La comunicazione tra i vari componenti di Sentinel Rapid Deployment ha luogo attraverso la rete e in tutto il sistema sono utilizzati diversi tipi di protocolli di comunicazione.
Sezione 5.2.1, Comunicazione tra processi del server Sentinel
Sezione 5.2.2, Comunicazione tra il server Sentinel e le applicazioni client di Sentinel
Sezione 5.2.4, Comunicazione tra istanze di Gestione servizi di raccolta e origini eventi
Sezione 5.2.6, Comunicazione tra il database e gli altri client
I processi del server Sentinel includono DAS Core, DAS Binary, motore di correlazione, Gestione servizi di raccolta e il server Web. Essi comunicano utilizzando ActiveMQ.
La comunicazione tra questi processi server avviene per default su SSL tramite il bus messaggi ActiveMQ. Per configurare SSL, specificare le informazioni seguenti in <directory_di_installazione>/configuration.xml:
<jms brokerURL="failover://(ssl://localhost:61616?wireFormat.maxInactivityDuration=30000)?randomize=false" interceptors="compression" keystore="../config/.activemqclientkeystore.jks" keystorePassword="password" password="374d9f338b4dc4b50e45b3822fc6be12" username="system"/>
Per ulteriori informazioni sulla configurazione di certificati server e client personalizzati, vedere Processes
in the Sentinel Rapid Deployment User Guide (in lingua inglese).
Le applicazioni client di Sentinel come Sentinel Control Center (SCC), Gestione dati Sentinel (Sentinel Data Manager, SDM) e Solution Designer utilizzano per default le comunicazioni SSL tramite il server proxy SSL.
Per abilitare la comunicazione tra il server Sentinel e SCC, SDM e Solution Designer quando vengono eseguiti tutti come applicazioni client sul server, specificare le informazioni seguenti in <directory_di_installazione>/configuration.xml:
<strategy active="yes" id="proxied_client" location="com.esecurity.common.communication.strategy.proxystrategy.ProxiedClientStrategyFactory">
<transport type="ssl">
<ssl host="localhost" keystore="<directory_di_installazione>/config/.proxyClientKeystore" port="10013" usecacerts="false"/>
</transport>
</strategy>
Per abilitare la comunicazione tra il server Sentinel e SCC, SDM e Solution Designer eseguiti attraverso Web Start, la strategia di comunicazione è definita sul server nel file <directory_di_installazione>/3rdparty/tomcat/webapps/ROOT/novellsiemdownloads/configuration.xml, come indicato di seguito:
<strategy active="yes" id="proxied_client" location="com.esecurity.common.communication.strategy.proxystrategy.ProxiedClientStrategyFactory" >
<transport type="ssl">
<ssl host="127.0.0.1" port="10013" keystore="./.novell/sentinel/.proxyClientKeystore" />
</transport>
</strategy>
Per ulteriori informazioni sulla configurazione di certificati server e client personalizzati, vedere Processes
in the Sentinel Rapid Deployment User Guide (in lingua inglese).
Il protocollo utilizzato per la comunicazione tra il server e il database è definito dal driver JDBC. Alcuni driver sono in grado di cifrare la comunicazione con il database.
Sentinel Rapid Deployment utilizza il driver PostgreSQL (postgresql-<versione>.jdbc3.jar) fornito nella pagina di download di PostgreSQL per la connessione al database PostgreSQL, che è un'implementazione Java (Tipo IV). Questo driver supporta la cifratura per la comunicazione dei dati. Per configurare la cifratura per la comunicazione dei dati, fare riferimento a PostgreSQL Encryption Options (in lingua inglese).
NOTA:l'attivazione della cifratura influisce sulle prestazioni del sistema. Pertanto, la comunicazione del database non viene cifrata per default. Tuttavia, ciò non costituisce un problema per la sicurezza in quanto la comunicazione tra il database e il server ha luogo nell'interfaccia di rete di loopback e non è esposta alla rete aperta.
È possibile configurare Sentinel Rapid Deployment per raccogliere i dati in modo sicuro da varie origini eventi. Tuttavia, la raccolta dei dati sicura dipende da protocolli specifici supportati dall'origine eventi. Ad esempio, è possibile configurare Check Point LEA, Syslog e i connettori di controllo per la cifratura delle rispettive comunicazioni con le origini eventi.
Per ulteriori informazioni sulle funzioni di sicurezza che è possibile abilitare, fare riferimento alla documentazione del fornitore dell'origine evento e del connettore disponibile nel sito Web dei plug-in di Novell Sentinel.
Il server Web è configurato per default per comunicare tramite HTTPS. Per ulteriori informazioni, vedere la documentazione di Tomcat.
È possibile configurare il database SIEM PostgreSQL in modo da consentire la connessione da qualsiasi computer client utilizzando Gestione dati Sentinel o qualsiasi applicazione di terze parti, come Pgadmin.
Per consentire la connessione di Gestione dati Sentinel da qualsiasi computer client, aggiungere la riga seguente al file <directory_di_installazione>/3rdparty/postgresql/data/pg_hba.conf:
host all all 0.0.0.0/0 md5
Se si desidera limitare le connessioni client che è possibile eseguire e connettersi al database attraverso Gestione dati Sentinel, sostituire la riga indicata sopra con l'indirizzo IP dell'host. La riga seguente in pg_hba.conf indica a PostgreSQL di accettare connessioni dal computer locale, in modo che l'esecuzione di Gestione dati Sentinel sia consentita solo sul server.
host all all 127.0.0.1/32 md5
Per limitare le connessioni da altri computer client è possibile aggiungere ulteriori voci host.