Sentinel Rapid Deployment 各元件會跨網路進行通訊,而且整個系統中使用了各種不同的通訊協定。
Sentinel 伺服器程序包含「DAS 核心」、「DAS 二進位檔案」、「關連引擎」、「收集器管理員」與「Web 伺服器」。它們使用 ActiveMQ 與彼此通訊。
這些伺服器程序預設使用 SSL (透過 ActiveMQ 訊息匯流排) 與彼此通訊。若要設定 SSL,請在 <安裝目錄>/configuration.xml 中指定下列資訊︰
<jms brokerURL="failover://(ssl://localhost:61616?wireFormat.maxInactivityDuration=30000)?randomize=false" interceptors="compression" keystore="../config/.activemqclientkeystore.jks" keystorePassword="password" password="374d9f338b4dc4b50e45b3822fc6be12" username="system"/>
如需設定自定伺服器與用戶端證書的詳細資訊,請參閱《Sentinel Rapid Deployment User Guide》(Sentinel Rapid Deployment 使用者指南) 中的 Processes
(程序)。
Sentinel 用戶端應用程式 (例如,Sentinel 控制中心 (SCC)、Sentinel 資料管理員 (SDM) 與 Solution Designer) 預設使用 SSL 通訊 (透過 SSL 代理伺服器)。
若要讓 Sentinel 伺服器與均以用戶端應用程式方式在伺服器上執行的 SCC、SDM 及 Solution Designer 彼此通訊,請在 <安裝目錄>/configuration.xml 中指定下列資訊:
<strategy active="yes" id="proxied_client" location="com.esecurity.common.communication.strategy.proxystrategy.ProxiedClientStrategyFactory">
<transport type="ssl">
<ssl host="localhost" keystore="<install_directory>/config/.proxyClientKeystore" port="10013" usecacerts="false"/>
</transport>
</strategy>
若要讓 Sentinel 伺服器與透過網頁啟動執行的 SCC、SDM 及 Solution Designer 彼此通訊,必須以下列方式在伺服器的 <安裝目錄>/3rdparty/tomcat/webapps/ROOT/novellsiemdownloads/configuration.xml 檔案中定義通訊策略:
<strategy active="yes" id="proxied_client" location="com.esecurity.common.communication.strategy.proxystrategy.ProxiedClientStrategyFactory" >
<transport type="ssl">
<ssl host="127.0.0.1" port="10013" keystore="./.novell/sentinel/.proxyClientKeystore" />
</transport>
</strategy>
如需設定自定伺服器與用戶端證書的詳細資訊,請參閱《Sentinel Rapid Deployment User Guide》(Sentinel Rapid Deployment 使用者指南) 中的 Processes
(程序)。
伺服器與資料庫之間的通訊所使用的通訊協定是由 JDBC 驅動程式所定義。某些驅動程式可以加密與資料庫之間的通訊。
Sentinel Rapid Deployment 使用 PostgreSQL Download Page (PostgreSQL 下載頁面) 提供的 PostgreSQL 驅動程式 (postgresql-<版本>.jdbc3.jar) 連接到 PostgreSQL 資料庫,這是一種 Java (IV 型) 實作。此驅動程式支援資料通訊加密。若要為資料通訊設定加密,請參閱 PostgreSQL Encryption Options (PostgreSQL 加密選項)。
附註:開啟加密功能會影響系統的效能。因此,預設不會加密資料庫通訊。不過,這不會造成安全性問題,因為伺服器與資料庫之間的通訊透過迴路網路介面進行,且不會公開給開放網路。
您可以設定 Sentinel Rapid Deployment,使其以安全的方式收集來自各種事件來源的資料。不過,安全資料收集取決於事件來源所支援的特定通訊協定。例如,Check Point LEA、Syslog 以及稽核連接器設定後都可以對其與事件來源之間的通訊進行加密。
如需可啟用之安全性功能的詳細資訊,請參閱 Novell Sentinel Plug-ins Web site (Novell Sentinel 外掛程式網站) 上提供的連接器與事件來源廠商文件。
依預設,Web 伺服器是設定為透過 HTTPS 進行通訊。如需詳細資訊,請參閱 Tomcat documentation (Tomcat 文件)。
您可以設定 PostgreSQL SIEM 資料庫,以允許來自任何用戶端機器的連線,用戶端機器可以使用 Sentinel 資料管理員或任何協力廠商應用程式 (例如 Pgadmin)。
若要允許 Sentinel 資料管理員從任何用戶端機器連接,請在 <安裝目錄>/3rdparty/postgresql/data/pg_hba.conf 檔案加入下一行︰
host all all 0.0.0.0/0 md5
若要限制允許執行並透過 SDM 連接到資料庫的用戶端連線,請以該主機的 IP 位址取代上一行。pg_hba.conf 中的下一行表示 PostgreSQL 會接受來自本機機器的連線,因此只允許在該伺服器上執行 Sentinel 資料管理員。
host all all 127.0.0.1/32 md5
若要限制來自其他用戶端機器的連線,您可以加入額外的 host 項目。