IntruShield 3.1 Serisi Yeni Ozellikler

McAfee IntruShield saldiri tespit ve engelleme sistemi, sensor ve yonetim yazilimlarinin 3.1 surumu serisini duyurdu. Bir grup IntruShield manager ve sensor’u bu yeni surume gecirebilmek icin incelemeye basladim.

Yeni Gelen Ozellikler
IntruShield’in, daha onceki 1.9.x ve 2.1.x serisinden farkli ozellikleri

  • Manager Disaster Recovery (MDR): 2. bir IntruShield Manager yaziliminin kurulup kullanilabilmesine olanak sagliyor. Bu ozellik sayesinde, 2. bir IntruShieldyonetim yazilimi fail-over ve disaster recovery icin kurulup kullanilabilir. Active/Standby modunda calisiyor. Bir sensor iki manager’la da baglanti halinde, ancak loglari primary manager’a gonderiyor. Secondary manager, periyodik olarak primary manager’dan konfigurasyon bilgisini aliyor, ancak log ve alert bilgisini senkronize etmiyorlar. Bu islem alert archival mekanizmasi ile manuel olarak yapilabilir.
  • Vulnerability Assessment (VA): FoundScan ve Nessus guvenlik aciklari tarama yazilimlarinin sonuclarini IntruShield’a import edebilmek mumkun hale gelmis. Bu islem, uretilen alarmlarin onceliklendirilmesi ve etkisinin daha rahat incelenmesini saglayacaktir. Foundstone’u almasinin ardindan, McAfee, ISS‘te daha onceden olan bu ozelligi kendisine eklemis.
  • The Global Attack Response Editor (GARE): Bir saldiri ile karsilasildiginda ne yapilmasi gerektigi, yani response, (saldiri paketini engelle, TCP RST paketi gonder vb.) politikalarda belirtilmektedir. Bir saldiri imzasi icin ayarlanmis olan response’u degistirmek icin bu saldirinin bulundugu politikaya gidip degistirmek gerekir. GARE ozelligi ile, politikalara tek tek girip degisiklik yapmaya gerek kalmadan, bir kerede, herhangi bir saldiri imzasinin response ayarini degistirerek tum politikalarda bu sekilde aktif olmasini saglamak mumkun oluyor.
  • SYN Cookie Proxy Ozelligi: Servis kullanimini engelleme (DoS) saldirilarina karsi eklenen bu ozellik, bir sunucu ile olan baglantilari IntruShield’in karsilayarak, sadece gecerli baglantilarin sunucuya iletilmesini saglamakta. Bu ozellik firewall yazilimlarinda da mevcut.
  • IPv6 Trafigi Inceleme Destegi: Daha onceden bu IP surumundeki paketler icerigine bakilmadan iletiliyordu.
  • ACL Logging: 2.1 serisi ile gelen access-list ozelligine, 3.1 serisinde loglama olanagi eklenmis. Sensor, access-list loglarini bir syslog sunucusuna gonderebiliyor.
  • Alert Viewer Yenilikleri: Saldirilarla ilgili alarmlari gormemizi saglayan alert viewer’a gelen yeni ozelliklerden bazilari yapilan islemleri oldukca kolaylastiracak.
    • Herhangi bir alarma sag tusla tiklayip, bu alarmin oldugu politikayi degistirmek artik mumkun. Bu sayede alarmin response ayarlarini degistirebilir, veya alert filter yazabilirsiniz. Alert filter, haric tutma(exclude) islemleri icin kullaniliyor.
    • Tools menusune “update sensor configuration” kisayolu eklenmis. Degistirilen politikanin sensore uygulanmasi gerekiyorsa, bu kisayol kullanilabilir.
  • RADIUS/LDAP/TACACS+ Entegrasyonu: IntruShield Manager’a girilirken kullanilan kimlik dogrulama islemi, harici bir RADIUS veya LDAP(Or: Sun One’s Directory Server, Microsoft Active Directory) sunucusu kullanilarak yapilabiliyor. Sensor tarafindaki authentication’da ise TACACS+ kullanilabiliyor.
  • IntruShield Sensor SNMP Destegi: Sensorun SNMP ile izlenebilmesi saglanmis. Sadece read-only SNMP erisimi var.
  • Windows 2003 Destegi: Sonunda, McAfee IntruShield Manager Windows 2003 uzerinde desteklenir hale gelmis. Yani manager yazilimi Windows 2003 isletim sistemine artik kurulabilir. (Eski surumlerini test ortamlarinda problemsiz calistirmistim)

Eklenen diger ozellikler arasinda; kullanim kolayliklari, cesitli arabirim degisiklikleri, uretilen alarmlarin SNMP ile gonderilebilmesi (trap), manager arabiriminde performans artisi, sensor saldiri tespit yeteneginin artisi, manager’da saklanan paket loglarinin encrypt edilebilmesi, sensor tarafindan bilinen protokollerdeki artis vb. sayilabilir.
Manager client icin artik JRE 1.5.0_04(Java Runtime Environment) gereksinimi bulunuyor. Daha onceden JRE 1.3.x gerekiyordu.

Umarim upgrade ve yeni kurulumlar problemsiz gecer.

IntruShield Manager Password Recovery

McAfee IntruShield urununun yonetim yaziliminin sifresinin unutulmasi durumunda, MySQL uzerinden sifreyi orjinal haline dondurebilmek mumkun.

Bunu yapabilmek icin, IntruShield manager yaziliminin kurulu oldugu sunucuda MySQL client yazilimini kullanarak (Or: komut satirinda “c:\mysql\bin\mysql.exe -u root -p” ile) asagidaki SQL sorgusunu calistirdiktan sonra, sifre eski haline gelecektir.
username: admin
password: admin123

— buradan kesin ——–
use lf;
update iv_usercredential SET crval=’3304b042e5d8426e5f503e58723cd931′ WHERE uuid=1;
quit;
— buradan kesin ——–

Bunun IntruShield manager 1.9.x ve 2.1.x serilerinde problemsiz calistigini soyleyebilirim.

IntruShield yonetimi icin uzun bir suredir 1.9.x serisi kullanilmaktaydi. 2.1.x serisinin kullanilabilir surumlerinin cikmasinin ardindan, 3.1 serisi hic beklemedigim bir hizla cikti.
Bu seriyi ilerleyen gunlerde test edip deploy ettikten sonra tecrubelerimi paylasacagim.