McAfee NSP Kurulum Dokümanı - Barikat İnternet Güvenliği

McAfee Network Security Platform Kurulumu ve ilk yapılandırmanın
yapılması
McAfee NSP Kurulum Dokümanı
McAfee Network Security Platform Kurulumu ve ilk yapılandırmanın yapılması
Amaç
Bu dokümanda McAfee Network Security Platform, McAfee Saldırı Önleme Sistemi’nin temel bileşenleri ,
kurulumun nasıl yapılacağı ve ilk yapılandırma anlatılmaktadır.
Künye
Başlık McAfee IPS Kurulum
Hazırlayan Barikat
Tarih 07/2010
Sürüm 1.1
İlgili Ürünler McAfee/NSP
Anahtar Kelimeler IPS,Kurulum,
İlgili Sorular McAfee IPS Kurulumu nasıl yapılır?
Tür Kurulum
Barikat İnternet Güvenliği Bilişim Tic.Ltd.Şti. © 2010 Tüm Hakları Saklıdır

McAfee NSP Kurulum Dokümanı
McAfee Network Security Platform Kurulumu ve ilk yapılandırmanın yapılması
İçindekiler
McAfee Network Security Platform Kurulumu ve ilk yapılandırmanın yapılması .......................................................... 1
Amaç .............................................................................................................................................................................. 1
Gerekli Dosyaların İndirilmesi ........................................................................................................................................ 3
Update Server ............................................................................................................................................................ 3
Kurulum ......................................................................................................................................................................... 5
Manager Kurulumu .................................................................................................................................................... 5
Lisans Dosyasının Eklenmesi .................................................................................................................................... 13
Manager a Giriş Yapılması ....................................................................................................................................... 15
Sensor’ün Hazırlanması ............................................................................................................................................... 18
Management Port a IP verilmesi ............................................................................................................................. 18
Sensor e İsim Verilmesi ............................................................................................................................................ 18
Manager Ip Adresinin Ayarlanması .......................................................................................................................... 18
TFTP Sunucu IP Adresinin Ayarlanması .................................................................................................................... 19
Sensor versiyon yükseltilmesi .................................................................................................................................. 19
Sensor ile Manager’ın İrtibatlandırılması..................................................................................................................... 22
Manager a Sensor’ün eklenmesi ............................................................................................................................. 22
Sensor Üzerinden İşlemin Başlatılması .................................................................................................................... 24
Temel Yapılandırma ..................................................................................................................................................... 26
Rule Set Hazırlanması .............................................................................................................................................. 26
Politika Oluşturulması .............................................................................................................................................. 28
Sensor Port İkililerine Politika Uygulanması ............................................................................................................ 35
Özet ............................................................................................................................................................................. 37
Not ............................................................................................................................................................................... 37
2

Gerekli Dosyaların İndirilmesi
Gerekli dosyalara erişim için NSP update server’a, https://menshen.intruvert.com a grant numarası ile
bağlanılması gereklidir. Kullanıcı adı ‘da şifre kısmına da Grant numarası girilir. Buradan sensor versiyonuna uygun
sensor yazılımı, en son çıkan imza setleri ve yönetim yazılımının istenen versiyonu indirilir.
Grant Numarası McAfee’nin müşterilerine aldıkları ürün sonrası verdiği XXXXXX-NAI formatında bir
numaradır. Bu numaralar müşteriye ve ürüne özgü olduğundan McAfee resmi sitesinden ürünlere erişilmek
istendiğinde girilen Grant numarasına ait ürünler görüntülenir.
Update Server
Bir tarayıcı ile https://menshen.intruvert.com a gidilmeye çalışıldığında kullanıcı adı ve şifre isteyen,
aşağıdaki görüntüde görünen ekran çıkar. Bu iki boşluğa grant numarasının tam hali yazılır. Onaylandığında eğer
erişim gerçekleşirse bir alttaki görüntüde görünen şekilde 3 menü gelecektir.
Şekil 1
3

Şekil 2
Şekil 3
4

Kurulum
Manager Kurulumu
Intruvert update sitesinden manager yazılımı indirilir.
Şekil 4
İndirilen zip bir klasöre çıkarıldığında çalıştırılabilir kurulum dosyası elde edilecektir.
Şekil 5
5

Kurulum dosyası çalıştırılır. Alttaki görüntüde görünen kurulum penceresi açılır ve Next butonu ile devam edilir.
Lisans şartları kabul edilir ve Next e basılır.
Şekil 6
Şekil 7
6

Network Security Manager seçilir ve Next e basılır.
Kurulacak yol seçilir ve Next e basılır.
Şekil 8
Şekil 9
7

Ürün ikonları ile ilgili ayarlamalar yapılır ve Next e basılır.
Şekil 10
Database Name bölümüne kullanılacak veritabanı ismi, Database User bölümüne oluşturulacak veritabanı
kullanıcısı ve Database Password bölümüne bu kullanıcı için şifre girilir. En altta MYSQL veritabanı için kurulum yolu
belirlenir ve Next e basılır.
Şekil 11
8

Continue ile onaylanır.
Şekil 12
MYSQL veritabanı için Root kullanıcı şifresi girilir. Girilen şifre kaybedilmemelidir, manager upgrade edilirken
sorulacaktır
.
Şekil 13
9

Memory ayarlamaları buradan yapılır. Manager kurulumundan önce gerekli donanım özellikleri ürün dokümanların
dan edinilmeli ve buna uygun sunucu temin edilmelidir. Tavsiye edilen ayarlamalar kabul edilebilir.
Bu ekranda da tavsiye edilen ayarlar kabul edilebilir.
Şekil 14
Şekil 15
10

Eğer sunucunun üzerinde birden fazla Network ara yüzü bulunmakta ise “Use a Dedicated Interface” ayarı çıkar.
Sensor ile Manager arasındaki haberleşmenin bu işe adanmış bir ara yüzden yapılması için ara yüzün ip adresi
verilir.
Install butonu ile kurulum başlatılır.
Şekil 16
Şekil 17
11

Done butonu ile bitirilir.
Şekil 18
12

Lisans Dosyasının Eklenmesi
Manager için lisans dosyası olan IntruShieldLicense.jar dosyası aşağıdaki adımlarla manager a eklenmelidir. Https
ile localhost a gidildiğinde Lisans tipinin unknown olduğu görülür. Lisans dosyasını elde etmek için
licensing@mcafee.com ‘a Grant numarasını da bildirerek lisans dosyası için mail atılır.
Network Security Platform un servisleri durdurulur.
Şekil 19
Şekil 20
13

Aşağıdaki görüntüde görünen klasör yoluna gidilir. Eğer başka bir sürücüye veya yol a kurulmuş ise kurulum klasörü
içinden sırasıyla App ve Config klasörü açılır.
Şekil 21
IntruShieldLicense.jar dosyası bu klasör e kopyalanır. Dosyanın isminin değiştirilmemesi gerekmektedir. Eğer başka
bir isimde ise büyük ve küçük harflere dikkat edilerek adı değiştirilir.
Şekil 22
14

Tekrar servisler başlatıldıktan sonra Network Security Manager ikonuna start dan basarak veya bir tarayıcı ile
localhost a https ile gidilerek login ekranı getirilir. Lisans dosyasının doğru bir şekilde gösterildiğinden emin olmak
için resimde okla gösterilen bölüm kontrol edilir. Burada eklenen lisans çeşidi görülmelidir.
Şekil 23
Manager a Giriş Yapılması
Manager lisansı eklenip kontrol edildikten sonra varsayılan kullanıcı adı (admin) ve şifre (admin123) ile giriş yapılır.
Web ara yüzü pop-up lar ile çalıştığından kullanılan tarayıcı üzerinde bulunan pop-up engelleme özelliği ve
eklentileri kapatılmalıdır. Manager yazılımı java ile yazıldığından eğer istemci cihazda java runtime'ı yüklü değil ise
aşağıdaki ekran da göründüğü şekilde manager java'nın yüklenmesini ister. Install butonu ile yükleme başlatılır.
Şekil 24
15

Java yükleme adımları talimatlara göre devam ettirilir.
Şekil 25
Java yüklendikten sonra Manager java applet'leri çalıştırtmak için gönderir ve aşağıdaki uyarı ile karşılaşılır. “Always
trust content from this publisher” seçeneği seçilerek onaylanır ise bir daha aynı istemci üzerinde uyarı olmaksızın
çalışacaktır.
Şekil 26
16

Yukarıdaki adımda bahsedildiği gibi bir onaylama ekranı daha çıkacaktır.
Şekil 27
Manager sorunsuz bir şekilde açıldığında aşağıdaki ekran görüntüsü görülür.
Şekil 28
17

Sensor’ün Hazırlanması
Management Port a IP verilmesi
Sensor management portunun IP adresi bilinmiyorsa öncelikle console portundan seri bağlantı kurularak sensor
management port ip si ayarlanır.
Sensor e login olmak için varsayılan kullanıcı ad (admin) ve şifresi (admin123)kullanılır.
Login olunduktan sonra aşağıdaki şablon a uygun şekilde management port una ip verilir.
set sensor ip X.X.X.X
Örnek
Set sensor ip 192.168.250.10 255.255.255.0
Management portunun ip değişikliğinin aktif olabilmesi için reboot gerekecektir. Reboot komutu ile
sensor yeniden başlatılır ve artık verilen ip den SSH ile erişim sağlanabilir.
Sensor e İsim Verilmesi
Sensor e verilecek isim manager'da kullanılacağı için verilecek isim dikkatli seçilmelidir. Seçilecek isim büyük-küçük
harf duyarlı olacaktır.
Komut:
Set sensor name
Örnek:
Set sensor name IPS-Ornek
Manager IP Adresinin Ayarlanması
Sensor ün manager olarak erişeceği IP 'nin ayarlanması gerekir. Bu IP manager'ın kurulduğu sunucunun ip adresidir.
Eğer “Dedicated Interface” ayarlandı ise adanmış network ara yüzün IP si verilir.
Komut:
set manager ip X.X.X.X
Örnek:
Set manager ip 192.168.250.50
Not: Manager eğer sensor ün subnet inde değil ise sensor e gateway de vermek gerekir
Komut:
set sensor gateway X.X.X.X
18

Örnek:
Set sensor gateway 192.168.250.1
TFTP Sunucu IP Adresinin Ayarlanması
Bu dokümanda anlatılan sensor yazılım yükseltilmesi tfpt sunucu aracılığı ile olacağı için sensor de tftp sunucunun
IP adresinin bulunması gerekir. Aşağıdaki komut ile tftp server'ın bulunacağı cihazın ip adresi sensor e verilir. Bu
görev için manager kullanılabilir. Eğer manager kullanılacaksa da tftp ayarlaması yapılmalıdır.
Komut:
set tftpserver ip X.X.X.X
Örnek:
set tftpserver ip 192.168.250.50
Sensor versiyon yükseltilmesi
Sensor temin edildiğinde üzerinde en son versiyon yazılım olmayabilir. Bu durumu kontrol etmek için sensor e ssh
veya management IP adresi bilinmiyorsa seri kablo yardımı ile console portundan erişilir ve show komutu çalıştırılır.
Burada görülen versiyon bilgisi menshen.intruvert de temin edilen modelin son versiyonu ile karşılaştırılır. Eğer
daha üst bir versiyon var ise indirilir ve aşağıda anlatılan adımlar ile sensor versiyon yükseltilmesi yapılır.
Bu görevi yapmak için birden fazla yol bulunması ile birlikte bu dokümanda TFTP server kullanarak komut
satırından sensor versiyon yükseltilmesi anlatılacaktır. Diğer yöntemler için ürün dokümanlarından detaylı bilgi
temin edilebilir.
Şekil 29
19

Sensor yazılımı versiyonları menshen.intruvert.com dan indirilirken doğru sensor modeli için indirmek ve
uygulamak önemlidir.
Bir üst modelin yazılımı ile sensor e üst modelin özelliklerini kazandırmak imkanı yoktur.
Önemli Nokta:
Yanlış modelin yazılımının sensor e yüklenmesi sensor e zarar verebilir.
Sensor yazılımı .jar uzantılı bir dosya şekilde indirilecektir.
Şekil 30
Bu dosyanın içeriği uzantısı .zip ile değiştirilerek bir klasöre çıkarılabilir.
Şekil 31
20

Şekil 32
Arşiv den çıkarılan dosyaların arasında uzantısız yazılım dosyası tftp sunucu yazılımında belirlenen root klasöründe
kopyalanır.
Şekil 33
Tftp sunucunun çalıştığından emin olunduktan sonra sensor'e ssh ile tekrar bağlanılır. Load image komutu ile
sensor yazılım dosyasını tftp sunucusundan çekip uygular. İşlem bittikten sonra cihaz Reboot komutu ile yeniden
başlatılır.
Komut:
Loadimage
Örnek:
Loadimage sensorsw_3000_51590
21

Sensor ile Manager’ın İrtibatlandırılması
Sensor ile manager irtibatlandırılmadan önce tüm bağlantıları sensor başlatmaktadır. Manager'ın sürekli olarak
sensor arama gibi bir davranışı yoktur. Genel adımlar olarak Manager da sensor ün eklenmesi ve secret key'in
belirlenmesinden sonra bu key ile sensor'de irtibatlandırma işlemi başlatılır. Sensor üzerinden işlemin sonucu takip
edilir.
Manager a Sensor’ün eklenmesi
Manager a login olunur ve aşağıdaki resim de görüldüğü gibi sırasıyla “Configure” , “Device List” ve “Sensors “
tabına basılarak sensor ekleme ekranına ulaşılır. Add butonuna basılır.
Şekil 34
Sensor ekleme ekranında sensor ün ismi ve tipi belirtilir. Sensor ismi, sensor e verilen ismin aynısı olmalıdır(büyükküçük
harf duyarlı). Shared secret key sensor ile manager arasındaki irtibatı sağlayacak anahtar kelimedir. Büyükküçük
harf duyarlıdır ve sensor e girileceği için not edilmelidir. Gerekli alanlar doldurulduktan sonra “Submit”
butonu ile onaylanır.
22

Şekil 35
Sorunsuz eklenmesi durumda aşağıdaki görüntü gelecektir.
Şekil 36
23

Sensor Üzerinden İşlemin Başlatılması
Sensor e ssh ile bağlanıldıktan sonra set sensor sharedsecretkey komutu ile irtibatlandırma başlatılır.
Komut:
Set sensor sharedsecretkey
Örnek:
Set sensor sharedsecretkey yazılıp enter a basılılr
İki kez arka arkaya manager'da girilen key buraya girilir. Anahtar girildikten sonra status komutu ile
irtibatlandırmanın durumu kontrol edilir.
Aşağıdaki resim de komut çalıştırıldıktan hemen sonraki “status” çıktısı gözükmekte. Installation Status kısmında
“Sensor Install in progress” yazısı işlemin devam ettiğini gösteriyor.
Şekil 37
24

Bir süre sonra tekrar status komutu çalıştırıldığında Trust Established kısmında “Yes” gözükecektir. Yes görünmesi
durumunda sensor ile manager arasındaki güvenli iletişim kurulmuş demektir.
Şekil 38
İrtibatlandırma işlemi sorunsuz bittiğinde Installation status de “Complete”ve channel ların hepsinde “up”
görünecektir. Bir süre sonra manager üzerinden eklenen sensor ün ayarlamaları yapılabilmesi için sahip olduğu
portlar ve policy kısmı açılacaktır.
Şekil 39
25

Temel Yapılandırma
Bu bölümde ürün ile ilgili en temel ayarlamaların nasıl yapıldığı ve genel işleme mantığından bahsedilecektir.
McAfee Network Securtiy Platform ile ilgili detaylı bir çok kullanım kılavuzuna mcafee.com internet sitesinden
üyelik gerektirmeden ücretsiz ulaşılabilir.
Politika ayarlamalarında temel mantık, politikaların rule setlerden oluştuğudur. İmzalar rule setleri oluştururken,
rule setlerde politikaları oluşturur. Bir atağın bloklanıp bloklanmayacağı policy kısmında belirtilir. Rule setler sadece
kontrol edilecek imzaları barındırır.
Rule Set Hazırlanması
Login olunduktan sonra sırası ile Configuration, IPS Settings, Advanced Policies ve Rule Set Editor e gelinir. Burada
genel bir rule set üzerinden yeni bir rule set yaratıla bilir. Bunun için Default Inline IPS rule seti üzerinde iken Clone
a basılır. Açılan pencereden istenilen değişiklikler default inline IPS rule setini baz alınarak yapılır.
Şekil 40
26

Clone a basıldıktan sonra gelen aşağıdaki ekranda “Rule Set Name” kısmına ismini yazılır. “Block Attacks
Recommended by McAfee for Blocking” işaretli gelecektir ve işaretli kalması faydalı olur. Bu işaret Mcafee'nin
bloklanmasını önerdiği atakların eklenmesi içindir.
Şekil 41
Commit Changes a basıldığında yaratılan yeni kural seti listeye eklenecektir. Bu dokümanda rule setler ve
politikalar üzerinde yapılacak detaylı değişiklikler yer almamaktadır.
Şekil 42
27

Politika Oluşturulması
Oluşturulan rule set i kullanarak yeni bir politika yaratmak için sırasıyla IPS Settings, Policies ve IPS Policy Editor
ekranına gelinir. Burada Add butonu ile yeni bir politika yaratılır.
Şekil 43
Add butonuna basıldıktan sonra açılan pencerede policy sekmesinde, politikanın adı, içeri ve dışarı çıkarken
uygulanacak rule setler ile ilgili ayarlamamlar yapılır. Oluşturulan genel Rule Set in her iki yönde de uygulanması
için önce “Apply Inbounda Rule Set” e basılır.
Şekil 44
28

Açılan pencereden yarattığımız Rule set seçilir ve ok butonu ile onaylanır.
Şekil 45
Dışarı çıkan paketler için uygulanacak rule set için “Apply Outbound Rule Set” butonuna basılır.
Şekil 46
29

Eğer içeri gelen paketlere uygulanan rule set ile aynı rule setin burada da uygulanmasını istiyor isek “Use Inbound
Rule Set of Exploit Attacks” seçeneği seçilir. Başka bir rule set isteniyorsa yukarıdaki seçenek ile seçilir. Inbound set
ile aynı set i seçmekteki avantaj hem inbound hemde outbound exploitleri tek yerden ayarlama imkanı tanımasıdır.
Eğer farklı seçilirse bir atağın hem içeri hemde dışarı çıkarken kesilmesi için iki taraftata ayarlama yapmak gerekir.
Şekil 47
İmzaların tetiklenmesi durumunda yapılacakların ayarlanması Exploit sekmesinden yapılır. Değiştirilmek istenen
protokol seçilir ve View/Edit butonuna basılır.
Şekil 48
30

Açılan pencerede imzaları tek tek ayarlamak ile beraber gruplar halinde beraber de ayarlanabilir. Bir grup imzayı
shift veya control tuşu ile seçip bulk edit e basılır.
Şekil 49
Açılan pencerede önce atakların Bulk edit kutularına basarak Enable edilmesi gerekir. Etkinleştirilmiş ve inline
pozisyonlandırılan bir IPS de blok edilmesi ayarlamaları bir sonraki 2 resimde görünmektedir.
Şekil 50
31

Ataklar etkinleştirildiğinde alt seçenekler açılır.
Şekil 51
32

Atakların bloklanması “Block Attacks(Drop Packets)” özelliğinin aktif olması gerekir.
Yapılan değişiklikler ok butonu ile kayıt edilir.
Şekil 52
Şekil 53
33

Yapılan değişiklikler listede görünür hale gelir ve Done butonu ile onaylanır.
Commit Changes ile politika değişikliği uygulanır.
Commit butonuna basılarak devam edilir.
Şekil 54
Şekil 55
34

Şekil 56
Sensor Port İkililerine Politika Uygulanması
Sıras ile eklenen IPS in bir port ikilisine ve oradan Scanning in altındaki IPS policy sekmesine basılır. Uygulanacak
politika menuden seçilir ve Apply butonuna basılır.
Şekil 57
35

Yapılan bu değişiklik sensor e yollanmadığı sürece etkili olmayacaktır. Bu yüzden Apply butonuna basıldıktan sonra
Configuration update yapılması gerektiği uyarısı gelir.
Şekil 58
Configuration update yapmak için update in yapılacağı sensor Device List den seçilir. Physical Sensor sekmesinden
Configuration update sekmesine gelinir. Örnek resimde sensor ile manager'ın irtibatı kesildiği için buton
çıkmamaktadır fakat bu ekranda update i elle başlatmak için çıkacak butona basılır.
Şekil 59
36

Özet
1. Gerekli Dosyalar İnternetten indirilir
2. Yönetim yazılımı kurulur
3. Sensor yazılımı güncellenir ve yapılandırılır
4. Yönetim ile Sensor arası bağlantı kurulur
5. Politikalar Ayarlanır.
Not
Dokümanda geçen dosya isimleri ve yazılım versiyonları yazım sırasında kullanılan versiyonlardır. Dokümandan
faydalanılmak istenildiğinde yeni versiyonlar çıkmış olabilir ve bazı ekran görüntüleri değişik görünebilir.
37