Xin chào các đồng nghiệp! Đã xác định các yêu cầu tối thiểu để triển khai StealthWatch trong , chúng ta có thể bắt đầu triển khai sản phẩm.
1. Phương pháp triển khai StealthWatch
Có một số cách để “chạm” vào StealthWatch:
- – dịch vụ đám mây cho công việc trong phòng thí nghiệm;
- Dựa trên đám mây: – tại đây Netflow từ thiết bị của bạn sẽ chảy vào đám mây và sẽ được phân tích ở đó bằng phần mềm StealthWatch;
- POV tại chỗ () – theo phương pháp tôi đã làm, họ sẽ gửi cho bạn 4 tệp OVF của máy ảo có giấy phép tích hợp trong 90 ngày, có thể triển khai trên máy chủ chuyên dụng trên mạng công ty.
Mặc dù có rất nhiều máy ảo được tải xuống nhưng đối với cấu hình hoạt động tối thiểu, chỉ cần 2 máy là đủ: Bảng điều khiển quản lý StealthWatch và FlowCollector. Tuy nhiên, nếu không có thiết bị mạng nào có thể xuất Netflow sang FlowCollector thì cũng cần phải triển khai FlowSensor, vì FlowSensor cho phép bạn thu thập Netflow bằng công nghệ SPAN/RSPAN.
Như tôi đã nói trước đó, mạng thực của bạn có thể hoạt động như một phòng thí nghiệm, vì StealthWatch chỉ cần một bản sao, hay chính xác hơn là một bản sao lưu lượng truy cập. Hình ảnh bên dưới hiển thị mạng của tôi, nơi trên cổng bảo mật, tôi sẽ định cấu hình Trình xuất Netflow và kết quả là sẽ gửi Netflow đến bộ thu thập.
Để truy cập các máy ảo trong tương lai, các cổng sau phải được phép trên tường lửa của bạn, nếu có:
TCP 22 l TCP 25 l TCP 389 l TCP 443 l TCP 2393 l TCP 5222 l UDP 53 l UDP 123 l UDP 161 l UDP 162 l UDP 389 l UDP 514 l UDP 2055 l UDP 6343
Một số trong số đó là các dịch vụ nổi tiếng, một số được dành riêng cho các dịch vụ của Cisco.
Trong trường hợp của tôi, tôi chỉ triển khai StelathWatch trên cùng một mạng với Check Point và không phải định cấu hình bất kỳ quy tắc cấp phép nào.
2. Cài đặt FlowCollector bằng VMware vSphere làm ví dụ
2.1. Nhấp vào Duyệt và chọn tệp OVF1. Sau khi kiểm tra tính sẵn có của tài nguyên, hãy chuyển đến menu Xem, Khoảng không quảng cáo → Kết nối mạng (Ctrl+Shift+N).
2.2. Trong tab Mạng, chọn Nhóm cổng phân phối mới trong cài đặt chuyển mạch ảo.
2.3. Đặt tên, đặt là StealthWatchPortGroup, phần cài đặt còn lại có thể được thực hiện như trong ảnh chụp màn hình và nhấp vào Tiếp theo.
2.4. Chúng tôi hoàn thành việc tạo Nhóm Cổng bằng nút Kết thúc.
2.5. Hãy chỉnh sửa cài đặt của Nhóm cổng đã tạo bằng cách nhấp chuột phải vào nhóm cổng và chọn Chỉnh sửa cài đặt. Trong tab Bảo mật, hãy nhớ bật “chế độ lăng nhăng”, Chế độ lăng nhăng → Chấp nhận → OK.
2.6. Ví dụ: hãy nhập OVF FlowCollector, liên kết tải xuống được kỹ sư Cisco gửi sau yêu cầu GVE. Nhấp chuột phải vào máy chủ mà bạn định triển khai VM và chọn Triển khai mẫu OVF. Về dung lượng được phân bổ, nó sẽ “khởi động” ở mức 50 GB, nhưng đối với điều kiện chiến đấu, nên phân bổ 200 gigabyte.
2.7. Chọn thư mục chứa tệp OVF.
2.8. Bấm tiếp".
2.9. Chúng tôi cho biết tên và máy chủ nơi chúng tôi triển khai nó.
2.10. Kết quả là chúng ta có được hình ảnh sau đây và nhấp vào “Hoàn tất”.
2.11. Chúng tôi làm theo các bước tương tự để triển khai Bảng điều khiển quản lý StealthWatch.
2.12. Bây giờ bạn cần chỉ định các mạng cần thiết trong các giao diện để FlowCollector nhìn thấy cả SMC và các thiết bị mà Netflow sẽ được xuất từ đó.
3. Khởi tạo Bảng điều khiển quản lý StealthWatch
3.1. Bằng cách đi tới bảng điều khiển của máy SMCVE đã cài đặt, theo mặc định, bạn sẽ thấy một nơi để nhập thông tin đăng nhập và mật khẩu của mình sysadmin/lan1cope.
3.2. Chúng tôi đi tới mục Quản lý, đặt địa chỉ IP và các thông số mạng khác, sau đó xác nhận các thay đổi của chúng. Thiết bị sẽ khởi động lại.
3.3. Chuyển đến giao diện web (thông qua https tới địa chỉ bạn đã chỉ định trong SMC) và khởi tạo bảng điều khiển, thông tin đăng nhập/mật khẩu mặc định - quản trị viên/lan411cope.
Tái bút: có thể nó không mở được trong Google Chrome, Explorer sẽ luôn trợ giúp.
3.4. Đảm bảo thay đổi mật khẩu, đặt DNS, máy chủ NTP, tên miền, v.v. Các cài đặt rất trực quan.
3.5. Sau khi nhấp vào nút “Áp dụng”, thiết bị sẽ khởi động lại. Sau 5-7 phút bạn có thể kết nối lại với địa chỉ này; StealthWatch sẽ được quản lý thông qua giao diện web.
4. Thiết lập FlowCollector
4.1. Người sưu tầm cũng vậy. Đầu tiên, trong CLI, chúng tôi chỉ định địa chỉ IP, mặt nạ, tên miền, sau đó FC khởi động lại. Sau đó, bạn có thể kết nối với giao diện web tại địa chỉ được chỉ định và thực hiện thiết lập cơ bản tương tự. Do các cài đặt tương tự nhau nên ảnh chụp màn hình chi tiết sẽ bị bỏ qua. Thông tin xác thực nhập như nhau.
4.2. Ở điểm áp chót, bạn cần đặt địa chỉ IP của SMC, trong trường hợp này bảng điều khiển sẽ nhìn thấy thiết bị, bạn sẽ phải xác nhận cài đặt này bằng cách nhập thông tin đăng nhập của mình.
4.3. Chọn miền cho StealthWatch, miền đã được đặt trước đó và cổng 2055 – Netflow thông thường, nếu bạn đang làm việc với sFlow, cổng 6343.
5. Cấu hình Netflow Xuất khẩu
5.1. Để định cấu hình trình xuất Netflow, tôi thực sự khuyên bạn nên chuyển sang phần này , đây là hướng dẫn chính để định cấu hình trình xuất Netflow cho nhiều thiết bị: Cisco, Check Point, Fortinet.
5.2. Trong trường hợp của chúng tôi, tôi nhắc lại, chúng tôi đang xuất Netflow từ cổng Check Point. Trình xuất Netflow được định cấu hình trong tab cùng tên trong giao diện web (Cổng Gaia). Để thực hiện việc này, hãy nhấp vào “Thêm”, chỉ định phiên bản Netflow và cổng được yêu cầu.
6. Phân tích hoạt động của StealthWatch
6.1. Vào giao diện web SMC, trên trang đầu tiên của Bảng điều khiển > Bảo mật mạng, bạn có thể thấy lưu lượng truy cập đã bắt đầu!
6.2. Một số cài đặt, chẳng hạn như chia máy chủ thành các nhóm, giám sát các giao diện riêng lẻ, tải của chúng, quản lý bộ sưu tập, v.v., chỉ có thể tìm thấy trong ứng dụng Java StealthWatch. Tất nhiên, Cisco đang dần chuyển tất cả chức năng sang phiên bản trình duyệt và chúng tôi sẽ sớm từ bỏ ứng dụng khách dành cho máy tính để bàn như vậy.
Để cài đặt ứng dụng, trước tiên bạn phải cài đặt (Tôi đã cài đặt phiên bản 8, mặc dù người ta nói rằng nó được hỗ trợ lên tới 10) từ trang web chính thức của Oracle.
Ở góc trên bên phải giao diện web của bảng điều khiển quản lý, để tải xuống, bạn phải nhấp vào nút “Desktop Client”.
Bạn lưu và cài client cưỡng bức, java rất có thể sẽ chửi bới nó, có thể bạn cần thêm hosting vào ngoại lệ java.
Kết quả là, một khách hàng khá rõ ràng được tiết lộ, trong đó có thể dễ dàng thấy quá trình tải của các nhà xuất khẩu, giao diện, các cuộc tấn công và luồng của họ.
7. Quản lý trung tâm StealthWatch
7.1. Tab Quản lý trung tâm chứa tất cả các thiết bị là một phần của StealthWatch đã triển khai, chẳng hạn như: FlowCollector, FlowSensor, UDP-Director và Endpoint Concetrator. Ở đó, bạn có thể quản lý cài đặt mạng và dịch vụ thiết bị, giấy phép và tắt thiết bị theo cách thủ công.
Bạn có thể truy cập nó bằng cách nhấp vào “bánh răng” ở góc trên bên phải và chọn Quản lý trung tâm.
7.2. Bằng cách đi tới Chỉnh sửa cấu hình công cụ trong FlowCollector, bạn sẽ thấy SSH, NTP và các cài đặt mạng khác liên quan đến chính ứng dụng. Để thực hiện, hãy chọn Hành động → Chỉnh sửa cấu hình công cụ cho thiết bị được yêu cầu.
7.3. Quản lý giấy phép cũng có thể được tìm thấy trong tab Quản lý trung tâm > Quản lý giấy phép. Giấy phép thử nghiệm trong trường hợp có yêu cầu GVE được cấp cho 90 дней.
Sản phẩm đã sẵn sàng để đi! Trong phần tiếp theo, chúng ta sẽ xem cách StealthWatch có thể nhận ra các cuộc tấn công và tạo báo cáo.
Nguồn: www.habr.com