Salom hamkasblar! StealthWatch-ni joylashtirish uchun minimal talablarni aniqlagandan so'ng , biz mahsulotni joylashtirishni boshlashimiz mumkin.
1. StealthWatch-ni joylashtirish usullari
StealthWatchga "tegish"ning bir necha yo'li mavjud:
- – laboratoriya ishlari uchun bulut xizmati;
- Bulutga asoslangan: – bu yerda qurilmangizdan Netflow bulutga oqib o‘tadi va u yerda StealthWatch dasturi tomonidan tahlil qilinadi;
- Mahalliy POV () - men amal qilgan usul, ular sizga 4 kun davomida o'rnatilgan litsenziyaga ega virtual mashinalarning 90 ta OVF faylini yuborishadi, ular korporativ tarmoqdagi maxsus serverda joylashtirilishi mumkin.
Yuklab olingan virtual mashinalarning ko'pligiga qaramay, minimal ish konfiguratsiyasi uchun faqat ikkitasi etarli: StealthWatch Management Console va FlowCollector. Biroq, agar Netflow-ni FlowCollector-ga eksport qiladigan tarmoq qurilmasi bo'lmasa, FlowSensor-ni ham o'rnatish kerak, chunki ikkinchisi SPAN/RSPAN texnologiyalaridan foydalangan holda Netflowni yig'ish imkonini beradi.
Yuqorida aytib o'tganimdek, sizning haqiqiy tarmog'ingiz laboratoriya dastgohi vazifasini bajarishi mumkin, chunki StealthWatch faqat nusxasini yoki, to'g'rirog'i, trafik nusxasini siqib chiqarishni talab qiladi. Quyidagi rasm mening tarmog'imni ko'rsatadi, u erda xavfsizlik shlyuzida men Netflow eksportchisini sozlayman va natijada Netflowni kollektorga yuboraman.
Kelajakdagi VM-larga kirish uchun, agar sizda mavjud bo'lsa, xavfsizlik devorida quyidagi portlarga ruxsat berilishi kerak:
TCP 22 l TCP 25 l TCP 389 l TCP 443 l TCP 2393 l TCP 5222 l UDP 53 l UDP 123 l UDP 161 l UDP 162 l UDP 389 l UDP 514 UDP2055 l UDP6343
Ulardan ba'zilari taniqli xizmatlar, ba'zilari Cisco xizmatlari uchun ajratilgan.
Mening holimda men StelathWatch-ni Check Point bilan bir xil tarmoqqa joylashtirdim va hech qanday ruxsat qoidalarini sozlashim shart emas edi.
2. Misol sifatida VMware vSphere yordamida FlowCollector-ni o'rnatish
2.1. Browse tugmasini bosing va OVF faylini 1-ni tanlang. Resurslar mavjudligini tekshirgandan so'ng, menyuga o'ting View, Inventar → Networking (Ctrl+Shift+N).
2.2. Tarmoq yorlig'ida virtual kalit sozlamalarida Yangi taqsimlangan portlar guruhini tanlang.
2.3. Ismni o'rnating, u StealthWatchPortGroup bo'lsin, qolgan sozlamalar skrinshotdagi kabi amalga oshirilishi mumkin va Keyingiga bosing.
2.4. Biz Finish tugmasi bilan Port guruhini yaratishni yakunlaymiz.
2.5. Portlar guruhini sichqonchaning o'ng tugmasi bilan bosish va "Sozlamalarni tahrirlash" ni tanlash orqali yaratilgan Port guruhi sozlamalarini tahrirlaymiz. Xavfsizlik yorlig'ida "fotoshchi rejim" ni yoqing, promiscuous rejimi → Qabul qiling → OK.
2.6. Misol sifatida, yuklab olish havolasi Cisco muhandisi tomonidan GVE so'rovidan keyin yuborilgan OVF FlowCollector importini olaylik. VMni joylashtirishni rejalashtirgan xostni o'ng tugmasini bosing va OVF shablonini joylashtirish-ni tanlang. Ajratilgan maydonga kelsak, u 50 Gb dan "ishlanadi", ammo jangovar sharoitlarda 200 gigabayt ajratish tavsiya etiladi.
2.7. OVF fayli joylashgan papkani tanlang.
2.8. “Keyingi” tugmasini bosing.
2.9. Biz uni joylashtiradigan nom va serverni ko'rsatamiz.
2.10. Natijada, biz quyidagi rasmni olamiz va "Finish" tugmasini bosing.
2.11. Biz StealthWatch boshqaruv konsolini o'rnatish uchun bir xil qadamlarni bajaramiz.
2.12. Endi siz interfeyslarda kerakli tarmoqlarni belgilashingiz kerak, shunda FlowCollector ham SMC, ham Netflow eksport qilinadigan qurilmalarni ko'radi.
3. StealthWatch boshqaruv konsolini ishga tushirish
3.1. O'rnatilgan SMCVE mashinasining konsoliga o'tish orqali siz sukut bo'yicha login va parolingizni kiritish uchun joyni ko'rasiz. sysadmin/lan1cope.
3.2. Biz boshqaruv elementiga o'tamiz, IP manzilini va boshqa tarmoq parametrlarini o'rnatamiz, so'ngra ularning o'zgarishlarini tasdiqlaymiz. Qurilma qayta ishga tushadi.
3.3. Veb-interfeysga o'ting (SMC-da ko'rsatilgan manzilga https orqali) va konsolni ishga tushiring, standart login/parol - admin/lan411cope.
PS: u Google Chrome-da ochilmaydi, Explorer har doim yordam beradi.
3.4. Parollarni o'zgartirishni, DNS, NTP serverlarini, domenlarni va hokazolarni o'rnatishni unutmang. Sozlamalar intuitiv.
3.5. "Ilova" tugmasini bosgandan so'ng, qurilma qayta ishga tushadi. 5-7 daqiqadan so'ng siz ushbu manzilga qayta ulanishingiz mumkin; StealthWatch veb-interfeys orqali boshqariladi.
4. FlowCollector-ni sozlash
4.1. Kollektor bilan ham xuddi shunday. Birinchidan, CLI-da biz IP-manzilni, niqobni, domenni belgilaymiz, keyin FC qayta ishga tushadi. Keyin belgilangan manzilda veb-interfeysga ulanishingiz va bir xil asosiy sozlashni amalga oshirishingiz mumkin. Sozlamalar o'xshashligi sababli, batafsil skrinshotlar o'tkazib yuborilgan. Hisob ma'lumotlari kirmoq xuddi shu.
4.2. Oxirgi nuqtada siz SMC IP-manzilini o'rnatishingiz kerak, bu holda konsol qurilmani ko'radi, siz hisob ma'lumotlarini kiritish orqali ushbu sozlamani tasdiqlashingiz kerak bo'ladi.
4.3. StealthWatch uchun domenni tanlang, u ilgari o'rnatilgan va port 2055 – oddiy Netflow, agar siz sFlow, port bilan ishlayotgan bo'lsangiz 6343.
5. Netflow Exporter konfiguratsiyasi
5.1. Netflow eksportchisini sozlash uchun men bunga murojaat qilishni tavsiya qilaman , bu erda ko'plab qurilmalar uchun Netflow eksportchisini sozlash bo'yicha asosiy qo'llanmalar mavjud: Cisco, Check Point, Fortinet.
5.2. Bizning holatda, takror aytaman, biz Netflowni Check Point shlyuzidan eksport qilmoqdamiz. Netflow eksportchisi veb-interfeysda (Gaia Portal) bir xil nomdagi yorliqda sozlangan. Buning uchun "Qo'shish" tugmasini bosing, Netflow versiyasini va kerakli portni belgilang.
6. StealthWatch ishini tahlil qilish
6.1. SMC veb-interfeysiga o'tib, Dashboards > Network Security-ning birinchi sahifasida siz trafik boshlanganini ko'rishingiz mumkin!
6.2. Ba'zi sozlamalar, masalan, xostlarni guruhlarga bo'lish, individual interfeyslarni kuzatish, ularning yuklanishi, kollektorlarni boshqarish va boshqalarni faqat StealthWatch Java ilovasida topish mumkin. Albatta, Cisco asta-sekin barcha funksiyalarni brauzer versiyasiga o'tkazmoqda va biz tez orada bunday ish stoli mijozidan voz kechamiz.
Ilovani o'rnatish uchun avvalo o'rnatishingiz kerak (Men 8-versiyani o'rnatdim, garchi u 10 tagacha qo'llab-quvvatlanishi aytilgan bo'lsa-da) Oracle rasmiy veb-saytidan.
Boshqaruv konsolining veb-interfeysining yuqori o'ng burchagida yuklab olish uchun "Ish stoli mijozi" tugmasini bosishingiz kerak.
Siz mijozni majburan saqlab qo'yasiz va o'rnatasiz, java uni qasam ichishi mumkin, xostni java istisnolariga qo'shishingiz kerak bo'lishi mumkin.
Natijada, eksportchilarning yuklanishi, interfeyslar, hujumlar va ularning oqimlarini ko'rish oson bo'lgan juda aniq mijoz ochiladi.
7. StealthWatch markaziy boshqaruvi
7.1. Markaziy boshqaruv yorlig'i o'rnatilgan StealthWatchning bir qismi bo'lgan barcha qurilmalarni o'z ichiga oladi, masalan: FlowCollector, FlowSensor, UDP-Director va Endpoint Concetrator. U erda siz tarmoq sozlamalari va qurilma xizmatlarini, litsenziyalarni boshqarishingiz va qurilmani qo'lda o'chirib qo'yishingiz mumkin.
Yuqori o'ng burchakdagi "tishli" ni bosish va Markaziy boshqaruvni tanlash orqali unga o'tishingiz mumkin.
7.2. FlowCollector-da Qurilma konfiguratsiyasini tahrirlash bo'limiga o'tish orqali siz SSH, NTP va ilovaning o'zi bilan bog'liq boshqa tarmoq sozlamalarini ko'rasiz. Ketish uchun kerakli qurilma uchun Harakatlar → Qurilma konfiguratsiyasini tahrirlash ni tanlang.
7.3. Litsenziya boshqaruvini Markaziy boshqaruv > Litsenziyalarni boshqarish yorlig'ida ham topish mumkin. GVE so'rovi uchun sinov litsenziyalari beriladi 90 kun.
Mahsulot foydalanishga tayyor! Keyingi qismda biz StealthWatch qanday hujumlarni tanib olishi va hisobotlar yaratishini ko‘rib chiqamiz.
Manba: www.habr.com