...
Для установки необходимо будет использовать скрипт хелпер имя, который который можно будет получить по ссылке http://address получить можно получить у коммерческого отдела .
При установке будет возможность установить ключ лицензии при помощи флага --key=<key>
...
Все файлы необходимые для установки из deb пакетов можно получить можно получить у коммерческого отдела по адресу http://adress .
Необходимо будет скачать файлы с названиями edmi-server, edmi-loader и edmi-cli.
...
При установке будут задаваться следующие вопросы :
Если предполагается работа с локальной базой данных, отвечаем NO
EDM DB setup Setup и примеры ответов приведены в таблице 1:
Таблица 1 -
Вопрос | Пояснение | Значение по умолчанию | Рекомендуемое значение при установке локальной БД |
---|---|---|---|
EDM DB Setup |
...
Установка БД EDM | Установить сервер EDM без создания локальной БД и настроить его на использование удаленной базы данных с доступом по сети. Если предполагается работа с удаленной базой данных, отвечаем YES и указываем адрес этой локальной базы |
...
, и в следующем вопросе вводим ее адрес. | No Нет | No Нет | ||||||||
Input EDM user data Ввод данных пользователя EDM | Ввести пароль пользователя 'edm' с помощью которого сервер EDM будет осуществлять соединение с БД. Пароль пользователя должен соответствовать требованиям MySQL. По умолчанию это:
Текущие требования к паролю можно узнать в MySQL запросом:
| EDMp@ss1 | ||||||||
Allow remote connections to EDM DB? |
...
Разрешить удаленное подключение к БД EDM? | Настроить возможность удаленного доступа к БД EDM от имени пользователя 'edm'. | Yes Да | No Нет |
Add open rules sources to database? |
...
Добавить открытые источники правил в БД? | Добавить открытые источники правил suricata для загрузки. | Yes Да | Yes Да |
EDM config setup |
...
Установка конфигурации EDM | Ввести ключ лицензии EDM. | ||
EDM config setup Установка конфигурации EDM | Ввести адрес сервера Root EDM. | https://edm.eltex-co.ru:8098 |
...
Установка EDM-loader
EDM-loader необходим для общения с сервером edm-root и после первоначальной установки через него будут полученны правила разрешенные лицензией.
...
Блок кода | ||
---|---|---|
| ||
sudo apt isntall ./edmi-server* |
...
loader* |
При установке будут задаваться следующие вопросы и примеры ответов приведены в таблице 2:
Таблица 2 -
Вопрос | Пояснение | Значение по умолчанию | Рекомендуемое значение при установке локальной БД |
---|---|---|---|
EDM DB Setup |
...
Установка БД EDM | Установить сервер EDM без создания локальной БД и настроить его на использование удаленной базы данных с доступом по сети. | No Нет | No Нет |
Input MySQL administrator data Ввод данных администратора БД MySQL | Ввести имя администратора MySQL от имени которого будет проводиться создание локальной БД EDM. Требуется при входе в MySQL при помощи логина и пароля. При использовании аутентификации с помощью сокета (auth_socket) вопрос задан не будет. | root | |
Input MySQL administrator data Ввод данных администратора БД MySQL | Ввести пароль администратора MySQL. Требуется при входе в MySQL при помощи логина и пароля. При использовании аутентификации с помощью сокета (auth_socket) вопрос задан не будет. | ||
Found filled EDM database! What to do with existing DB? Обнаружена заполненная база данных EDM! Что сделать с существующей БД? | Выбрать режим установки БД. Так как база данных уже была заполнена при установке пакета edmi-loader, предлагается выбрать из двух вариантов установки:
| Cancel Отменить | Update DB Обновить БД |
Установка EDM-cli
Необходим для работы с edm-сервером.
...
Все настройки в подробностях описаны ниже в таблице 3.
Таблица 1 3 - описание настроек.
rootURL | Адрес сервера Root EDM. | Синхронизация данных лицензии и устройств Issue EDM, запрос доступных файлов правил от лицензируемых вендоров. |
---|---|---|
licenseKey | Ключ лицензии Issue EDM. | Идентификация Issue EDM на стороне Root EDM. А также доступ к данным лицензии в БД. |
loaderHostProtectMode | Режим защиты хоста. | Защита от злонамеренных обращений с ключом лицензии. |
loaderHostTitle | Имя хоста на котором установлен Issue EDM Loader. | Более удобная идентификация хостов. |
serverHostTitle | Имя хоста на котором установлен Issue EDM Server. | |
inactiveHostsKeepDays | Количество дней существования устаревших хостов. | Удаление информации об устаревших хостах из БД, по истечению определенного времени. |
serverHost | Адрес интерфейса сервера. | Указание данных для установления соединения с сервером. |
serverPort | Порт сервера. | |
threadLimit | Максимальное количество одновременно обрабатываемых запросов. | Ограничение нагрузки на сервер. |
queueLimit | Максимальное количество запросов в очереди на обработку. | |
deviceMaxTimeout | Время, по истечению которого устройство перестает считаться активным, в минутах. | Удаление сессий с неактивными устройствами, с которыми была потеряна связь. |
deviceWaitRequestTimeout | Время, в течение которого от устройства ожидаются дальнейшие запросы, в минутах. | |
deviceWaitRootTimeout | Время, в течение которого ожидается ответ от сервера Root EDM. | |
dosFilterMaxRequestsPerSec | Максимально возможное количество запросов на сервер в секунду. | Защита от DoS атак. |
dosFilterDelayMs | Время, на которое откладывается выполнение запросов, после превышения установленного лимита. | |
securityCheckPeriodHours | Длительность интервала фиксации подозрительных событий. | Контроль за подозрительной активностью устройств. |
sourceUnknownRequestLimit | Лимит на количество запросов с неизвестными параметрами с одного IP-адреса. | |
badAuthLimit | Лимит на количество неуспешных аутентификаций по одной лицензии. | |
userLoginTimeout | Время, по истечению которого будет произведено принудительное завершение сессии с CLI, в минутах | Удаление сессии CLI для периодической актуализации данных пользователя. |
userInactiveTimeout | Максимально возможное время бездействия пользователя CLI до завершения сессии, в минутах | |
commandsExecuteTimeoutMinutes | Время ожидания выполнения команды загрузчиком или сервером EDM. | Исполнение команд на стороне Issue EDM Loder/Server. |
...
После этого пользователь попадает в интерфес командной строки. У администратора есть следующие возможности представленные в таблице 24:
Таблица 2 4 - Список команд, доступный из корневого меню.
...
Для перехода в категорию необходимо выполнить "users"
В этой категории пользователь может, просматривать существующих пользователей и если у него хватает привилегий то изменять учетные записи других пользователей. Все возможные команды для управления пользователями приведены в таблице 35.
Таблица 3 5 - команды кли, для управления пользователями
...
При создании пользовтелей возможны следующие варианты пользовательских ролей и их привелегий что приведены в таблице 46.
Таблица 4 6 - Описание ролей
Роль | Описание | Разрешения |
---|---|---|
watcher | Оператор — только просмотр информации | license-view ips-view users-view hosts-view |
manager | Менеджер — полное управление EDM | license-view license-manage ips-view ips-manage users-view hosts-view hosts-manage |
admin | Администратор — полное управление EDM + управление пользователями | license-view license-manage ips-view ips-manage users-view users-manage hosts-view hosts-manage |
...
Для перехода в этот раздел необходимо ввести команду "iprules" из любого раздела. Все команды для этого раздела представлены в таблице 57.
Таблица 5 7 - описание команд раздела iprules.
...
Для перехода в этот раздел необходимо выполнить при этом можно вводить либо ключ лицензии либо номер контракта. Все команды для этого раздела представлены в таблице 68.
Таблица 6 8 - описание команд раздела license.
...
Для перехода в этот раздел необходимо выполнить следующее команду "ips". Все команды для этого раздела представлены в таблице 79.
Таблица 7 9 - описание команд раздела ips.
...
Для лицензирования при помощи EDM на еср должна стоять прошивка не ниже чем 1.13.0 и предварительно отфарматриованная в vfat microSD карта либо же usbFlash.
Если при выполнении всех выше описанных шагов проблем не возникло, то можно приступить к лицензированию устройств esr. Для этого необходимо подключиться к esr и добавить в его конфигурацию следующие данные. Подробнее про конфигурацию esr написано в описании функционала esr. ESR-Series. Описание функционала. Версия 1.12.0 / Управление безопасностью
Блок кода | ||
---|---|---|
| ||
sudo apt isntall ./edmi-server* |
...
configuration content-provider |
...
host address [address] |
...
host port [EDM-port] (8098) |
...
storage-device [label-of-device] |
...
reboot immediately |
...
enable |
И применить эту конфигурацию, устройство обратиться к EDM, для регистрации в системе и получения лицензии. После применения этой конфигурации если esr должен аутентифицироваться в edm и получить лицензию IPS-EDM b после получения лицензии перезагрузиться.
...