McAfee NSP Kurulum Dokümanı
Transkript
McAfee NSP Kurulum Dokümanı
McAfee Network Security Platform Kurulumu ve ilk yapılandırmanın yapılması McAfee NSP Kurulum Dokümanı McAfee Network Security Platform Kurulumu ve ilk yapılandırmanın yapılması Amaç Bu dokümanda McAfee Network Security Platform, McAfee Saldırı Önleme Sistemi’nin temel bileşenleri , kurulumun nasıl yapılacağı ve ilk yapılandırma anlatılmaktadır. Künye Başlık McAfee IPS Kurulum Hazırlayan Barikat Tarih 07/2010 Sürüm 1.1 İlgili Ürünler McAfee/NSP Anahtar Kelimeler IPS,Kurulum, İlgili Sorular McAfee IPS Kurulumu nasıl yapılır? Tür Kurulum Barikat İnternet Güvenliği Bilişim Tic.Ltd.Şti. © 2010 Tüm Hakları Saklıdır McAfee NSP Kurulum Dokümanı McAfee Network Security Platform Kurulumu ve ilk yapılandırmanın yapılması İçindekiler McAfee Network Security Platform Kurulumu ve ilk yapılandırmanın yapılması ..........................................................1 Amaç ..............................................................................................................................................................................1 Gerekli Dosyaların İndirilmesi ........................................................................................................................................3 Update Server ............................................................................................................................................................3 Kurulum .........................................................................................................................................................................5 Manager Kurulumu ....................................................................................................................................................5 Lisans Dosyasının Eklenmesi ....................................................................................................................................13 Manager a Giriş Yapılması .......................................................................................................................................15 Sensor’ün Hazırlanması ...............................................................................................................................................18 Management Port a IP verilmesi .............................................................................................................................18 Sensor e İsim Verilmesi ............................................................................................................................................18 Manager Ip Adresinin Ayarlanması ..........................................................................................................................18 TFTP Sunucu IP Adresinin Ayarlanması ....................................................................................................................19 Sensor versiyon yükseltilmesi ..................................................................................................................................19 Sensor ile Manager’ın İrtibatlandırılması.....................................................................................................................22 Manager a Sensor’ün eklenmesi .............................................................................................................................22 Sensor Üzerinden İşlemin Başlatılması ....................................................................................................................24 Temel Yapılandırma .....................................................................................................................................................26 Rule Set Hazırlanması ..............................................................................................................................................26 Politika Oluşturulması ..............................................................................................................................................28 Sensor Port İkililerine Politika Uygulanması ............................................................................................................35 Özet .............................................................................................................................................................................37 Not ...............................................................................................................................................................................37 2 Gerekli Dosyaların İndirilmesi Gerekli dosyalara erişim için NSP update server’a, https://menshen.intruvert.com a grant numarası ile bağlanılması gereklidir. Kullanıcı adı ‘da şifre kısmına da Grant numarası girilir. Buradan sensor versiyonuna uygun sensor yazılımı, en son çıkan imza setleri ve yönetim yazılımının istenen versiyonu indirilir. Grant Numarası McAfee’nin müşterilerine aldıkları ürün sonrası verdiği XXXXXX-NAI formatında bir numaradır. Bu numaralar müşteriye ve ürüne özgü olduğundan McAfee resmi sitesinden ürünlere erişilmek istendiğinde girilen Grant numarasına ait ürünler görüntülenir. Update Server Bir tarayıcı ile https://menshen.intruvert.com a gidilmeye çalışıldığında kullanıcı adı ve şifre isteyen, aşağıdaki görüntüde görünen ekran çıkar. Bu iki boşluğa grant numarasının tam hali yazılır. Onaylandığında eğer erişim gerçekleşirse bir alttaki görüntüde görünen şekilde 3 menü gelecektir. Şekil 1 3 Şekil 2 Şekil 3 4 Kurulum Manager Kurulumu Intruvert update sitesinden manager yazılımı indirilir. Şekil 4 İndirilen zip bir klasöre çıkarıldığında çalıştırılabilir kurulum dosyası elde edilecektir. Şekil 5 5 Kurulum dosyası çalıştırılır. Alttaki görüntüde görünen kurulum penceresi açılır ve Next butonu ile devam edilir. Şekil 6 Lisans şartları kabul edilir ve Next e basılır. Şekil 7 6 Network Security Manager seçilir ve Next e basılır. Şekil 8 Kurulacak yol seçilir ve Next e basılır. Şekil 9 7 Ürün ikonları ile ilgili ayarlamalar yapılır ve Next e basılır. Şekil 10 Database Name bölümüne kullanılacak veritabanı ismi, Database User bölümüne oluşturulacak veritabanı kullanıcısı ve Database Password bölümüne bu kullanıcı için şifre girilir. En altta MYSQL veritabanı için kurulum yolu belirlenir ve Next e basılır. Şekil 11 8 Continue ile onaylanır. Şekil 12 MYSQL veritabanı için Root kullanıcı şifresi girilir. Girilen şifre kaybedilmemelidir, manager upgrade edilirken sorulacaktır . Şekil 13 9 Memory ayarlamaları buradan yapılır. Manager kurulumundan önce gerekli donanım özellikleri ürün dokümanların dan edinilmeli ve buna uygun sunucu temin edilmelidir. Tavsiye edilen ayarlamalar kabul edilebilir. Şekil 14 Bu ekranda da tavsiye edilen ayarlar kabul edilebilir. Şekil 15 10 Eğer sunucunun üzerinde birden fazla Network ara yüzü bulunmakta ise “Use a Dedicated Interface” ayarı çıkar. Sensor ile Manager arasındaki haberleşmenin bu işe adanmış bir ara yüzden yapılması için ara yüzün ip adresi verilir. Şekil 16 Install butonu ile kurulum başlatılır. Şekil 17 11 Done butonu ile bitirilir. Şekil 18 12 Lisans Dosyasının Eklenmesi Manager için lisans dosyası olan IntruShieldLicense.jar dosyası aşağıdaki adımlarla manager a eklenmelidir. Https ile localhost a gidildiğinde Lisans tipinin unknown olduğu görülür. Lisans dosyasını elde etmek için licensing@mcafee.com ‘a Grant numarasını da bildirerek lisans dosyası için mail atılır. Şekil 19 Network Security Platform un servisleri durdurulur. Şekil 20 13 Aşağıdaki görüntüde görünen klasör yoluna gidilir. Eğer başka bir sürücüye veya yol a kurulmuş ise kurulum klasörü içinden sırasıyla App ve Config klasörü açılır. Şekil 21 IntruShieldLicense.jar dosyası bu klasör e kopyalanır. Dosyanın isminin değiştirilmemesi gerekmektedir. Eğer başka bir isimde ise büyük ve küçük harflere dikkat edilerek adı değiştirilir. Şekil 22 14 Tekrar servisler başlatıldıktan sonra Network Security Manager ikonuna start dan basarak veya bir tarayıcı ile localhost a https ile gidilerek login ekranı getirilir. Lisans dosyasının doğru bir şekilde gösterildiğinden emin olmak için resimde okla gösterilen bölüm kontrol edilir. Burada eklenen lisans çeşidi görülmelidir. Şekil 23 Manager a Giriş Yapılması Manager lisansı eklenip kontrol edildikten sonra varsayılan kullanıcı adı (admin) ve şifre (admin123) ile giriş yapılır. Web ara yüzü pop-up lar ile çalıştığından kullanılan tarayıcı üzerinde bulunan pop-up engelleme özelliği ve eklentileri kapatılmalıdır. Manager yazılımı java ile yazıldığından eğer istemci cihazda java runtime'ı yüklü değil ise aşağıdaki ekran da göründüğü şekilde manager java'nın yüklenmesini ister. Install butonu ile yükleme başlatılır. Şekil 24 15 Java yükleme adımları talimatlara göre devam ettirilir. Şekil 25 Java yüklendikten sonra Manager java applet'leri çalıştırtmak için gönderir ve aşağıdaki uyarı ile karşılaşılır. “Always trust content from this publisher” seçeneği seçilerek onaylanır ise bir daha aynı istemci üzerinde uyarı olmaksızın çalışacaktır. Şekil 26 16 Yukarıdaki adımda bahsedildiği gibi bir onaylama ekranı daha çıkacaktır. Şekil 27 Manager sorunsuz bir şekilde açıldığında aşağıdaki ekran görüntüsü görülür. Şekil 28 17 Sensor’ün Hazırlanması Management Port a IP verilmesi Sensor management portunun IP adresi bilinmiyorsa öncelikle console portundan seri bağlantı kurularak sensor management port ip si ayarlanır. Sensor e login olmak için varsayılan kullanıcı ad (admin) ve şifresi (admin123)kullanılır. Login olunduktan sonra aşağıdaki şablon a uygun şekilde management port una ip verilir. set sensor ip X.X.X.X <subnet> Örnek Set sensor ip 192.168.250.10 255.255.255.0 Management portunun ip değişikliğinin aktif olabilmesi için reboot gerekecektir. Reboot komutu ile sensor yeniden başlatılır ve artık verilen ip den SSH ile erişim sağlanabilir. Sensor e İsim Verilmesi Sensor e verilecek isim manager'da kullanılacağı için verilecek isim dikkatli seçilmelidir. Seçilecek isim büyük-küçük harf duyarlı olacaktır. Komut: Set sensor name <isim> Örnek: Set sensor name IPS-Ornek Manager IP Adresinin Ayarlanması Sensor ün manager olarak erişeceği IP 'nin ayarlanması gerekir. Bu IP manager'ın kurulduğu sunucunun ip adresidir. Eğer “Dedicated Interface” ayarlandı ise adanmış network ara yüzün IP si verilir. Komut: set manager ip X.X.X.X Örnek: Set manager ip 192.168.250.50 Not: Manager eğer sensor ün subnet inde değil ise sensor e gateway de vermek gerekir Komut: set sensor gateway X.X.X.X 18 Örnek: Set sensor gateway 192.168.250.1 TFTP Sunucu IP Adresinin Ayarlanması Bu dokümanda anlatılan sensor yazılım yükseltilmesi tfpt sunucu aracılığı ile olacağı için sensor de tftp sunucunun IP adresinin bulunması gerekir. Aşağıdaki komut ile tftp server'ın bulunacağı cihazın ip adresi sensor e verilir. Bu görev için manager kullanılabilir. Eğer manager kullanılacaksa da tftp ayarlaması yapılmalıdır. Komut: set tftpserver ip X.X.X.X Örnek: set tftpserver ip 192.168.250.50 Sensor versiyon yükseltilmesi Sensor temin edildiğinde üzerinde en son versiyon yazılım olmayabilir. Bu durumu kontrol etmek için sensor e ssh veya management IP adresi bilinmiyorsa seri kablo yardımı ile console portundan erişilir ve show komutu çalıştırılır. Burada görülen versiyon bilgisi menshen.intruvert de temin edilen modelin son versiyonu ile karşılaştırılır. Eğer daha üst bir versiyon var ise indirilir ve aşağıda anlatılan adımlar ile sensor versiyon yükseltilmesi yapılır. Bu görevi yapmak için birden fazla yol bulunması ile birlikte bu dokümanda TFTP server kullanarak komut satırından sensor versiyon yükseltilmesi anlatılacaktır. Diğer yöntemler için ürün dokümanlarından detaylı bilgi temin edilebilir. Şekil 29 19 Sensor yazılımı versiyonları menshen.intruvert.com dan indirilirken doğru sensor modeli için indirmek ve uygulamak önemlidir. Bir üst modelin yazılımı ile sensor e üst modelin özelliklerini kazandırmak imkanı yoktur. Önemli Nokta: Yanlış modelin yazılımının sensor e yüklenmesi sensor e zarar verebilir. Sensor yazılımı .jar uzantılı bir dosya şekilde indirilecektir. Şekil 30 Bu dosyanın içeriği uzantısı .zip ile değiştirilerek bir klasöre çıkarılabilir. Şekil 31 20 Şekil 32 Arşiv den çıkarılan dosyaların arasında uzantısız yazılım dosyası tftp sunucu yazılımında belirlenen root klasöründe kopyalanır. Şekil 33 Tftp sunucunun çalıştığından emin olunduktan sonra sensor'e ssh ile tekrar bağlanılır. Load image komutu ile sensor yazılım dosyasını tftp sunucusundan çekip uygular. İşlem bittikten sonra cihaz Reboot komutu ile yeniden başlatılır. Komut: Loadimage <YazılımDosyasınınİsmi> Örnek: Loadimage sensorsw_3000_51590 21 Sensor ile Manager’ın İrtibatlandırılması Sensor ile manager irtibatlandırılmadan önce tüm bağlantıları sensor başlatmaktadır. Manager'ın sürekli olarak sensor arama gibi bir davranışı yoktur. Genel adımlar olarak Manager da sensor ün eklenmesi ve secret key'in belirlenmesinden sonra bu key ile sensor'de irtibatlandırma işlemi başlatılır. Sensor üzerinden işlemin sonucu takip edilir. Manager a Sensor’ün eklenmesi Manager a login olunur ve aşağıdaki resim de görüldüğü gibi sırasıyla “Configure” , “Device List” ve “Sensors “ tabına basılarak sensor ekleme ekranına ulaşılır. Add butonuna basılır. Şekil 34 Sensor ekleme ekranında sensor ün ismi ve tipi belirtilir. Sensor ismi, sensor e verilen ismin aynısı olmalıdır(büyükküçük harf duyarlı). Shared secret key sensor ile manager arasındaki irtibatı sağlayacak anahtar kelimedir. Büyükküçük harf duyarlıdır ve sensor e girileceği için not edilmelidir. Gerekli alanlar doldurulduktan sonra “Submit” butonu ile onaylanır. 22 Şekil 35 Sorunsuz eklenmesi durumda aşağıdaki görüntü gelecektir. Şekil 36 23 Sensor Üzerinden İşlemin Başlatılması Sensor e ssh ile bağlanıldıktan sonra set sensor sharedsecretkey komutu ile irtibatlandırma başlatılır. Komut: Set sensor sharedsecretkey Örnek: Set sensor sharedsecretkey yazılıp enter a basılılr İki kez arka arkaya manager'da girilen key buraya girilir. Anahtar girildikten sonra status komutu ile irtibatlandırmanın durumu kontrol edilir. Aşağıdaki resim de komut çalıştırıldıktan hemen sonraki “status” çıktısı gözükmekte. Installation Status kısmında “Sensor Install in progress” yazısı işlemin devam ettiğini gösteriyor. Şekil 37 24 Bir süre sonra tekrar status komutu çalıştırıldığında Trust Established kısmında “Yes” gözükecektir. Yes görünmesi durumunda sensor ile manager arasındaki güvenli iletişim kurulmuş demektir. Şekil 38 İrtibatlandırma işlemi sorunsuz bittiğinde Installation status de “Complete”ve channel ların hepsinde “up” görünecektir. Bir süre sonra manager üzerinden eklenen sensor ün ayarlamaları yapılabilmesi için sahip olduğu portlar ve policy kısmı açılacaktır. Şekil 39 25 Temel Yapılandırma Bu bölümde ürün ile ilgili en temel ayarlamaların nasıl yapıldığı ve genel işleme mantığından bahsedilecektir. McAfee Network Securtiy Platform ile ilgili detaylı bir çok kullanım kılavuzuna mcafee.com internet sitesinden üyelik gerektirmeden ücretsiz ulaşılabilir. Politika ayarlamalarında temel mantık, politikaların rule setlerden oluştuğudur. İmzalar rule setleri oluştururken, rule setlerde politikaları oluşturur. Bir atağın bloklanıp bloklanmayacağı policy kısmında belirtilir. Rule setler sadece kontrol edilecek imzaları barındırır. Rule Set Hazırlanması Login olunduktan sonra sırası ile Configuration, IPS Settings, Advanced Policies ve Rule Set Editor e gelinir. Burada genel bir rule set üzerinden yeni bir rule set yaratıla bilir. Bunun için Default Inline IPS rule seti üzerinde iken Clone a basılır. Açılan pencereden istenilen değişiklikler default inline IPS rule setini baz alınarak yapılır. Şekil 40 26 Clone a basıldıktan sonra gelen aşağıdaki ekranda “Rule Set Name” kısmına ismini yazılır. “Block Attacks Recommended by McAfee for Blocking” işaretli gelecektir ve işaretli kalması faydalı olur. Bu işaret Mcafee'nin bloklanmasını önerdiği atakların eklenmesi içindir. Şekil 41 Commit Changes a basıldığında yaratılan yeni kural seti listeye eklenecektir. Bu dokümanda rule setler ve politikalar üzerinde yapılacak detaylı değişiklikler yer almamaktadır. Şekil 42 27 Politika Oluşturulması Oluşturulan rule set i kullanarak yeni bir politika yaratmak için sırasıyla IPS Settings, Policies ve IPS Policy Editor ekranına gelinir. Burada Add butonu ile yeni bir politika yaratılır. Şekil 43 Add butonuna basıldıktan sonra açılan pencerede policy sekmesinde, politikanın adı, içeri ve dışarı çıkarken uygulanacak rule setler ile ilgili ayarlamamlar yapılır. Oluşturulan genel Rule Set in her iki yönde de uygulanması için önce “Apply Inbounda Rule Set” e basılır. Şekil 44 28 Açılan pencereden yarattığımız Rule set seçilir ve ok butonu ile onaylanır. Şekil 45 Dışarı çıkan paketler için uygulanacak rule set için “Apply Outbound Rule Set” butonuna basılır. Şekil 46 29 Eğer içeri gelen paketlere uygulanan rule set ile aynı rule setin burada da uygulanmasını istiyor isek “Use Inbound Rule Set of Exploit Attacks” seçeneği seçilir. Başka bir rule set isteniyorsa yukarıdaki seçenek ile seçilir. Inbound set ile aynı set i seçmekteki avantaj hem inbound hemde outbound exploitleri tek yerden ayarlama imkanı tanımasıdır. Eğer farklı seçilirse bir atağın hem içeri hemde dışarı çıkarken kesilmesi için iki taraftata ayarlama yapmak gerekir. Şekil 47 İmzaların tetiklenmesi durumunda yapılacakların ayarlanması Exploit sekmesinden yapılır. Değiştirilmek istenen protokol seçilir ve View/Edit butonuna basılır. Şekil 48 30 Açılan pencerede imzaları tek tek ayarlamak ile beraber gruplar halinde beraber de ayarlanabilir. Bir grup imzayı shift veya control tuşu ile seçip bulk edit e basılır. Şekil 49 Açılan pencerede önce atakların Bulk edit kutularına basarak Enable edilmesi gerekir. Etkinleştirilmiş ve inline pozisyonlandırılan bir IPS de blok edilmesi ayarlamaları bir sonraki 2 resimde görünmektedir. Şekil 50 31 Ataklar etkinleştirildiğinde alt seçenekler açılır. Şekil 51 32 Atakların bloklanması “Block Attacks(Drop Packets)” özelliğinin aktif olması gerekir. Şekil 52 Yapılan değişiklikler ok butonu ile kayıt edilir. Şekil 53 33 Yapılan değişiklikler listede görünür hale gelir ve Done butonu ile onaylanır. Şekil 54 Commit Changes ile politika değişikliği uygulanır. Şekil 55 Commit butonuna basılarak devam edilir. 34 Şekil 56 Sensor Port İkililerine Politika Uygulanması Sıras ile eklenen IPS in bir port ikilisine ve oradan Scanning in altındaki IPS policy sekmesine basılır. Uygulanacak politika menuden seçilir ve Apply butonuna basılır. Şekil 57 35 Yapılan bu değişiklik sensor e yollanmadığı sürece etkili olmayacaktır. Bu yüzden Apply butonuna basıldıktan sonra Configuration update yapılması gerektiği uyarısı gelir. Şekil 58 Configuration update yapmak için update in yapılacağı sensor Device List den seçilir. Physical Sensor sekmesinden Configuration update sekmesine gelinir. Örnek resimde sensor ile manager'ın irtibatı kesildiği için buton çıkmamaktadır fakat bu ekranda update i elle başlatmak için çıkacak butona basılır. Şekil 59 36 Özet 1. 2. 3. 4. 5. Gerekli Dosyalar İnternetten indirilir Yönetim yazılımı kurulur Sensor yazılımı güncellenir ve yapılandırılır Yönetim ile Sensor arası bağlantı kurulur Politikalar Ayarlanır. Not Dokümanda geçen dosya isimleri ve yazılım versiyonları yazım sırasında kullanılan versiyonlardır. Dokümandan faydalanılmak istenildiğinde yeni versiyonlar çıkmış olabilir ve bazı ekran görüntüleri değişik görünebilir. 37