13.4. Configuración general
La opción General Settings nos muestra una interfaz cuya edición va a ser determinante tanto para la configuración de la plataforma como de la infraestructura de red, tal y como se mencionó en (Sensors -> Vistas -> Vista árbol)
Para visualizar todos los apartados se aconseja habilitar la opción Show Advanced Options situada en el margen superior derecho de la pantalla de configuración general.
En esta pantalla se pueden editar los parámetros tanto del Manager como de las Apps que hayan sido registradas en él. Por tanto, los apartados que se muestran dependerán de las Apps que se encuentren integradas en la plataforma redborder.
Para realizar una configuración básica del Manager el usuario podrá editar parámetros generales, características de las Apps, configuración de servidores, redes, rutas y geolocalización de las IPs.
Parámetros generales
En este apartado el usuario puede modificar los siguientes elementos:
Nombre de la compañía (Company name)
email de la compañía (Company email)
Tiempo de recarga automática de los dashboards (en segundos) (Autoreload dashboard time (seconds))
Tiempo de recarga automática para la vista Raw (Autoreload raw time (seconds))
URL de consulta de las reglas (Signature Lookup url)
Periodicidad de actualización de las reglas (Rule Update Job Periodicity)
Tiempo de actualización de las reglas (Rule Update Job Periodicity)
Todos los parámetros que se definen en esta interfaz son heredados por aquellos elementos que se encuentran en niveles inferiores en situación de dependecnia (dominios, sensores). Para modificar esta información, el usuario deberá sobreescribirla o editarla tal y como se ha descrito en el apartado destinado a la configuración y edición de los sensores del capítulo Sensors.
IPS/IDS Settings
En este apartado el usuario puede modificar los siguientes elementos:
Modo por defecto de funcionamiento del sensor (Default Sensor Mode): modo de funcionamiento por defecto de los sensores IDS/IPS que se agregan al sistema.
Bypass controlado por snort (Default Bypass controlled by Snort)
PF_RING Watermark: Indica el número mínimo de paquetes entrantes para la función poll
Threshold Count: Número máximo de ocurrencias en un rango de tiempo determinado para que un evento sea enviado.
PF_RING Clustermode: Divide el tráfico entrante en varios anillos.
Threshold Seconds: Tiempo mínimo (en segundos) que tiene que pasar para que un evento sea enviado.
Best Effort Configuration: en esta sección podemos gestionar los parámetros de configuración best effort. Tenemos 2 parámetros para ello: PF_RING Best Effort y PF_RING Best Effort Min Slots
PFSoftware Bypass Configuration: en esta sección podemos configurar el perfil de funcionamiento bypass mediante el parámetro Soft Bypass Profile.
Servers
Configuración de servidores MTA, NTP y habilitación de la configuración del proxy.
Un ejemplo de cómo realizar la configuración de los servidores se encuentra en el capítulo 11, en el apartado "Editar sensor y/o dominio."
Trap Servers
Este apartado permite activar las conexiones SNMP. El usuario debe indicar la IP y la comunidad a la que redborder debe conectarse.
Añadir Trap Server: Es posible añadir un nuevo Trap Server clicando sobre la pestaña +Add, a continuación, introducir la IP y la Comunidad SNMP a la que pertenece. Pulse en Update para guardar los cambios introducidos.
Eliminar Trap Server: Clicar en el icono Eliminar que aparece junto a la información del Trap Server para descartarlo.
Radius Acounting
Este apartado permite activar un servidor de autenticación Radius. El usuario debe indicar la IP del Host y contraseña.
Añadir un servidor de Radius Accounting: Es posible añadir un nuevo Servidor Radius clicando sobre la pestaña +Add, a continuación, introducir la IP y la contraseña compartida. Pulse en Update para guardar los cambios introducidos.
Eliminar un servidor de Radius Accounting: Clicar en el icono Eliminar que aparece junto a la información del servidor Radius para descartarlo.
Radius Proxy Authentication
Este apartado permite activar un servidor proxy de autenticación Radius. El usuario debe indicar la IP del Host origen, la IP del Host destino y las contraseñas respectivas.
Añadir un servidor proxy de autenticación Radius : Es posible añadir un nuevo Servidor Proxy de Radius clicando sobre la pestaña +Add, a continuación, introducir la IP del Host origen, la IP del Host destino y las contraseñas respectivas. Pulse en Update para guardar los cambios introducidos.
Eliminar un servidor proxy de autenticación Radius: Clicar en el icono Eliminar que aparece junto a la información del servidor proxy para descartarlo.
Default Rules
Este apartado permite crear reglas para datos de históricos que estarán activas por defecto y que cargarán en los Tier indicados los datos que se especifiquen.
Monitoring and logs
En este apartado el usuario puede modificar los siguientes elementos:
Servidores de Syslog (Syslog Servers): adición de servidores remoto de syslog.
Loggly: si se desea enviar los logs al servidor de la cloud loggly será necesario rellenar el token proporcionado en el servicio.
licencia de New Relic (New Relic License): si se requiere el uso de los servicios de new relic será necesario rellenar los datos solicitados.
Backup Segments (Remote S3)
En este apartado el usuario puede introducir las credenciales de acceso a S3 de AWS y el bucket que quiere utilizar como backup.
White network
En este apartado se indican las redes cuyo tráfico pasará sin inspección de los paquetes, debido a que las consideramos redes de reputación "fiable".
Añadir una nueva red: hacer clic en el botón +Add e indicar la IP de la red.
Eliminar una red del listado: mediante el icono "Eliminar".
Black Networks
Listado de redes cuyo tráfico debe ser bloqueado debido a la mala reputación de las mismas.
Añadir una nueva red: basta con hacer clic en el botón +Add eindicar la IP de la red.
Eliminar una red del listado: mediante el icono "Eliminar".
Rutas de red (Network Routes)
En este apartado el usuario definirá las rutas de red para el Manager.
Añadir una nueva red: hacer clic en el botón +Add e indicar la IP de la ruta de red.
Eliminar una red del listado: mediante el icono "Eliminar".
Fixed Hosts
En este apartado el usuario puede identificar un nombre de host con una dirección IP para obtener visibilidad en el cluster.
IP Variables
En este apartado el usuario puede administrar las direcciones IP generales pudiendo añadir, editar, importar y exportar las variables IP del cluster.
Ports Variables
En este apartado el usuario puede administrar los puertos generales pudiendo añadir, editar, importar y exportar los puertos del cluster.
GeoIP
Para habilitar la función de Geo Protección es necesario disponer de una base de datos de geolocalización actualizada para evitar errores con la geolocalización de las direcciones IP. redborder ha sido configurada para soportar tan solo el formato de base de datos Maxmind.
Estos son los tipos de bases de datos que son admitidas para las versiones IPv4 y IPv6 (formato binario antiguo GeoIP):
País: determina el país de un visitante de Internet basándose en su dirección IP.
Ciudad: indica el país, subdivisiones, ciudad, código postal, latitud y longitud asociada con las direcciones mundiales IPv4 y IPv6.
ASN: la base de datos GeoIP2 de IP anónimas contiene datos sobre las direcciones IP de las redes que han sido utilizadas de diferentes maneras por anónimos.
Descargue los archivos desde la web de Maxmind y descomprímalos. Solo es posible subir archivos con formato .dat, tal y como se comprueba en la siguiente imagen. Para ello, hacer clic en +Select File
Columnas predeterminadas: Flow, IPS, Location, Malware, Monitor y Social.
Estos apartados permiten que el usuario personalice las columnas (atributos, elementos, agregación, etc.) que se muestran por defecto en las tablas de cada una de las secciones mencionadas.
Para incluir o excluir una columna, seleccionar o deseleccionar el check correspondiente.
