Está en la página 1de 21

Consultoría Despliegue WAF

AGESIC

Instalación y Configuración Inicial de ISO

Fecha: 13/10/2016
Destinatarios: Miembros del CERTuy
Consultoría Despliegue WAF - Instalación y Configuración Inicial de ISO - Página 2/21

DESCARGO DE RESPONSABILIDADES (DISCLAIMER)

Este informe está destinado solamente para el uso de la entidad y/o personas a las que se dirige, puede
contener información privilegiada, confidencial y de acceso restringido según la legislación aplicable.
Si el lector no es el destinatario, se le notifica que cualquier divulgación, distribución o copia de este
documento está estrictamente prohibida. Si ha recibido este documento por error, por favor notifique
inmediatamente y devuelva el original del documento.
Consultoría Despliegue WAF - Instalación y Configuración Inicial de ISO - Página 3/21

Tabla de Contenido
Resumen ........................................................................................................................................ 5

1 Introducción ............................................................................................................................ 6

2 Requerimientos para la instalación ......................................................................................... 7


2.1 Datos requeridos ..................................................................................................................................................... 7
2.2 Requerimientos de Hardware ................................................................................................................................. 8

3 Guía de Instalación .................................................................................................................. 9


3.1 Asistente de instalación .......................................................................................................................................... 9
3.1.1 Inicio de Kickstart ........................................................................................................................................................... 9
3.1.2 Paso 1.......................................................................................................................................................................... 10
3.1.3 Paso 2.......................................................................................................................................................................... 11
3.1.4 Paso 3.......................................................................................................................................................................... 12
3.1.5 Paso 4.......................................................................................................................................................................... 13
3.1.6 Finalización del Kickstart ............................................................................................................................................... 14

4 Administración ....................................................................................................................... 17
4.1 Introducción.......................................................................................................................................................... 17
4.2 Administración de usuarios ................................................................................................................................... 17
4.2.1 Usuarios y Roles ........................................................................................................................................................... 17
4.2.2 Crear Usuarios .............................................................................................................................................................. 17
4.3 Git – Sincronización de configuración ................................................................................................................... 19
4.4 FileBeat ................................................................................................................................................................. 20
4.4.1 Logs enviados y el formato ............................................................................................................................................ 20

5 Referencias ............................................................................................................................ 21
Consultoría Despliegue WAF - Instalación y Configuración Inicial de ISO - Página 4/21

Lista de Tablas
Tabla 1 – Datos requeridos ........................................................................................... 7
Tabla 2 - Archivos de Logs .......................................................................................... 20

Lista de Figuras
Figura 1 – Instalación – Datos Básicos ........................................................................... 9
Figura 2 – Instalación - Configuración Disco ................................................................. 10
Figura 3 – Instalación - Configuración de red ............................................................... 11
Figura 4 – Instalación - Ingresar Passwords ................................................................. 12
Figura 5 - Instalación - Configuración WAF .................................................................. 13
Figura 6 – Instalación - Resumen ................................................................................ 14
Figura 7 – Instalación - Final ...................................................................................... 15
Figura 8 – Consola Operativa ...................................................................................... 16
Consultoría Despliegue WAF - Instalación y Configuración Inicial de ISO - Página 5/21

Resumen
El objetivo de este documento es ser una guía para la instalación y configuración inicial de la ISO presentada
por Tilsor. Esta ISO puede ser utilizada tanto para crear tanto un servidor WAF, como para una instalación
minimal de un servidor.
Consultoría Despliegue WAF - Instalación y Configuración Inicial de ISO - Página 6/21

1 Introducción
En el marco del proyecto Despliegue WAF - Julio 2016 se desarrolló una solución para la instalación de
CentOS 7.2 o superior, que contempla 2 perfiles de instalación personalizados según las políticas
establecidas por parte de AGESIC.

La instalación se ejecuta iniciando desde el medio de instalación provisto e ingresando los datos necesarios
al asistente de instalación.

A continuación se detallan los pasos a ejecutar para completar la instalación. Se detallan a su vez las
indicaciones para realizar la operativa básica sobre la instalación.
Consultoría Despliegue WAF - Instalación y Configuración Inicial de ISO - Página 7/21

2 Requerimientos para la instalación

2.1 Datos requeridos


Durante el transcurso de la instalación será necesario proporcionar los siguientes datos:

Dato a ingresar Posibles Valores Observaciones Obligatorio?


Hostname Si
profile WAF Proxy Server minimal- Si
instalation
Vritualization Platform Bare Metal VMware VMware Instala VM Tools Si
Particionamiento ( la suma de los porcentajes debe ser < 100)
% /tmp/ Si
% /var/log/audit Si
% /var/www Si
% Swap Si
% /var/ Si
% /home/ Si
% /opt/ Si
% /root/ Si
% /var/log/ Si
Datos de Red
IP v4 Si
Mask Si
Gateway Si
DNS1 Si
DNS2 Si
Contraseñas
Grub Mínimo 8 caracteres Boot Loader Si
Usuario admin Mínimo 15 caracteres Usuario Sistema operativo. Si
WAF (solo aplica para WAF Proxy Server )
Backend Server Name Hostname del backend
Local Logging Server No
Git url Repository No
Git user No
Git password No

Tabla 1 – Datos requeridos


Consultoría Despliegue WAF - Instalación y Configuración Inicial de ISO - Página 8/21

2.2 Requerimientos de Hardware

WAF Proxy Server

Para la instalación bajo el perfil “WAF Proxy Server”, se necesita disponer al menos del siguiente hardware:

 1vCPU
 1GB Memoria
 Disco duro de 40 GBs
 1 interfaz de red

Minimal-Instalation

Para el perfil “minimal-Instalation” se deberá evaluar en función del propósito que se le dará al host.
Consultoría Despliegue WAF - Instalación y Configuración Inicial de ISO - Página 9/21

3 Guía de Instalación
A continuación se detalla cada paso del asistente de instalación.

3.1 Asistente de instalación


Al iniciar el asistente se despliega la siguiente pantalla:

3.1.1 Inicio de Kickstart

Figura 1 – Instalación – Datos Básicos

En este paso se debe indicar los siguientes datos: hostname, System profile y si el servidor está virtualizado
o corre sobre una máquina física.

Al completar los datos se debe seleccionar “Forward”.


Consultoría Despliegue WAF - Instalación y Configuración Inicial de ISO - Página 10/21

3.1.2 Paso 1

Figura 2 – Instalación - Configuración Disco

El asistente muestra los discos disponibles, deben seleccionarse cuál (es) se quieren utilizar.

Opcionalmente se pueden encriptar las particiones con LUKS.

Por defecto se habilita el modo FIPS a nivel de Kernel.

Se puede modificar el porcentaje de disco utilizado por cada partición, siempre la suma debe dar 100.
Consultoría Despliegue WAF - Instalación y Configuración Inicial de ISO - Página 11/21

3.1.3 Paso 2

Figura 3 – Instalación - Configuración de red

En este paso todos los campos son mandatorios y se deben especificar los valores establecidos en la Tabla 1
– Datos requeridos.

En caso de contar con más de una interfaz de red seleccionar la correspondiente.

Por último seleccionar “Forward”.


Consultoría Despliegue WAF - Instalación y Configuración Inicial de ISO - Página 12/21

3.1.4 Paso 3

Figura 4 – Instalación - Ingresar Passwords

En esta pantalla se deben ingresar las claves, luego seleccionar “Fordward”.


Consultoría Despliegue WAF - Instalación y Configuración Inicial de ISO - Página 13/21

3.1.5 Paso 4

Figura 5 - Instalación - Configuración WAF

Esta pantalla se despliega solo si se seleccionó el profile “Waf Proxy Server”.

Deben ingresarse los datos correspondientes en la Tabla 1 – Datos requeridos, luego seleccionar “Forward”.
Consultoría Despliegue WAF - Instalación y Configuración Inicial de ISO - Página 14/21

3.1.6 Finalización del Kickstart

Figura 6 – Instalación - Resumen

Por último el asistente despliega la pantalla de resumen simplemente click en “Close”.


Consultoría Despliegue WAF - Instalación y Configuración Inicial de ISO - Página 15/21

El proceso de instalación demora unos 10 minutos, finaliza con la siguiente pantalla:

Figura 7 – Instalación - Final

Para terminar simplemente seleccionar “Enter” para que el sistema inicie operando normalmente.
Consultoría Despliegue WAF - Instalación y Configuración Inicial de ISO - Página 16/21

Luego de reiniciar, el host debe quedar en la siguiente pantalla:

Figura 8 – Consola Operativa


Consultoría Despliegue WAF - Instalación y Configuración Inicial de ISO - Página 17/21

4 Administración

4.1 Introducción
En esta sección se detallan los comandos necesarios para la operativa con el waf, así como los roles
definidos durante la instalación.

4.2 Administración de usuarios

4.2.1 Usuarios y Roles


Durante la instalación se crean a nivel de sistema operativo los usuarios específicos: admin, certuy, auditor y
staff.

A su vez se crean los grupos: administrators, auditors y operators.

A continuación se definen los grupos creados y que usuarios pertenecen a cada uno:

Administrator: los usuarios con el rol “administrator” (pertenecientes al grupo “adnministrators”) podrán
obtener root del equipo por tanto el control absoluto del mismo. Los usuarios admin y certuy tienen este
rol.

Auditor: los usuarios con el rol auditor (pertenecientes al grupo “auditors”) tendrán permisos de lectura
sobre todos los logs. Al usuario auditor se le asigna este rol por defecto.

Operator: los usuarios con el rol operator, (pertenecientes al grupo “operators”) podrán ejecutar todos
comandos necesarios para la operativa del waf. El usuario staff se crea con este rol por defecto.

El único usuario operativo luego de la instalación es el admin y solo puede acceder por consola ya que el
acceso ssh debe configurarse con un certificado digital.

4.2.2 Crear Usuarios


Para esta instalación se sugiere utilizar usuarios nominados y asignar a cada usuario el rol específico que
requiera, haciéndolo pertenecer al grupo correspondiente.

Por ejemplo, para crear el usuario Ignacio Gonzalez con el rol de Administrador, se debe proceder de la
siguiente manera:

[admin@waf ~]$ sudo useradd igonzalez -G sshusers,administrators


[admin@waf ~]$ sudo passwd igonzalez
Changing password for user igonzalez.
New password:
BAD PASSWORD: The password contains less than 1 uppercase letters
Retype new password:
Consultoría Despliegue WAF - Instalación y Configuración Inicial de ISO - Página 18/21

passwd: all authentication tokens updated successfully.

[igonzalez@ waf ~]$ sudo -l

User igonzalez may run the following commands on this host:


(ALL) ALL

Análogamente se crea el usuario Diego Perez con el privilegio de auditor, dado que el usuario igonzalez tiene
el rol de administrador. Se puede crear de la siguiente manera:

[igonzalez@waf] sudo useradd dperez –G sshusers,auditors


[igonzalez@waf] sudo passwd dperez

El usuario dperez (auditor) tendrá los siguientes privilegios.

[dperez@ waf ~]$ sudo -l

User dperez may run the following commands on this host:


(ALL) /bin/oscap, (ALL) /sbin/aide, (ALL) /bin/less /var/log/[[\:alpha\:]]*
(ALL) /bin/journalctl -u httpd

Ej.: Se agrega el usuario Juan Ramírez con el rol de operator:

[admin@waf] sudo useradd jramirez –G sshusers,operators


[admin@waf] sudo passwd dramirez

[jramirez@waf ~]# sudo –l



.

User jperez may run the following commands on this host:


(ALL) /sbin/systemctl start httpd, (ALL) /sbin/systemctl stop httpd, (ALL)
/sbin/systemctl status httpd, (ALL) /sbin/systemctl reload httpd, (ALL)
/sbin/systemctl
reload httpd
(ALL) /bin/journalctl -u httpd

Como se observa, al crear los usuarios también se agrega a los usuarios al grupo sshusers, requisito para
poder acceder por ssh.

El servicio ssh autentica por certificado digital por lo que la clave pública del usuario debe agregarse al
authorized_keys del servidor.

Para esto primero el usuario debe generarse un par de claves pública-privada.


Consultoría Despliegue WAF - Instalación y Configuración Inicial de ISO - Página 19/21

Generar el par de claves desde la terminal:

ssh-keygen -t rsa

Copiar la clave al servidor y concatenarla al archivo authorized_keys:

[jperez@waf ~]#cat id_rsa.pub >> ~/.ssh/authorized_keys


[jperez@waf ~]# chmod 700 ~/.ssh
[jperez@waf ~]# chmod 600 ~/.ssh/authorized_keys

Luego el usuario podrá establecer una conexión ssh.

4.3 Git – Sincronización de configuración


Para la gestión de las excepciones y la configuración y administración de las reglas de Trustwave, se
utilizará como repo centralizado el GIT de AGESIC.

El repositorio tiene la siguiente estructura:

└-etc

───filebeat
└───certs

──httpd
└───modsecurity.d
└───local_rules
──pki
└───tls
└───certs

El repositorio se sincroniza periódicamente manteniendo una copia en /etc/certuy.

En caso de que se detecten cambios en los archivos de configuración durante la sincronización, el mismo
script se encarga de distribuirlas en los diferentes sistemas (apache, filebeat), validar las nuevas
configuraciones y eventualmente reiniciar los servicios.

En caso de haber algún error en la configuración el script realiza un roolback y vuelve a la configuración
anterior.

Si bien la sincronización se realiza automáticamente, el operador puede forzar una sincronización manual
mediante el script:

[staff@waff ~] /etc/cron.daily/certuy-sincro.sh.
Consultoría Despliegue WAF - Instalación y Configuración Inicial de ISO - Página 20/21

4.4 FileBeat
Filebeat y el Logstash se autentican mutuamente. Además la comunicación entre ambos se cifra utilizando
las claves generadas por AGESIC (para el intercambio entre AGESIC y el organismo) o las claves generadas
por la Autoridad Certificadora del organismo (para el intercambio entre el filebeat y el logstash instalados
localmente en la misma institución).

Filebeat no soporta claves privadas con passphrase, por lo que es necesario tener en cuenta esto al
momento de generar dichos certificados. Además el certificado deberá estar en formato PEM. Los
certificados para el filebeat se deberán llamar filebeat.cer y filebeat.key para la clave pública y privada
respectivamente.

Otro detalle al momento de la generación de los certificados es si se utiliza un nombre o una IP para el
mismo. Para esto tener en cuenta que actualmente se solicita referencia al servidor de AGESIC por el
nombre y al servidor del organismo por su IP.

Los certificados de autoridades certificadoras intermedias aún no están soportados, por lo tanto si se
encuentra en este caso, lo que se debe hacer es concatenar los certificados de la CA Raíz y el de la CA
Intermedia en uno solo certificado y usar el mismo como certificado de la CA.

4.4.1 Logs enviados y el formato


A cada log se le adjunta un TAG con el objetivo de poder identificarlo y manejarlo como sea necesario por
parte del logstash. A continuación se muestra una tabla con los archivos de logs a ser enviados, indicando el
tag y el formato de cada uno.

Archivo de log TAG Formato


/var/log/secure
/var/log/messages syslog Estándar
/var/log/cron
/var/log/audit/audit.log SELinux Estándar
/var/log/aide/aide.log aide Estándar
/var/log/aide/reports/*.txt aide-reports Estándar
/var/log/systeminfo/disk.log diskfree Multiline (salida del df)
/var/log/systeminfo/network.log network-stat Json
/var/log/systeminfo/cpu.log
sysstat CSV
/var/log/systeminfo/memory.log
/var/log/httpd/audit/audit.log modsecurity Json
/var/log/httpd/access_log
/var/log/httpd/error_log
/var/log/httpd/ssl_access_log apache Estándar
/var/log/httpd/ssl_error_log
/var/log/httpd/ssl_request_log
Tabla 2 - Archivos de Logs
Consultoría Despliegue WAF - Instalación y Configuración Inicial de ISO - Página 21/21

5 Referencias
N/A

También podría gustarte