Stellen Sie den IDS-Sensor mit VMware bereit
Die Sensoren des Intrusion Detection Systems (Intrusion Detection System) lassen sich in Paketsensoren integrieren, um Erkennungen auf der Grundlage von branchenüblichen IDS-Signaturen zu generieren. In diesem Handbuch wird erklärt, wie der IDS-Sensor mit VMware bereitgestellt wird.
Before you begin
- Sie müssen mit der Verwaltung von VMware vertraut sein. Die Bilder in diesem Handbuch stammen aus VMware Version 6.7, und einige der Menüauswahlen haben sich möglicherweise geändert.
- Wir empfehlen, ein Upgrade auf den neuesten Patch für die vSphere-Umgebung durchzuführen, um bekannte Probleme zu vermeiden.
In diesem Handbuch wird erklärt, wie die folgenden virtuellen ExtraHop-Sensoren auf der VMware ESXi/ESX-Plattform bereitgestellt werden:
- Intrusion Detection System 6280v
Anforderungen an virtuelle Maschinen
Ihr Hypervisor muss die folgenden Spezifikationen für den virtuellen Sensor unterstützen können.
- VMware ESX/ESXi-Server Version 6.5 oder höher
- vSphere-Client zur Bereitstellung der OVF-Datei und zur Verwaltung der virtuellen Maschine
- (Optional) Wenn Sie Paketerfassungen aktivieren möchten, konfigurieren Sie während der Bereitstellung eine zusätzliche Speicherfestplatte
- Die folgende Tabelle enthält die Serverhardwareanforderungen für jedes Discover-Appliance-Modell:
Fühler | CPU | RAM | Festplatte |
---|---|---|---|
Intrusion Detection System 1280v | 4 Prozessorkerne mit Hyper-Threading-Unterstützung, VT-x- oder AMD-V-Technologie und 64-Bit-Architektur. Unterstützung für Streaming SIMD Extensions 4.2 (SSE4.2) und POPCNT-Befehle. | 8 GB | Festplatte mit 46 GB oder mehr für Datenspeicherung (Thick-Provisioning) 250 GB oder weniger Festplatte für Paket (Thick-Provisioning) |
Intrusion Detection System 6280v | 16 Prozessorkerne mit Hyper-Threading-Unterstützung, VT-x- oder AMD-V-Technologie und 64-Bit-Architektur. Unterstützung für Streaming SIMD Extensions 4.2 (SSE4.2) und POPCNT-Befehle. | 64 GB | Festplatte mit 1 TB oder mehr für Datenspeicherung (Thick-Provisioning) Festplatte mit 500 GB oder weniger für Paketerfassung (Thick-Provisioning) |
- Stellen Sie sicher, dass der VMware ESX/ESXi-Server mit dem richtigen Datum und der richtigen Uhrzeit konfiguriert ist.
- Wählen Sie immer Thick Provisioning. Der ExtraHop-Datenspeicher erfordert einen Low-Level-Zugriff auf das gesamte Laufwerk und kann mit Thin Provisioning nicht dynamisch wachsen. Thin Provisioning kann zum Verlust von Metrik, zum Sperren virtueller Rechner und zu Problemen bei der Erfassung führen.
- Ändern Sie die Standardfestplattengröße bei der Erstinstallation nicht. Die standardmäßige Festplattengröße gewährleistet den korrekten Lookback für ExtraHop-Metriken und die korrekte Systemfunktionalität. Wenn Ihre Konfiguration eine andere Festplattengröße erfordert, wenden Sie sich an Ihren ExtraHop-Ansprechpartner, bevor Sie Änderungen vornehmen.
- Migrieren Sie die VM nicht. Obwohl eine Migration möglich ist, wenn sich der Datenspeicher auf einem Remote-SAN befindet, empfiehlt ExtraHop diese Konfiguration nicht. Wenn Sie die VM auf einen anderen Host migrieren müssen, fahren Sie zuerst den virtuellen Sensor herunter und migrieren Sie dann mit einem Tool wie VMware vMotion. Live-Migration wird nicht unterstützt.
Wichtig: | Wenn Sie mehr als einen virtuellen ExtraHop-Sensor bereitstellen möchten, erstellen Sie die neue Instanz mit dem ursprünglichen Bereitstellungspaket oder klonen Sie eine vorhandene Instanz, die noch nie gestartet wurde. |
Netzwerkanforderungen
Fühler | Verwaltung | Überwachen |
---|---|---|
Intrusion Detection System 6280v | Ein 1-Gbit/s-Ethernet-Netzwerkanschluss ist erforderlich (für die Verwaltung). Die Verwaltungsschnittstelle muss über Port 443 zugänglich sein. Die Verwaltungsschnittstelle kann als zusätzliches ERSPAN/RPCAP-Ziel konfiguriert werden. | Für den physischen Port-Mirror wird ein
10-Gbit/s-Ethernet-Netzwerkanschluss empfohlen. Die physische Port-Mirror-Schnittstelle muss mit
dem Port-Mirror-Ziel auf dem Switch verbunden sein. Der VMware ESX-Server
muss Netzwerkschnittstellentreiber unterstützen. Optional können Sie 1—3 1-Gbit/s-Ethernet-Netzwerkports für den Empfang von Paketüberwachungsverkehr konfigurieren. |
Wichtig: | Um die beste Leistung bei der ersten Gerätesynchronisierung zu gewährleisten, schließen Sie alle Sensoren an die Konsole an und konfigurieren Sie dann die Weiterleitung des Netzwerkverkehrs zu den Sensoren. |
Hinweis: | Für Registrierungszwecke benötigt der virtuelle Sensor Outbound DNS Konnektivität auf UDP-Port 53, sofern sie nicht von einer ExtraHop-Konsole verwaltet wird. |
Stellen Sie die OVA-Datei über den VMware vSphere-Webclient bereit
ExtraShop vertreibt das Virtuelle Sensor Paket im Format Open Virtual Appliance (OVA).
Before you begin
Falls Sie dies noch nicht getan haben, laden Sie die virtuelle ExtraHop-Sensor-OVA-Datei für VMware von der ExtraHop Kundenportal.Konfigurieren Sie eine statische IP-Adresse über die CLI
Das ExtraHop-System ist standardmäßig konfiguriert mit DHCP aktiviert. Wenn Ihr Netzwerk DHCP nicht unterstützt, wird keine IP-Adresse abgerufen, und Sie müssen eine statische Adresse manuell konfigurieren.
Wichtig: | Wir empfehlen dringend Konfiguration eines eindeutigen Hostnamens. Wenn sich die System-IP-Adresse ändert, kann die ExtraHop-Konsole die Verbindung zum System einfach über den Hostnamen wiederherstellen. |
- Greifen Sie über eine SSH-Verbindung auf die CLI zu, indem Sie eine USB-Tastatur und einen SVGA-Monitor an die physische ExtraHop-Appliance anschließen, oder über ein serielles RS-232-Kabel ( Nullmodem) und ein Terminalemulatorprogramm. Stellen Sie den Terminalemulator auf 115200 Baud mit 8 Datenbits, ohne Parität, 1 Stoppbit (8N1) und deaktivierter Hardware-Flusskontrolle ein.
- Geben Sie in der Anmeldeaufforderung Folgendes ein Schale und drücken Sie dann ENTER.
- Geben Sie an der Passwortaufforderung Folgendes ein Standard, und drücken Sie dann die EINGABETASTE.
-
Führen Sie die folgenden Befehle aus, um die statische IP-Adresse zu konfigurieren:
Danke für deine Rückmeldung. Dürfen wir Sie kontaktieren, um weitere Fragen zu stellen?