最近的工作主要集中在了測試Cisco的Stealthwatch設備上。因爲是評估測試,摸着石頭過河。
簡介
思科Stealthwatch利用 NetFlow 來監控網絡、數據中心、分支機構和雲環境,其高級安全分析功能可發現對擴展網絡的隱祕攻擊。Stealthwatch可利用現有的網絡作爲安全傳感器和執行器,大幅增強威脅防禦能力。最大的優勢在於,搭配完整後的這套系統可以實現加密流量分析。簡單說,就是內網流量監控分析產品。
首先這套系統由三部分構成。Stealthwatch Flow Sensor(簡稱FS),Stealthwatch Flow Collector(簡稱FC),Stealthwatch Management Console,(簡稱SMC)。
思科官方提供的解決方案有兩種:使用物理設備來構建Stealthwatch,也可以通過安裝虛擬應用來構建。本文選擇使用虛擬應用的方式。官方推薦的虛擬構建方案有VMware vSphere和KVM兩種方式,這裏選擇了前者。對於VMware vSphere,Stealthwatch的鏡像支持v6.0及以後的版本。
下載和安裝
相關下載地址:https://software.cisco.com/download/home/286307210
總體的需求大概36GB,SMC需要16GB,FC需要16GB,FS需要4GB,通常配置64GB。硬盤根據自己的方案確定。通常默認的都是最小的量,配置可增加,但儘量不要減少。如果自己的接口流量很大,可以選擇帶結尾帶數字的版本下載,性能有所不同
首先安裝ESXI系統,這是VMware vSphere方案的基礎。
刻錄好一張光盤,直接引導安裝。這裏使用ESXI 6.5。
安裝完成之後,給ESXI設置一個IP。
然後在WEB端通過設置好的IP即可訪問ESXI。
部署Stealthwatch
FC
創建新的虛擬機,選擇從OFV導入鏡像,基本一路使用默認選項。上傳到ESXI之後,完成之後會開啓並運行,停止在初次配置界面,配置IP、子網掩碼、廣播地址、網關。確認配置信息之後,系統會自動重啓,接下來訪問前面配置的IP地址,在web界面進一步配置DNS、時間服務器、修改密碼等。確定配置後自動重啓。
最後使用設定好的賬號和密碼重新登錄,在“Configuration”-“Management Systems Configuration”中勾選“Accept connections from any management system”,允許接收所有的管理系統的連接。(或者自定義配置)
FS
Flow Sensor顧名思義,像是一個網絡數據的傳感器。一般應用場景:部署在防火牆之前。監控對或嘗試對防火牆造成威脅的通信;部署在防火牆之後。監控是否有防火牆的繞過發生;部署在敏感區域的匯聚點,防止內部有高權限的人員造成內部威脅。
創建新的虛擬機,選擇從OFV導入鏡像,基本一路使用默認選項。上傳到ESXI之後,完成之後會開啓並運行,停止在初次配置界面,配置IP、子網掩碼、廣播地址、網關。確認配置信息之後,系統會自動重啓,接下來訪問前面配置的IP地址,在web界面進一步配置DNS、時間服務器、修改密碼等。確定配置後自動重啓。
最後使用設定好的賬號和密碼重新登錄,在“Configuration”-“Management Systems Configuration”中勾選“Accept connections from any management system”,允許接收所有的管理系統的連接。(或者自定義配置)
SMC
該機器主要是作爲管理工具。部署的順序應當在FC和FS之後,因爲它配置時需要填寫前兩者的信息,並進行關聯。
創建新的虛擬機,選擇從OFV導入鏡像,基本一路使用默認選項。上傳到ESXI之後,完成之後會開啓並運行,停止在初次配置界面,配置IP、子網掩碼、廣播地址、網關。確認配置信息之後,系統會自動重啓,接下來訪問前面配置的IP地址,在web界面進一步配置DNS、時間服務器、修改密碼等。
然後配置要關聯FC和FS,設定警報接收的郵箱,設定SNMP等等操作。最後重啓完成配置。
配置網絡
通過虛擬路由器,將三個管理IP連接在一起,映射給一個物理網卡1。然後再新建一個虛擬路由器,將FS監控流量的接口映射給另一個物理網卡2,將要監聽的流量發向物理網卡2。
安裝好虛擬機之後,不要再去安裝VMware Tools,這麼做會破壞掉原本集成的工具。
至此,基本的搭建就完成了。
ESXI導入ovf文件的坑
ESXI 6.5在使用ovf方式部署的時遇到了一個問題
,stealthwatch提供ovf不被ESXI識別。打開瀏覽器調試工具,然後命令調試器下查看究竟發生了什麼問題。錯誤出現在main.js的331行,意思是在分配存儲的時候,無法識別標籤的references標籤,導致安裝過程卡在分配存儲空間的地方沒有辦法推進。
通過比對VMware Workstation pro產生的ovf,最後確定這個問題是VMware自家產品不兼容造成的。ESXI中驗證數據的js腳本只能識別特定的ovf文件。
解決辦法:
先將虛擬機導入到VMware Workstation pro
,然後再將其導出,產生一個新的ovf,這個新的ovf對ESXI來說是可用的。
SMC面板無數據
一種是流量接入的不對,確認接入的數據口無誤。
另一種是在運行一段時間後沒有數據的情況,需要重啓一下SMC,數據面板就恢復了。