Fecha: 13/10/2016 Destinatarios: Miembros del CERTuy Consultoría Despliegue WAF - Instalación y Configuración Inicial de ISO - Página 2/21
DESCARGO DE RESPONSABILIDADES (DISCLAIMER)
Este informe está destinado solamente para el uso de la entidad y/o personas a las que se dirige, puede contener información privilegiada, confidencial y de acceso restringido según la legislación aplicable. Si el lector no es el destinatario, se le notifica que cualquier divulgación, distribución o copia de este documento está estrictamente prohibida. Si ha recibido este documento por error, por favor notifique inmediatamente y devuelva el original del documento. Consultoría Despliegue WAF - Instalación y Configuración Inicial de ISO - Página 3/21
Tabla de Contenido Resumen ........................................................................................................................................ 5
4 Administración ....................................................................................................................... 17 4.1 Introducción.......................................................................................................................................................... 17 4.2 Administración de usuarios ................................................................................................................................... 17 4.2.1 Usuarios y Roles ........................................................................................................................................................... 17 4.2.2 Crear Usuarios .............................................................................................................................................................. 17 4.3 Git – Sincronización de configuración ................................................................................................................... 19 4.4 FileBeat ................................................................................................................................................................. 20 4.4.1 Logs enviados y el formato ............................................................................................................................................ 20
5 Referencias ............................................................................................................................ 21 Consultoría Despliegue WAF - Instalación y Configuración Inicial de ISO - Página 4/21
Lista de Tablas Tabla 1 – Datos requeridos ........................................................................................... 7 Tabla 2 - Archivos de Logs .......................................................................................... 20
Lista de Figuras Figura 1 – Instalación – Datos Básicos ........................................................................... 9 Figura 2 – Instalación - Configuración Disco ................................................................. 10 Figura 3 – Instalación - Configuración de red ............................................................... 11 Figura 4 – Instalación - Ingresar Passwords ................................................................. 12 Figura 5 - Instalación - Configuración WAF .................................................................. 13 Figura 6 – Instalación - Resumen ................................................................................ 14 Figura 7 – Instalación - Final ...................................................................................... 15 Figura 8 – Consola Operativa ...................................................................................... 16 Consultoría Despliegue WAF - Instalación y Configuración Inicial de ISO - Página 5/21
Resumen El objetivo de este documento es ser una guía para la instalación y configuración inicial de la ISO presentada por Tilsor. Esta ISO puede ser utilizada tanto para crear tanto un servidor WAF, como para una instalación minimal de un servidor. Consultoría Despliegue WAF - Instalación y Configuración Inicial de ISO - Página 6/21
1 Introducción En el marco del proyecto Despliegue WAF - Julio 2016 se desarrolló una solución para la instalación de CentOS 7.2 o superior, que contempla 2 perfiles de instalación personalizados según las políticas establecidas por parte de AGESIC.
La instalación se ejecuta iniciando desde el medio de instalación provisto e ingresando los datos necesarios al asistente de instalación.
A continuación se detallan los pasos a ejecutar para completar la instalación. Se detallan a su vez las indicaciones para realizar la operativa básica sobre la instalación. Consultoría Despliegue WAF - Instalación y Configuración Inicial de ISO - Página 7/21
2 Requerimientos para la instalación
2.1 Datos requeridos
Durante el transcurso de la instalación será necesario proporcionar los siguientes datos:
Dato a ingresar Posibles Valores Observaciones Obligatorio?
Hostname Si profile WAF Proxy Server minimal- Si instalation Vritualization Platform Bare Metal VMware VMware Instala VM Tools Si Particionamiento ( la suma de los porcentajes debe ser < 100) % /tmp/ Si % /var/log/audit Si % /var/www Si % Swap Si % /var/ Si % /home/ Si % /opt/ Si % /root/ Si % /var/log/ Si Datos de Red IP v4 Si Mask Si Gateway Si DNS1 Si DNS2 Si Contraseñas Grub Mínimo 8 caracteres Boot Loader Si Usuario admin Mínimo 15 caracteres Usuario Sistema operativo. Si WAF (solo aplica para WAF Proxy Server ) Backend Server Name Hostname del backend Local Logging Server No Git url Repository No Git user No Git password No
Tabla 1 – Datos requeridos
Consultoría Despliegue WAF - Instalación y Configuración Inicial de ISO - Página 8/21
2.2 Requerimientos de Hardware
WAF Proxy Server
Para la instalación bajo el perfil “WAF Proxy Server”, se necesita disponer al menos del siguiente hardware:
1vCPU 1GB Memoria Disco duro de 40 GBs 1 interfaz de red
Minimal-Instalation
Para el perfil “minimal-Instalation” se deberá evaluar en función del propósito que se le dará al host. Consultoría Despliegue WAF - Instalación y Configuración Inicial de ISO - Página 9/21
3 Guía de Instalación A continuación se detalla cada paso del asistente de instalación.
3.1 Asistente de instalación
Al iniciar el asistente se despliega la siguiente pantalla:
3.1.1 Inicio de Kickstart
Figura 1 – Instalación – Datos Básicos
En este paso se debe indicar los siguientes datos: hostname, System profile y si el servidor está virtualizado o corre sobre una máquina física.
Al completar los datos se debe seleccionar “Forward”.
Consultoría Despliegue WAF - Instalación y Configuración Inicial de ISO - Página 10/21
3.1.2 Paso 1
Figura 2 – Instalación - Configuración Disco
El asistente muestra los discos disponibles, deben seleccionarse cuál (es) se quieren utilizar.
Opcionalmente se pueden encriptar las particiones con LUKS.
Por defecto se habilita el modo FIPS a nivel de Kernel.
Se puede modificar el porcentaje de disco utilizado por cada partición, siempre la suma debe dar 100. Consultoría Despliegue WAF - Instalación y Configuración Inicial de ISO - Página 11/21
3.1.3 Paso 2
Figura 3 – Instalación - Configuración de red
En este paso todos los campos son mandatorios y se deben especificar los valores establecidos en la Tabla 1 – Datos requeridos.
En caso de contar con más de una interfaz de red seleccionar la correspondiente.
Por último seleccionar “Forward”.
Consultoría Despliegue WAF - Instalación y Configuración Inicial de ISO - Página 12/21
3.1.4 Paso 3
Figura 4 – Instalación - Ingresar Passwords
En esta pantalla se deben ingresar las claves, luego seleccionar “Fordward”.
Consultoría Despliegue WAF - Instalación y Configuración Inicial de ISO - Página 13/21
3.1.5 Paso 4
Figura 5 - Instalación - Configuración WAF
Esta pantalla se despliega solo si se seleccionó el profile “Waf Proxy Server”.
Deben ingresarse los datos correspondientes en la Tabla 1 – Datos requeridos, luego seleccionar “Forward”. Consultoría Despliegue WAF - Instalación y Configuración Inicial de ISO - Página 14/21
3.1.6 Finalización del Kickstart
Figura 6 – Instalación - Resumen
Por último el asistente despliega la pantalla de resumen simplemente click en “Close”.
Consultoría Despliegue WAF - Instalación y Configuración Inicial de ISO - Página 15/21
El proceso de instalación demora unos 10 minutos, finaliza con la siguiente pantalla:
Figura 7 – Instalación - Final
Para terminar simplemente seleccionar “Enter” para que el sistema inicie operando normalmente. Consultoría Despliegue WAF - Instalación y Configuración Inicial de ISO - Página 16/21
Luego de reiniciar, el host debe quedar en la siguiente pantalla:
Figura 8 – Consola Operativa
Consultoría Despliegue WAF - Instalación y Configuración Inicial de ISO - Página 17/21
4 Administración
4.1 Introducción En esta sección se detallan los comandos necesarios para la operativa con el waf, así como los roles definidos durante la instalación.
4.2 Administración de usuarios
4.2.1 Usuarios y Roles
Durante la instalación se crean a nivel de sistema operativo los usuarios específicos: admin, certuy, auditor y staff.
A su vez se crean los grupos: administrators, auditors y operators.
A continuación se definen los grupos creados y que usuarios pertenecen a cada uno:
Administrator: los usuarios con el rol “administrator” (pertenecientes al grupo “adnministrators”) podrán obtener root del equipo por tanto el control absoluto del mismo. Los usuarios admin y certuy tienen este rol.
Auditor: los usuarios con el rol auditor (pertenecientes al grupo “auditors”) tendrán permisos de lectura sobre todos los logs. Al usuario auditor se le asigna este rol por defecto.
Operator: los usuarios con el rol operator, (pertenecientes al grupo “operators”) podrán ejecutar todos comandos necesarios para la operativa del waf. El usuario staff se crea con este rol por defecto.
El único usuario operativo luego de la instalación es el admin y solo puede acceder por consola ya que el acceso ssh debe configurarse con un certificado digital.
4.2.2 Crear Usuarios
Para esta instalación se sugiere utilizar usuarios nominados y asignar a cada usuario el rol específico que requiera, haciéndolo pertenecer al grupo correspondiente.
Por ejemplo, para crear el usuario Ignacio Gonzalez con el rol de Administrador, se debe proceder de la siguiente manera:
[admin@waf ~]$ sudo passwd igonzalez Changing password for user igonzalez. New password: BAD PASSWORD: The password contains less than 1 uppercase letters Retype new password: Consultoría Despliegue WAF - Instalación y Configuración Inicial de ISO - Página 18/21
passwd: all authentication tokens updated successfully.
[igonzalez@ waf ~]$ sudo -l
User igonzalez may run the following commands on this host:
(ALL) ALL
Análogamente se crea el usuario Diego Perez con el privilegio de auditor, dado que el usuario igonzalez tiene el rol de administrador. Se puede crear de la siguiente manera:
Luego el usuario podrá establecer una conexión ssh.
4.3 Git – Sincronización de configuración
Para la gestión de las excepciones y la configuración y administración de las reglas de Trustwave, se utilizará como repo centralizado el GIT de AGESIC.
El repositorio se sincroniza periódicamente manteniendo una copia en /etc/certuy.
En caso de que se detecten cambios en los archivos de configuración durante la sincronización, el mismo script se encarga de distribuirlas en los diferentes sistemas (apache, filebeat), validar las nuevas configuraciones y eventualmente reiniciar los servicios.
En caso de haber algún error en la configuración el script realiza un roolback y vuelve a la configuración anterior.
Si bien la sincronización se realiza automáticamente, el operador puede forzar una sincronización manual mediante el script:
[staff@waff ~] /etc/cron.daily/certuy-sincro.sh. Consultoría Despliegue WAF - Instalación y Configuración Inicial de ISO - Página 20/21
4.4 FileBeat Filebeat y el Logstash se autentican mutuamente. Además la comunicación entre ambos se cifra utilizando las claves generadas por AGESIC (para el intercambio entre AGESIC y el organismo) o las claves generadas por la Autoridad Certificadora del organismo (para el intercambio entre el filebeat y el logstash instalados localmente en la misma institución).
Filebeat no soporta claves privadas con passphrase, por lo que es necesario tener en cuenta esto al momento de generar dichos certificados. Además el certificado deberá estar en formato PEM. Los certificados para el filebeat se deberán llamar filebeat.cer y filebeat.key para la clave pública y privada respectivamente.
Otro detalle al momento de la generación de los certificados es si se utiliza un nombre o una IP para el mismo. Para esto tener en cuenta que actualmente se solicita referencia al servidor de AGESIC por el nombre y al servidor del organismo por su IP.
Los certificados de autoridades certificadoras intermedias aún no están soportados, por lo tanto si se encuentra en este caso, lo que se debe hacer es concatenar los certificados de la CA Raíz y el de la CA Intermedia en uno solo certificado y usar el mismo como certificado de la CA.
4.4.1 Logs enviados y el formato
A cada log se le adjunta un TAG con el objetivo de poder identificarlo y manejarlo como sea necesario por parte del logstash. A continuación se muestra una tabla con los archivos de logs a ser enviados, indicando el tag y el formato de cada uno.
Archivo de log TAG Formato
/var/log/secure /var/log/messages syslog Estándar /var/log/cron /var/log/audit/audit.log SELinux Estándar /var/log/aide/aide.log aide Estándar /var/log/aide/reports/*.txt aide-reports Estándar /var/log/systeminfo/disk.log diskfree Multiline (salida del df) /var/log/systeminfo/network.log network-stat Json /var/log/systeminfo/cpu.log sysstat CSV /var/log/systeminfo/memory.log /var/log/httpd/audit/audit.log modsecurity Json /var/log/httpd/access_log /var/log/httpd/error_log /var/log/httpd/ssl_access_log apache Estándar /var/log/httpd/ssl_error_log /var/log/httpd/ssl_request_log Tabla 2 - Archivos de Logs Consultoría Despliegue WAF - Instalación y Configuración Inicial de ISO - Página 21/21
