Hoàng Doanh
Intern
Sau khi đã kích hoạt Trend Vision One Tenant và tải file OVA của Virtual Network Sensor, bước tiếp theo là triển khai sensor lên môi trường ảo hóa. Trong bài lab này, Virtual Network Sensor được cài đặt trên VMware ESXi standalone và kết nối vào cùng port group với các máy ảo dùng để sinh traffic.
Do môi trường ESXi standalone trong lab không sử dụng cấu hình SPAN/port mirroring chuyên dụng, bài lab sử dụng Promiscuous Mode trên port group để cho phép sensor quan sát lưu lượng từ các máy ảo khác trong cùng mạng. Sau khi triển khai thành công, trạng thái onboarding của sensor sẽ được kiểm tra trên cả console của máy ảo và giao diện Trend Vision One.
I. Mô hình triển khai
1. Thành phần hệ thống
Mô hình triển khai trong bài lab bao gồm các thành phần chính sau:
Trong mô hình lab, các máy ảo bao gồm Virtual Network Sensor và máy Windows được kết nối vào cùng port group VM Network. Virtual Network Sensor hoạt động ở chế độ out-of-band, tức là sensor chỉ quan sát và phân tích lưu lượng mạng, không nằm trực tiếp trên đường truyền chính và không can thiệp vào quá trình truyền dữ liệu.
Do môi trường VMware ESXi standalone trong bài lab không cấu hình SPAN/port mirroring chuyên dụng, Promiscuous Mode được bật trên port group để cho phép VNS có thể quan sát lưu lượng từ các máy ảo khác trong cùng mạng. Sau khi thu thập và phân tích traffic, sensor gửi telemetry về nền tảng Trend Vision One thông qua kết nối HTTPS trên port 443.
3. Cấu hình mạng
Lưu ý: Trong môi trường production, nên sử dụng cơ chế port mirroring/SPAN hoặc TAP phù hợp để đưa traffic về sensor. Promiscuous Mode trong bài lab chủ yếu được sử dụng nhằm đơn giản hóa mô hình triển khai trên ESXi standalone.
Do môi trường ESXi standalone trong lab không sử dụng cấu hình SPAN/port mirroring chuyên dụng, bài lab sử dụng Promiscuous Mode trên port group để cho phép sensor quan sát lưu lượng từ các máy ảo khác trong cùng mạng. Sau khi triển khai thành công, trạng thái onboarding của sensor sẽ được kiểm tra trên cả console của máy ảo và giao diện Trend Vision One.
I. Mô hình triển khai
1. Thành phần hệ thống
Mô hình triển khai trong bài lab bao gồm các thành phần chính sau:
- Hypervisor: VMware ESXi (standalone)
- Virtual Switch: vSwitch0
- Port Group: VM Network
- Virtual Network Sensor (VNS): đóng vai trò thu thập và phân tích lưu lượng mạng
- Các máy ảo (VM): Máy Windows (dùng để tạo traffic và chạy script mô phỏng tấn công)
- Nền tảng phân tích: Trend Vision One
Trong mô hình lab, các máy ảo bao gồm Virtual Network Sensor và máy Windows được kết nối vào cùng port group VM Network. Virtual Network Sensor hoạt động ở chế độ out-of-band, tức là sensor chỉ quan sát và phân tích lưu lượng mạng, không nằm trực tiếp trên đường truyền chính và không can thiệp vào quá trình truyền dữ liệu.
Do môi trường VMware ESXi standalone trong bài lab không cấu hình SPAN/port mirroring chuyên dụng, Promiscuous Mode được bật trên port group để cho phép VNS có thể quan sát lưu lượng từ các máy ảo khác trong cùng mạng. Sau khi thu thập và phân tích traffic, sensor gửi telemetry về nền tảng Trend Vision One thông qua kết nối HTTPS trên port 443.
3. Cấu hình mạng
- Port Group: VM Network
- Promiscuous Mode: Accept
- MAC Address Changes: Accept
- Forged Transmits: Accept
- Virtual Network Sensor (VNS):
- NIC 1 (Management): kết nối VM Network
- NIC 2 (Data): kết nối VM Network
- Trạng thái: Connected, Connect at power on
- Các VM khác:
- Kết nối cùng VM Network để tạo lưu lượng nội bộ
- Máy Windows được sử dụng để sinh traffic và chạy script mô phỏng hành vi tấn công.
- Đầu tiên, cần cấu hình lại port group VM Network trên ESXi. Mặc định, Promiscuous Mode thường không được bật, nên Virtual Network Sensor sẽ không thể quan sát traffic của các máy ảo khác trong cùng port group. Vì vậy, cần chuyển Promiscuous Mode sang trạng thái Accept trong phần Security của port group.
- Trong phần Security của port group, cấu hình các giá trị sau:
- Promiscuous Mode: Accept
- MAC Address Changes: Accept
- Forged Transmits: Accept
- Tiếp theo, tạo datastore để lưu trữ dữ liệu của các máy ảo được triển khai trên ESXi.
- Sau khi tạo datastore thành công, tiến hành deploy máy ảo chạy Virtual Network Sensor. Trên giao diện ESXi, truy cập mục Virtual Machines và chọn “Create / Register VM”.
- Do file tải về ở Lab 01 có định dạng OVA, tại bước đầu tiên chọn “Deploy a virtual machine from an OVF or OVA file”.
- Ở bước tiếp theo, upload file OVA đã tải và đặt tên cho máy ảo Virtual Network Sensor.
- Chọn datastore đã tạo trước đó để lưu trữ dữ liệu của máy ảo.
- Ở bước Deployment Options, cần chú ý phần Network Mappings. Trong bài lab này, cả Management Network và Data Network của Virtual Network Sensor đều được map vào cùng port group VM Network. Cách cấu hình này phù hợp với môi trường lab nhỏ, nơi các máy ảo cùng nằm trong một mạng nội bộ. Tuy nhiên, trong môi trường thực tế, Management Network và Data Network thường nên được tách riêng để đảm bảo khả năng quản trị và giám sát traffic rõ ràng hơn.
- Tiếp theo, cấu hình các thông số System Settings và Network Settings theo yêu cầu của môi trường lab, chẳng hạn như địa chỉ IP quản trị, gateway, DNS hoặc các thông tin kết nối cần thiết.
- Sau khi kiểm tra lại toàn bộ thông tin cấu hình, xác nhận deploy Virtual Network Sensor.
- Sau khi deploy và boot thành công sensor, đăng nhập vào console của máy ảo để kiểm tra trạng thái kết nối. Nếu console hiển thị “Status: Connected”, điều này cho thấy sensor đã kết nối được đến Trend Vision One và đang trong quá trình onboarding.
- Quay lại giao diện Network Inventory trên Trend Vision One Portal. Nếu xuất hiện sensor mới tương ứng với máy vừa triển khai, có thể xác nhận quá trình onboarding đã hoàn tất thành công.
Lưu ý: Trong môi trường production, nên sử dụng cơ chế port mirroring/SPAN hoặc TAP phù hợp để đưa traffic về sensor. Promiscuous Mode trong bài lab chủ yếu được sử dụng nhằm đơn giản hóa mô hình triển khai trên ESXi standalone.
Đính kèm
Bài viết liên quan
Được quan tâm
Bài viết mới