracılığıyla yönetilecektir.
4. FlowCollector'ı kurma
4.1. Koleksiyoncuda da durum aynı. Öncelikle CLI'de IP adresini, maskeyi, etki alanını belirtiriz, ardından FC yeniden başlatılır. Daha sonra belirtilen adresteki web arayüzüne bağlanıp aynı temel kurulumu gerçekleştirebilirsiniz. Ayarların benzer olması nedeniyle ayrıntılı ekran görüntüleri atlanmıştır. kimlik bilgileri girmek aynı.
4.2. Sondan bir önceki noktada, SMC'nin IP adresini ayarlamanız gerekir, bu durumda konsol cihazı görecektir, kimlik bilgilerinizi girerek bu ayarı onaylamanız gerekecektir.
4.3. StealthWatch için etki alanını seçin; bu daha önce ayarlanmıştı ve bağlantı noktası 2055 – normal Netflow, eğer sFlow ile çalışıyorsanız, bağlantı noktası 6343.
5. Netflow Dışa Aktarıcı yapılandırması
5.1. Netflow dışa aktarıcısını yapılandırmak için buna dönmenizi şiddetle tavsiye ederim , birçok cihaz için Netflow dışa aktarıcısını yapılandırmaya yönelik ana kılavuzları burada bulabilirsiniz: Cisco, Check Point, Fortinet.
5.2. Bizim durumumuzda tekrar ediyorum, Netflow'u Check Point ağ geçidinden dışa aktarıyoruz. Netflow dışa aktarıcı, web arayüzünde (Gaia Portal) aynı adlı bir sekmede yapılandırılır. Bunu yapmak için "Ekle"ye tıklayın, Netflow sürümünü ve gerekli bağlantı noktasını belirtin.
6. StealthWatch işleminin analizi
6.1. SMC web arayüzüne gittiğinizde, Kontrol Panelleri > Ağ Güvenliği'nin ilk sayfasında trafiğin başladığını görebilirsiniz!
6.2. Ana bilgisayarları gruplara bölme, bireysel arayüzleri izleme, yüklerini izleme, toplayıcıları yönetme ve daha fazlası gibi bazı ayarlar yalnızca StealthWatch Java uygulamasında bulunabilir. Elbette Cisco yavaş yavaş tüm işlevleri tarayıcı sürümüne aktarıyor ve yakında böyle bir masaüstü istemcisinden vazgeçeceğiz.
Uygulamayı yüklemek için önce yüklemeniz gerekir (8'a kadar desteklendiği söylense de 10 sürümünü yükledim) resmi Oracle web sitesinden.
İndirmek için yönetim konsolunun web arayüzünün sağ üst köşesindeki “Masaüstü İstemcisi” butonuna tıklamanız gerekir.
İstemciyi zorla kaydedip yüklerseniz, Java büyük olasılıkla buna küfredecektir, ana bilgisayarı Java istisnalarına eklemeniz gerekebilir.
Sonuç olarak, dışa aktarıcıların, arayüzlerin, saldırıların ve bunların akışlarının yüklenmesini görmenin kolay olduğu oldukça net bir istemci ortaya çıkıyor.
7. StealthWatch Merkezi Yönetim
7.1. Merkezi Yönetim sekmesi, dağıtılan StealthWatch'un parçası olan tüm cihazları içerir; örneğin: FlowCollector, FlowSensor, UDP-Director ve Endpoint Concetrator. Burada ağ ayarlarını, cihaz hizmetlerini, lisansları yönetebilir ve cihazı manuel olarak kapatabilirsiniz.
Sağ üst köşedeki “dişliye” tıklayıp Merkezi Yönetim'i seçerek gidebilirsiniz.
7.2. FlowCollector'da Cihaz Yapılandırmasını Düzenle'ye giderek SSH, NTP ve uygulamanın kendisiyle ilgili diğer ağ ayarlarını göreceksiniz. Gitmek için gerekli cihaz için Eylemler → Cihaz Yapılandırmasını Düzenle'yi seçin.
7.3. Lisans yönetimi ayrıca Merkezi Yönetim > Lisansları Yönet sekmesinde de bulunabilir. GVE talebi halinde deneme lisansları verilmektedir. 90 günler.
Ürün kullanıma hazır! Bir sonraki bölümde StealthWatch'un saldırıları nasıl tanıyabildiğine ve rapor oluşturabildiğine bakacağız.
Kaynak: habr.com