A comunicação entre os diversos componentes do Sentinel Rapid Deployment é feita através da rede. Diferentes tipos de protocolos de comunicação são usados no sistema.
Os processos do Sentinel Server incluem DAS Básico, DAS Binário, Mecanismo de Correlação, Gerenciador de Coletor e servidor Web. Esses processos se comunicam entre si por meio do ActiveMQ.
Por padrão, a comunicação entre esses processos do servidor é feita por SSL, por meio do barramento de mensagem do ActiveMQ. Para configurar o SSL, especifique as seguintes informações em <Diretório_de_Instalação>/configuration.xml:
<jms brokerURL="failover://(ssl://localhost:61616?wireFormat.maxInactivityDuration=30000)?randomize=false" interceptors="compression" keystore="../config/.activemqclientkeystore.jks" keystorePassword="password" password="374d9f338b4dc4b50e45b3822fc6be12" username="system"/>
Para mais informações sobre como configurar os certificados personalizados do cliente e do servidor, consulte Processes
(Processos) no Sentinel Rapid Deployment User Guide (Guia do Usuário do Sentinel Rapid Deployment).
Os aplicativos Clientes do Sentinel, como o Sentinel Control Center (SCC), o Gerenciador de Dados do Sentinel (SDM) e o Designer de Soluções, por padrão, usam a comunicação SSL por meio do Servidor Proxy SSL.
Para habilitar a comunicação entre o Sentinel Server e o SCC, o SDM e o Designer de Soluções, quando são todos executados como aplicativos clientes no servidor, especifique as seguintes informações em <diretório_de_instalação>/configuration.xml:
<strategy active="yes" id="proxied_client" location="com.esecurity.common.communication.strategy.proxystrategy.ProxiedClientStrategyFactory">
<transport type="ssl">
<ssl host="localhost" keystore="<diretório_de_instalação>/config/.proxyClientKeystore" port="10013" usecacerts="false"/>
</transport>
</strategy>
Para habilitar a comunicação entre o Sentinel Server e o SCC, o SDM e o Designer de Soluções executados no WebStart, a estratégia de comunicação é definida no servidor, no arquivo <diretório_de_instalação>/3rdparty/tomcat/webapps/ROOT/novellsiemdownloads/configuration.xml, conforme mostrado a seguir:
<strategy active="yes" id="proxied_client" location="com.esecurity.common.communication.strategy.proxystrategy.ProxiedClientStrategyFactory" > <transport type="ssl"> <ssl host="127.0.0.1" port="10013" keystore="./.novell/sentinel/.proxyClientKeystore" /> </transport> </strategy>
Para mais informações sobre como configurar os certificados personalizados do cliente e do servidor, consulte Processes
(Processos) no Sentinel Rapid Deployment User Guide (Guia do Usuário do Sentinel Rapid Deployment).
O protocolo usado para a comunicação entre o servidor e o banco de dados é definido pelo driver JDBC. Alguns drivers são capazes de criptografar a comunicação com o banco de dados.
O Sentinel Rapid Deployment usa o driver PostgreSQL (postgresql-<versão>.jdbc3.jar) fornecido na Página de Download do PostgreSQL para conectar-se ao banco de dados PostgreSQL, que é uma implementação do Java (Tipo IV). Esse driver suporta criptografia para comunicação de dados. Para configurar a criptografia para comunicação de dados, consulte as Opções de Criptografia do PostgreSQL.
NOTA:A ativação da criptografia afeta o desempenho do sistema. Portanto, a comunicação do banco de dados não é criptografada por padrão. No entanto, isso não é uma preocupação de segurança, pois a comunicação entre o banco de dados e o servidor acontece pela interface de rede de loopback e não fica exposta à rede aberta.
É possível configurar o Sentinel Rapid Deployment para coletar dados com segurança de várias fontes de eventos. No entanto, a coleta de dados protegida é determinada por protocolos específicos suportados pela fonte de eventos. Por exemplo, o LEA de Ponto de Verificação, o Syslog e os Conectores de Auditoria podem ser configurados para criptografar sua comunicação com as fontes de eventos.
Para obter mais informações sobre os recursos de segurança que podem ser habilitados, consulte a documentação do fornecedor da fonte de eventos e do Conector que está no Site de Plug-ins do Novell Sentinel.
Por padrão, o servidor Web é configurado para se comunicar via HTTPS. Para obter mais informações, consulte a documentação do Tomcat.
Você pode configurar o banco de dados SIEM do PostgreSQL para conectar-se de qualquer máquina cliente usando o Gerenciador de Dados do Sentinel ou qualquer aplicativo de terceiros, como o Pgadmin.
Para permitir que o Gerenciador de Dados do Sentinel conecte-se de qualquer máquina cliente, adicione a seguinte linha ao arquivo <Diretório_de_Instalação>/3rdparty/postgresql/data/pg_hba.conf:
host all all 0.0.0.0/0 md5
Para limitar as conexões clientes que têm permissão para execução e conexão com o banco de dados pelo SDM, substitua a linha acima pelo endereço IP do host. A seguinte linha em pg_hba.conf indica ao PostgreSQL que as conexões da máquina local devem ser aceitas para que o Gerenciador de Dados do Sentinel tenha permissão para ser executado apenas no servidor.
host all all 127.0.0.1/32 md5
Para limitar as conexões de outras máquinas clientes, você pode incluir entradas host adicionais.