Cloud Based: Stealthwatch Cloud Free Trial - тут Netflow з вашого пристрою посипатиметься в хмару і аналізуватиметься ПЗ StealthWatch;
On-premise POV (GVE request) – спосіб, яким пішов я, вам скинуть 4 OVF файли віртуальних машин із вбудованими ліцензіями на 90 днів, які можна розгорнути на виділеному сервері в корпоративній мережі.
Незважаючи на безліч скачаних віртуалок, для мінімальної робочої конфігурації достатньо лише 2: StealthWatch Management Console і FlowCollector. Однак якщо немає мережного пристрою, який може експортувати Netflow на FlowCollector, необхідно розгорнути ще й FlowSensor, оскільки останній за допомогою SPAN/RSPAN технологій дозволяє збирати Netflow.
Як лабораторний стенд, як я вже говорив раніше, може виступати ваша реальна мережа, оскільки StealthWatch потрібна лише копія, або, точніше кажучи, вичавки копії трафіку. На малюнку нижче представлена моя мережа, де на шлюзі безпеки я конфігурую Netflow Exporter і, в результаті, посилатиму Netflow на колектор.
Для доступу до майбутніх VM, на вашому фаєрволі, якщо така є, слід дозволити наступні порти:
TCP 22 l TCP 25 l TCP 389 l TCP 443 l TCP 2393 l TCP 5222 l UDP 53 l UDP 123 l UDP 161 l UDP 162 l UDP 389 l UDP 514 l UDP 2055 l UDP 6343
Деякі з них є загальновідомими сервісами, деякі зарезервовані під служби Cisco.
У моєму випадку я просто розгорнув StelathWatch у тій самій мережі, що і Check Point, і жодних правил на дозволи конфігурувати не довелося.
2. Встановлення FlowCollector на прикладі VMware vSphere
2.1. Натисніть Browse та виберіть OVF файл1. Перевіривши доступність ресурсів, перейдіть до меню View, Inventory → Networking (Ctrl+Shift+N).
2.2. У вкладці Networking вибираємо в налаштуваннях віртуального свіча New Distributed port group.
2.3. Задаємо ім'я, нехай буде StealthWatchPortGroup, решту налаштувань можна зробити як на скріншоті та натискаємо Next.
2.4. Завершуємо створення Port Group кнопкою Finish.
2.5. У створеної Port Group підредагуємо налаштування, натиснувши правою кнопкою миші на порт групу, вибираємо Edit Settings. У вкладці Security обов'язково вмикаємо "нерозбірливий режим", Promiscuous Mode → Accept → OK.
2.6. Як приклад імпортуємо OVF FlowCollector, посилання на завантаження якого надіслав інженер Cisco після GVE запиту. Натиснувши правою кнопкою миші на хост, на якому ви плануєте розгорнути VM, вибираємо Deploy OVF Template. Що стосується місця, що виділяється, на 50 GB він «заведеться», але для бойових умов рекомендується виділяти гігабайт 200.
2.7. Вибираємо папку, де лежить файл OVF.
2.8. Натискаємо "Далі".
2.9. Вказуємо ім'я та сервер, де ми це розгортаємо.
2.10. У результаті отримуємо наступну картину та натискаємо «Finish».
2.11. Виконуємо ті самі кроки для розгортання StealthWatch Management Console.
2.12. Тепер слід вказати необхідні мережі в інтерфейсах, щоб FlowCollector бачив як SMC, так і пристрої, з яких експортуватиметься Netflow.
3. Ініціалізація StealthWatch Management Console
3.1. Перейшовши в консоль встановленої машини SMCVE, ви побачите місце для введення логіну та пароля за замовчуванням sysadmin/lan1cope.
3.2. Заходимо в пункт Management, задаємо IP-адресу та інші параметри мережі, потім підтверджуємо їх зміну. Пристрій перезавантажиться.
3.3. Переходимо до веб-інтерфейсу (за https на ту адресу, яку ви задали SMC) і проініціалізувати консоль, логін/пароль за замовчуванням admin/lan411cope.
PS: буває, що Google Chrome не відкривається, Explorer завжди виручить.
3.4. Обов'язково змінюємо паролі, задаємо DNS, NTP сервери, домен та інше. Налаштування інтуїтивно зрозумілі.
3.5. Після натискання кнопки Apply пристрій знову перезавантажиться. Через 5-7 хвилин можна підключити ще раз на цю адресу; управління StealthWatch буде здійснюватись через веб-інтерфейс.
4. Налаштування FlowCollector
4.1. З колектором все те саме. Спочатку в CLI вказуємо IP-адресу, маску, домен, далі FC перезавантажується. Після цього можна підключитися до веб-інтерфейсу за заданою адресою і провести таке ж базове налаштування. У зв'язку з тим, що установки схожі, докладні скріншоти опускаються. Облікові дані для входу такі ж.
4.2. На передостанньому пункті необхідно встановити IP-адресу SMC, у цьому випадку консоль буде бачити пристрій, підтвердити це налаштування доведеться введенням облікових даних.
4.3. Вибираємо домен для StealthWatch, він був заданий раніше, і порт 2055 – звичайний Netflow, якщо працюєте з sFlow, порт 6343.
5. Конфігурація Netflow Exporter
5.1. Для налаштування експортера Netflow рекомендую звернутися до цього ресурсу Тут основні гайди для конфігурації Netflow експортера для багатьох пристроїв: Cisco, Check Point, Fortinet.
5.2. У нашому випадку, я повторюся, ми експортуємо Netflow зі шлюзу Check Point. Налаштування Netflow exporter проводиться у схожій за назвою вкладці у веб-інтерфейсі (Gaia Portal). Для цього варто натиснути "Add", вказати версію Netflow та необхідний порт.
6. Аналіз роботи StealthWatch
6.1. Перейшовши в веб-інтерфейс SMC, на першій сторінці Dashboards > Network Security видно, що трафік пішов!
6.2. Деякі налаштування, наприклад, розбиття хостів по групах, моніторинг окремих інтерфейсів, їх завантаженість, керування колекторами та інше можна знайти лише у програмі Java StealthWatch. Зрозуміло, Cisco потихеньку переносить весь функціонал у браузерну версію і незабаром від такого десктопного клієнта ми відмовимося.
Для встановлення програми, попередньо слід поставити JRE (я ставив версію 8, хоча говориться, що підтримується до 10) з офіційного сайту Oracle.
У верхньому правому куті веб-інтерфейсу консолі керування для скачування необхідно натиснути кнопку «Desktop Client».
Ви зберігаєте і встановлюєте клієнт примусово, java швидше за все лаятиметься на нього, можливо буде потрібно занести хост в java винятки.
Через війну погляду відкривається досить зрозумілий клієнт, у якому легко переглянути завантаження експортерів, інтерфейсів, атаки та його потоки.
7. StealthWatch Central Management
7.1. У вкладці Central Management знаходяться всі пристрої, які є частиною розгорнутого StealthWatch, такі як FlowCollector, FlowSensor, UDP-Director і Endpoint Concetrator. Там можна керувати мережними налаштуваннями та службами пристроїв, ліцензіями та мануально вимкнути пристрій.
Перейти в неї можна, натиснувши на «шестерню» у верхньому правому кутку і вибравши Central Management.
7.2. Перейшовши в Edit Appliance Configuration у FlowCollector, ви побачите налаштування SSH, NTP та інші налаштування мережі, що стосуються безпосередньо апплайнса. Щоб перейти, слід вибрати Actions → Edit Appliance Configuration у потрібного пристрою.
7.3. Менеджмент ліцензіями також можна знайти у вкладці Central Management > Manage Licences. Триальні ліцензії у разі GVE запиту надаються на як 90 днів..
Продукт готовий до роботи! У наступній частині ми розглянемо, як StealthWatch може розпізнавати атаки та генерувати звіти.