IBM POWERSC - PROFI Engineering Systems AG

profi.ag.de

IBM POWERSC - PROFI Engineering Systems AG

IBM POWERSC

Sicherheitsmanagement und Compliance-Messungen


AGENDA

01 Security and Compliance Automation

02 PowerSC Realtime Compliance (RTC)

03 Trusted Boot

04 Trusted Firewall

05 Trusted Logging

06 Trusted Network Connect and Patch management

2

20.08.2013 Sicherheitsmanagement und Compliance-Messungen


SECURITY AND COMPLIANCE

AUTOMATION

3

20.08.2013 Sicherheitsmanagement und Compliance-Messungen


BESCHREIBUNG

• Automatische Konfiguration, Monitoring und Auditing von AIX Systemen

• Verwendet AIXPERT und ARTEX

• Überwachung durch "AIX profile Manager Plug-in des IBM Systems Directors"

• Vier zusätzliche vordefinierte Standards

Payment Card Industry Security Standard v1.2 (PCI DSS)

Sarbanes-Oxley Act and COBIT compliance (SOX/COBIT)

U.S. Department of Defense (DoD) STIG

Health Insurance Portability and Accountability Act (HIPAA)

• Zusätzliche Skripte unter /etc/security/aixpert/bin

Diese werden von den zusätzlichen XML Dateien benötigt und bieten erweiterte Funktionalitäten

• Diese Standards können auch "customized" werden

• Bestandteil der PowerSC Express Edition

4 20.08.2013

Sicherheitsmanagement und Compliance-Messungen


VORAUSSETZUNGEN

• POWER5

• POWER6

• POWER7

• AIX 6.1: minimumTL7

• AIX 7.1: minimumTL1

• Optional: IBM Systems Director mit dem AIX Profile Manager Plugin

5 20.08.2013

Sicherheitsmanagement und Compliance-Messungen


INSTALLATION UND KONFIGURATION

PowerSC

• Filesets powerscExp.ice und powerscExp.licence installieren

AIX Profile Manger

• Starten des Installationsskriptes APMgrSetup.sh auf dem IBM Systems Director

• Nach der Installation muss der IBM Systems Director neu gestartet werden

• Profile Mangager Plugin erscheint vorerst nicht, da vorher ein Update eingespielt werden muss

IBM Fix Central (www.ibm.com/support/fixcentral/) aufrufen

Unter Produkt den IBM Systems Director auswählen

unzip /mnt/Profile_Manager/update/com.ibm.director.artex.feature_1.1.1.10.zip

unzip /mnt/Profile_Manager/update/com.ibm.director.artex.update.feature_1.1.1.10.zip

smcli importupd -vr /mnt/Profile_Manager/update

In der IBM Systems Director GUI "Release Management -> Updates -> Update IBM Systems Director" auswählen

6 20.08.2013

Sicherheitsmanagement und Compliance-Messungen


ANWENDUNG ÜBER KOMMANDOZEILE

Vordefinierte Standards manuell einspielen

• PCI DSS

aixpert -f /etc/security/aixpert/custom/PCI.xml

• SOX/COBIT

aixpert -f /etc/security/aixpert/custom/SOX-COBIT.xml

• DoD STIG

aixpert -f /etc/security/aixpert/custom/DoD.xml

• HIPAA

aixpert -f /etc/security/aixpert/custom/HIPAA.xml

Beispiel: PCI-DSS:

# aixpert -f custom/PCI.xml

AUDITBIN: ** failed backend command /usr/sbin/auditcat -p -o /audit/trail -r /audit/bin1

do_action(): rule(pci_SecureLPM): warning.

do_action(): Warning: Prereq failed for prereqsecmig

Processedrules=80 Passedrules=79 Failedrules=1 Level=AllRules

Input file=custom/PCI.xml

# /usr/sbin/auditcat -p -o /audit/trail -r /audit/bin1

auditcat: ** out of memory

auditcat: There is not enough memory available now.

7 20.08.2013

Sicherheitsmanagement und Compliance-Messungen


ANWENDUNG MIT AIX PROFILE MANAGER

8 20.08.2013

Sicherheitsmanagement und Compliance-Messungen


ANWENDUNG MIT AIX PROFILE MANAGER

9 20.08.2013

Sicherheitsmanagement und Compliance-Messungen


ANWENDUNG MIT AIX PROFILE MANAGER

10 20.08.2013

Sicherheitsmanagement und Compliance-Messungen


ANWENDUNG MIT AIX PROFILE MANAGER

11 20.08.2013

Sicherheitsmanagement und Compliance-Messungen


ANWENDUNG MIT AIX PROFILE MANAGER

12 20.08.2013

Sicherheitsmanagement und Compliance-Messungen


ANWENDUNG MIT AIX PROFILE MANAGER

13 20.08.2013

Sicherheitsmanagement und Compliance-Messungen


ANWENDUNG MIT AIX PROFILE MANAGER

14 20.08.2013

Sicherheitsmanagement und Compliance-Messungen


ANWENDUNG MIT AIX PROFILE MANAGER

15 20.08.2013

Sicherheitsmanagement und Compliance-Messungen


POWERSC REALTIME

COMPLIANCE

16

20.08.2013 Sicherheitsmanagement und Compliance-Messungen


BESCHREIBUNG

• Überwacht Dateien auf Inhalt und Berechtigungen

• Informiert in Echtzeit über Email und SNMP wenn Änderungen vorgenommen

wurden.

• Bestandteil der PowerSC Express Edition

17 20.08.2013

Sicherheitsmanagement und Compliance-Messungen


VORAUSSETZUNGEN

• POWER5

• POWER6

• POWER7

• AIX 6.1: minimumTL7

• AIX 7.1: minimumTL1

18 20.08.2013

Sicherheitsmanagement und Compliance-Messungen


INSTALLATION UND KONFIGURATION

PowerSC

Filesets powerscExp.ice und powerscExp.licence installieren

Konfiguration

Software

smitty RTC

commandline mkrtc

Policy

Konfiguration der Alerts /etc/security/rtc/rtcd.conf

19 20.08.2013

Sicherheitsmanagement und Compliance-Messungen


TRUSTED BOOT

20

20.08.2013 Sicherheitsmanagement und Compliance-Messungen


BESCHREIBUNG

• Gewährleistet die Integrität zwischen virtuellem Server und dem Boot Image auf

Basis von TPM (Trusted Platform Module) Technologie

• Boot Images und OS werden kryptografisch gekennzeichnet und durch TPM

validiert

• Bestandteil der PowerSC Standard Edition

21 20.08.2013

Sicherheitsmanagement und Compliance-Messungen


VORAUSSETZUNGEN

• POWER7, mindestens Firmware eFW7.4

• AIX 6.1: minimumTL7

• AIX 7.1: minimumTL1

22 20.08.2013

Sicherheitsmanagement und Compliance-Messungen


INSTALLATION UND KONFIGURATION

PowerSC

Filesets powerscStd.vtpm und powerscStd.license installieren

Collector

Fileset openpts.collector installieren

Verifier

Fileset openpts.verifier installieren

ssh-keygen

scp ~/.ssh/id_rsa.pub :/tmp

cat /tmp/id_rsa.pub >> ~/.ssh/authorized_keys

23 20.08.2013

Sicherheitsmanagement und Compliance-Messungen


INSTALLATION UND KONFIGURATION

HMC

vTPM auf der Collector LPAR

Ausschalten der Collector LPAR

Starten der Collector LPAR

Aktivierung

Collector: ptsc -i (initial)

Verifier: openpts -i

GUI (/opt/ibm/openpts_gui/openpts_GUI.sh)

24 20.08.2013

Sicherheitsmanagement und Compliance-Messungen


TRUSTED FIREWALL

25

20.08.2013 Sicherheitsmanagement und Compliance-Messungen


BESCHREIBUNG

• Ermöglicht sicheres direktes Routing zwischen internen VLANs

• Externer Netzwerk Traffic wird nicht gefiltert

• Netzwerk Traffic innerhalb eines VLANs wird nicht gefiltert

• Firewall läuft auf den VIO Servern als Kernel Extension

• Kernel Extension wird als Secure Virtual Machine (SVM) bezeichnet

• Bestandteil der PowerSC Standard Edition

26 20.08.2013

Sicherheitsmanagement und Compliance-Messungen


VORAUSSETZUNGEN

• POWER6

• POWER7

• AIX 6.1: minimumTL7

• AIX 7.1: minimumTL1

• Virtual I/O Server ab Version 2.2.1.4

27 20.08.2013

Sicherheitsmanagement und Compliance-Messungen


INSTALLATION UND KONFIGURATION

PowerSC

powerscStd.svm auf den VIO Servern installieren

Konfiguration

SVM Initialisieren: mksvm

SVM Starten: vlantfw -s

SVM Stoppen: vlantfw -t

SVM Status: vlantfw -q

IP Mappings anzeigen: vlantfw -d

IP Mappings entfernen: vlantfw -f

Befehle

mksvm

genvfilt

mkvfilt

lsvfilt

rmvfilt

vlantfw

28 20.08.2013

Sicherheitsmanagement und Compliance-Messungen


TRUSTED LOGGING

29

20.08.2013 Sicherheitsmanagement und Compliance-Messungen


BESCHREIBUNG

• Ermöglicht zentralisiertes und sicheres Logging über die VIOS

• Auf die Log Dateien kann nur noch über die VIOS zugegriffen werden

• Log Einträge werden über den Hypervisor an die VIOS übertragen

• VIOS sichert Log Dateien lokal oder über FC LUNs

• Über zwei VIOS zur Verfügung gestellte Log Devices erfordern Shared-Storage-

Pools

• Bestandteil der PowerSC Standard Edition

30 20.08.2013

Sicherheitsmanagement und Compliance-Messungen


VORAUSSETZUNGEN

• POWER5

• POWER6

• POWER7

• AIX 6.1: minimumTL7

• AIX 7.1: minimumTL1

• Virtual I/O Server ab Version 2.2.1.0

31 20.08.2013

Sicherheitsmanagement und Compliance-Messungen


INSTALLATION UND KONFIGURATION

PowerSC

Fileset powerscStd.vlog auf den Clients installieren

Auf den VIOS ist keine Installation notwendig

Erstellen eines lokalen vlog Devices auf den VIOS

$ mkvlog -name audit -client lpar-01

Virtual log 00000000000000005b3f6b7cfcec4c67 created

$ mkvlog -uuid 00000000000000005b3f6b7cfcec4c67 -vadapter vhost0

oder gleichzeitig in einem Befehl:

$ mkvlog -name audit -vadapter vhost0

32 20.08.2013

Sicherheitsmanagement und Compliance-Messungen


VMCONTROL – CREATE VIO SHARED STORAGE POOL

Hostnames must be FQN (vio1a.profinet.intern) !!!

33

20.08.2013 Sicherheitsmanagement und Compliance-Messungen


VMCONTROL – CREATE VIO SHARED STORAGE POOL

34

20.08.2013 Sicherheitsmanagement und Compliance-Messungen


VMCONTROL – CREATE VIO SHARED STORAGE POOL

35

20.08.2013 Sicherheitsmanagement und Compliance-Messungen


VMCONTROL – CREATE VIO SHARED STORAGE POOL

36

20.08.2013 Sicherheitsmanagement und Compliance-Messungen


VMCONTROL – CREATE VIO SHARED STORAGE POOL

37

20.08.2013 Sicherheitsmanagement und Compliance-Messungen


VMCONTROL – CREATE VIO SHARED STORAGE POOL

38

20.08.2013 Sicherheitsmanagement und Compliance-Messungen


VMCONTROL – CREATE VIO SHARED STORAGE POOL

39

20.08.2013 Sicherheitsmanagement und Compliance-Messungen


VMCONTROL – CREATE VIO SHARED STORAGE POOL

40

20.08.2013 Sicherheitsmanagement und Compliance-Messungen


VMCONTROL – CREATE VIO SHARED STORAGE POOL

41

20.08.2013 Sicherheitsmanagement und Compliance-Messungen


INSTALLATION UND KONFIGURATION

Erstellen eines vlog Devices im Shared-Storage-Pool

$ cluster -status -clustername profiviosspcluster

Cluster Name

State

profiviosspcluster OK

Node Name MTM Partition Num State Pool State

vio1a 8233-E8B020629E9P 71 OK OK

vio1b 8233-E8B020629E9P 72 OK OK

vio2a 8203-E4A020698E64 1 OK OK

vio2b 8203-E4A020698E64 2 OK OK

$ lsvlrepo

Storage Pool State Path

enabled /var/vio/vlogs

profiviossp1 enabled /var/vio/SSP/profiviosspcluster/D_E_F_A_U_L_T_061310/vlogs/

$ mkvlog -sp profiviossp1 -name syslog -vadapter vhost4

Virtual log 0f4402177e847a518c8b31de79d92718 created

vtlogs1 Available

$ ls -l /var/vio/SSP/profiviosspcluster/D_E_F_A_U_L_T_061310/vlogs/nimsrv/

total 0

drwxr-xr-x 2 root system 512 Jun 14 16:33 syslog

42 20.08.2013

Sicherheitsmanagement und Compliance-Messungen


INSTALLATION UND KONFIGURATION

$ hostname

vio1a.profinet.intern

$ ls -l /var/vio/SSP/profiviosspcluster/D_E_F_A_U_L_T_061310/vlogs/nimsrv/syslog/

total 8

-rw-r----- 1 root staff 206 Jun 14 16:33 nimsrv_syslog.state.000

$ hostname

vio1b.profinet.intern

$ ls -l /var/vio/SSP/profiviosspcluster/D_E_F_A_U_L_T_061310/vlogs/nimsrv/syslog/

total 8

-rw-r----- 1 root staff 206 Jun 14 16:33 nimsrv_syslog.state.000

Erstellen eines lokalen vlog Devices auf einer Client LPAR

# hostname nimsrv

# cfgmgr

# lsdev -Fname -tvlog | xargs -L1 lsattr -Ea log_name -F"name value" -l

vlog0 nimsrvlog1

vlog1 syslog

# grep vlog /etc/syslog.conf

*.debug

/dev/vlog1

# refresh -s syslogd 0513-095 The request for subsystem refresh was completed successfully.

43 20.08.2013

Sicherheitsmanagement und Compliance-Messungen


INSTALLATION UND KONFIGURATION

Überprüfen der Konfiguration

$ ls -l /var/vio/SSP/profiviosspcluster/D_E_F_A_U_L_T_061310/vlogs/nimsrv/syslog/

total 16

-rw-r----- 1 root staff 52 Jun 14 16:40 nimsrv_syslog.000

-rw-r----- 1 root staff 674 Jun 14 16:40 nimsrv_syslog.state.000

$ cat /var/vio/SSP/profiviosspcluster/D_E_F_A_U_L_T_061310/vlogs/nimsrv/syslog/nimsrv_syslog.000

Jun 14 16:40:04 nimsrv syslog:info syslogd: restart

Jun 14 16:41:18 nimsrv auth|security:info sshd[8323284]: Accepted publickey for root from 10.120.5.106 port 58124 ssh2

44 20.08.2013

Sicherheitsmanagement und Compliance-Messungen


TRUSTED NETWORK CONNECT

AND PATCH MANAGEMENT

45

20.08.2013 Sicherheitsmanagement und Compliance-Messungen


BESCHREIBUNG

• Ermöglicht die Überwachung der SP Level Stände anhand definierter Policies

• Ermöglicht Updates von LPARs anhand definierter Policies

• Kann Netzwerk Verbindungen von Client LPARs unterbinden, wenn diese nicht dem

definierten Sicherheitsstandard entsprechen

• Verwendet SUMA für die SP Downloads

• Bestandteil der PowerSC Standard Edition

46 20.08.2013

Sicherheitsmanagement und Compliance-Messungen


VORAUSSETZUNGEN

• POWER5

• POWER6

• POWER7

• AIX 6.1: minimumTL7

• AIX 7.1: minimumTL1

• Virtual I/O Server ab Version 2.2.1.0

47 20.08.2013

Sicherheitsmanagement und Compliance-Messungen


INSTALLATION UND KONFIGURATION

PowerSC

Fileset powerscStd.tnc_pm.rte installieren

TNCPM Server konfigurieren - erstellt auch die /etc/tncpm.conf Datei

# tncpmconsole mktncpm pmport=38240 tncserver=172.18.20.66:42830

Data from conf file :TNCPM

...Error parsing configuration: -1

...ERROR initDB failed: -1

...ERROR init failed: -1

tncpmd daemon started successfully pid 8257594

TNCPM Server initialisieren (lädt automatischen den aktuellsten SP für den TL herunter). Besteht bereits eine Repository unter

/var/tnc/tncpm/fix_repositories/ wird diese erkannt - ein erneuter Download wird nicht durchgeführt.

# tncpmconsole init -i 1440 -l 7100-01 -A

accept_all_licenses for TNC Clients update set to yes

New Service Pack interval check set to 1440

Initializing 7100-01

# tncpmconsole list -s

fix_repository_path : /var/tnc/tncpm/fix_repositories

Latest_SP_List : 7100-01-07

SP_List :

48 20.08.2013

Sicherheitsmanagement und Compliance-Messungen


INSTALLATION UND KONFIGURATION

Sollte die Option "-A" (Accepts all license agreements when performing client updates) vergessen worden sein, kann dies

nachträglich geändert werden:

# tncpmconsole modify -g yes

accept_all_licenses for TNC Clients update set to yes

Zusätzlichen TL hinzufügen:

# tncpmconsole add -l 7100-02

Liste der verfügbaren TL und SP anzeigen:

# tncpmconsole list -s

fix_repository_path : /var/tnc/tncpm/fix_repositories

Latest_SP_List : 7100-01-07,7100-02-02

SP_List :

user_defined_SP_List :

Einen bestimmten SP hinzufügen:

# tncpmconsole add -p 7100-01-01

# tncpmconsole list -s

fix_repository_path : /var/tnc/tncpm/fix_repositories

Latest_SP_List : 7100-01-07,7100-02-02

SP_List : 7100-01-01

user_defined_SP_List :

49 20.08.2013

Sicherheitsmanagement und Compliance-Messungen


INSTALLATION UND KONFIGURATION

Ressourcen werden als normale NIM Ressourcen definiert:

# lsnim -t lpp_source|grep tnc|sort

tncpm_7100-01-01_lpp resources lpp_source

tncpm_7100-01-07_lpp resources lpp_source

tncpm_7100-02-02_lpp resources lpp_source

# lsnim -l tncpm_7100-02-02_lpp

tncpm_7100-02-02_lpp:

class = resources

type = lpp_source

arch = power

Rstate = ready for use

prev_state = unavailable for use

location = /var/tnc/tncpm/fix_repositories/7100-02/SPs/7100-02-02

alloc_count = 0

server = master

50 20.08.2013

Sicherheitsmanagement und Compliance-Messungen


INSTALLATION UND KONFIGURATION

TNC Server konfigurieren:

# tncconsole mkserver tncport=42830 pmserver=172.18.20.66:38240

Data from conf file :TNCPM,SERVER

tnccsd daemon started successfully pid 8716466

TNC Client Konfiguration (auf dem Client System):

aix130:/ # tncconsole mkclient tncport=42830 tncserver=172.18.20.66:42830

Data from conf file :CLIENT

# tncconsole list -s ALL -i ALL

#ip Release TL SP status time trustlevel

172.18.20.130 7100 1 3 FAILED 2013-06-12 15:04:55 TRUSTED

Das Client Zertifikat wurde zwar automatisch in die TNC Server Datenbank mit aufgenommen, wurde aber nicht automatisch als

vertrauenswürdig eingestuft. Dieses muss manuell durchgeführt werden:

# tncconsole certadd -i 172.18.20.130 -t TRUSTED

Sollten Server mit Ihrem Hostnamen hinzugefügt worden sein, müssen beim certadd Befehl trotzdem die IP Adressen verwendet

werden:

# tncconsole certadd -i aix130 -t TRUSTED

Error updating the attribute trustlevel

51 20.08.2013

Sicherheitsmanagement und Compliance-Messungen


INSTALLATION UND KONFIGURATION

Hinzufügen des Clients auf dem TNC Server durch manuelle Verifizierung:

# tncconsole verify -i aix130

Verification operation initiated in background for host

Überpfügen der Logs auf dem Server:

# tncconsole list -H -i ALL

#ip Release TL SP status time lslpp

172.18.20.130 7100 1 3 FAILED 2013-06-12 15:04:56 No matching policy (rele/TL) configured

# tncconsole list -s ALL -i ALL

#ip Release TL SP status time trustlevel

172.18.20.130 7100 1 3 FAILED 2013-06-12 15:04:55 UNTRUSTED

52 20.08.2013

Sicherheitsmanagement und Compliance-Messungen


TNCPM MANAGEMENT

Policy Gruppen

• Enthalten eine oder mehrere Files-Set-Policies (FSPolicy)

• Enthält eine Policy Gruppe mehrere Files-Set-Policies, muss der assoziierte Client dem aktuellsten

SP seines TL's entsprechen

• Bilden die Verbindung zwischen File-Set-Policies und IP Gruppen

File-Set-Policies

• Eine Files-Set-Policies definiert, welchen TL und SP Stand ein Client haben muss

IP Gruppen

• Enthalten mehrere IP Adressen

• Jede IP Adressen kann nur in einer Gruppe sein

• Eine IP Gruppe ist mit einer Policy Gruppe assoziiert

53 20.08.2013

Sicherheitsmanagement und Compliance-Messungen


TNCPM MANAGEMENT

IP Gruppe definieren:

# tncconsole add -G aix61_grp ip=172.18.20.67

Successfully added the attribute IP group

# tncconsole add -G aix71_grp ip=172.18.20.130,172.18.20.88

Successfully added the attribute IP group

Successfully added the attribute IP group

IP Gruppen anzeigen:

# tncconsole list -G aix71_grp

#ipgroupname

ip

aix71_grp 172.18.20.130

aix71_grp 172.18.20.88

# tncconsole list -G ALL

#ipgroupname

ip

aix61_grp 172.18.20.67

aix71_grp 172.18.20.130

aix71_grp 172.18.20.88

54 20.08.2013

Sicherheitsmanagement und Compliance-Messungen


TNCPM MANAGEMENT

Erstellen einer FS Policy:

# tncconsole add -F aix6100-07-07_fspol -r 6100-07-07

Successfully added the attribute FSPOLICY

# tncconsole add -F aix7100-01-01_fspol -r 7100-01-01

Successfully added the attribute FSPOLICY

# tncconsole add -F aix7100-01-07_fspol -r 7100-01-07

Successfully added the attribute FSPOLICY

Anzeigen der definierten FS Policies:

# tncconsole list -F ALL

#fspolicyname Release TL SP

aix6100-07-07_fspol 6100 7 7

aix7100-01-07_fspol 7100 1 7

aix7100-01-01_fspol 7100 1 1

55 20.08.2013

Sicherheitsmanagement und Compliance-Messungen


TNCPM MANAGEMENT

Erstellen einer Policy Gruppe und assoziieren zu einer IP Gruppe:

# tncconsole add -P aix71-prod_pol ipgroup=aix71_grp

Successfully added the attribute IP group

Anzeigen aller Policy Gruppen:

# tncconsole list -P ALL

#policyname

groupname

aix71-prod_pol aix71_grp

Assoziieren einer FSPolicy zu einer Policy Gruppe :

# tncconsole add -P aix71-prod_pol fspolicy=aix7100-01-01_fspol,aix7100-01-07_fspol

Successfully added the attribute FS policy

Successfully added the attribute FS policy

Anzeigen aller Policy Gruppen:

# tncconsole list -P ALL

#policyname groupname subpolicy

aix71-prod_pol aix71_grp aix7100-01-01_fspol

aix71-prod_pol aix71_grp aix7100-01-07_fspol

56 20.08.2013

Sicherheitsmanagement und Compliance-Messungen


TNCPM MANAGEMENT

Clients verifizieren:

# tncconsole verify -i 172.18.20.67

Verification operation initiated in background for host

# tncconsole list -H –i 172.18.20.67

#ip Release TL SP status time lslpp

172.18.20.67 6100 7 5 FAILED 2013-06-12 17:34:22 #(baselower.rpt)

Clients Verifizierung ist nicht konsistent:

# tncconsole list -s ALL -i ALL

#ip Release TL SP status time trustlevel

172.18.20.88 7100 1 3 FAILED 2013-06-12 17:14:04 TRUSTED

172.18.20.67 6100 7 5 FAILED 2013-06-12 17:34:21 TRUSTED

172.18.20.130 7100 1 3 COMPLIANT 2013-06-12 17:34:45 TRUSTED

Client Update initiieren:

tncconsole update -i 172.18.20.67 -r 6100-07-07

# tncconsole list -H -i 172.18.20.67

#ip Release TL SP status time lslpp

172.18.20.67 6100 7 5 FAILED 2013-06-12 15:29:08 No matching policy (rele/TL) configured

172.18.20.67 6100 7 5 FAILED 2013-06-12 17:14:13 No matching policy (rele/TL) configured

172.18.20.67 0 0 0 INSTALL_FAILED 2013-06-12 17:24:09 Unable to initiate connection with TNCPM server

57 20.08.2013

Sicherheitsmanagement und Compliance-Messungen


TNCPM MANAGEMENT

Client Update funktioniert leider nicht. Im syslog finden sich folgende Einträge:

Jun 12 17:25:25 nimsrv daemon:info TNC:tnccsd[8716478]: Processing connection from client : 172.18.20.67

Jun 12 17:25:25 nimsrv daemon:info TNC:tnccsd[8716478]: Server side CA cert not available

Jun 12 17:25:25 nimsrv daemon:info TNC:tnccsd[8716478]: TLS Client SSL connection using

Jun 12 17:25:25 nimsrv daemon:info TNC:tnccsd[8716478]: Stored and offered certificates are same

Jun 12 17:25:36 nimsrv daemon:info TNC:tnccsd[8716478]: Apar List = IZ92631 IV15497 IV16241 IV21381 IV21381

Jun 12 17:25:36 nimsrv daemon:info TNC:tnccsd[8716478]: Verifying the client: 172.18.20.67, which has rele = 6100, tl = 7, sp = 5

Jun 12 17:25:36 nimsrv daemon:info TNC:tnccsd[8716478]: Attribute not found: Release

Jun 12 17:25:36 nimsrv daemon:info TNC:tnccsd[8716478]: Attribute not found: TL

Jun 12 17:25:36 nimsrv daemon:info TNC:tnccsd[8716478]: Attribute not found: SP

Jun 12 17:25:36 nimsrv daemon:info TNC:tnccsd[8716478]: Attribute not found: filename

Jun 12 17:25:36 nimsrv daemon:info TNC:tnccsd[8716478]: Attribute not found: filename

Jun 12 17:25:36 nimsrv daemon:info TNC:tnccsd[8716478]: Attributes read:RELEASE= 0, TL = 0, SP = 0

Jun 12 17:25:36 nimsrv daemon:err|error TNC:tnccsd[8716478]: Error in GetClientLevelInfoFromDB()

Jun 12 17:25:39 nimsrv daemon:err|error TNC:tnccsd[8716478]: Could not fetch the genCopyFile from DB

Jun 12 17:26:29 nimsrv daemon:err|error TNC:tnccsd[4456636]: Received signal 15. Exiting..

58 20.08.2013

Sicherheitsmanagement und Compliance-Messungen


ZUSAMMENFASSUNG

59

20.08.2013 Sicherheitsmanagement und Compliance-Messungen


PROBLEME

• Security and Compliance Automation: Einspielen von Profilen über den AIX Profile Manager funktioniert

nicht zu 100%. Nach dem Einspielen eines Profils wurden zwar 0% Differenz angezeigt, ein nachfolgender

Compare zeigte anschließend 100% Differenz an.

• TNCPM: Verwendung von Hostnamen nicht konsistent möglich, daher kaum in größeren Umgebungen

einsetzbar:

• Client kann mit Namen angelegt werden, als Parameter bei Befehlen muss aber die IP verwendet werden

• Wurde ein Client mit Namen angelegt, kann dessen History nicht mehr gelöscht werden

# tncconsole list -I -i ALL

#ip

p62pm

aixlpar3

sysdir

# tncconsole list -I -i p62pm

Host p62pm does not exists

• Wurde ein Client mit Namen angelegt, kann dieser nicht mehr gelöscht werden

60 20.08.2013

Sicherheitsmanagement und Compliance-Messungen


PROBLEME

• Fehlermeldungen sind größtenteils nicht aussagekräftig

• Wird beim Initiieren des TNC Servers mit tncconsole mkserver der Hostname statt der IP angegeben, erscheint lediglich die

Fehlermeldung, dass der Prozess nicht gestartet wurde

• Nach versehentlichen löschen der Datei /etc/tnc_config konnte der TNC Server nicht mehr gestartet werden. Fehlermeldungen dazu

gab es keine. Nur mit Hilfe des truss Kommandos konnte die Ursache festgestellt werden

• Dokumentation teilweise inkonsistent und fehlerhaft. Nachfolgende zwei Beispiele

• Die Manual Page zum Befehl tncpmconsole list gibt als Syntax tncpmconsole list -s [-c] [-q] an

• tncpmconsole --help gibt als Syntax tncpmconsole list -s [c][q] an

• In diesem Fall sind die Angaben der Manual Page korrekt

• Laut Manual Page können die APARs zu einem Service-Pack mit tncpmconsole list -a 7100-01-07 angezeigt werden. Dieses

funktioniert nicht. Der Befehl tncconsole zeigt diese Option auch nicht an.

• In diesem Fall sind die Angaben des Befehls korrekt

61 20.08.2013

Sicherheitsmanagement und Compliance-Messungen


FAZIT

Erfahrungen konnten mit folgenden PowerSC Komponenten gewonnen worden

• Trusted Logging

• Security and Compliance Automation

• Trusted Network Connect and Patch management

Praktisch einsetzbar und sinnvoll sind, mit einigen Einschränkungen, alle drei Komponenten:

• Trusted Logging: Funktioniert einwandfrei und ist einfach und schnell implementiert

• Security and Compliance Automation: Funktioniert einwandfrei und ist einfach und schnell implementiert, solange man sich auf die

Anwendung mit Hilfe des AIXPERT Kommandos beschränkt. Das Handling über den AIX Profile Manager lief in unserer Umgebung

leider nicht fehlerlos.

• Trusted Network Connect and Patch management: Der automatische Download der aktuellsten Service Packs für verschiedene

Technical Level Stände funktioniert einwandfrei und ist schnell implementiert. Leider fehlt hier noch die Möglichkeit, dass auch

einzelne Emergency und Security Patche bereitgestellt werden können. Das Installieren der Service Packs auf den Client System

funktionierte leider nicht in unserer Umgebung.

62 20.08.2013

Sicherheitsmanagement und Compliance-Messungen


RESSOURCEN

AIX Infocenter

http://pic.dhe.ibm.com/infocenter/aix/v7r1/topic/com.ibm.aix.doc/doc/base/powersc_main.htm

http://pic.dhe.ibm.com/infocenter/aix/v7r1/topic/com.ibm.aix.powersc/powersc_pdf.pdf

IBM Redbooks

Managing Security and Compliance in Cloud or Virtualized Data Centers Using IBM PowerSC

http://www.redbooks.ibm.com/redpieces/abstracts/sg248082.html

63 20.08.2013

Sicherheitsmanagement und Compliance-Messungen


VIELEN DANK FÜR

IHRE AUFMERKSAMKEIT

DRAZEN-PETER BAIC

SYSTEM ENGINEER

TEL: +49 6151 8290-7709

MOBIL: +49 163 8075246

EMAIL: D.BAIC@PROFI-AG.DE

64

20.08.2013 Sicherheitsmanagement und Compliance-Messungen

Weitere Magazine dieses Users
Ähnliche Magazine