Kommunikation SOCv3

Aus Securepoint Wiki
Version vom 2. August 2016, 11:07 Uhr von Dirkg (Diskussion | Beiträge)
(Unterschied) ← Nächstältere Version | Aktuelle Version (Unterschied) | Nächstjüngere Version → (Unterschied)
Wechseln zu:Navigation, Suche


Kommunikation des SOC

Bestandteile des SOC

Das Security Operation Center oder auch kurz SOC besteht seit der Version 3 aus einer Linux Servereinheit und einem Windows Client.

Der Server sammelt die Daten der UTM-Firewall, des UMA Mailarchives und des NAC-Netzwerkcontroller. Diese Daten stellt er dem SOC-Client dann zur Verfügung, welches diese filtern und auswerten kann.

Für den Datenprovider Dienst mit dem sich der SOC-Client mit dem SOC-Server verbindet, wir der Port 6178 und das Protokoll TCP verwendet. Der Logserver ist für den Client über den Port 9999/TCP erreichbar.

Kommunikation zwischen den Komponenten

Damit das SOC richtig eingesetzt werden kann, ist es wichtig die Kommunikation zwischen den einzelnen Komponenten zu verstehen.

SOC Kom.png

Administration

Soll eine aktuelle Securepoint UTM oder UMA administriert werden, wird die Verbindung auf das Webinterface direkt vom SOC-Client zu dem zu administrierenden System mit dem Dienst HTTPS über den Port 11115/TCP aufgebaut. Bei der NAC wird dafür der HTTPS-Port 443/TCP verwendet. Hierbei verhält sich der SOC-Client wie ein Web-Browser.

Bei der UTM in der Version 10 wird das Weblayout lokal im SOC-Client geladen. Die eigentliche Kommunikation zur UTM findet hier über den Dienst SSH mit Port 22/TCP statt, welches dann das lokale HTML füllt.

Weiterhin ist es möglich die Securepoint UTM per SSH zu administrieren. Da Windowssysteme im Auslieferzustand keine SSH-Konsole mitbringen, ist im SOC-Client das SSH-Tool Putty mit implementiert, dass diese Funktion übernimmt. Hierbei wird die UTM mit dem Dienst SSH und in der Standardeinstellung mit dem Port 22/TCP angesprochen. Der Port ist im SOC-Client veränderbar, es muss dann allerdings eine Portfilterregel auf der UTM für den neuen SSH-Port auf die Schnittstellen erstellt werden.

Log Daten

Zur Übermittlung der Log Daten werden auf den Systemen, die die Logs produzieren, die IP-Adresse des SOC-Server und standardmäßig der Port 514/UDP eingetragen. Diese senden dann die Log Daten an den SOC-Server, welcher diese im Logcenter speichert und dem SOC-Logcenter-Client zur Auswertung zur Verfügung stellt.

UMA20 AHB hinweispic.png

Wichtig!
Hierbei ist darauf zu achten, dass die Log-Daten von der IP-Adresse kommen, die im SOC bei dem entsprechenden Knoten im Feld „IP“ oder „IP 2“ hinterlegt sind. Ansonsten können die Log Daten nicht den entsprechenden Systemen zugeordnet werden.

Backup Daten

Die Konfigurationen der Securepoint Systeme können auf dem SOC Server exportiert und gesichert und bei Bedarf auf das betreffende System wieder importiert werden. Dieses geschieht über das SSL-Verschlüsselte Protokoll SSH mit Port 22/TCP und HTTPS mit Port 11115/TCP.

Monitoring

Ebenfalls über das Protokoll SSH und Port 22/TCP sowie HTTPS mit Port 11115/TCP werden auch die Monitoring Daten des Securepoint Systems vom SOC-Server abgefragt.

Das Monitoring kann derzeit nur bei der UTM und nicht bei der UMA und den NAC eingesetzt werden.