Die Kommunikation zwischen den verschiedenen Komponenten von Sentinel Rapid Deployment erfolgt über das Netzwerk, und im gesamten Netzwerk werden verschiedene Arten von Kommunikationsprotokollen verwendet.
Abschnitt 5.2.1, Kommunikation zwischen Sentinel-Serverprozessen
Abschnitt 5.2.2, Kommunikation zwischen dem Sentinel-Server und den Sentinel-Client-Anwendungen
Abschnitt 5.2.3, Kommunikation zwischen Server und Datenbank
Abschnitt 5.2.4, Kommunikation zwischen den Collector-Managern und den Ereignisquellen
Abschnitt 5.2.6, Kommunikation zwischen der Datenbank und anderen Clients
Zu den Sentinel-Serverprozessen zählen DAS Core, DAS Binary, Correlation Engine, Collector-Manager und der Webserver. Sie kommunizieren untereinander über ActiveMQ.
Die Kommunikation zwischen diesen Serverprozessen erfolgt standardmäßig per SSL über den ActiveMQ-Nachrichtenbus. Für die Konfiguration von SSL geben Sie in der Datei <Installationsverzeichnis>/configuration.xml folgende Informationen an:
<jms brokerURL="failover://(ssl://localhost:61616?wireFormat.maxInactivityDuration=30000)?randomize=false" interceptors="compression" keystore="../config/.activemqclientkeystore.jks" keystorePassword="password" password="374d9f338b4dc4b50e45b3822fc6be12" username="system"/>
Weitere Informationen zum Einrichten benutzerdefinierter Server- und Client-Zertifikate finden Sie unter Processes
(Prozesse) im Sentinel Rapid Deployment User Guide (Sentinel Rapid Deployment-Benutzerhandbuch).
Die Sentinel-Client-Anwendungen wie das Sentinel Control Center (SCC), der Sentinel Data Manager (SDM) und der Solution Designer nutzen standardmäßig die SSL-Kommunikation über den SSL-Proxyserver.
Geben Sie zur Aktivierung der Kommunikation zwischen dem Sentinel-Server und SCC, dem SDM und dem Solution Designer, wenn diese auf dem Server alle als Client-Anwendungen ausgeführt werden, in der Datei <Installationsverzeichnis>/configuration.xml folgende Informationen an:
<strategy active="yes" id="proxied_client" location="com.esecurity.common.communication.strategy.proxystrategy.ProxiedClientStrategyFactory">
<transport type="ssl">
<ssl host="localhost" keystore="<Installationsverzeichnis>/config/.proxyClientKeystore" port="10013" usecacerts="false"/>
</transport>
</strategy>
Zur Aktivierung der Kommunikation zwischen dem Sentinel-Server, dem SCC, dem SDM und dem Solution Designer, die über Web Start ausgeführt werden, wird die Kommunikationsstrategie auf dem Server in der Datei <Installationsverzeichnis>/3rdparty/tomcat/webapps/ROOT/novellsiemdownloads/configuration.xml folgendermaßen festgelegt:
<strategy active="yes" id="proxied_client" location="com.esecurity.common.communication.strategy.proxystrategy.ProxiedClientStrategyFactory" > <transport type="ssl"> <ssl host="127.0.0.1" port="10013" keystore="./.novell/sentinel/.proxyClientKeystore" /> </transport> </strategy>
Weitere Informationen zum Einrichten benutzerdefinierter Server- und Client-Zertifikate finden Sie unter Processes
(Prozesse) im Sentinel Rapid Deployment User Guide (Sentinel Rapid Deployment-Benutzerhandbuch).
Das für die Kommunikation zwischen dem Server und der Datenbank verwendete Protokoll wird vom JDBC-Treiber definiert. Einige Treiber sind in der Lage, die Kommunikation mit der Datenbank zu verschlüsseln.
Sentinel Rapid Deployment verwendet für die Verbindung mit der PostgreSQL-Datenbank, einer Java-Implementierung (Typ 4), den PostgreSQL-Treiber (postgresql-<Version>.jdbc3.jar), der auf der PostgreSQL-Download-Webseite verfügbar ist. Dieser Treiber unterstützt die Verschlüsselung der Datenkommunikation. Informationen zur Verschlüsselung der Datenkommunikation finden Sie unter PostgreSQL-Verschlüsselungsoptionen.
HINWEIS:Das Aktivieren der Verschlüsselung wirkt sich auf die Systemleistung aus. Daher erfolgt die Kommunikation mit der Datenbank standardmäßig unverschlüsselt. Dies ist jedoch kein Sicherheitsproblem, da die Kommunikation zwischen der Datenbank und dem Server über die Loopback-Netzwerkschnittstelle stattfindet und deshalb nicht mit dem offenen Netzwerk in Berührung kommt.
Sie können Sentinel Rapid Deployment für die sichere Sammlung von Daten aus verschiedenen Ereignisquellen konfigurieren. Jedoch wird die Sicherung der Datensammlung durch die spezifischen, von der Ereignisquelle unterstützten Protokolle bestimmt. So können beispielsweise Check Point LEA, Syslog und Audit Connectors für die Verschlüsselung der Kommunikation mit den Ereignisquellen konfiguriert werden.
Weitere Informationen zu den möglichen Sicherheitsfunktionen, die aktiviert werden können, finden Sie in der Dokumentation zu Connectors und Ereignisquellen auf der Novell Sentinel Plugins-Website.
Der Webserver ist standardmäßig zur Kommunikation über HTTPS konfiguriert. Weitere Informationen finden Sie in der Tomcat-Dokumentation.
Sie können die PostgreSQL-SIEM-Datenbank so konfigurieren, dass Verbindungen von allen Client-Computern zugelassen werden. Dazu verwenden Sie den Sentinel Data Manager oder eine Drittanbieteranwendung, z. B. Pgadmin.
Um dem Sentinel Data Manager die Verbindung von jedem Client-Computer aus zu erlauben, fügen Sie in die Datei <Installationsverzeichnis>/3rdparty/postgresql/data/pg_hba.conf folgende Zeile ein:
host all all 0.0.0.0/0 md5
Wenn Sie die Client-Verbindungen einschränken möchten, die durchgeführt werden dürfen und über den SDM mit der Datenbank Verbindung aufnehmen können, dann ersetzen Sie die oben angegebene Zeile durch die IP-Adresse des Hosts. Die folgende Zeile in der Datei pg_hba.conf weist PostgreSQL an, nur Verbindungen vom lokalen Computer zu akzeptieren, sodass der SDM nur auf dem Server ausgeführt werden darf.
host all all 127.0.0.1/32 md5
Um die Verbindungen von anderen Client-Computern einzuschränken, können Sie zusätzliche host-Einträge hinzufügen.