IBM POWERSC - PROFI Engineering Systems AG
IBM POWERSC - PROFI Engineering Systems AG
IBM POWERSC - PROFI Engineering Systems AG
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
<strong>IBM</strong> <strong>POWERSC</strong><br />
Sicherheitsmanagement und Compliance-Messungen
<strong>AG</strong>ENDA<br />
01 Security and Compliance Automation<br />
02 PowerSC Realtime Compliance (RTC)<br />
03 Trusted Boot<br />
04 Trusted Firewall<br />
05 Trusted Logging<br />
06 Trusted Network Connect and Patch management<br />
2<br />
20.08.2013 Sicherheitsmanagement und Compliance-Messungen
SECURITY AND COMPLIANCE<br />
AUTOMATION<br />
3<br />
20.08.2013 Sicherheitsmanagement und Compliance-Messungen
BESCHREIBUNG<br />
• Automatische Konfiguration, Monitoring und Auditing von AIX Systemen<br />
• Verwendet AIXPERT und ARTEX<br />
• Überwachung durch "AIX profile Manager Plug-in des <strong>IBM</strong> <strong>Systems</strong> Directors"<br />
• Vier zusätzliche vordefinierte Standards<br />
Payment Card Industry Security Standard v1.2 (PCI DSS)<br />
Sarbanes-Oxley Act and COBIT compliance (SOX/COBIT)<br />
U.S. Department of Defense (DoD) STIG<br />
Health Insurance Portability and Accountability Act (HIPAA)<br />
• Zusätzliche Skripte unter /etc/security/aixpert/bin<br />
Diese werden von den zusätzlichen XML Dateien benötigt und bieten erweiterte Funktionalitäten<br />
• Diese Standards können auch "customized" werden<br />
• Bestandteil der PowerSC Express Edition<br />
4 20.08.2013<br />
Sicherheitsmanagement und Compliance-Messungen
VORAUSSETZUNGEN<br />
• POWER5<br />
• POWER6<br />
• POWER7<br />
• AIX 6.1: minimumTL7<br />
• AIX 7.1: minimumTL1<br />
• Optional: <strong>IBM</strong> <strong>Systems</strong> Director mit dem AIX Profile Manager Plugin<br />
5 20.08.2013<br />
Sicherheitsmanagement und Compliance-Messungen
INSTALLATION UND KONFIGURATION<br />
PowerSC<br />
• Filesets powerscExp.ice und powerscExp.licence installieren<br />
AIX Profile Manger<br />
• Starten des Installationsskriptes APMgrSetup.sh auf dem <strong>IBM</strong> <strong>Systems</strong> Director<br />
• Nach der Installation muss der <strong>IBM</strong> <strong>Systems</strong> Director neu gestartet werden<br />
• Profile Mangager Plugin erscheint vorerst nicht, da vorher ein Update eingespielt werden muss<br />
<strong>IBM</strong> Fix Central (www.ibm.com/support/fixcentral/) aufrufen<br />
Unter Produkt den <strong>IBM</strong> <strong>Systems</strong> Director auswählen<br />
unzip /mnt/Profile_Manager/update/com.ibm.director.artex.feature_1.1.1.10.zip<br />
unzip /mnt/Profile_Manager/update/com.ibm.director.artex.update.feature_1.1.1.10.zip<br />
smcli importupd -vr /mnt/Profile_Manager/update<br />
In der <strong>IBM</strong> <strong>Systems</strong> Director GUI "Release Management -> Updates -> Update <strong>IBM</strong> <strong>Systems</strong> Director" auswählen<br />
6 20.08.2013<br />
Sicherheitsmanagement und Compliance-Messungen
ANWENDUNG ÜBER KOMMANDOZEILE<br />
Vordefinierte Standards manuell einspielen<br />
• PCI DSS<br />
aixpert -f /etc/security/aixpert/custom/PCI.xml<br />
• SOX/COBIT<br />
aixpert -f /etc/security/aixpert/custom/SOX-COBIT.xml<br />
• DoD STIG<br />
aixpert -f /etc/security/aixpert/custom/DoD.xml<br />
• HIPAA<br />
aixpert -f /etc/security/aixpert/custom/HIPAA.xml<br />
Beispiel: PCI-DSS:<br />
# aixpert -f custom/PCI.xml<br />
AUDITBIN: ** failed backend command /usr/sbin/auditcat -p -o /audit/trail -r /audit/bin1<br />
do_action(): rule(pci_SecureLPM): warning.<br />
do_action(): Warning: Prereq failed for prereqsecmig<br />
Processedrules=80 Passedrules=79 Failedrules=1 Level=AllRules<br />
Input file=custom/PCI.xml<br />
# /usr/sbin/auditcat -p -o /audit/trail -r /audit/bin1<br />
auditcat: ** out of memory<br />
auditcat: There is not enough memory available now.<br />
7 20.08.2013<br />
Sicherheitsmanagement und Compliance-Messungen
ANWENDUNG MIT AIX <strong>PROFI</strong>LE MAN<strong>AG</strong>ER<br />
8 20.08.2013<br />
Sicherheitsmanagement und Compliance-Messungen
ANWENDUNG MIT AIX <strong>PROFI</strong>LE MAN<strong>AG</strong>ER<br />
9 20.08.2013<br />
Sicherheitsmanagement und Compliance-Messungen
ANWENDUNG MIT AIX <strong>PROFI</strong>LE MAN<strong>AG</strong>ER<br />
10 20.08.2013<br />
Sicherheitsmanagement und Compliance-Messungen
ANWENDUNG MIT AIX <strong>PROFI</strong>LE MAN<strong>AG</strong>ER<br />
11 20.08.2013<br />
Sicherheitsmanagement und Compliance-Messungen
ANWENDUNG MIT AIX <strong>PROFI</strong>LE MAN<strong>AG</strong>ER<br />
12 20.08.2013<br />
Sicherheitsmanagement und Compliance-Messungen
ANWENDUNG MIT AIX <strong>PROFI</strong>LE MAN<strong>AG</strong>ER<br />
13 20.08.2013<br />
Sicherheitsmanagement und Compliance-Messungen
ANWENDUNG MIT AIX <strong>PROFI</strong>LE MAN<strong>AG</strong>ER<br />
14 20.08.2013<br />
Sicherheitsmanagement und Compliance-Messungen
ANWENDUNG MIT AIX <strong>PROFI</strong>LE MAN<strong>AG</strong>ER<br />
15 20.08.2013<br />
Sicherheitsmanagement und Compliance-Messungen
<strong>POWERSC</strong> REALTIME<br />
COMPLIANCE<br />
16<br />
20.08.2013 Sicherheitsmanagement und Compliance-Messungen
BESCHREIBUNG<br />
• Überwacht Dateien auf Inhalt und Berechtigungen<br />
• Informiert in Echtzeit über Email und SNMP wenn Änderungen vorgenommen<br />
wurden.<br />
• Bestandteil der PowerSC Express Edition<br />
17 20.08.2013<br />
Sicherheitsmanagement und Compliance-Messungen
VORAUSSETZUNGEN<br />
• POWER5<br />
• POWER6<br />
• POWER7<br />
• AIX 6.1: minimumTL7<br />
• AIX 7.1: minimumTL1<br />
18 20.08.2013<br />
Sicherheitsmanagement und Compliance-Messungen
INSTALLATION UND KONFIGURATION<br />
PowerSC<br />
Filesets powerscExp.ice und powerscExp.licence installieren<br />
Konfiguration<br />
Software<br />
smitty RTC<br />
commandline mkrtc<br />
Policy<br />
Konfiguration der Alerts /etc/security/rtc/rtcd.conf<br />
19 20.08.2013<br />
Sicherheitsmanagement und Compliance-Messungen
TRUSTED BOOT<br />
20<br />
20.08.2013 Sicherheitsmanagement und Compliance-Messungen
BESCHREIBUNG<br />
• Gewährleistet die Integrität zwischen virtuellem Server und dem Boot Image auf<br />
Basis von TPM (Trusted Platform Module) Technologie<br />
• Boot Images und OS werden kryptografisch gekennzeichnet und durch TPM<br />
validiert<br />
• Bestandteil der PowerSC Standard Edition<br />
21 20.08.2013<br />
Sicherheitsmanagement und Compliance-Messungen
VORAUSSETZUNGEN<br />
• POWER7, mindestens Firmware eFW7.4<br />
• AIX 6.1: minimumTL7<br />
• AIX 7.1: minimumTL1<br />
22 20.08.2013<br />
Sicherheitsmanagement und Compliance-Messungen
INSTALLATION UND KONFIGURATION<br />
PowerSC<br />
Filesets powerscStd.vtpm und powerscStd.license installieren<br />
Collector<br />
Fileset openpts.collector installieren<br />
Verifier<br />
Fileset openpts.verifier installieren<br />
ssh-keygen<br />
scp ~/.ssh/id_rsa.pub :/tmp<br />
cat /tmp/id_rsa.pub >> ~/.ssh/authorized_keys<br />
23 20.08.2013<br />
Sicherheitsmanagement und Compliance-Messungen
INSTALLATION UND KONFIGURATION<br />
HMC<br />
vTPM auf der Collector LPAR<br />
Ausschalten der Collector LPAR<br />
Starten der Collector LPAR<br />
Aktivierung<br />
Collector: ptsc -i (initial)<br />
Verifier: openpts -i <br />
GUI (/opt/ibm/openpts_gui/openpts_GUI.sh)<br />
24 20.08.2013<br />
Sicherheitsmanagement und Compliance-Messungen
TRUSTED FIREWALL<br />
25<br />
20.08.2013 Sicherheitsmanagement und Compliance-Messungen
BESCHREIBUNG<br />
• Ermöglicht sicheres direktes Routing zwischen internen VLANs<br />
• Externer Netzwerk Traffic wird nicht gefiltert<br />
• Netzwerk Traffic innerhalb eines VLANs wird nicht gefiltert<br />
• Firewall läuft auf den VIO Servern als Kernel Extension<br />
• Kernel Extension wird als Secure Virtual Machine (SVM) bezeichnet<br />
• Bestandteil der PowerSC Standard Edition<br />
26 20.08.2013<br />
Sicherheitsmanagement und Compliance-Messungen
VORAUSSETZUNGEN<br />
• POWER6<br />
• POWER7<br />
• AIX 6.1: minimumTL7<br />
• AIX 7.1: minimumTL1<br />
• Virtual I/O Server ab Version 2.2.1.4<br />
27 20.08.2013<br />
Sicherheitsmanagement und Compliance-Messungen
INSTALLATION UND KONFIGURATION<br />
PowerSC<br />
powerscStd.svm auf den VIO Servern installieren<br />
Konfiguration<br />
SVM Initialisieren: mksvm<br />
SVM Starten: vlantfw -s<br />
SVM Stoppen: vlantfw -t<br />
SVM Status: vlantfw -q<br />
IP Mappings anzeigen: vlantfw -d<br />
IP Mappings entfernen: vlantfw -f<br />
Befehle<br />
mksvm<br />
genvfilt<br />
mkvfilt<br />
lsvfilt<br />
rmvfilt<br />
vlantfw<br />
28 20.08.2013<br />
Sicherheitsmanagement und Compliance-Messungen
TRUSTED LOGGING<br />
29<br />
20.08.2013 Sicherheitsmanagement und Compliance-Messungen
BESCHREIBUNG<br />
• Ermöglicht zentralisiertes und sicheres Logging über die VIOS<br />
• Auf die Log Dateien kann nur noch über die VIOS zugegriffen werden<br />
• Log Einträge werden über den Hypervisor an die VIOS übertragen<br />
• VIOS sichert Log Dateien lokal oder über FC LUNs<br />
• Über zwei VIOS zur Verfügung gestellte Log Devices erfordern Shared-Storage-<br />
Pools<br />
• Bestandteil der PowerSC Standard Edition<br />
30 20.08.2013<br />
Sicherheitsmanagement und Compliance-Messungen
VORAUSSETZUNGEN<br />
• POWER5<br />
• POWER6<br />
• POWER7<br />
• AIX 6.1: minimumTL7<br />
• AIX 7.1: minimumTL1<br />
• Virtual I/O Server ab Version 2.2.1.0<br />
31 20.08.2013<br />
Sicherheitsmanagement und Compliance-Messungen
INSTALLATION UND KONFIGURATION<br />
PowerSC<br />
Fileset powerscStd.vlog auf den Clients installieren<br />
Auf den VIOS ist keine Installation notwendig<br />
Erstellen eines lokalen vlog Devices auf den VIOS<br />
$ mkvlog -name audit -client lpar-01<br />
Virtual log 00000000000000005b3f6b7cfcec4c67 created<br />
$ mkvlog -uuid 00000000000000005b3f6b7cfcec4c67 -vadapter vhost0<br />
oder gleichzeitig in einem Befehl:<br />
$ mkvlog -name audit -vadapter vhost0<br />
32 20.08.2013<br />
Sicherheitsmanagement und Compliance-Messungen
VMCONTROL – CREATE VIO SHARED STOR<strong>AG</strong>E POOL<br />
Hostnames must be FQN (vio1a.profinet.intern) !!!<br />
33<br />
20.08.2013 Sicherheitsmanagement und Compliance-Messungen
VMCONTROL – CREATE VIO SHARED STOR<strong>AG</strong>E POOL<br />
34<br />
20.08.2013 Sicherheitsmanagement und Compliance-Messungen
VMCONTROL – CREATE VIO SHARED STOR<strong>AG</strong>E POOL<br />
35<br />
20.08.2013 Sicherheitsmanagement und Compliance-Messungen
VMCONTROL – CREATE VIO SHARED STOR<strong>AG</strong>E POOL<br />
36<br />
20.08.2013 Sicherheitsmanagement und Compliance-Messungen
VMCONTROL – CREATE VIO SHARED STOR<strong>AG</strong>E POOL<br />
37<br />
20.08.2013 Sicherheitsmanagement und Compliance-Messungen
VMCONTROL – CREATE VIO SHARED STOR<strong>AG</strong>E POOL<br />
38<br />
20.08.2013 Sicherheitsmanagement und Compliance-Messungen
VMCONTROL – CREATE VIO SHARED STOR<strong>AG</strong>E POOL<br />
39<br />
20.08.2013 Sicherheitsmanagement und Compliance-Messungen
VMCONTROL – CREATE VIO SHARED STOR<strong>AG</strong>E POOL<br />
40<br />
20.08.2013 Sicherheitsmanagement und Compliance-Messungen
VMCONTROL – CREATE VIO SHARED STOR<strong>AG</strong>E POOL<br />
41<br />
20.08.2013 Sicherheitsmanagement und Compliance-Messungen
INSTALLATION UND KONFIGURATION<br />
Erstellen eines vlog Devices im Shared-Storage-Pool<br />
$ cluster -status -clustername profiviosspcluster<br />
Cluster Name<br />
State<br />
profiviosspcluster OK<br />
Node Name MTM Partition Num State Pool State<br />
vio1a 8233-E8B020629E9P 71 OK OK<br />
vio1b 8233-E8B020629E9P 72 OK OK<br />
vio2a 8203-E4A020698E64 1 OK OK<br />
vio2b 8203-E4A020698E64 2 OK OK<br />
$ lsvlrepo<br />
Storage Pool State Path<br />
enabled /var/vio/vlogs<br />
profiviossp1 enabled /var/vio/SSP/profiviosspcluster/D_E_F_A_U_L_T_061310/vlogs/<br />
$ mkvlog -sp profiviossp1 -name syslog -vadapter vhost4<br />
Virtual log 0f4402177e847a518c8b31de79d92718 created<br />
vtlogs1 Available<br />
$ ls -l /var/vio/SSP/profiviosspcluster/D_E_F_A_U_L_T_061310/vlogs/nimsrv/<br />
total 0<br />
drwxr-xr-x 2 root system 512 Jun 14 16:33 syslog<br />
42 20.08.2013<br />
Sicherheitsmanagement und Compliance-Messungen
INSTALLATION UND KONFIGURATION<br />
$ hostname<br />
vio1a.profinet.intern<br />
$ ls -l /var/vio/SSP/profiviosspcluster/D_E_F_A_U_L_T_061310/vlogs/nimsrv/syslog/<br />
total 8<br />
-rw-r----- 1 root staff 206 Jun 14 16:33 nimsrv_syslog.state.000<br />
$ hostname<br />
vio1b.profinet.intern<br />
$ ls -l /var/vio/SSP/profiviosspcluster/D_E_F_A_U_L_T_061310/vlogs/nimsrv/syslog/<br />
total 8<br />
-rw-r----- 1 root staff 206 Jun 14 16:33 nimsrv_syslog.state.000<br />
Erstellen eines lokalen vlog Devices auf einer Client LPAR<br />
# hostname nimsrv<br />
# cfgmgr<br />
# lsdev -Fname -tvlog | xargs -L1 lsattr -Ea log_name -F"name value" -l<br />
vlog0 nimsrvlog1<br />
vlog1 syslog<br />
# grep vlog /etc/syslog.conf<br />
*.debug<br />
/dev/vlog1<br />
# refresh -s syslogd 0513-095 The request for subsystem refresh was completed successfully.<br />
43 20.08.2013<br />
Sicherheitsmanagement und Compliance-Messungen
INSTALLATION UND KONFIGURATION<br />
Überprüfen der Konfiguration<br />
$ ls -l /var/vio/SSP/profiviosspcluster/D_E_F_A_U_L_T_061310/vlogs/nimsrv/syslog/<br />
total 16<br />
-rw-r----- 1 root staff 52 Jun 14 16:40 nimsrv_syslog.000<br />
-rw-r----- 1 root staff 674 Jun 14 16:40 nimsrv_syslog.state.000<br />
$ cat /var/vio/SSP/profiviosspcluster/D_E_F_A_U_L_T_061310/vlogs/nimsrv/syslog/nimsrv_syslog.000<br />
Jun 14 16:40:04 nimsrv syslog:info syslogd: restart<br />
Jun 14 16:41:18 nimsrv auth|security:info sshd[8323284]: Accepted publickey for root from 10.120.5.106 port 58124 ssh2<br />
44 20.08.2013<br />
Sicherheitsmanagement und Compliance-Messungen
TRUSTED NETWORK CONNECT<br />
AND PATCH MAN<strong>AG</strong>EMENT<br />
45<br />
20.08.2013 Sicherheitsmanagement und Compliance-Messungen
BESCHREIBUNG<br />
• Ermöglicht die Überwachung der SP Level Stände anhand definierter Policies<br />
• Ermöglicht Updates von LPARs anhand definierter Policies<br />
• Kann Netzwerk Verbindungen von Client LPARs unterbinden, wenn diese nicht dem<br />
definierten Sicherheitsstandard entsprechen<br />
• Verwendet SUMA für die SP Downloads<br />
• Bestandteil der PowerSC Standard Edition<br />
46 20.08.2013<br />
Sicherheitsmanagement und Compliance-Messungen
VORAUSSETZUNGEN<br />
• POWER5<br />
• POWER6<br />
• POWER7<br />
• AIX 6.1: minimumTL7<br />
• AIX 7.1: minimumTL1<br />
• Virtual I/O Server ab Version 2.2.1.0<br />
47 20.08.2013<br />
Sicherheitsmanagement und Compliance-Messungen
INSTALLATION UND KONFIGURATION<br />
PowerSC<br />
Fileset powerscStd.tnc_pm.rte installieren<br />
TNCPM Server konfigurieren - erstellt auch die /etc/tncpm.conf Datei<br />
# tncpmconsole mktncpm pmport=38240 tncserver=172.18.20.66:42830<br />
Data from conf file :TNCPM<br />
...Error parsing configuration: -1<br />
...ERROR initDB failed: -1<br />
...ERROR init failed: -1<br />
tncpmd daemon started successfully pid 8257594<br />
TNCPM Server initialisieren (lädt automatischen den aktuellsten SP für den TL herunter). Besteht bereits eine Repository unter<br />
/var/tnc/tncpm/fix_repositories/ wird diese erkannt - ein erneuter Download wird nicht durchgeführt.<br />
# tncpmconsole init -i 1440 -l 7100-01 -A<br />
accept_all_licenses for TNC Clients update set to yes<br />
New Service Pack interval check set to 1440<br />
Initializing 7100-01<br />
# tncpmconsole list -s<br />
fix_repository_path : /var/tnc/tncpm/fix_repositories<br />
Latest_SP_List : 7100-01-07<br />
SP_List :<br />
48 20.08.2013<br />
Sicherheitsmanagement und Compliance-Messungen
INSTALLATION UND KONFIGURATION<br />
Sollte die Option "-A" (Accepts all license agreements when performing client updates) vergessen worden sein, kann dies<br />
nachträglich geändert werden:<br />
# tncpmconsole modify -g yes<br />
accept_all_licenses for TNC Clients update set to yes<br />
Zusätzlichen TL hinzufügen:<br />
# tncpmconsole add -l 7100-02<br />
Liste der verfügbaren TL und SP anzeigen:<br />
# tncpmconsole list -s<br />
fix_repository_path : /var/tnc/tncpm/fix_repositories<br />
Latest_SP_List : 7100-01-07,7100-02-02<br />
SP_List :<br />
user_defined_SP_List :<br />
Einen bestimmten SP hinzufügen:<br />
# tncpmconsole add -p 7100-01-01<br />
# tncpmconsole list -s<br />
fix_repository_path : /var/tnc/tncpm/fix_repositories<br />
Latest_SP_List : 7100-01-07,7100-02-02<br />
SP_List : 7100-01-01<br />
user_defined_SP_List :<br />
49 20.08.2013<br />
Sicherheitsmanagement und Compliance-Messungen
INSTALLATION UND KONFIGURATION<br />
Ressourcen werden als normale NIM Ressourcen definiert:<br />
# lsnim -t lpp_source|grep tnc|sort<br />
tncpm_7100-01-01_lpp resources lpp_source<br />
tncpm_7100-01-07_lpp resources lpp_source<br />
tncpm_7100-02-02_lpp resources lpp_source<br />
# lsnim -l tncpm_7100-02-02_lpp<br />
tncpm_7100-02-02_lpp:<br />
class = resources<br />
type = lpp_source<br />
arch = power<br />
Rstate = ready for use<br />
prev_state = unavailable for use<br />
location = /var/tnc/tncpm/fix_repositories/7100-02/SPs/7100-02-02<br />
alloc_count = 0<br />
server = master<br />
50 20.08.2013<br />
Sicherheitsmanagement und Compliance-Messungen
INSTALLATION UND KONFIGURATION<br />
TNC Server konfigurieren:<br />
# tncconsole mkserver tncport=42830 pmserver=172.18.20.66:38240<br />
Data from conf file :TNCPM,SERVER<br />
tnccsd daemon started successfully pid 8716466<br />
TNC Client Konfiguration (auf dem Client System):<br />
aix130:/ # tncconsole mkclient tncport=42830 tncserver=172.18.20.66:42830<br />
Data from conf file :CLIENT<br />
# tncconsole list -s ALL -i ALL<br />
#ip Release TL SP status time trustlevel<br />
172.18.20.130 7100 1 3 FAILED 2013-06-12 15:04:55 TRUSTED<br />
Das Client Zertifikat wurde zwar automatisch in die TNC Server Datenbank mit aufgenommen, wurde aber nicht automatisch als<br />
vertrauenswürdig eingestuft. Dieses muss manuell durchgeführt werden:<br />
# tncconsole certadd -i 172.18.20.130 -t TRUSTED<br />
Sollten Server mit Ihrem Hostnamen hinzugefügt worden sein, müssen beim certadd Befehl trotzdem die IP Adressen verwendet<br />
werden:<br />
# tncconsole certadd -i aix130 -t TRUSTED<br />
Error updating the attribute trustlevel<br />
51 20.08.2013<br />
Sicherheitsmanagement und Compliance-Messungen
INSTALLATION UND KONFIGURATION<br />
Hinzufügen des Clients auf dem TNC Server durch manuelle Verifizierung:<br />
# tncconsole verify -i aix130<br />
Verification operation initiated in background for host<br />
Überpfügen der Logs auf dem Server:<br />
# tncconsole list -H -i ALL<br />
#ip Release TL SP status time lslpp<br />
172.18.20.130 7100 1 3 FAILED 2013-06-12 15:04:56 No matching policy (rele/TL) configured<br />
# tncconsole list -s ALL -i ALL<br />
#ip Release TL SP status time trustlevel<br />
172.18.20.130 7100 1 3 FAILED 2013-06-12 15:04:55 UNTRUSTED<br />
52 20.08.2013<br />
Sicherheitsmanagement und Compliance-Messungen
TNCPM MAN<strong>AG</strong>EMENT<br />
Policy Gruppen<br />
• Enthalten eine oder mehrere Files-Set-Policies (FSPolicy)<br />
• Enthält eine Policy Gruppe mehrere Files-Set-Policies, muss der assoziierte Client dem aktuellsten<br />
SP seines TL's entsprechen<br />
• Bilden die Verbindung zwischen File-Set-Policies und IP Gruppen<br />
File-Set-Policies<br />
• Eine Files-Set-Policies definiert, welchen TL und SP Stand ein Client haben muss<br />
IP Gruppen<br />
• Enthalten mehrere IP Adressen<br />
• Jede IP Adressen kann nur in einer Gruppe sein<br />
• Eine IP Gruppe ist mit einer Policy Gruppe assoziiert<br />
53 20.08.2013<br />
Sicherheitsmanagement und Compliance-Messungen
TNCPM MAN<strong>AG</strong>EMENT<br />
IP Gruppe definieren:<br />
# tncconsole add -G aix61_grp ip=172.18.20.67<br />
Successfully added the attribute IP group<br />
# tncconsole add -G aix71_grp ip=172.18.20.130,172.18.20.88<br />
Successfully added the attribute IP group<br />
Successfully added the attribute IP group<br />
IP Gruppen anzeigen:<br />
# tncconsole list -G aix71_grp<br />
#ipgroupname<br />
ip<br />
aix71_grp 172.18.20.130<br />
aix71_grp 172.18.20.88<br />
# tncconsole list -G ALL<br />
#ipgroupname<br />
ip<br />
aix61_grp 172.18.20.67<br />
aix71_grp 172.18.20.130<br />
aix71_grp 172.18.20.88<br />
54 20.08.2013<br />
Sicherheitsmanagement und Compliance-Messungen
TNCPM MAN<strong>AG</strong>EMENT<br />
Erstellen einer FS Policy:<br />
# tncconsole add -F aix6100-07-07_fspol -r 6100-07-07<br />
Successfully added the attribute FSPOLICY<br />
# tncconsole add -F aix7100-01-01_fspol -r 7100-01-01<br />
Successfully added the attribute FSPOLICY<br />
# tncconsole add -F aix7100-01-07_fspol -r 7100-01-07<br />
Successfully added the attribute FSPOLICY<br />
Anzeigen der definierten FS Policies:<br />
# tncconsole list -F ALL<br />
#fspolicyname Release TL SP<br />
aix6100-07-07_fspol 6100 7 7<br />
aix7100-01-07_fspol 7100 1 7<br />
aix7100-01-01_fspol 7100 1 1<br />
55 20.08.2013<br />
Sicherheitsmanagement und Compliance-Messungen
TNCPM MAN<strong>AG</strong>EMENT<br />
Erstellen einer Policy Gruppe und assoziieren zu einer IP Gruppe:<br />
# tncconsole add -P aix71-prod_pol ipgroup=aix71_grp<br />
Successfully added the attribute IP group<br />
Anzeigen aller Policy Gruppen:<br />
# tncconsole list -P ALL<br />
#policyname<br />
groupname<br />
aix71-prod_pol aix71_grp<br />
Assoziieren einer FSPolicy zu einer Policy Gruppe :<br />
# tncconsole add -P aix71-prod_pol fspolicy=aix7100-01-01_fspol,aix7100-01-07_fspol<br />
Successfully added the attribute FS policy<br />
Successfully added the attribute FS policy<br />
Anzeigen aller Policy Gruppen:<br />
# tncconsole list -P ALL<br />
#policyname groupname subpolicy<br />
aix71-prod_pol aix71_grp aix7100-01-01_fspol<br />
aix71-prod_pol aix71_grp aix7100-01-07_fspol<br />
56 20.08.2013<br />
Sicherheitsmanagement und Compliance-Messungen
TNCPM MAN<strong>AG</strong>EMENT<br />
Clients verifizieren:<br />
# tncconsole verify -i 172.18.20.67<br />
Verification operation initiated in background for host<br />
# tncconsole list -H –i 172.18.20.67<br />
#ip Release TL SP status time lslpp<br />
172.18.20.67 6100 7 5 FAILED 2013-06-12 17:34:22 #(baselower.rpt)<br />
Clients Verifizierung ist nicht konsistent:<br />
# tncconsole list -s ALL -i ALL<br />
#ip Release TL SP status time trustlevel<br />
172.18.20.88 7100 1 3 FAILED 2013-06-12 17:14:04 TRUSTED<br />
172.18.20.67 6100 7 5 FAILED 2013-06-12 17:34:21 TRUSTED<br />
172.18.20.130 7100 1 3 COMPLIANT 2013-06-12 17:34:45 TRUSTED<br />
Client Update initiieren:<br />
tncconsole update -i 172.18.20.67 -r 6100-07-07<br />
# tncconsole list -H -i 172.18.20.67<br />
#ip Release TL SP status time lslpp<br />
172.18.20.67 6100 7 5 FAILED 2013-06-12 15:29:08 No matching policy (rele/TL) configured<br />
172.18.20.67 6100 7 5 FAILED 2013-06-12 17:14:13 No matching policy (rele/TL) configured<br />
172.18.20.67 0 0 0 INSTALL_FAILED 2013-06-12 17:24:09 Unable to initiate connection with TNCPM server<br />
57 20.08.2013<br />
Sicherheitsmanagement und Compliance-Messungen
TNCPM MAN<strong>AG</strong>EMENT<br />
Client Update funktioniert leider nicht. Im syslog finden sich folgende Einträge:<br />
Jun 12 17:25:25 nimsrv daemon:info TNC:tnccsd[8716478]: Processing connection from client : 172.18.20.67<br />
Jun 12 17:25:25 nimsrv daemon:info TNC:tnccsd[8716478]: Server side CA cert not available<br />
Jun 12 17:25:25 nimsrv daemon:info TNC:tnccsd[8716478]: TLS Client SSL connection using<br />
Jun 12 17:25:25 nimsrv daemon:info TNC:tnccsd[8716478]: Stored and offered certificates are same<br />
Jun 12 17:25:36 nimsrv daemon:info TNC:tnccsd[8716478]: Apar List = IZ92631 IV15497 IV16241 IV21381 IV21381<br />
Jun 12 17:25:36 nimsrv daemon:info TNC:tnccsd[8716478]: Verifying the client: 172.18.20.67, which has rele = 6100, tl = 7, sp = 5<br />
Jun 12 17:25:36 nimsrv daemon:info TNC:tnccsd[8716478]: Attribute not found: Release<br />
Jun 12 17:25:36 nimsrv daemon:info TNC:tnccsd[8716478]: Attribute not found: TL<br />
Jun 12 17:25:36 nimsrv daemon:info TNC:tnccsd[8716478]: Attribute not found: SP<br />
Jun 12 17:25:36 nimsrv daemon:info TNC:tnccsd[8716478]: Attribute not found: filename<br />
Jun 12 17:25:36 nimsrv daemon:info TNC:tnccsd[8716478]: Attribute not found: filename<br />
Jun 12 17:25:36 nimsrv daemon:info TNC:tnccsd[8716478]: Attributes read:RELEASE= 0, TL = 0, SP = 0<br />
Jun 12 17:25:36 nimsrv daemon:err|error TNC:tnccsd[8716478]: Error in GetClientLevelInfoFromDB()<br />
Jun 12 17:25:39 nimsrv daemon:err|error TNC:tnccsd[8716478]: Could not fetch the genCopyFile from DB<br />
Jun 12 17:26:29 nimsrv daemon:err|error TNC:tnccsd[4456636]: Received signal 15. Exiting..<br />
58 20.08.2013<br />
Sicherheitsmanagement und Compliance-Messungen
ZUSAMMENFASSUNG<br />
59<br />
20.08.2013 Sicherheitsmanagement und Compliance-Messungen
PROBLEME<br />
• Security and Compliance Automation: Einspielen von Profilen über den AIX Profile Manager funktioniert<br />
nicht zu 100%. Nach dem Einspielen eines Profils wurden zwar 0% Differenz angezeigt, ein nachfolgender<br />
Compare zeigte anschließend 100% Differenz an.<br />
• TNCPM: Verwendung von Hostnamen nicht konsistent möglich, daher kaum in größeren Umgebungen<br />
einsetzbar:<br />
• Client kann mit Namen angelegt werden, als Parameter bei Befehlen muss aber die IP verwendet werden<br />
• Wurde ein Client mit Namen angelegt, kann dessen History nicht mehr gelöscht werden<br />
# tncconsole list -I -i ALL<br />
#ip<br />
p62pm<br />
aixlpar3<br />
sysdir<br />
# tncconsole list -I -i p62pm<br />
Host p62pm does not exists<br />
• Wurde ein Client mit Namen angelegt, kann dieser nicht mehr gelöscht werden<br />
60 20.08.2013<br />
Sicherheitsmanagement und Compliance-Messungen
PROBLEME<br />
• Fehlermeldungen sind größtenteils nicht aussagekräftig<br />
• Wird beim Initiieren des TNC Servers mit tncconsole mkserver der Hostname statt der IP angegeben, erscheint lediglich die<br />
Fehlermeldung, dass der Prozess nicht gestartet wurde<br />
• Nach versehentlichen löschen der Datei /etc/tnc_config konnte der TNC Server nicht mehr gestartet werden. Fehlermeldungen dazu<br />
gab es keine. Nur mit Hilfe des truss Kommandos konnte die Ursache festgestellt werden<br />
• Dokumentation teilweise inkonsistent und fehlerhaft. Nachfolgende zwei Beispiele<br />
• Die Manual Page zum Befehl tncpmconsole list gibt als Syntax tncpmconsole list -s [-c] [-q] an<br />
• tncpmconsole --help gibt als Syntax tncpmconsole list -s [c][q] an<br />
• In diesem Fall sind die Angaben der Manual Page korrekt<br />
• Laut Manual Page können die APARs zu einem Service-Pack mit tncpmconsole list -a 7100-01-07 angezeigt werden. Dieses<br />
funktioniert nicht. Der Befehl tncconsole zeigt diese Option auch nicht an.<br />
• In diesem Fall sind die Angaben des Befehls korrekt<br />
61 20.08.2013<br />
Sicherheitsmanagement und Compliance-Messungen
FAZIT<br />
Erfahrungen konnten mit folgenden PowerSC Komponenten gewonnen worden<br />
• Trusted Logging<br />
• Security and Compliance Automation<br />
• Trusted Network Connect and Patch management<br />
Praktisch einsetzbar und sinnvoll sind, mit einigen Einschränkungen, alle drei Komponenten:<br />
• Trusted Logging: Funktioniert einwandfrei und ist einfach und schnell implementiert<br />
• Security and Compliance Automation: Funktioniert einwandfrei und ist einfach und schnell implementiert, solange man sich auf die<br />
Anwendung mit Hilfe des AIXPERT Kommandos beschränkt. Das Handling über den AIX Profile Manager lief in unserer Umgebung<br />
leider nicht fehlerlos.<br />
• Trusted Network Connect and Patch management: Der automatische Download der aktuellsten Service Packs für verschiedene<br />
Technical Level Stände funktioniert einwandfrei und ist schnell implementiert. Leider fehlt hier noch die Möglichkeit, dass auch<br />
einzelne Emergency und Security Patche bereitgestellt werden können. Das Installieren der Service Packs auf den Client System<br />
funktionierte leider nicht in unserer Umgebung.<br />
62 20.08.2013<br />
Sicherheitsmanagement und Compliance-Messungen
RESSOURCEN<br />
AIX Infocenter<br />
http://pic.dhe.ibm.com/infocenter/aix/v7r1/topic/com.ibm.aix.doc/doc/base/powersc_main.htm<br />
http://pic.dhe.ibm.com/infocenter/aix/v7r1/topic/com.ibm.aix.powersc/powersc_pdf.pdf<br />
<strong>IBM</strong> Redbooks<br />
Managing Security and Compliance in Cloud or Virtualized Data Centers Using <strong>IBM</strong> PowerSC<br />
http://www.redbooks.ibm.com/redpieces/abstracts/sg248082.html<br />
63 20.08.2013<br />
Sicherheitsmanagement und Compliance-Messungen
VIELEN DANK FÜR<br />
IHRE AUFMERKSAMKEIT<br />
DRAZEN-PETER BAIC<br />
SYSTEM ENGINEER<br />
TEL: +49 6151 8290-7709<br />
MOBIL: +49 163 8075246<br />
EMAIL: D.BAIC@<strong>PROFI</strong>-<strong>AG</strong>.DE<br />
64<br />
20.08.2013 Sicherheitsmanagement und Compliance-Messungen