Your Browser is not longer supported

Please use Google Chrome, Mozilla Firefox or Microsoft Edge to view the page correctly
Loading...

{{viewport.spaceProperty.prod}}

Konfiguration von CLIP

&pagelevel(4)&pagelevel

Mit CLIP wird eine Konfigurationsdatei SYSDAT.CLIP.<ver> geliefert und mit dem Subsystem CLIP installiert. Diese ist für die jeweilige Konfiguration anzupassen. Änderungen der Konfiguration werden erst bei Neustart des Subsystems CLIP wirksam.

Beim Laden des Subsystems CLIP wird die Konfigurationsdatei gelesen und ausgewertet. Bei Fehlern in der Konfigurationsdatei wird der Ladevorgang fortgesetzt und die Standardwerte werden gesetzt. 

Ausgenommen davon sind die syntaktisch fehlerhafte Angabe der IP-Adresse, oder eine nicht erreichbare IP-Adresse. In diesen Fällen ist kein sinnvoller Betrieb von CLIP möglich und der Subsystem-Start wird mit Fehler beendet.

  • Bei syntaktisch fehlerhafter Angabe der IP-Adresse wird die Meldung GLP1020 an Konsole ausgegeben und das Subsystem CLIP beendet:
           %  GLP1020 READING IP ADDRESS FROM CONFIG FILE FAILED
  • Ist die konfigurierte IP-Adresse nicht erreichbar, wird das Subsystem CLIP nach Ablauf eines Timeout beendet.

Original-Konfigurationsdatei

Die Konfigurationsdatei SYSDAT.CLIP.<ver> wird als Template mit folgendem Inhalt ausgeliefert:

**********************************************************************
*                                                                    *
* Template file: SYSDAT.CLIP.210                                     *
* This file defines necessary parameters for the operation of        *
* the CLIP subsystem.                                                *
* Additionally, the events to be forwarded to the syslog server     *
* can also be configured here.                                       *
* More information about this file can be found in the CLIP manual   *
* "Chapter 3.3.5: Parameter file".                                   *
*                                                                    *
**********************************************************************
***MANDATORY CONFIG PARAMETERS***
LOGSERVER xxx.xxx.xxx.xxx
***REST OF CONFIG PARAMETERS***
*PORT 514
*PROTOCOL TCP    ONLY VALID OPTION
*HOSTNAME TESTPROC
*TIMEOUT 30
*OVERFLOW 0
***CONFIGURATION FOR LOGFILTER***
*SATT MODE BLOCK/ACCEPT
*SATT EVENTID FAIL/SUCC/BOTH
***CONFIGURATION FOR ACCOUNTING FILTER***
*ACCT MODE BLOCK/ACCEPT
*ACCT RECORDTYPE

Syntax der Konfigurationsdatei:

  • Mit '*' beginnende Zeilen werden als Kommentarzeilen interpretiert. 

  • Einige Parameter sind mit Standardwerten vor belegt und müssen nicht spezifiziert werden. Der einzige obligatorische Parameter ist die Serveradresse (LOGSERVER), die vom Systemadministrator angegeben werden muss.

  • Die Parameter werden unabhängig von ihrer Reihenfolge interpretiert. 

  • Die Parameter und ihre Werte werden ohne Unterscheidung von Groß- und Kleinschreibung behandelt und intern auf Großschreibung umgestellt.

  • Zusammengehörige Parameter müssen in der gleichen Zeile angegeben werden, getrennt durch mindestens ein Leerzeichen.

  • Alles, was nach dem letzten erforderlichen Parameter in einer Zeile erscheint und durch mindestens ein weiteres Leerzeichen getrennt ist, wird als Kommentar behandelt.

Das json-Format für die Basis-Parameter der Konfigurationsdatei wird nur aus Kompatibilitätsgründen letztmalig unterstützt.

Beschreibung der Basis-Parameter

  • "LOGSERVER" (obligatorisch)
    Mit diesem Parameter wird der Syslog-Server angegeben, an den die Meldungen gesendet werden. Der Wert kann eine IPv4/IPv6-Adresse oder ein Fully Qualified Domain Name (FQDN) sein.
    • IPv4: Muss dem Format xxx.xxx.xxx.xxx entsprechen (z. B. 192.168.1.99), wobei jedes Segment eine Zahl zwischen 0 und 255 ist.
    • IPv6: Sowohl vollständige als auch verkürzte Notationen sind zulässig (z. B. 2001:0db8:85a3:0000:0000:8a2e:0370:7334 und 2001:db8:85a3::8a2e:370:7334).
    • Wenn ein ungültiger Wert angegeben wird, erzeugt das CLIP-Programm eine Fehlermeldung und beendet sich, da eine gültige Serverkonfiguration erforderlich ist.
  • "PORT"
    Der Parameter „PORT“ bezeichnet den bei der Kommunikation mit dem externen Syslog-Server zu verwendenden Port. Dieser Port muss ein gültiger offener Port im Bereich 1 – 65535 auf dem Syslog-Server sein, der für den BS2000-Server freigeschaltet ist. Der Parameter ist mit dem Standard-Port für Syslog-Datenverkehr (Port 514) vor belegt (auskommentiert). 
  • "PROTOCOL" 
    Der Parameter "PROTOCOL" legt das Datenübertragungsprotokoll zwischen dem BS2000-Rechner und dem Syslog-Server fest. Aktuell wird nur das TCP-Protokoll unterstützt. Wird ein falscher Wert eingetragen oder der Parameter nicht angegeben, gilt der Standardwert „TCP“.
  • "HOSTNAME"
    Der Parameter „HOSTNAME“ ist optional, da CLIP ihn bei fehlender Angabe automatisch ermittelt. Der Parameter definiert den Namen des BS2000-Systems und dient der Identifikation des BS2000-Systems beim Versenden von Ereignissen an den Syslog-Server. Der Parameter unterstützt alphanumerische Zeichen.
  • "TIMEOUT"
    Der Parameter „TIMEOUT“ ist optional und gibt an, wie lange CLIP im Falle eines Verbindungsabbruches versucht, die Verbindung wiederherzustellen. Der Wert wird in Sekunden angeben und der Standardwert beträgt 30 Sekunden. Wenn nach dieser Zeitperiode die Wiederherstellung der Verbindung nicht erfolgreich war, wird das CLIP Subsystem beendet und muss bei Bedarf manuell neu gestartet werden.
  • "OVERFLOW"
    Der Parameter „OVERFLOW“ ist optional und gibt an, ob CLIP Nachrichten wegwerfen soll, falls der Puffer bei einem Verbindungsabbruch vollläuft. Bei einem Wert von 0 (Standardwert) wird das Subsystem in diesem Fall beendet. Wird der Wert auf 1 gesetzt, werden die jeweils ältesten Nachrichten aus dem Puffer überschrieben. In beiden Fällen werden die Nachrichten im Puffer gesendet, sobald die Verbindung wiederhergestellt werden kann. Ob das Subsystem beendet wird (und die Nachrichten damit gelöscht werden), hängt dann lediglich vom TIMEOUT-Wert ab.

Beschreibung der Parameter für die Filterfunktionen

Zur Verbesserung der Performance, wie auch um  die SIEM-Umgebung nur mit den Informationen zu beliefern, die aus Sicht des jeweiligen Anwenders sinnvoll sind, bietet CLIP eine Filterfunktion an. Die Filterfunktion wird sowohl für SATLOG- als aus auch für ACCOUNTING-Ereignisse angeboten und ist unabhängig einstellbar.

Filterfunktion für SATLOG-Ereignisse:

  • "SATT MODE"
    Stellt ein, ob die in dieser Konfigurationsdatei aufgelisteten SATLOG-Ereignisse nicht ("BLOCK") oder ausschließlich ("ACCEPT") an den Syslog-Server weitergeleitet werden. Wird dieser Parameter nicht angegeben oder ein falscher Wert eingetragen, gilt aus Kompatibilitätsgründen automatisch der Wert "BLOCK".
    • SATT MODE BLOCK (Standardeinstellung): alle SATLOG-Ereignisse werden an den Syslog-Server weitergeleitet. Nur die in dieser Konfigurationsdatei aufgelisteten SATLOG-Ereignisse werden ausgefiltert und nicht an den Syslog-Server weitergeleitet.
    • SATT MODE ACCEPT:  die SATLOG-Ereignisse werden ausgefiltert und nicht an den Syslog-Server weitergeleitet. Nur in dieser Konfigurationsdatei definierte SATLOG-Ereignisse werden explizit ausgewählt und an den Syslog-Server weitergeleitet.
  • "SATT <eventid> <result>"
    Fügt das Ereignis <eventid> der durch "SATT MODE" definierten Liste in Abhängigkeit des Ergebnisses <result> hinzu. Interpretiert wird das Ereignis <result> im Erfolgsfall ("SUCC"), im Fehlerfall ("FAIL") oder in beiden Fällen ("BOTH"). Eine Übersicht der SAT Events ist im SECOS Handbuch im Abschnitt "SAT - Protokollierung und Auswertung sicherheitsrelevanter Ereignisse" zu finden.

Filterfunktion für ACCOUNTING-Ereignisse:

  • "ACCT MODE"
    Stellt ein, ob die in dieser Konfigurationsdatei aufgelisteten ACCOUNTING-Ereignisse nicht ("BLOCK") oder ausschließlich ("ACCEPT") an den Syslog-Server weitergeleitet werden. Wird dieser Parameter nicht angegeben oder ein falscher Wert eingetragen, wird automatisch der Wert "BLOCK" angenommen.
    • ACCT MODE BLOCK (Standardeinstellung): alle ACCOUNTING-Ereignisse werden an den Syslog-Server weitergeleitet. Nur die in dieser Konfigurationsdatei aufgelisteten ACCOUNTING-Ereignisse werden ausgefiltert und nicht an den Syslog-Server weitergeleitet.
    • ACCT MODE ACCEPT:  die ACCOUNTING-Ereignisse werden ausgefiltert und nicht an den Syslog-Server weitergeleitet. Nur in dieser Konfigurationsdatei definierte ACCOUNTING-Ereignisse werden explizit ausgewählt und an den Syslog-Server weitergeleitet.
  • "ACCT <recordtype>"
    Fügt den Abrechnungssatz <recordtype> der durch "ACCT MODE" definierten Liste hinzu. Hierbei wird jeder Abrechnungssatz des angegebenen Typs beachtet. Im Abschnitt "Accounting-Logs" sind alle Ereignistypen aufgelistet. 


Beispielkonfiguration für die Filterfunktion:

SATT MODE BLOCK
SATT JED  SUCC
SATT UCK  SUCC
SATT FRS  BOTH

In diesem Beispiel wurde der BLOCK-Modus für SATLOG-Ereignisse eingeschalten. In den darauffolgenden drei Einträgen werden folgende Ereignisse ausgefiltert und damit nicht an den Syslog-Server weitergeleitet:

  • Das Ereignis "JED" wird nur im Fehlerfall weitergeleitet
  • Das Ereignis "UCK" wird ebenfalls nur im Fehlerfall weitergeleitet
  • Das Ereignis "FRS" wird sowohl im Erfolgsfall, als auch im Fehlerfall gefiltert - und wird damit in keinem Fall an den Syslog-Server weitergeleitet
  • Alle anderen Ereignisse werden uneingeschränkt weitergeleitet

Würde der Modus stattdessen auf ACCEPT geschalten werden (SATT MODE ACCEPT), würden nur die Ereignisse JED und UCK (nur im Erfolgsfall) und das Ereignis FRS (in allen Fällen) weitergeleitet werden. Alle anderen Ereignisse würden dann nicht mehr beachtet werden.

Da für das ACCOUNTING nichts definiert wurde, wird automatisch ACCT MODE BLOCK gesetzt. Da die Block-Liste jedoch leer ist, werden keine ACCOUNTING-Sätze gefiltert, es werden alle an den Syslog-Server weitergeleitet.

Powered by Atlassian Confluence and Scroll Viewport.