Mcafee Integrity Control
Merhaba bu makalemde Mcafee ürünü olan Mcafee integirty control uygulamasını anlatmaya çalışacağım. Uygulamadan biraz bahsetmek gerekirse Mcafee bu ürünü kritik sistemlerde kullanılmak üzere dizayn etmiştir. Sistemi lock down ederek White list ve Black list mantığıyla çalışmaktadır. Mcafee ePO üzerinden kontrol edilmektedir. Bildiğiniz gibi Mcafee uygulamaların hepsi ePO üzerinden yönetilmektedir. Uygulama 3 modülden oluşmaktadır.
· Application Control
· Change Control
· Integrity Control
Mcafee Integrity Control uygulamasını nerelerde kullanırız diye kendimize sorduğumuzda kritik sistemlerde kullanabiliriz yani antivirüs programını kullanamayacağımız sistemlere uygulayabiliriz örneğin Bankaların ATM’lerinde de kullanabiliriz. Biliyorsunuz ki ATM’lerde Windows XP işletim sistemi kullanılmaktadır. Windows 7 geçiş düşünülebilir belki ama sertifikasyon işlemleri olsun maliyet olsun hemen bir geçiş olmayabilir. Bu süre zarfında sistemlerimizi daha güvenliği hale getirebiliriz. Ayrıca point-of-service (POS) ve kiosklarda da kullanabiliriz. Sistem olarak yük getirmesini istemediğimiz durumlarda tercih edebiliriz.
Bu dönemlerde ATM’e yönelik trojanlar mevcut bunlardan bir tanesinden bahsetmek gerekirse Bolddie virüsü kullanıcıların şifrelerini çalmaya çalışsan ATM’in içindeki tüm paraları tek bir seferde çekmeye çalışan bir virüsden bahsediyoruz. Rusya merkezli olduğu tahmin ediliyor. Doğu avrupada da ortaya çıktığı tespit edilmiştir.
Evet sistemin bu kadar önemli olduğu bahsettikten sonra programdan bahsedelim. Kuruluş aşamasını geçiyorum. (Genellikle Next’leyip geçiyoruz J) Uygulama için gerekli olan sistem gereksinimleri aşağıdaki gibidir.
Bir uygulama sunucusu ve Bir Database sunucusu olması gerekmektedir. Uygulama sunucusu ve Database sunucu kurulumlarında olması gereken bazı maddeler vardır Bunlar aşağıdaki gibidir.
ePO Server için aşağıdaki gereksinimlerin yanında dikkat edilmesi gerek hususlar şunlardır:
· Windows domain yapısına üye edilmiş sunucu olmalıdır.
· Microsoft. NET Framework 2.0 veya üzeri yüklenmiş olmalıdır.
· Microsoft tarafından tavsiye edilen Windows güncellemeleri yapılmış olmalıdır.
· İşletim sistemi kurulumunda bölgesel dil seçeneği mutlaka İngilizce ayarlanmalıdır.
· Veri tabanı sunucusu “Database collation” “ English default: SQL_Latin1_General_Cp1_CI_AS” olmalıdır.
· Veri tabanı sunucu üzerinde Nested triggers aktif edilmelidir.
Ürün |
Yazılım |
CPU |
RAM |
DISK |
NIC |
ePolicy Orchestrator (Yönetim sunucusu)
|
Windows Server 2012 English 64 bit
Windows Server 2008 English Service Pack 2 ve üzeri 64 bit Windws Server 2008 R2 English 64 bit
Microsoft SQL Server 2008 R2 32 ve 64 bit Service pack 1/2/R2 Enterprise/Standard/Express Edition, Workgroup Edition
Microsoft SQL Server 2012 32 ve 64 bit Enterprise Edition, Express Edition, Standard Edition, Business Intelligence Edition
Atanmış sunucu olmalıdır.
Statik IP
|
En az 2.66 Ghz 64 bit 4 çekirdekli |
En az 8 GB |
80 GB (OS)
120 GB (Veri) |
1 |
McAfee Agent
|
McAfee Agent uygulaması Windows/Linux/MAC/HP-UX/IBM AIX işletim sistemine sahip istemci ve sunucular üzerinde çalışır.
Desteklenen işletim sistemi listesinin detayları link içerisinde bulunmaktadır. http://kc.mcafee.com/corporate/index?page=content&id=KB51573 |
500 Mhz |
256 MB |
32 MB |
1 |
Device Control
|
http://kc.mcafee.com/corporate/index?page=content&id=KB68147
|
Pentium III, 1 GHz veya üstü |
1 GB |
En az 200 MB
|
1 |
Application Control |
https://kc.mcafee.com/corporate/index?page=content&id=KB73341 |
Single/Multiple Intel Pentium CPU |
512 MB |
En az 100 MB |
1 |
Change Control |
https://kc.mcafee.com/corporate/index?page=content&id=KB76459 |
Single/Multiple Intel Pentium CPU |
512 MB |
En az 100 MB |
1 |
Integrity Control |
Desteklenen platform ve yazılım detayları Application Control ve Change Control modülleri ile aynıdır. |
Single/Multiple Intel Pentium CPU |
512 MB |
En az 100 MB |
1 |
Programın kullanıdığı portlar aşağıdaki gibidir.
Agent server Communication port |
80 |
Agent server Communication secure port |
443 |
Agent wake-up Communication port |
8081 |
Agent broadcast Communication port |
8082 |
Console to application server Communication port |
8443 |
Client to server authenticated Communication port |
8444 |
SQL Server Tcp Port |
1443 |
Uygulamanın topolojisi aşağıdaki gibidir.
MCAFEE INTEGRITY CONTROL – CLIENTKURULUM AŞAMALARI
Bu kadar teknik bilgiden sonra uygulamanın görsel olarak anlatımına başlayabiliriz. Kurulum yapıldıktan sonra web üzerinden erişim sağlayabiliyoruz. Erişim linki örneği aşağıdaki gibidir.
https://Servername&ip_adress:8443/
Aşağıdaki resimde giriş ekranı görülmektedir. AD username ve password veya local username ile giriş yapılabilir.
Giriş yapıldıktan sonra dashboard aşağıdaki gibidir. Aşağıdaki tablarda System Tree, Reports, Policy Katalog, Solidcore Events görmekteyiz. Zaten en çok bu tabları kullanacağız. Dilerseniz bu tabları teker teker inceleyelim
System Tree: Yüklü clientların olduğu yer olarak tanımlayabiliriz. Clientların durumunu ve tasklarını gönderebileceğimiz alandır. Aslında işimizin birçoğu bu ekran üzerinden gerçekleşmektedir.
Queries & Reports: Adından da anlaşılacağı gibi scheduled taskların ve raporların ayarlanabildiği alan olarak özetleyebiliriz.
Policy Catalog: Uygulamamızın politikalarının uygulandığı ve hazırlandığı alandır. Product bölümünde ise modüllere göre politika uygulayabiliriz. Modüllere göre nasıl bir politika yapılır. Açıklamaları aşağıda belirtilmiştir.
Application Control: Client üzerindeki uygulama kısıtlaması yapmak istediğimizde Application control menüsünden işlem yapmak gerekmektedir. Örn: c:\notepad.exe çalışmasın gibi
Change Control: Client üzerinde regedit değerlerinin ve sistem dosyalarının modify edilmesi engellemek için Change control menüsünden işlem yapmak gerekmektedir.
Integirty Monitor: Client üzerindeki yasaklanmış politikalarda erişim olduğunda alarm oluşacaktır. Bu işlem içinde Integrity monitör menüsünden yapılandırmamız gerekmektedir.
DLP: Data Loss Prevention modülü aktif ise bu menüden işlem yapıyoruz. Biz bu sistemde usb yasaklama için kullanıyor olacağız.
Mcafee Agent: Mcafee agent server ile client arasındaki bağlantıyı kurmak için ihtiyacımız olacaktır. Kurulumdan sonra server ile client arasındaki bağlantı süresini belirleyebiliyoruz.
VirusScan Enterprise: Mcafee antivirüs modülü ile ilgili politikalar belirlemek için bu alan kullanılmaktadır. Örn: X sunucunun d: driver’ini tarama gibi veya her hafta su zamanda tarama yap gibi ayarlanabilir.
Solidcore General: Solidcore üzerindeki password değişikliğinin yapıldı alandır.
Solidcore Events: Uygulamamızın clientlar üzerindeki events’lerını görmek için ve bu eventlara göre aksiyon almamıza yarayan alandır. 4 menüyü incelediğimizde politikalar kısmından sonra en çok kullanacağımız alan olarak değerlendirebiliriz.
Görsel olarak basic anlatımı bu şekildeydi. Şimdi aşağıda client’a ilk kurulum nasıl yapılır anlatmaya çalışacağım ve biraz daha derine inceleme yapacağız.
Kurulum yapmak istediğimiz makinaya öncelikle mcafee agent’i yüklememiz gerekmektedir. Agent’a ulaşmak için uygulamanın kurulu olduğu sunucuda şu dizinden ulaşabiliriz. “Kurulu olan dizin:\McAfee\ePolicy Orchestrator\DB\Software\Current\EPOAGENT3000\Install\0409\FramePkg.exe” Restart gerektirmeyen bir işlem olduğundan kolaylıkla uygulanabilir. Bu kurulum server ile client arasındaki iletişimi sağlamaktadır. System tree alanında gözükecektir.
Sonrasında tasklardan ilgili agentları yüklememiz gerekecektir. Aşağıdaki resimde solidcore aktif hale gelmesi için task başlatmayı göstermektedir. Actions < Agent < Modify Tasks on a Single System
Bir sonraki ekrana New Task diyerek aşağıdaki ekran karşımıza gelmektedir. Bu ekranda Mcafee Agent < Product Deployment < Solidcore Install seçerek ilgili kompenantların yüklenmesi için komut göndermiş oluyoruz. Bu işlemi yaptıktan sonra restart etmemiz gerekmektedir.
Restart sonrasında bir task daha göndermemiz gerekiyor. Bu task solidcore agent’ını enable hale getirerek sistemi lock down yapacaktır.
Sistem üzerinde client’a kurulum bu şekilde yapabiliyoruz. Asıl iş bu zamandan sonra başlayacaktır. Client üzerinde politikaları belirlememiz gerekiyor. Nasıl belirlenir. Aşağıda bunları inceleyeceğiz. Client üzerinde iyi bir analiz yaparak sistem kesintilerin önüne geçebiliriz.
MCAFEE INTEGRITY CONTROL ePO ÜZERİNDEN POLICY UYGULANMASI
Uygulamamız üzerinden client’a bazı politikalar gönderelim ve politikaları inceleyelim. Policy Catalog kısmına tıklayıp mcafee’in default’ta gelen politikaları görebiliriz. Ve kendimize ait politika oluşturabiliriz. Daha önce de anlattığım gibi product bölümünden application control veya diğerlerinden birini seçerek policy oluşturabiliriz. Bize isterseniz application control’den başlayalım. Yukarıdan new policy diyerek politikanın ismini girerek 1. Adıma başlıyoruz. Aşağıdaki resimde de gördüğümüz üzere test adında politika create ettim şimdi içeriğini inceleyelim.
Mcafee’nin default olarak bazı politikaları mevcut eğer bizim ihtiyacımız karşılamıyor ise update edebiliriz. Yukarıda tablarda da gördüğümüz üzere updaters, trusted users, trusted directories diye bölümlerden politikayı oluşturabiliyoruz.
Aşağıda c:\Burak klasörünü trusted directories kısmına ekledim c:\burak klasörü dışında kalan klasörlerde uygulama izin vermeyecektir.
Yâda klasör bazlı yapılmayacak ise tek bir user allow hakkı olsun diğer hangi userla girilirse girsin işlem yapamayacaktır.
Şimdi bu oluşturduğumuz test ismindeki politikayı client’a uygulama şekli aşağıda gösterilmiştir. System tree kısmından client’i seçip acitons\agent\set policy & Inheritance kısmında tıkladığımızda işlemin ilk adımı bitmektedir.
Aşağıdaki resimde ilgili politika ismi seçilip save dedikten sonra client’a politikayı assign etmiş oluyoruz.
Dilerseniz yapmış olduğumuz politikayı test edelim. C:\ içinde rastgele bir klasör seçelim mesela solidcore klasörünün içinde shortcut oluşturmak istediğimde Access denied uyarısı vermesi gerekiyor. Aşağıdaki resimde inceleyebiliriz.
Şimdi c:\burak klasöründe aynı işlemi deneyelim. Burada herhangi bir problem ile karşılaşmadık. White listesine eklediğimizden burada Access denied uyarısı almamış bulunuyoruz.
Aynı mantıkla başka politikalar belirleyebiliriz. Örneğin read protect, write protect ve write protect’de ise Delete, Rename, Create hard links, Modify contents, Append, Truncate, Change owner, Create Alternate Data Stream engelleyebiliriz.
MCAFEE INTEGRITY CONTROL ePO ÜZERİNDEN RAPORLAMA YAPILANDIRILMASI
Bu bölümümüzde kullanmış olduğumuz uygulamanın yaptığı politikalar dışında önemli olan raporlama kısmını incelemeye alalım.
Console giriş yaptıktan sonra yukarıda ki menülerden Queries & Reports bölümüne tıklıyoruz.
Default olarak 160 adet report modeli var eğer istersek kendimizde manuel olarak report oluşturabiliriz. Ama zaten kayıtlı olarak bulunan hazır raporlar işimizi görecektir. Birkaç tanesini alıp deneyelim.
Örnek olarak ilk başta Agent Communnication Summary raporunu çekelim.
Şimdi dilerseniz manuel olarak bir rapor oluşturalım. Aşağıdaki yerden new diyerek işlemimize başlıyoruz.
İlk adımda Events göre rapor oluşturmak istiyorum bunun için Events bölümünden threat events kısmını seçerek ilerliyoruz.
İkinci adımda ilgili yerleri seçip raporlamamıza şekil veriyoruz.
Bu ekranda raporumuzun görünüm şeklini belirliyoruz.
Son bölümde filtre uyguluyoruz. Raporumuzda görülmesi gereken events’ları belirtip manuel oluşturduğumuz rapor işlemini sonlandırıyoruz.
Oluşturduğumuz rapor doğrultusunda File modified update eventlerini SQL’den çekerek karşımıza getirecektir.
Bir rapor daha hazırlayalım işlerimizin kolaylığı ve üst yöneticilerimize sunacağımız bir rapor olmasını istiyoruz. Mcafee integrity control clientları lockdown ettiğinde status olarak solidcore olarak gözükmektedir. Fakat client üzerinde bir işlemimiz olduğunda uygulamayı update moda almamız gerekiyor. Yukarıda bu işlemin nasıl gerçekleştiğini anlatmıştım. Raporumuzda scheduled olarak ayarlarsak kontrol altımızda olur. Şimdi raporu oluşturalım.
Ana menüden Queries & Reports kısmında new diyerek sol taraftan solidcore seçiyoruz ve açılan pencerede Solidcore Client Properties seçip ilerliyoruz.
Bir sonraki ekranımızda etiketleme ve grafiğimizin şeklini belirliyoruz.
Bu ekranımızda oluşacak olan raporda görülmesini istediğimiz bilgileri belirliyoruz.
Yukarıda yaptığımız işlemlerden sonra alt tarafta bulunan run butonuna tıklayarak işlemimizi sonlandırıyoruz. Ve karşımıza pasta grafikli rapor çıkmaktadır. Üzerine tıkladığımızda ayrıntılı bilgi vermektedir.
Bu yaptığımız raporları scheduled olarak ayarlayabiliyoruz. Bunun için menüden server task kısmından yapılandırabiliriz.
Yukarıdaki sayfadan new task diyerek işleme başlayabiliriz.
Name kısmını doldurup ilerliyoruz.
Bu kısımda query alanını dolduruyoruz. Sonrasında gönderme şeklini belirliyoruz. Email veya export edebiliyoruz. İlgili kişilerin mail adresini yazıp dosya formatını seçip bir sonraki adıma geçebiliriz.
Bu adımda scheduled tipini start date ve start zamanını belirleyebiliyoruz. Rapor oluşturma işleminide bitirmiş oluyoruz.
Bu makalede Mcafee Integrity Control ürününü ele aldık Kurulum, Policy dağıtımı ve Raporlamadan bahsettik Umarım faydalı olmuştur. Bir sonraki makalede görüşmek üzere