30 Haziran 2012 Cumartesi

McAfee Network Security Manager Part 4

Device List kısmında;



Device List kısmından yönettiğimiz IPS sensörlerimizin listesini görebilmekteyiz. Yeni bir sensor eklemek için New dememiz yeterlidir.


Yeni cihazımın adı,tipi,shared key bilgileri girilip Save denmelidir.



Herhangi bir değişiklik yapıldığında Configuration Update kısmında yapılan değişikliği seçip Update dememiz gerekmektedir. Böylece yapılan değişiklikler sensörlere uygulanacaktır.


Herhangi bir software update varsa bu alandan görebilmekteyiz. İstediğimiz software update dosyasını seçip Upgrade demeliyiz.


Failover çiftlerinin ayarları bu kısımdan yapılmaktadır.


Lisans yüklemelerini bu ekrandan yapabilmekteyiz. Import diyerek lisanslarımızı yüklüyoruz.


Import License File kısmında Browse diyip lisans dosyamızı gösterip Import diyoruz.


Remote Access kısmında sensöre SSH ile bağlandığımızda çıkacak olan yazıyı Logon Banner kısmından ayarlayabilmekteyiz.


TACACS+ kullanıcaksak ayarlarını bu ekrandan yapmaktayız. Sunucu ip adresini yazıp enable etmeliyiz.


SNMP v3 ayarlarımızı SNMPv3 Users kısmından yapmaktayız. Yeni bir user oluşturmak için New diyerek işlemimizi yapabiliriz.


SNMPv3 için kullanıcı adı Authentication Key ve Private Key bilgilerini oluşturup Save diyoruz.


Konfigürasyon ve istatistik bilgilerini SNMPv3 ile alabilmek için buraya ilgili cihazların ip adreslerinin girilmesi gerekmektedir. Buraya girilen adreslere izin verilmiş olacaktır.


Performance Monitoring kısmında sistem ile ilgili belirlediğimiz threshold değerlerimizi Summary ekranında görebilmekteyiz.


Performance Monitoring için nelerin izlenip izlenmeyeceğini bu alandan seçebilmekteyiz.


Metrik belirleme işlemlerini Metrics kısmından yapmaktayız. CPU Utilization ve Throughput Utilization aktif etme işlemleri yapabilmekteyiz.


Threshold kısmında istediğimiz eşik değerlerimizi belirleyip sistemin bu eşik değerlerine ulaştığında alarm oluşturmasını ayarlayabilmekteyiz.


Display kısmında TCP/UDP Flow Utilization ve Throughput Utilization için gerekli ayarlar yapılıp Save diyoruz.


Packet Capturing Summary kısmında paket yakalama ile ilgili özet bilgilerimizi görebilmekteyiz.


Capture Rule Templates kısmından paket yakalama işlemlerimizi ayarlayaiblmekteyiz. New diyerek


Yukarıdak ekrandaki bilgileri doldurup Save diyoruz.


Proxy Server ayarlarımızı buradan yapabilmekteyiz.


DNS Server ayarlarımızı bu kısımdan yapabilmekteyiz.


Timezone tanımımızı buradan yapabilmekteyiz. Turkey seçip Save diyoruz.

IPS Settings


IPS Settings Policies>IPS Policies kısmında IPS politikalarımızı görebilmekteyiz. İstediğimiz politika üzerine tıklayıp Clone alma,görüntüleme ve konfigürasyon değişikliği yapabilme işlemlerini yapabilmekteyiz. Mevcut politikaları silme işleminide yapabilmekteyiz. New diyerek yeni bir politika oluşturabilmekteyiz.


Default IPS Policy tıkladığımızda yukarıdaki ekranda görüleceği üzere bütün imzalar karşımıza gelecektir. Herhangi bir imzada işlem yapmak istiyorsak üzerine tıklamamız yeterlidir. Yada attack name e göre arama yaparak ilgilendiğimiz imzayı bulabiliriz.


Herhangi bir atak imzasının üzerine tıkladığımızda bize konfigürasyon arayüzü açılacaktır. Atak ile ilgili olarak atağı aktif etme yada pasif etme işlemleri,seviye ayarı, Atak sensor üzerinde tesbit edildiğinde Alarmı NSM e,mail yada syslog olarak gönderilmesi işlemleri yapılabilir. Attack ile ilgili olarak aksiyonlarımızda blocklama yada TCP reset gönderilmesi ayarlarıyla karantinaya alınması ayarlarını yine bu ekrandan yapabilmekteyiz. Logging kısmından ise ilgili atak oluştuğundaki trafiğin bir bölümünün kayıt altına alınması sağlanabilmektedir.
Yukarıdaki ekranda OK dediğimizde;


Yapılan değişiklikler ile ilgili özet bilgi ekranı karşımıza gelecektir. Atak enable edilmiş,Manager a alert gönderilmesi ayarlanmış,Email ve Syslog gönderilmesi aktif edilmiş ve trafiğin bloklanması ayarlanmıştır.


Keşif politikalarını buradan ekleme silme ve editleme işlemlerini yapabilmekteyiz.


Default Reconnaissance Policy ye baktığımızda;


Reconnaissance ataklar için imzalar karşımızdadır. İstediğimizi seçip işlemlerimizi yapıyoruz.


Firewall Policies kısmından firewall politikalarımızı yazabiliyoruz. New diyerek yeni bir politika oluşturalım.


Politikamıza bir isim ve açıklama yazıp Access Rules tıklayalım.


Filter kısmında Insert Above diyip otomatik bir kural oluşturalım. Sonra Source,Destination,Application, Response,Effective Time ve Direction ayarlarını yapalım.


Source kısmına tıkladığımızda yukarıdaki gibi bir ekran gelmektedir. İster yeni bir obje oluşturabiliriz. İstersekte mevcut objeleri kullanabiliriz.


Application kısmında kuralımızı hangi uygulama için yazacaksak seçebilmekteyiz yada yeni bir uygulama oluşturabilmekteyiz. New diyerek yeni bir uygulama oluşturabiliriz.


Böylece yeni bir uygulama grubu oluşturabilmekteyiz.


Response kısmında Inspect,Drop,Deny ve Ignore aksiyonları alabilmekteyiz.


Effective time olarak çalışma saatleri,çalışma saatleri dışı yada tüm zamanlar için kural oluşturabilmekteyiz. Yada New diyerek kendimize özel zaman dilimleri tanımlayabilmekteyiz.


Belirli zaman aralığı ayarlamalarını buradan yapabilmekteyiz. Gerekli ayarları yapıp Save diyoruz.


Connection Limiting Policies kısmından ise bağlantılara limit koyabilmemizi mümkün kılmaktadır. New diyerek yeni bir limit politikası oluşturalım.


Limit kuralımıza bir isim verip Connection Limiting Rules tıklayalım.


Insert Above tıklayıp kuralımızı oluşturalım.


Threshold Rate olarak saniyedeki bağlantı sayısını kısıtlayabilmekteyiz.


Transport Protocol olarak TCP , UDP,ICMP yada hem TCP hem UDP seçenekleri mevcuttur.


Limit kuralımızda Response olarak Alert Only,Alert& Drop,Alert&Deny , Alert & Quarantine seçenekleri bulunmaktadır. Bu tarz bir kısıtlama kuralını aktif edeceksek öncelikle Alert Only seçip belli bir süre izleme yapılmalı ondan sonra Drop yada Deny olarak ayar değiştirilmelidir. Aksi halde ciddi erişim sıkıntılarına sebep olunabilir. Sistemi koruyalım derken hiç erişilemez duruma getirmeyelim J

Sistemin anlatılması işlemleri Part5 ile devam edecektir.

Hiç yorum yok:

Yorum Gönder