La comunicación entre los distintos componentes de Sentinel Rapid Deployment se realiza a través de la red y se utilizan diferentes clases de protocolos de comunicación en todo el sistema.
Sección 5.2.1, Comunicación entre los procesos del servidor de Sentinel
Sección 5.2.2, Comunicación entre el servidor de Sentinel y las aplicaciones cliente de Sentinel
Sección 5.2.3, Comunicación entre el servidor y la base de datos
Sección 5.2.4, Comunicación entre los gestores de recopiladores y los orígenes de eventos
Sección 5.2.6, Comunicación entre la base de datos y otros clientes
Los procesos del servidor de Sentinel incluyen DAS Core, DAS Binary, el motor de correlación, el gestor de recopiladores y el servidor Web. Se comunican entre sí utilizando ActiveMQ.
Por defecto, la comunicación entre los procesos del servidor es sobre SSL, a través del bus de mensajes de ActiveMQ. Para configurar SSL, especifique la siguiente información en <directorio_instalación>/configuration.xml:
<jms brokerURL="failover://(ssl://localhost:61616?wireFormat.maxInactivityDuration=30000)?randomize=false" interceptors="compression" keystore="../config/.activemqclientkeystore.jks" keystorePassword="password" password="374d9f338b4dc4b50e45b3822fc6be12" username="system"/>
Para obtener más información sobre la configuración del servidor personalizado y los certificados del cliente, consulte Processes
(Procesos) en la Sentinel Rapid Deployment User Guide (Guía del usuario de Sentinel Rapid Deployment).
Las aplicaciones cliente de Sentinel como el Centro de control de Sentinel, el gestor de datos de Sentinel y Solution Designer utilizan por defecto la comunicación SSL a través del servidor proxy SSL.
Para habilitar la comunicación entre el servidor de Sentinel y el Centro de control de Sentinel, el gestor de datos de Sentinel y Solution Designer, cuando se ejecutan todos como aplicaciones cliente en el servidor, especifique la siguiente información en <directorio_de_instalación>/configuration.xml:
<strategy active="yes" id="proxied_client" location="com.esecurity.common.communication.strategy.proxystrategy.ProxiedClientStrategyFactory">
<transport type="ssl">
<ssl host="localhost" keystore="<install_directory>/config/.proxyClientKeystore" port="10013" usecacerts="false"/>
</transport>
</strategy>
Para habilitar la comunicación entre el servidor de Sentinel y el Centro de control de Sentinel, el gestor de datos de Sentinel y Solution Designer si se ejecutan a través de WebStart, la estrategia de comunicación se define en el servidor en el archivo <directorio_de_instalación>/3rdparty/tomcat/webapps/ROOT/novellsiemdownloads/configuration.xml de la manera siguiente:
<strategy active="yes" id="proxied_client" location="com.esecurity.common.communication.strategy.proxystrategy.ProxiedClientStrategyFactory" >
<transport type="ssl">
<ssl host="127.0.0.1" port="10013" keystore="./.novell/sentinel/.proxyClientKeystore" />
</transport>
</strategy>
Para obtener más información sobre la configuración del servidor personalizado y los certificados del cliente, consulte Processes
(Procesos) en la Sentinel Rapid Deployment User Guide (Guía del usuario de Sentinel Rapid Deployment).
El protocolo usado para la comunicación entre el servidor y la base de datos se define mediante el controlador de JDBC. Algunos controladores son capaces de cifrar la comunicación con la base de datos.
Sentinel Rapid Deployment utiliza el controlador de PostgreSQL (postgresql-<versión>.jdbc3.jar) proporcionado en la página de descargas de PostgreSQL, para conectarse a la base de datos PostgreSQL, que es una implementación Java (Tipo IV). Este controlador admite el cifrado para la comunicación de datos. Para configurar el cifrado de la comunicación de datos, consulte las opciones del cifrado de PostgreSQL.
NOTA:al activar el cifrado, el rendimiento del sistema se ve afectado. Por lo tanto, la comunicación con la base de datos no está cifrada por defecto. Sin embargo, no se trata de un problema de seguridad, ya que la comunicación entre la base de datos y el servidor se produce en una interfaz de red de retrobucle y no queda expuesta en una red abierta.
Es posible configurar Sentinel Rapid Deployment para recopilar de forma segura datos de varios orígenes de eventos. Sin embargo, la recopilación segura de datos viene determinada por los protocolos concretos admitidos por el origen de eventos. Por ejemplo, Check Point LEA, Syslog y los conectores de auditoría se pueden configurar para cifrar su comunicación con los orígenes de eventos.
Para obtener más información sobre las características de seguridad que es posible habilitar, consulte la documentación del proveedor del conector y el origen de eventos disponible en el sitio Web de módulos auxiliares (plug-ins) de Novell Sentinel.
El servidor Web está configurado por defecto para comunicarse a través de HTTPS. Para obtener más información, consulte la documentación de Tomcat.
Puede configurar la base de datos SIEM de PostgreSQL para permitir la conexión desde cualquier equipo cliente usando el gestor de datos de Sentinel o bien una aplicación de otro fabricante, como Pgadmin.
Para permitir que el gestor de datos de Sentinel se conecte desde cualquier equipo cliente, añada la línea siguiente en el archivo <directorio_de_instalación>/3rdparty/postgresql/data/pg_hba.conf:
host all all 0.0.0.0/0 md5
Si desea limitar las conexiones del cliente que pueden ejecutarse y conectarse a la base de datos a través del gestor de datos de Sentinel, sustituya la línea anterior por la dirección IP del host. La línea siguiente de pg_hba.conf es un indicador para que PostgreSQL acepte conexiones desde el equipo local para que el gestor de datos de Sentinel se pueda ejecutar sólo en el servidor.
host all all 127.0.0.1/32 md5
Para limitar las conexiones desde otros equipos cliente, debe añadir entradas de host adicionales.