کلاؤڈ پر مبنی: اسٹیلتھ واچ کلاؤڈ مفت ٹرائل - یہاں آپ کے آلے سے نیٹ فلو کلاؤڈ میں آئے گا اور اسٹیلتھ واچ سافٹ ویئر کے ذریعے اس کا تجزیہ کیا جائے گا۔
بنیاد پر پی او وی (GVE کی درخواست) – جس طریقہ پر میں نے عمل کیا، وہ آپ کو 4 دنوں کے لیے بلٹ ان لائسنس کے ساتھ ورچوئل مشینوں کی 90 OVF فائلیں بھیجیں گے، جنہیں کارپوریٹ نیٹ ورک پر ایک سرشار سرور پر تعینات کیا جا سکتا ہے۔
ڈاؤن لوڈ شدہ ورچوئل مشینوں کی کثرت کے باوجود، کم سے کم ورکنگ کنفیگریشن کے لیے صرف 2 ہی کافی ہیں: اسٹیلتھ واچ مینجمنٹ کنسول اور فلو کلیکٹر۔ تاہم، اگر کوئی نیٹ ورک ڈیوائس نہیں ہے جو نیٹ فلو کو FlowCollector میں ایکسپورٹ کر سکے، تو FlowSensor کو تعینات کرنا بھی ضروری ہے، کیونکہ بعد والا آپ کو SPAN/RSPAN ٹیکنالوجیز کا استعمال کرتے ہوئے Netflow کو جمع کرنے کی اجازت دیتا ہے۔
جیسا کہ میں نے پہلے کہا، آپ کا اصلی نیٹ ورک ایک لیبارٹری بنچ کے طور پر کام کر سکتا ہے، کیونکہ سٹیلتھ واچ کو صرف ایک کاپی کی ضرورت ہوتی ہے، یا زیادہ درست طور پر، ٹریفک کی ایک کاپی کو نچوڑنا۔ نیچے دی گئی تصویر میرا نیٹ ورک دکھاتی ہے، جہاں سیکیورٹی گیٹ وے پر میں نیٹ فلو ایکسپورٹر کو کنفیگر کروں گا اور اس کے نتیجے میں، کلکٹر کو نیٹ فلو بھیجوں گا۔
مستقبل کے VMs تک رسائی حاصل کرنے کے لیے، آپ کے فائر وال پر درج ذیل بندرگاہوں کی اجازت ہونی چاہیے، اگر آپ کے پاس ہے:
ٹی سی پی 22 ایل ٹی سی پی 25 ایل ٹی سی پی 389 ایل ٹی سی پی 443 ایل ٹی سی پی 2393 ایل ٹی سی پی 5222 ایل یو ڈی پی 53 ایل یو ڈی پی 123 ایل یو ڈی پی 161 ایل یو ڈی پی 162 ایل یو ڈی پی 389 ایل یو ڈی پی 514 ایل یو ڈی پی 2055
ان میں سے کچھ معروف خدمات ہیں، کچھ سسکو خدمات کے لیے مخصوص ہیں۔
میرے معاملے میں، میں نے صرف اسٹیلتھ واچ کو چیک پوائنٹ کے طور پر اسی نیٹ ورک پر تعینات کیا، اور اجازت کے کسی اصول کو ترتیب دینے کی ضرورت نہیں تھی۔
2. مثال کے طور پر VMware vSphere کا استعمال کرتے ہوئے FlowCollector کو انسٹال کرنا
2.1 براؤز پر کلک کریں اور OVF فائل 1 کو منتخب کریں۔ وسائل کی دستیابی کو چیک کرنے کے بعد، مینو ویو، انوینٹری → نیٹ ورکنگ (Ctrl+Shift+N) پر جائیں۔
2.2 نیٹ ورکنگ ٹیب میں، ورچوئل سوئچ کی ترتیبات میں نیا تقسیم شدہ پورٹ گروپ منتخب کریں۔
2.3 نام سیٹ کریں، اسے StealthWatchPortGroup رہنے دیں، باقی سیٹنگز اسکرین شاٹ کی طرح کی جا سکتی ہیں اور نیکسٹ پر کلک کریں۔
2.4 ہم Finish بٹن کے ساتھ پورٹ گروپ کی تخلیق مکمل کرتے ہیں۔
2.5 آئیے پورٹ گروپ پر رائٹ کلک کرکے اور ایڈیٹ سیٹنگز کو منتخب کرکے بنائے گئے پورٹ گروپ کی سیٹنگز میں ترمیم کریں۔ سیکیورٹی ٹیب میں، "متعدد موڈ"، پرومسکوئس موڈ → قبول کریں → ٹھیک ہے کو فعال کرنا یقینی بنائیں۔
2.6۔ مثال کے طور پر، آئیے OVF FlowCollector کو درآمد کرتے ہیں، جس کے لیے ڈاؤن لوڈ لنک ایک GVE کی درخواست کے بعد سسکو انجینئر نے بھیجا تھا۔ اس میزبان پر دائیں کلک کریں جس پر آپ VM کو تعینات کرنے کا ارادہ رکھتے ہیں اور Deploy OVF ٹیمپلیٹ کو منتخب کریں۔ مختص جگہ کے بارے میں، یہ 50 جی بی پر "اسٹارٹ اپ" ہوگا، لیکن جنگی حالات کے لیے 200 گیگا بائٹس مختص کرنے کی سفارش کی جاتی ہے۔
2.7۔ وہ فولڈر منتخب کریں جہاں OVF فائل واقع ہے۔
2.8۔ "اگلا" پر کلک کریں۔
2.9 ہم نام اور سرور کی نشاندہی کرتے ہیں جہاں ہم اسے تعینات کرتے ہیں۔
2.10 نتیجے کے طور پر، ہمیں مندرجہ ذیل تصویر ملتی ہے اور "ختم" پر کلک کریں۔
2.11۔ ہم سٹیلتھ واچ مینجمنٹ کنسول کو تعینات کرنے کے لیے انہی اقدامات پر عمل کرتے ہیں۔
2.12۔ اب آپ کو انٹرفیس میں ضروری نیٹ ورکس کی وضاحت کرنے کی ضرورت ہے تاکہ FlowCollector SMC اور وہ آلات دونوں دیکھے جہاں سے Netflow برآمد کیا جائے گا۔
3. اسٹیلتھ واچ مینجمنٹ کنسول کو شروع کرنا
3.1 انسٹال کردہ SMCVE مشین کے کنسول میں جا کر، آپ کو اپنا لاگ ان اور پاس ورڈ درج کرنے کے لیے ایک جگہ نظر آئے گی، بذریعہ ڈیفالٹ۔ sysadmin/lan1cope.
3.2 ہم مینجمنٹ آئٹم پر جاتے ہیں، IP ایڈریس اور نیٹ ورک کے دیگر پیرامیٹرز سیٹ کرتے ہیں، پھر ان کی تبدیلیوں کی تصدیق کرتے ہیں۔ آلہ ریبوٹ ہو جائے گا۔
3.3 ویب انٹرفیس پر جائیں (https کے ذریعے اس ایڈریس پر جو آپ نے SMC میں بیان کیا ہے) اور کنسول شروع کریں، ڈیفالٹ لاگ ان/پاس ورڈ - admin/lan411cope.
PS: ایسا ہوتا ہے کہ یہ گوگل کروم میں نہیں کھلتا، ایکسپلورر ہمیشہ مدد کرے گا۔
3.4 پاس ورڈ تبدیل کرنا یقینی بنائیں، DNS، NTP سرورز، ڈومین وغیرہ سیٹ کریں۔ ترتیبات بدیہی ہیں۔
3.5 "Apply" بٹن پر کلک کرنے کے بعد، ڈیوائس دوبارہ ریبوٹ ہو جائے گی۔ 5-7 منٹ کے بعد آپ اس پتے سے دوبارہ رابطہ کر سکتے ہیں۔ اسٹیلتھ واچ کا انتظام ویب انٹرفیس کے ذریعے کیا جائے گا۔
4. FlowCollector کو ترتیب دینا
4.1 کلکٹر کا بھی یہی حال ہے۔ سب سے پہلے، سی ایل آئی میں ہم آئی پی ایڈریس، ماسک، ڈومین، پھر ایف سی ریبوٹس کی وضاحت کرتے ہیں۔ اس کے بعد آپ مخصوص ایڈریس پر ویب انٹرفیس سے جڑ سکتے ہیں اور اسی بنیادی سیٹ اپ کو انجام دے سکتے ہیں۔ اس حقیقت کی وجہ سے کہ ترتیبات ایک جیسی ہیں، تفصیلی اسکرین شاٹس کو چھوڑ دیا گیا ہے۔ اسناد داخل ہونا ایسا ہی.
4.2 آخری نقطہ پر، آپ کو SMC کا IP ایڈریس سیٹ کرنا ہوگا، اس صورت میں کنسول ڈیوائس کو دیکھے گا، آپ کو اپنی اسناد درج کرکے اس ترتیب کی تصدیق کرنی ہوگی۔
4.3 اسٹیلتھ واچ کے لیے ڈومین منتخب کریں، یہ پہلے سیٹ کیا گیا تھا، اور پورٹ 2055 - باقاعدہ نیٹ فلو، اگر آپ ایس فلو، پورٹ کے ساتھ کام کر رہے ہیں۔ 6343.
5. نیٹ فلو ایکسپورٹر کنفیگریشن
5.1 نیٹ فلو برآمد کنندہ کو ترتیب دینے کے لیے، میں اس کی طرف رجوع کرنے کی انتہائی سفارش کرتا ہوں۔ وسائل ، یہاں بہت سے آلات کے لیے نیٹ فلو برآمد کنندہ کو ترتیب دینے کے لیے اہم گائیڈز ہیں: Cisco, Check Point, Fortinet۔
5.2 ہمارے معاملے میں، میں دہراتا ہوں، ہم چیک پوائنٹ گیٹ وے سے نیٹ فلو برآمد کر رہے ہیں۔ نیٹ فلو ایکسپورٹر کو ویب انٹرفیس (Gaia Portal) میں اسی نام کے ٹیب میں ترتیب دیا گیا ہے۔ ایسا کرنے کے لیے، "شامل کریں" پر کلک کریں، نیٹ فلو ورژن اور مطلوبہ پورٹ کی وضاحت کریں۔
6. سٹیلتھ واچ آپریشن کا تجزیہ
6.1۔ ایس ایم سی ویب انٹرفیس پر جا کر، ڈیش بورڈز > نیٹ ورک سیکیورٹی کے پہلے صفحہ پر آپ دیکھ سکتے ہیں کہ ٹریفک شروع ہو گئی ہے!
6.2 کچھ ترتیبات، مثال کے طور پر، میزبانوں کو گروپس میں تقسیم کرنا، انفرادی انٹرفیس کی نگرانی، ان کا بوجھ، جمع کرنے والوں کا انتظام کرنا، اور بہت کچھ، صرف StealthWatch Java ایپلیکیشن میں پایا جا سکتا ہے۔ بلاشبہ، سسکو آہستہ آہستہ تمام فعالیت کو براؤزر ورژن میں منتقل کر رہا ہے اور ہم جلد ہی ایسے ڈیسک ٹاپ کلائنٹ کو ترک کر دیں گے۔
ایپلیکیشن کو انسٹال کرنے کے لیے، آپ کو پہلے انسٹال کرنا ہوگا۔ جے آر ای (میں نے ورژن 8 انسٹال کیا، حالانکہ کہا جاتا ہے کہ یہ 10 تک سپورٹ ہے) اوریکل کی آفیشل ویب سائٹ سے۔
مینجمنٹ کنسول کے ویب انٹرفیس کے اوپری دائیں کونے میں، ڈاؤن لوڈ کرنے کے لیے، آپ کو "ڈیسک ٹاپ کلائنٹ" بٹن پر کلک کرنا ہوگا۔
آپ کلائنٹ کو زبردستی محفوظ اور انسٹال کرتے ہیں، جاوا غالباً اس پر قسم کھاتا ہے، آپ کو جاوا استثناء میں میزبان کو شامل کرنے کی ضرورت پڑسکتی ہے۔
نتیجے کے طور پر، کافی واضح کلائنٹ ظاہر ہوتا ہے، جس میں برآمد کنندگان کی لوڈنگ، انٹرفیس، حملوں اور ان کے بہاؤ کو دیکھنا آسان ہے.
7. سٹیلتھ واچ سنٹرل مینجمنٹ
7.1 سنٹرل مینجمنٹ ٹیب میں وہ تمام آلات شامل ہیں جو اسٹیلتھ واچ کا حصہ ہیں، جیسے: FlowCollector، FlowSensor، UDP-Director اور Endpoint Concetrator۔ وہاں آپ نیٹ ورک سیٹنگز اور ڈیوائس سروسز، لائسنسز کا نظم کر سکتے ہیں اور ڈیوائس کو دستی طور پر آف کر سکتے ہیں۔
آپ اوپری دائیں کونے میں "گیئر" پر کلک کرکے اور سینٹرل مینجمنٹ کو منتخب کرکے اس پر جا سکتے ہیں۔
7.2 FlowCollector میں Edit Appliance Configuration پر جا کر، آپ SSH، NTP اور ایپ سے متعلق دیگر نیٹ ورک سیٹنگز دیکھیں گے۔ جانے کے لیے، مطلوبہ آلے کے لیے ایکشنز ← ایپلائینس کنفیگریشن میں ترمیم کریں کو منتخب کریں۔
7.3 لائسنس کا انتظام سنٹرل مینجمنٹ > مینیج لائسنسز ٹیب میں بھی پایا جا سکتا ہے۔ GVE کی درخواست کی صورت میں آزمائشی لائسنس دیے گئے ہیں۔ 90 دن.
مصنوعات جانے کے لئے تیار ہے! اگلے حصے میں، ہم دیکھیں گے کہ StealthWatch حملوں کو کیسے پہچان سکتی ہے اور رپورٹیں تیار کر سکتی ہے۔