La communication entre les différents composants de Sentinel Rapid Deployment s'effectue sur le réseau, à l'aide des différents types de protocoles de communication utilisés dans le système.
Section 5.2.1, Communication entre les processus serveur de Sentinel
Section 5.2.2, Communication entre le serveur Sentinel et les programmes clients Sentinel
Section 5.2.3, Communication entre le serveur et la base de données
Section 5.2.4, Communication entre les gestionnaires des collecteurs et les sources d'événements
Section 5.2.6, Communication entre la base de données et d'autres clients
Le serveur Sentinel comprend DAS Core, DAS Binary, un moteur de corrélation, un gestionnaire des collecteurs et le serveur Web. Ils communiquent entre eux à l'aide d'ActiveMQ.
La communication entre ces processus serveur s'effectue par défaut sur SSL, par l'intermédiaire du bus de messages ActiveMQ. Pour configurer SSL, indiquez les informations suivantes dans le fichier <répertoire_installation>/configuration.xml :
<jms brokerURL="failover://(ssl://localhost:61616?wireFormat.maxInactivityDuration=30000)?randomize=false" interceptors="compression" keystore="../config/.activemqclientkeystore.jks" keystorePassword="password" password="374d9f338b4dc4b50e45b3822fc6be12" username="system"/>
Pour plus d'informations sur la configuration des certificats serveur et client personnalisés, reportez-vous à la section Processus
du Guide de l'utilisateur Sentinel Rapid Deployment.
Les programmes clients Sentinel tels que Sentinel Control Center (SCC), Sentinel Data Manager (SDM) et Solution Designer utilisent la communication SSL par défaut par l'intermédiaire du serveur proxy SSL.
Pour permettre la communication entre le serveur Sentinel et SCC, SDM et Solution Designer exécutés en tant que programmes clients sur le serveur, indiquez les informations suivantes dans le fichier <répertoire_installation>/configuration.xml :
<strategy active="yes" id="proxied_client" location="com.esecurity.common.communication.strategy.proxystrategy.ProxiedClientStrategyFactory">
<transport type="ssl">
<ssl host="localhost" keystore="<install_directory>/config/.proxyClientKeystore" port="10013" usecacerts="false"/>
</transport>
</strategy>
Pour activer la communication entre le serveur Sentinel et SCC, SDM et Solution Designer exécutés via Web Start, la stratégie de communication est définie sur le serveur dans le fichier <répertoire_installation>/3rdparty/tomcat/webapps/ROOT/novellsiemdownloads/configuration.xml de la manière suivante :
<strategy active="yes" id="proxied_client" location="com.esecurity.common.communication.strategy.proxystrategy.ProxiedClientStrategyFactory" >
<transport type="ssl">
<ssl host="127.0.0.1" port="10013" keystore="./.novell/sentinel/.proxyClientKeystore" />
</transport>
</strategy>
Pour plus d'informations sur la configuration des certificats serveur et client personnalisés, reportez-vous à la section Processus
du Guide de l'utilisateur de Sentinel Rapid Deployment.
Le protocole utilisé pour la communication entre le serveur et la base de données est défini par le pilote JDBC. Certains pilotes peuvent coder la communication avec la base de données.
Sentinel Rapid Deployment utilise le pilote PostgreSQL (postgresql-<version>.jdbc3.jar) disponible sur la page de téléchargement PostgreSQL pour établir la connexion à la base de données PostgreSQL, qui est une mise en œuvre Java (Type IV). Ce pilote prend en charge le codage de la communication des données. Pour configurer le codage de la communication des données, reportez-vous aux options de codage PostgreSQL.
REMARQUE :l'activation du codage a des conséquences sur les performances du système. C'est pourquoi, par défaut, les communications de la base de données ne sont pas codées. Il n'y a cependant aucun problème de sécurité car les communications entre la base de données et le serveur ont lieu au niveau de l'interface réseau en boucle et ne sont pas exposées au réseau ouvert.
Vous pouvez configurer Sentinel pour collecter en toute sécurité les données de différentes sources d'événements. Toutefois, la collecte de données sécurisée est déterminée par les protocoles spécifiques pris en charge par la source d'événements. Par exemple, Check Point LEA, Syslog et Audit Connectors peuvent être configurés pour que leur communication avec les sources d'événements soit codée.
Pour plus d'informations sur les fonctionnalités de sécurité pouvant être activées, reportez-vous à la documentation du fournisseur des connecteurs et de la source d'événements, accessible sur le site Web de Novell Sentinel Plug-ins.
Le serveur Web est configuré par défaut pour communiquer par l'intermédiaire du protocole HTTPS. Pour plus d'informations, reportez-vous à la documentation Tomcat.
Vous pouvez configurer la base de données PostgreSQL SIEM afin d'établir la connexion depuis une machine cliente à l'aide de Sentinel Data Manager ou d'une application tierce telle que Pgadmin.
Pour que Sentinel Data Manager puisse se connecter depuis une machine cliente, ajoutez la ligne suivante dans le fichier <répertoire_installation>/3rdparty/postgresql/data/pg_hba.conf :
host all all 0.0.0.0/0 md5
Si vous souhaitez limiter les connexions des clients qui sont autorisés à se connecter à la base de données par l'intermédiaire de SDM et à l'exécuter, remplacez la ligne ci-dessus par l'adresse IP de l'hôte. La ligne suivante du fichier pg_hba.conf est un indicateur permettant à PostgreSQL d'accepter les connexions de la machine locale, de manière à ce que le gestionnaire de données Sentinel ne puisse s'exécuter que sur le serveur.
host all all 127.0.0.1/32 md5
Pour limiter les connexions depuis les autres machines clientes, vous pouvez ajouter des entrées host supplémentaires.