Sentinel Rapid Deployment 中的各种组件之间通过网络进行通讯,并且系统中使用了各种通讯协议。
Sentinel 服务器进程包括 DAS Core、DAS Binary、关联引擎、收集器管理器和 Web 服务器。它们使用 ActiveMQ 互相进行通讯。
默认情况下,这些服务器进程之间的通讯使用 SSL 通过 ActiveMQ 讯息总线进行。要配置 SSL,请在 <安装目录>/configuration.xml 中指定以下信息:
<jms brokerURL="failover://(ssl://localhost:61616?wireFormat.maxInactivityDuration=30000)?randomize=false" interceptors="compression" keystore="../config/.activemqclientkeystore.jks" keystorePassword="password" password="374d9f338b4dc4b50e45b3822fc6be12" username="system"/>
有关设置自定义服务器和客户端证书的详细信息,请参见《Sentinel Rapid Deployment 用户指南》中的进程
。
Sentinel 控制中心 (SCC)、Sentinel 数据管理器 (SDM) 和解决方案设计器等 Sentinel 客户端应用程序默认通过 SSL 代理服务器使用 SSL 通讯。
要在 SCC、SDM 和解决方案设计器全部作为客户端应用程序在服务器上运行时启用 Sentinel 服务器与这些应用程序之间的通讯,请在 <安装目录>/configuration.xml 中指定以下信息:
<strategy active="yes" id="proxied_client" location="com.esecurity.common.communication.strategy.proxystrategy.ProxiedClientStrategyFactory">
<transport type="ssl">
<ssl host="localhost" keystore="<install_directory>/config/.proxyClientKeystore" port="10013" usecacerts="false"/>
</transport>
</strategy>
要启用 Sentinel 服务器与通过 WebStart 运行的 SCC、SDM 和解决方案设计器之间的通讯,需按如下方式在服务器上的 <安装目录>/3rdparty/tomcat/webapps/ROOT/novellsiemdownloads/configuration.xml 文件中定义通讯策略:
<strategy active="yes" id="proxied_client" location="com.esecurity.common.communication.strategy.proxystrategy.ProxiedClientStrategyFactory" > <transport type="ssl"> <ssl host="127.0.0.1" port="10013" keystore="./.novell/sentinel/.proxyClientKeystore" /> </transport> </strategy>
有关设置自定义服务器和客户端证书的详细信息,请参见《Sentinel Rapid Deployment 用户指南》中的进程
。
服务器与数据库之间的通讯所用的协议是 JDBC 驱动程序定义的。一些驱动程序可以对数据库的通讯进行加密。
Sentinel Rapid Deployment 使用 PostgreSQL 驱动程序(在 PostgreSQL 下载页提供的 postgresql-<版本>.jdbc3.jar)连接 PostgreSQL 数据库,这是一种 Java(IV 类型)实施。此驱动程序支持数据通讯加密。要配置数据通讯加密,请参见 PostgreSQL 加密选项。
注:启用加密会影响系统的性能。因此,数据库通讯默认不会加密。但是,由于数据库与服务器之间的通讯是通过回写网络接口发生的,且不会曝露给开放网络,因此,不会造成安全问题。
您可以对 Sentinel Rapid Deployment 进行适当配置,让其以安全方式从不同的事件源收集数据。不过,安全数据收集取决于事件源所支持的特定协议。例如,Check Point LEA、Syslog 和 Audit Connectors 适当配置后都可以对其与事件源之间的通讯进行加密。
有关可启用的安全功能的详细信息,请参见 Novell Sentinel 插件网站上提供的连接器和事件源供应商文档。
Web 服务器默认配置为通过 HTTPS 进行通讯。有关详细信息,请参见 Tomcat 文档。
可以使用 Sentinel 数据管理器或任何第三方应用程序(如 Pgadmin)将 PostgreSQL SIEM 数据库配置为允许来自任何客户端计算机的连接。
要允许 Sentinel 数据管理器从任何客户端计算机进行连接,请在 <安装目录>/3rdparty/postgresql/data/pg_hba.conf 文件中添加下行:
host all all 0.0.0.0/0 md5
如果要限制允许运行并通过 SDM 连接到数据库的客户端连接,请使用主机 IP 地址替换上面的行。pg_hba.conf 中的下行指示 PostgreSQL 接受来自本地计算机的连接,这样 Sentinel 数据管理器仅允许在服务器上运行。
host all all 127.0.0.1/32 md5
如果要限制其他客户端计算机的连接,您可以添加其他 host 条目。