McAfee NSP Kurulum Dokümanı - Barikat İnternet Güvenliği
McAfee NSP Kurulum Dokümanı - Barikat İnternet Güvenliği
McAfee NSP Kurulum Dokümanı - Barikat İnternet Güvenliği
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
<strong>McAfee</strong> Network Security Platform <strong>Kurulum</strong>u ve ilk yapılandırmanın<br />
yapılması<br />
<strong>McAfee</strong> <strong>NSP</strong> <strong>Kurulum</strong> <strong>Dokümanı</strong><br />
<strong>McAfee</strong> Network Security Platform <strong>Kurulum</strong>u ve ilk yapılandırmanın yapılması<br />
Amaç<br />
Bu dokümanda <strong>McAfee</strong> Network Security Platform, <strong>McAfee</strong> Saldırı Önleme Sistemi’nin temel bileşenleri ,<br />
kurulumun nasıl yapılacağı ve ilk yapılandırma anlatılmaktadır.<br />
Künye<br />
Başlık <strong>McAfee</strong> IPS <strong>Kurulum</strong><br />
Hazırlayan <strong>Barikat</strong><br />
Tarih 07/2010<br />
Sürüm 1.1<br />
İlgili Ürünler <strong>McAfee</strong>/<strong>NSP</strong><br />
Anahtar Kelimeler IPS,<strong>Kurulum</strong>,<br />
İlgili Sorular <strong>McAfee</strong> IPS <strong>Kurulum</strong>u nasıl yapılır?<br />
Tür <strong>Kurulum</strong><br />
<strong>Barikat</strong> <strong>İnternet</strong> <strong>Güvenliği</strong> Bilişim Tic.Ltd.Şti. © 2010 Tüm Hakları Saklıdır
<strong>McAfee</strong> <strong>NSP</strong> <strong>Kurulum</strong> <strong>Dokümanı</strong><br />
<strong>McAfee</strong> Network Security Platform <strong>Kurulum</strong>u ve ilk yapılandırmanın yapılması<br />
İçindekiler<br />
<strong>McAfee</strong> Network Security Platform <strong>Kurulum</strong>u ve ilk yapılandırmanın yapılması .......................................................... 1<br />
Amaç .............................................................................................................................................................................. 1<br />
Gerekli Dosyaların İndirilmesi ........................................................................................................................................ 3<br />
Update Server ............................................................................................................................................................ 3<br />
<strong>Kurulum</strong> ......................................................................................................................................................................... 5<br />
Manager <strong>Kurulum</strong>u .................................................................................................................................................... 5<br />
Lisans Dosyasının Eklenmesi .................................................................................................................................... 13<br />
Manager a Giriş Yapılması ....................................................................................................................................... 15<br />
Sensor’ün Hazırlanması ............................................................................................................................................... 18<br />
Management Port a IP verilmesi ............................................................................................................................. 18<br />
Sensor e İsim Verilmesi ............................................................................................................................................ 18<br />
Manager Ip Adresinin Ayarlanması .......................................................................................................................... 18<br />
TFTP Sunucu IP Adresinin Ayarlanması .................................................................................................................... 19<br />
Sensor versiyon yükseltilmesi .................................................................................................................................. 19<br />
Sensor ile Manager’ın İrtibatlandırılması..................................................................................................................... 22<br />
Manager a Sensor’ün eklenmesi ............................................................................................................................. 22<br />
Sensor Üzerinden İşlemin Başlatılması .................................................................................................................... 24<br />
Temel Yapılandırma ..................................................................................................................................................... 26<br />
Rule Set Hazırlanması .............................................................................................................................................. 26<br />
Politika Oluşturulması .............................................................................................................................................. 28<br />
Sensor Port İkililerine Politika Uygulanması ............................................................................................................ 35<br />
Özet ............................................................................................................................................................................. 37<br />
Not ............................................................................................................................................................................... 37<br />
2
Gerekli Dosyaların İndirilmesi<br />
Gerekli dosyalara erişim için <strong>NSP</strong> update server’a, https://menshen.intruvert.com a grant numarası ile<br />
bağlanılması gereklidir. Kullanıcı adı ‘da şifre kısmına da Grant numarası girilir. Buradan sensor versiyonuna uygun<br />
sensor yazılımı, en son çıkan imza setleri ve yönetim yazılımının istenen versiyonu indirilir.<br />
Grant Numarası <strong>McAfee</strong>’nin müşterilerine aldıkları ürün sonrası verdiği XXXXXX-NAI formatında bir<br />
numaradır. Bu numaralar müşteriye ve ürüne özgü olduğundan <strong>McAfee</strong> resmi sitesinden ürünlere erişilmek<br />
istendiğinde girilen Grant numarasına ait ürünler görüntülenir.<br />
Update Server<br />
Bir tarayıcı ile https://menshen.intruvert.com a gidilmeye çalışıldığında kullanıcı adı ve şifre isteyen,<br />
aşağıdaki görüntüde görünen ekran çıkar. Bu iki boşluğa grant numarasının tam hali yazılır. Onaylandığında eğer<br />
erişim gerçekleşirse bir alttaki görüntüde görünen şekilde 3 menü gelecektir.<br />
Şekil 1<br />
3
Şekil 2<br />
Şekil 3<br />
4
<strong>Kurulum</strong><br />
Manager <strong>Kurulum</strong>u<br />
Intruvert update sitesinden manager yazılımı indirilir.<br />
Şekil 4<br />
İndirilen zip bir klasöre çıkarıldığında çalıştırılabilir kurulum dosyası elde edilecektir.<br />
Şekil 5<br />
5
<strong>Kurulum</strong> dosyası çalıştırılır. Alttaki görüntüde görünen kurulum penceresi açılır ve Next butonu ile devam edilir.<br />
Lisans şartları kabul edilir ve Next e basılır.<br />
Şekil 6<br />
Şekil 7<br />
6
Network Security Manager seçilir ve Next e basılır.<br />
Kurulacak yol seçilir ve Next e basılır.<br />
Şekil 8<br />
Şekil 9<br />
7
Ürün ikonları ile ilgili ayarlamalar yapılır ve Next e basılır.<br />
Şekil 10<br />
Database Name bölümüne kullanılacak veritabanı ismi, Database User bölümüne oluşturulacak veritabanı<br />
kullanıcısı ve Database Password bölümüne bu kullanıcı için şifre girilir. En altta MYSQL veritabanı için kurulum yolu<br />
belirlenir ve Next e basılır.<br />
Şekil 11<br />
8
Continue ile onaylanır.<br />
Şekil 12<br />
MYSQL veritabanı için Root kullanıcı şifresi girilir. Girilen şifre kaybedilmemelidir, manager upgrade edilirken<br />
sorulacaktır<br />
.<br />
Şekil 13<br />
9
Memory ayarlamaları buradan yapılır. Manager kurulumundan önce gerekli donanım özellikleri ürün dokümanların<br />
dan edinilmeli ve buna uygun sunucu temin edilmelidir. Tavsiye edilen ayarlamalar kabul edilebilir.<br />
Bu ekranda da tavsiye edilen ayarlar kabul edilebilir.<br />
Şekil 14<br />
Şekil 15<br />
10
Eğer sunucunun üzerinde birden fazla Network ara yüzü bulunmakta ise “Use a Dedicated Interface” ayarı çıkar.<br />
Sensor ile Manager arasındaki haberleşmenin bu işe adanmış bir ara yüzden yapılması için ara yüzün ip adresi<br />
verilir.<br />
Install butonu ile kurulum başlatılır.<br />
Şekil 16<br />
Şekil 17<br />
11
Done butonu ile bitirilir.<br />
Şekil 18<br />
12
Lisans Dosyasının Eklenmesi<br />
Manager için lisans dosyası olan IntruShieldLicense.jar dosyası aşağıdaki adımlarla manager a eklenmelidir. Https<br />
ile localhost a gidildiğinde Lisans tipinin unknown olduğu görülür. Lisans dosyasını elde etmek için<br />
licensing@mcafee.com ‘a Grant numarasını da bildirerek lisans dosyası için mail atılır.<br />
Network Security Platform un servisleri durdurulur.<br />
Şekil 19<br />
Şekil 20<br />
13
Aşağıdaki görüntüde görünen klasör yoluna gidilir. Eğer başka bir sürücüye veya yol a kurulmuş ise kurulum klasörü<br />
içinden sırasıyla App ve Config klasörü açılır.<br />
Şekil 21<br />
IntruShieldLicense.jar dosyası bu klasör e kopyalanır. Dosyanın isminin değiştirilmemesi gerekmektedir. Eğer başka<br />
bir isimde ise büyük ve küçük harflere dikkat edilerek adı değiştirilir.<br />
Şekil 22<br />
14
Tekrar servisler başlatıldıktan sonra Network Security Manager ikonuna start dan basarak veya bir tarayıcı ile<br />
localhost a https ile gidilerek login ekranı getirilir. Lisans dosyasının doğru bir şekilde gösterildiğinden emin olmak<br />
için resimde okla gösterilen bölüm kontrol edilir. Burada eklenen lisans çeşidi görülmelidir.<br />
Şekil 23<br />
Manager a Giriş Yapılması<br />
Manager lisansı eklenip kontrol edildikten sonra varsayılan kullanıcı adı (admin) ve şifre (admin123) ile giriş yapılır.<br />
Web ara yüzü pop-up lar ile çalıştığından kullanılan tarayıcı üzerinde bulunan pop-up engelleme özelliği ve<br />
eklentileri kapatılmalıdır. Manager yazılımı java ile yazıldığından eğer istemci cihazda java runtime'ı yüklü değil ise<br />
aşağıdaki ekran da göründüğü şekilde manager java'nın yüklenmesini ister. Install butonu ile yükleme başlatılır.<br />
Şekil 24<br />
15
Java yükleme adımları talimatlara göre devam ettirilir.<br />
Şekil 25<br />
Java yüklendikten sonra Manager java applet'leri çalıştırtmak için gönderir ve aşağıdaki uyarı ile karşılaşılır. “Always<br />
trust content from this publisher” seçeneği seçilerek onaylanır ise bir daha aynı istemci üzerinde uyarı olmaksızın<br />
çalışacaktır.<br />
Şekil 26<br />
16
Yukarıdaki adımda bahsedildiği gibi bir onaylama ekranı daha çıkacaktır.<br />
Şekil 27<br />
Manager sorunsuz bir şekilde açıldığında aşağıdaki ekran görüntüsü görülür.<br />
Şekil 28<br />
17
Sensor’ün Hazırlanması<br />
Management Port a IP verilmesi<br />
Sensor management portunun IP adresi bilinmiyorsa öncelikle console portundan seri bağlantı kurularak sensor<br />
management port ip si ayarlanır.<br />
Sensor e login olmak için varsayılan kullanıcı ad (admin) ve şifresi (admin123)kullanılır.<br />
Login olunduktan sonra aşağıdaki şablon a uygun şekilde management port una ip verilir.<br />
set sensor ip X.X.X.X <br />
Örnek<br />
Set sensor ip 192.168.250.10 255.255.255.0<br />
Management portunun ip değişikliğinin aktif olabilmesi için reboot gerekecektir. Reboot komutu ile<br />
sensor yeniden başlatılır ve artık verilen ip den SSH ile erişim sağlanabilir.<br />
Sensor e İsim Verilmesi<br />
Sensor e verilecek isim manager'da kullanılacağı için verilecek isim dikkatli seçilmelidir. Seçilecek isim büyük-küçük<br />
harf duyarlı olacaktır.<br />
Komut:<br />
Set sensor name <br />
Örnek:<br />
Set sensor name IPS-Ornek<br />
Manager IP Adresinin Ayarlanması<br />
Sensor ün manager olarak erişeceği IP 'nin ayarlanması gerekir. Bu IP manager'ın kurulduğu sunucunun ip adresidir.<br />
Eğer “Dedicated Interface” ayarlandı ise adanmış network ara yüzün IP si verilir.<br />
Komut:<br />
set manager ip X.X.X.X<br />
Örnek:<br />
Set manager ip 192.168.250.50<br />
Not: Manager eğer sensor ün subnet inde değil ise sensor e gateway de vermek gerekir<br />
Komut:<br />
set sensor gateway X.X.X.X<br />
18
Örnek:<br />
Set sensor gateway 192.168.250.1<br />
TFTP Sunucu IP Adresinin Ayarlanması<br />
Bu dokümanda anlatılan sensor yazılım yükseltilmesi tfpt sunucu aracılığı ile olacağı için sensor de tftp sunucunun<br />
IP adresinin bulunması gerekir. Aşağıdaki komut ile tftp server'ın bulunacağı cihazın ip adresi sensor e verilir. Bu<br />
görev için manager kullanılabilir. Eğer manager kullanılacaksa da tftp ayarlaması yapılmalıdır.<br />
Komut:<br />
set tftpserver ip X.X.X.X<br />
Örnek:<br />
set tftpserver ip 192.168.250.50<br />
Sensor versiyon yükseltilmesi<br />
Sensor temin edildiğinde üzerinde en son versiyon yazılım olmayabilir. Bu durumu kontrol etmek için sensor e ssh<br />
veya management IP adresi bilinmiyorsa seri kablo yardımı ile console portundan erişilir ve show komutu çalıştırılır.<br />
Burada görülen versiyon bilgisi menshen.intruvert de temin edilen modelin son versiyonu ile karşılaştırılır. Eğer<br />
daha üst bir versiyon var ise indirilir ve aşağıda anlatılan adımlar ile sensor versiyon yükseltilmesi yapılır.<br />
Bu görevi yapmak için birden fazla yol bulunması ile birlikte bu dokümanda TFTP server kullanarak komut<br />
satırından sensor versiyon yükseltilmesi anlatılacaktır. Diğer yöntemler için ürün dokümanlarından detaylı bilgi<br />
temin edilebilir.<br />
Şekil 29<br />
19
Sensor yazılımı versiyonları menshen.intruvert.com dan indirilirken doğru sensor modeli için indirmek ve<br />
uygulamak önemlidir.<br />
Bir üst modelin yazılımı ile sensor e üst modelin özelliklerini kazandırmak imkanı yoktur.<br />
Önemli Nokta:<br />
Yanlış modelin yazılımının sensor e yüklenmesi sensor e zarar verebilir.<br />
Sensor yazılımı .jar uzantılı bir dosya şekilde indirilecektir.<br />
Şekil 30<br />
Bu dosyanın içeriği uzantısı .zip ile değiştirilerek bir klasöre çıkarılabilir.<br />
Şekil 31<br />
20
Şekil 32<br />
Arşiv den çıkarılan dosyaların arasında uzantısız yazılım dosyası tftp sunucu yazılımında belirlenen root klasöründe<br />
kopyalanır.<br />
Şekil 33<br />
Tftp sunucunun çalıştığından emin olunduktan sonra sensor'e ssh ile tekrar bağlanılır. Load image komutu ile<br />
sensor yazılım dosyasını tftp sunucusundan çekip uygular. İşlem bittikten sonra cihaz Reboot komutu ile yeniden<br />
başlatılır.<br />
Komut:<br />
Loadimage <br />
Örnek:<br />
Loadimage sensorsw_3000_51590<br />
21
Sensor ile Manager’ın İrtibatlandırılması<br />
Sensor ile manager irtibatlandırılmadan önce tüm bağlantıları sensor başlatmaktadır. Manager'ın sürekli olarak<br />
sensor arama gibi bir davranışı yoktur. Genel adımlar olarak Manager da sensor ün eklenmesi ve secret key'in<br />
belirlenmesinden sonra bu key ile sensor'de irtibatlandırma işlemi başlatılır. Sensor üzerinden işlemin sonucu takip<br />
edilir.<br />
Manager a Sensor’ün eklenmesi<br />
Manager a login olunur ve aşağıdaki resim de görüldüğü gibi sırasıyla “Configure” , “Device List” ve “Sensors “<br />
tabına basılarak sensor ekleme ekranına ulaşılır. Add butonuna basılır.<br />
Şekil 34<br />
Sensor ekleme ekranında sensor ün ismi ve tipi belirtilir. Sensor ismi, sensor e verilen ismin aynısı olmalıdır(büyükküçük<br />
harf duyarlı). Shared secret key sensor ile manager arasındaki irtibatı sağlayacak anahtar kelimedir. Büyükküçük<br />
harf duyarlıdır ve sensor e girileceği için not edilmelidir. Gerekli alanlar doldurulduktan sonra “Submit”<br />
butonu ile onaylanır.<br />
22
Şekil 35<br />
Sorunsuz eklenmesi durumda aşağıdaki görüntü gelecektir.<br />
Şekil 36<br />
23
Sensor Üzerinden İşlemin Başlatılması<br />
Sensor e ssh ile bağlanıldıktan sonra set sensor sharedsecretkey komutu ile irtibatlandırma başlatılır.<br />
Komut:<br />
Set sensor sharedsecretkey<br />
Örnek:<br />
Set sensor sharedsecretkey yazılıp enter a basılılr<br />
İki kez arka arkaya manager'da girilen key buraya girilir. Anahtar girildikten sonra status komutu ile<br />
irtibatlandırmanın durumu kontrol edilir.<br />
Aşağıdaki resim de komut çalıştırıldıktan hemen sonraki “status” çıktısı gözükmekte. Installation Status kısmında<br />
“Sensor Install in progress” yazısı işlemin devam ettiğini gösteriyor.<br />
Şekil 37<br />
24
Bir süre sonra tekrar status komutu çalıştırıldığında Trust Established kısmında “Yes” gözükecektir. Yes görünmesi<br />
durumunda sensor ile manager arasındaki güvenli iletişim kurulmuş demektir.<br />
Şekil 38<br />
İrtibatlandırma işlemi sorunsuz bittiğinde Installation status de “Complete”ve channel ların hepsinde “up”<br />
görünecektir. Bir süre sonra manager üzerinden eklenen sensor ün ayarlamaları yapılabilmesi için sahip olduğu<br />
portlar ve policy kısmı açılacaktır.<br />
Şekil 39<br />
25
Temel Yapılandırma<br />
Bu bölümde ürün ile ilgili en temel ayarlamaların nasıl yapıldığı ve genel işleme mantığından bahsedilecektir.<br />
<strong>McAfee</strong> Network Securtiy Platform ile ilgili detaylı bir çok kullanım kılavuzuna mcafee.com internet sitesinden<br />
üyelik gerektirmeden ücretsiz ulaşılabilir.<br />
Politika ayarlamalarında temel mantık, politikaların rule setlerden oluştuğudur. İmzalar rule setleri oluştururken,<br />
rule setlerde politikaları oluşturur. Bir atağın bloklanıp bloklanmayacağı policy kısmında belirtilir. Rule setler sadece<br />
kontrol edilecek imzaları barındırır.<br />
Rule Set Hazırlanması<br />
Login olunduktan sonra sırası ile Configuration, IPS Settings, Advanced Policies ve Rule Set Editor e gelinir. Burada<br />
genel bir rule set üzerinden yeni bir rule set yaratıla bilir. Bunun için Default Inline IPS rule seti üzerinde iken Clone<br />
a basılır. Açılan pencereden istenilen değişiklikler default inline IPS rule setini baz alınarak yapılır.<br />
Şekil 40<br />
26
Clone a basıldıktan sonra gelen aşağıdaki ekranda “Rule Set Name” kısmına ismini yazılır. “Block Attacks<br />
Recommended by <strong>McAfee</strong> for Blocking” işaretli gelecektir ve işaretli kalması faydalı olur. Bu işaret Mcafee'nin<br />
bloklanmasını önerdiği atakların eklenmesi içindir.<br />
Şekil 41<br />
Commit Changes a basıldığında yaratılan yeni kural seti listeye eklenecektir. Bu dokümanda rule setler ve<br />
politikalar üzerinde yapılacak detaylı değişiklikler yer almamaktadır.<br />
Şekil 42<br />
27
Politika Oluşturulması<br />
Oluşturulan rule set i kullanarak yeni bir politika yaratmak için sırasıyla IPS Settings, Policies ve IPS Policy Editor<br />
ekranına gelinir. Burada Add butonu ile yeni bir politika yaratılır.<br />
Şekil 43<br />
Add butonuna basıldıktan sonra açılan pencerede policy sekmesinde, politikanın adı, içeri ve dışarı çıkarken<br />
uygulanacak rule setler ile ilgili ayarlamamlar yapılır. Oluşturulan genel Rule Set in her iki yönde de uygulanması<br />
için önce “Apply Inbounda Rule Set” e basılır.<br />
Şekil 44<br />
28
Açılan pencereden yarattığımız Rule set seçilir ve ok butonu ile onaylanır.<br />
Şekil 45<br />
Dışarı çıkan paketler için uygulanacak rule set için “Apply Outbound Rule Set” butonuna basılır.<br />
Şekil 46<br />
29
Eğer içeri gelen paketlere uygulanan rule set ile aynı rule setin burada da uygulanmasını istiyor isek “Use Inbound<br />
Rule Set of Exploit Attacks” seçeneği seçilir. Başka bir rule set isteniyorsa yukarıdaki seçenek ile seçilir. Inbound set<br />
ile aynı set i seçmekteki avantaj hem inbound hemde outbound exploitleri tek yerden ayarlama imkanı tanımasıdır.<br />
Eğer farklı seçilirse bir atağın hem içeri hemde dışarı çıkarken kesilmesi için iki taraftata ayarlama yapmak gerekir.<br />
Şekil 47<br />
İmzaların tetiklenmesi durumunda yapılacakların ayarlanması Exploit sekmesinden yapılır. Değiştirilmek istenen<br />
protokol seçilir ve View/Edit butonuna basılır.<br />
Şekil 48<br />
30
Açılan pencerede imzaları tek tek ayarlamak ile beraber gruplar halinde beraber de ayarlanabilir. Bir grup imzayı<br />
shift veya control tuşu ile seçip bulk edit e basılır.<br />
Şekil 49<br />
Açılan pencerede önce atakların Bulk edit kutularına basarak Enable edilmesi gerekir. Etkinleştirilmiş ve inline<br />
pozisyonlandırılan bir IPS de blok edilmesi ayarlamaları bir sonraki 2 resimde görünmektedir.<br />
Şekil 50<br />
31
Ataklar etkinleştirildiğinde alt seçenekler açılır.<br />
Şekil 51<br />
32
Atakların bloklanması “Block Attacks(Drop Packets)” özelliğinin aktif olması gerekir.<br />
Yapılan değişiklikler ok butonu ile kayıt edilir.<br />
Şekil 52<br />
Şekil 53<br />
33
Yapılan değişiklikler listede görünür hale gelir ve Done butonu ile onaylanır.<br />
Commit Changes ile politika değişikliği uygulanır.<br />
Commit butonuna basılarak devam edilir.<br />
Şekil 54<br />
Şekil 55<br />
34
Şekil 56<br />
Sensor Port İkililerine Politika Uygulanması<br />
Sıras ile eklenen IPS in bir port ikilisine ve oradan Scanning in altındaki IPS policy sekmesine basılır. Uygulanacak<br />
politika menuden seçilir ve Apply butonuna basılır.<br />
Şekil 57<br />
35
Yapılan bu değişiklik sensor e yollanmadığı sürece etkili olmayacaktır. Bu yüzden Apply butonuna basıldıktan sonra<br />
Configuration update yapılması gerektiği uyarısı gelir.<br />
Şekil 58<br />
Configuration update yapmak için update in yapılacağı sensor Device List den seçilir. Physical Sensor sekmesinden<br />
Configuration update sekmesine gelinir. Örnek resimde sensor ile manager'ın irtibatı kesildiği için buton<br />
çıkmamaktadır fakat bu ekranda update i elle başlatmak için çıkacak butona basılır.<br />
Şekil 59<br />
36
Özet<br />
1. Gerekli Dosyalar <strong>İnternet</strong>ten indirilir<br />
2. Yönetim yazılımı kurulur<br />
3. Sensor yazılımı güncellenir ve yapılandırılır<br />
4. Yönetim ile Sensor arası bağlantı kurulur<br />
5. Politikalar Ayarlanır.<br />
Not<br />
Dokümanda geçen dosya isimleri ve yazılım versiyonları yazım sırasında kullanılan versiyonlardır. Dokümandan<br />
faydalanılmak istenildiğinde yeni versiyonlar çıkmış olabilir ve bazı ekran görüntüleri değişik görünebilir.<br />
37