IBM POWERSC - PROFI Engineering Systems AG
IBM POWERSC
Sicherheitsmanagement und Compliance-Messungen
AGENDA
01 Security and Compliance Automation
02 PowerSC Realtime Compliance (RTC)
03 Trusted Boot
04 Trusted Firewall
05 Trusted Logging
06 Trusted Network Connect and Patch management
2
20.08.2013 Sicherheitsmanagement und Compliance-Messungen
SECURITY AND COMPLIANCE
AUTOMATION
3
20.08.2013 Sicherheitsmanagement und Compliance-Messungen
BESCHREIBUNG
• Automatische Konfiguration, Monitoring und Auditing von AIX Systemen
• Verwendet AIXPERT und ARTEX
• Überwachung durch "AIX profile Manager Plug-in des IBM Systems Directors"
• Vier zusätzliche vordefinierte Standards
Payment Card Industry Security Standard v1.2 (PCI DSS)
Sarbanes-Oxley Act and COBIT compliance (SOX/COBIT)
U.S. Department of Defense (DoD) STIG
Health Insurance Portability and Accountability Act (HIPAA)
• Zusätzliche Skripte unter /etc/security/aixpert/bin
Diese werden von den zusätzlichen XML Dateien benötigt und bieten erweiterte Funktionalitäten
• Diese Standards können auch "customized" werden
• Bestandteil der PowerSC Express Edition
4 20.08.2013
Sicherheitsmanagement und Compliance-Messungen
VORAUSSETZUNGEN
• POWER5
• POWER6
• POWER7
• AIX 6.1: minimumTL7
• AIX 7.1: minimumTL1
• Optional: IBM Systems Director mit dem AIX Profile Manager Plugin
5 20.08.2013
Sicherheitsmanagement und Compliance-Messungen
INSTALLATION UND KONFIGURATION
PowerSC
• Filesets powerscExp.ice und powerscExp.licence installieren
AIX Profile Manger
• Starten des Installationsskriptes APMgrSetup.sh auf dem IBM Systems Director
• Nach der Installation muss der IBM Systems Director neu gestartet werden
• Profile Mangager Plugin erscheint vorerst nicht, da vorher ein Update eingespielt werden muss
IBM Fix Central (www.ibm.com/support/fixcentral/) aufrufen
Unter Produkt den IBM Systems Director auswählen
unzip /mnt/Profile_Manager/update/com.ibm.director.artex.feature_1.1.1.10.zip
unzip /mnt/Profile_Manager/update/com.ibm.director.artex.update.feature_1.1.1.10.zip
smcli importupd -vr /mnt/Profile_Manager/update
In der IBM Systems Director GUI "Release Management -> Updates -> Update IBM Systems Director" auswählen
6 20.08.2013
Sicherheitsmanagement und Compliance-Messungen
ANWENDUNG ÜBER KOMMANDOZEILE
Vordefinierte Standards manuell einspielen
• PCI DSS
aixpert -f /etc/security/aixpert/custom/PCI.xml
• SOX/COBIT
aixpert -f /etc/security/aixpert/custom/SOX-COBIT.xml
• DoD STIG
aixpert -f /etc/security/aixpert/custom/DoD.xml
• HIPAA
aixpert -f /etc/security/aixpert/custom/HIPAA.xml
Beispiel: PCI-DSS:
# aixpert -f custom/PCI.xml
AUDITBIN: ** failed backend command /usr/sbin/auditcat -p -o /audit/trail -r /audit/bin1
do_action(): rule(pci_SecureLPM): warning.
do_action(): Warning: Prereq failed for prereqsecmig
Processedrules=80 Passedrules=79 Failedrules=1 Level=AllRules
Input file=custom/PCI.xml
# /usr/sbin/auditcat -p -o /audit/trail -r /audit/bin1
auditcat: ** out of memory
auditcat: There is not enough memory available now.
7 20.08.2013
Sicherheitsmanagement und Compliance-Messungen
ANWENDUNG MIT AIX PROFILE MANAGER
8 20.08.2013
Sicherheitsmanagement und Compliance-Messungen
ANWENDUNG MIT AIX PROFILE MANAGER
9 20.08.2013
Sicherheitsmanagement und Compliance-Messungen
ANWENDUNG MIT AIX PROFILE MANAGER
10 20.08.2013
Sicherheitsmanagement und Compliance-Messungen
ANWENDUNG MIT AIX PROFILE MANAGER
11 20.08.2013
Sicherheitsmanagement und Compliance-Messungen
ANWENDUNG MIT AIX PROFILE MANAGER
12 20.08.2013
Sicherheitsmanagement und Compliance-Messungen
ANWENDUNG MIT AIX PROFILE MANAGER
13 20.08.2013
Sicherheitsmanagement und Compliance-Messungen
ANWENDUNG MIT AIX PROFILE MANAGER
14 20.08.2013
Sicherheitsmanagement und Compliance-Messungen
ANWENDUNG MIT AIX PROFILE MANAGER
15 20.08.2013
Sicherheitsmanagement und Compliance-Messungen
POWERSC REALTIME
COMPLIANCE
16
20.08.2013 Sicherheitsmanagement und Compliance-Messungen
BESCHREIBUNG
• Überwacht Dateien auf Inhalt und Berechtigungen
• Informiert in Echtzeit über Email und SNMP wenn Änderungen vorgenommen
wurden.
• Bestandteil der PowerSC Express Edition
17 20.08.2013
Sicherheitsmanagement und Compliance-Messungen
VORAUSSETZUNGEN
• POWER5
• POWER6
• POWER7
• AIX 6.1: minimumTL7
• AIX 7.1: minimumTL1
18 20.08.2013
Sicherheitsmanagement und Compliance-Messungen
INSTALLATION UND KONFIGURATION
PowerSC
Filesets powerscExp.ice und powerscExp.licence installieren
Konfiguration
Software
smitty RTC
commandline mkrtc
Policy
Konfiguration der Alerts /etc/security/rtc/rtcd.conf
19 20.08.2013
Sicherheitsmanagement und Compliance-Messungen
TRUSTED BOOT
20
20.08.2013 Sicherheitsmanagement und Compliance-Messungen
BESCHREIBUNG
• Gewährleistet die Integrität zwischen virtuellem Server und dem Boot Image auf
Basis von TPM (Trusted Platform Module) Technologie
• Boot Images und OS werden kryptografisch gekennzeichnet und durch TPM
validiert
• Bestandteil der PowerSC Standard Edition
21 20.08.2013
Sicherheitsmanagement und Compliance-Messungen
VORAUSSETZUNGEN
• POWER7, mindestens Firmware eFW7.4
• AIX 6.1: minimumTL7
• AIX 7.1: minimumTL1
22 20.08.2013
Sicherheitsmanagement und Compliance-Messungen
INSTALLATION UND KONFIGURATION
PowerSC
Filesets powerscStd.vtpm und powerscStd.license installieren
Collector
Fileset openpts.collector installieren
Verifier
Fileset openpts.verifier installieren
ssh-keygen
scp ~/.ssh/id_rsa.pub :/tmp
cat /tmp/id_rsa.pub >> ~/.ssh/authorized_keys
23 20.08.2013
Sicherheitsmanagement und Compliance-Messungen
INSTALLATION UND KONFIGURATION
HMC
vTPM auf der Collector LPAR
Ausschalten der Collector LPAR
Starten der Collector LPAR
Aktivierung
Collector: ptsc -i (initial)
Verifier: openpts -i
GUI (/opt/ibm/openpts_gui/openpts_GUI.sh)
24 20.08.2013
Sicherheitsmanagement und Compliance-Messungen
TRUSTED FIREWALL
25
20.08.2013 Sicherheitsmanagement und Compliance-Messungen
BESCHREIBUNG
• Ermöglicht sicheres direktes Routing zwischen internen VLANs
• Externer Netzwerk Traffic wird nicht gefiltert
• Netzwerk Traffic innerhalb eines VLANs wird nicht gefiltert
• Firewall läuft auf den VIO Servern als Kernel Extension
• Kernel Extension wird als Secure Virtual Machine (SVM) bezeichnet
• Bestandteil der PowerSC Standard Edition
26 20.08.2013
Sicherheitsmanagement und Compliance-Messungen
VORAUSSETZUNGEN
• POWER6
• POWER7
• AIX 6.1: minimumTL7
• AIX 7.1: minimumTL1
• Virtual I/O Server ab Version 2.2.1.4
27 20.08.2013
Sicherheitsmanagement und Compliance-Messungen
INSTALLATION UND KONFIGURATION
PowerSC
powerscStd.svm auf den VIO Servern installieren
Konfiguration
SVM Initialisieren: mksvm
SVM Starten: vlantfw -s
SVM Stoppen: vlantfw -t
SVM Status: vlantfw -q
IP Mappings anzeigen: vlantfw -d
IP Mappings entfernen: vlantfw -f
Befehle
mksvm
genvfilt
mkvfilt
lsvfilt
rmvfilt
vlantfw
28 20.08.2013
Sicherheitsmanagement und Compliance-Messungen
TRUSTED LOGGING
29
20.08.2013 Sicherheitsmanagement und Compliance-Messungen
BESCHREIBUNG
• Ermöglicht zentralisiertes und sicheres Logging über die VIOS
• Auf die Log Dateien kann nur noch über die VIOS zugegriffen werden
• Log Einträge werden über den Hypervisor an die VIOS übertragen
• VIOS sichert Log Dateien lokal oder über FC LUNs
• Über zwei VIOS zur Verfügung gestellte Log Devices erfordern Shared-Storage-
Pools
• Bestandteil der PowerSC Standard Edition
30 20.08.2013
Sicherheitsmanagement und Compliance-Messungen
VORAUSSETZUNGEN
• POWER5
• POWER6
• POWER7
• AIX 6.1: minimumTL7
• AIX 7.1: minimumTL1
• Virtual I/O Server ab Version 2.2.1.0
31 20.08.2013
Sicherheitsmanagement und Compliance-Messungen
INSTALLATION UND KONFIGURATION
PowerSC
Fileset powerscStd.vlog auf den Clients installieren
Auf den VIOS ist keine Installation notwendig
Erstellen eines lokalen vlog Devices auf den VIOS
$ mkvlog -name audit -client lpar-01
Virtual log 00000000000000005b3f6b7cfcec4c67 created
$ mkvlog -uuid 00000000000000005b3f6b7cfcec4c67 -vadapter vhost0
oder gleichzeitig in einem Befehl:
$ mkvlog -name audit -vadapter vhost0
32 20.08.2013
Sicherheitsmanagement und Compliance-Messungen
VMCONTROL – CREATE VIO SHARED STORAGE POOL
Hostnames must be FQN (vio1a.profinet.intern) !!!
33
20.08.2013 Sicherheitsmanagement und Compliance-Messungen
VMCONTROL – CREATE VIO SHARED STORAGE POOL
34
20.08.2013 Sicherheitsmanagement und Compliance-Messungen
VMCONTROL – CREATE VIO SHARED STORAGE POOL
35
20.08.2013 Sicherheitsmanagement und Compliance-Messungen
VMCONTROL – CREATE VIO SHARED STORAGE POOL
36
20.08.2013 Sicherheitsmanagement und Compliance-Messungen
VMCONTROL – CREATE VIO SHARED STORAGE POOL
37
20.08.2013 Sicherheitsmanagement und Compliance-Messungen
VMCONTROL – CREATE VIO SHARED STORAGE POOL
38
20.08.2013 Sicherheitsmanagement und Compliance-Messungen
VMCONTROL – CREATE VIO SHARED STORAGE POOL
39
20.08.2013 Sicherheitsmanagement und Compliance-Messungen
VMCONTROL – CREATE VIO SHARED STORAGE POOL
40
20.08.2013 Sicherheitsmanagement und Compliance-Messungen
VMCONTROL – CREATE VIO SHARED STORAGE POOL
41
20.08.2013 Sicherheitsmanagement und Compliance-Messungen
INSTALLATION UND KONFIGURATION
Erstellen eines vlog Devices im Shared-Storage-Pool
$ cluster -status -clustername profiviosspcluster
Cluster Name
State
profiviosspcluster OK
Node Name MTM Partition Num State Pool State
vio1a 8233-E8B020629E9P 71 OK OK
vio1b 8233-E8B020629E9P 72 OK OK
vio2a 8203-E4A020698E64 1 OK OK
vio2b 8203-E4A020698E64 2 OK OK
$ lsvlrepo
Storage Pool State Path
enabled /var/vio/vlogs
profiviossp1 enabled /var/vio/SSP/profiviosspcluster/D_E_F_A_U_L_T_061310/vlogs/
$ mkvlog -sp profiviossp1 -name syslog -vadapter vhost4
Virtual log 0f4402177e847a518c8b31de79d92718 created
vtlogs1 Available
$ ls -l /var/vio/SSP/profiviosspcluster/D_E_F_A_U_L_T_061310/vlogs/nimsrv/
total 0
drwxr-xr-x 2 root system 512 Jun 14 16:33 syslog
42 20.08.2013
Sicherheitsmanagement und Compliance-Messungen
INSTALLATION UND KONFIGURATION
$ hostname
vio1a.profinet.intern
$ ls -l /var/vio/SSP/profiviosspcluster/D_E_F_A_U_L_T_061310/vlogs/nimsrv/syslog/
total 8
-rw-r----- 1 root staff 206 Jun 14 16:33 nimsrv_syslog.state.000
$ hostname
vio1b.profinet.intern
$ ls -l /var/vio/SSP/profiviosspcluster/D_E_F_A_U_L_T_061310/vlogs/nimsrv/syslog/
total 8
-rw-r----- 1 root staff 206 Jun 14 16:33 nimsrv_syslog.state.000
Erstellen eines lokalen vlog Devices auf einer Client LPAR
# hostname nimsrv
# cfgmgr
# lsdev -Fname -tvlog | xargs -L1 lsattr -Ea log_name -F"name value" -l
vlog0 nimsrvlog1
vlog1 syslog
# grep vlog /etc/syslog.conf
*.debug
/dev/vlog1
# refresh -s syslogd 0513-095 The request for subsystem refresh was completed successfully.
43 20.08.2013
Sicherheitsmanagement und Compliance-Messungen
INSTALLATION UND KONFIGURATION
Überprüfen der Konfiguration
$ ls -l /var/vio/SSP/profiviosspcluster/D_E_F_A_U_L_T_061310/vlogs/nimsrv/syslog/
total 16
-rw-r----- 1 root staff 52 Jun 14 16:40 nimsrv_syslog.000
-rw-r----- 1 root staff 674 Jun 14 16:40 nimsrv_syslog.state.000
$ cat /var/vio/SSP/profiviosspcluster/D_E_F_A_U_L_T_061310/vlogs/nimsrv/syslog/nimsrv_syslog.000
Jun 14 16:40:04 nimsrv syslog:info syslogd: restart
Jun 14 16:41:18 nimsrv auth|security:info sshd[8323284]: Accepted publickey for root from 10.120.5.106 port 58124 ssh2
44 20.08.2013
Sicherheitsmanagement und Compliance-Messungen
TRUSTED NETWORK CONNECT
AND PATCH MANAGEMENT
45
20.08.2013 Sicherheitsmanagement und Compliance-Messungen
BESCHREIBUNG
• Ermöglicht die Überwachung der SP Level Stände anhand definierter Policies
• Ermöglicht Updates von LPARs anhand definierter Policies
• Kann Netzwerk Verbindungen von Client LPARs unterbinden, wenn diese nicht dem
definierten Sicherheitsstandard entsprechen
• Verwendet SUMA für die SP Downloads
• Bestandteil der PowerSC Standard Edition
46 20.08.2013
Sicherheitsmanagement und Compliance-Messungen
VORAUSSETZUNGEN
• POWER5
• POWER6
• POWER7
• AIX 6.1: minimumTL7
• AIX 7.1: minimumTL1
• Virtual I/O Server ab Version 2.2.1.0
47 20.08.2013
Sicherheitsmanagement und Compliance-Messungen
INSTALLATION UND KONFIGURATION
PowerSC
Fileset powerscStd.tnc_pm.rte installieren
TNCPM Server konfigurieren - erstellt auch die /etc/tncpm.conf Datei
# tncpmconsole mktncpm pmport=38240 tncserver=172.18.20.66:42830
Data from conf file :TNCPM
...Error parsing configuration: -1
...ERROR initDB failed: -1
...ERROR init failed: -1
tncpmd daemon started successfully pid 8257594
TNCPM Server initialisieren (lädt automatischen den aktuellsten SP für den TL herunter). Besteht bereits eine Repository unter
/var/tnc/tncpm/fix_repositories/ wird diese erkannt - ein erneuter Download wird nicht durchgeführt.
# tncpmconsole init -i 1440 -l 7100-01 -A
accept_all_licenses for TNC Clients update set to yes
New Service Pack interval check set to 1440
Initializing 7100-01
# tncpmconsole list -s
fix_repository_path : /var/tnc/tncpm/fix_repositories
Latest_SP_List : 7100-01-07
SP_List :
48 20.08.2013
Sicherheitsmanagement und Compliance-Messungen
INSTALLATION UND KONFIGURATION
Sollte die Option "-A" (Accepts all license agreements when performing client updates) vergessen worden sein, kann dies
nachträglich geändert werden:
# tncpmconsole modify -g yes
accept_all_licenses for TNC Clients update set to yes
Zusätzlichen TL hinzufügen:
# tncpmconsole add -l 7100-02
Liste der verfügbaren TL und SP anzeigen:
# tncpmconsole list -s
fix_repository_path : /var/tnc/tncpm/fix_repositories
Latest_SP_List : 7100-01-07,7100-02-02
SP_List :
user_defined_SP_List :
Einen bestimmten SP hinzufügen:
# tncpmconsole add -p 7100-01-01
# tncpmconsole list -s
fix_repository_path : /var/tnc/tncpm/fix_repositories
Latest_SP_List : 7100-01-07,7100-02-02
SP_List : 7100-01-01
user_defined_SP_List :
49 20.08.2013
Sicherheitsmanagement und Compliance-Messungen
INSTALLATION UND KONFIGURATION
Ressourcen werden als normale NIM Ressourcen definiert:
# lsnim -t lpp_source|grep tnc|sort
tncpm_7100-01-01_lpp resources lpp_source
tncpm_7100-01-07_lpp resources lpp_source
tncpm_7100-02-02_lpp resources lpp_source
# lsnim -l tncpm_7100-02-02_lpp
tncpm_7100-02-02_lpp:
class = resources
type = lpp_source
arch = power
Rstate = ready for use
prev_state = unavailable for use
location = /var/tnc/tncpm/fix_repositories/7100-02/SPs/7100-02-02
alloc_count = 0
server = master
50 20.08.2013
Sicherheitsmanagement und Compliance-Messungen
INSTALLATION UND KONFIGURATION
TNC Server konfigurieren:
# tncconsole mkserver tncport=42830 pmserver=172.18.20.66:38240
Data from conf file :TNCPM,SERVER
tnccsd daemon started successfully pid 8716466
TNC Client Konfiguration (auf dem Client System):
aix130:/ # tncconsole mkclient tncport=42830 tncserver=172.18.20.66:42830
Data from conf file :CLIENT
# tncconsole list -s ALL -i ALL
#ip Release TL SP status time trustlevel
172.18.20.130 7100 1 3 FAILED 2013-06-12 15:04:55 TRUSTED
Das Client Zertifikat wurde zwar automatisch in die TNC Server Datenbank mit aufgenommen, wurde aber nicht automatisch als
vertrauenswürdig eingestuft. Dieses muss manuell durchgeführt werden:
# tncconsole certadd -i 172.18.20.130 -t TRUSTED
Sollten Server mit Ihrem Hostnamen hinzugefügt worden sein, müssen beim certadd Befehl trotzdem die IP Adressen verwendet
werden:
# tncconsole certadd -i aix130 -t TRUSTED
Error updating the attribute trustlevel
51 20.08.2013
Sicherheitsmanagement und Compliance-Messungen
INSTALLATION UND KONFIGURATION
Hinzufügen des Clients auf dem TNC Server durch manuelle Verifizierung:
# tncconsole verify -i aix130
Verification operation initiated in background for host
Überpfügen der Logs auf dem Server:
# tncconsole list -H -i ALL
#ip Release TL SP status time lslpp
172.18.20.130 7100 1 3 FAILED 2013-06-12 15:04:56 No matching policy (rele/TL) configured
# tncconsole list -s ALL -i ALL
#ip Release TL SP status time trustlevel
172.18.20.130 7100 1 3 FAILED 2013-06-12 15:04:55 UNTRUSTED
52 20.08.2013
Sicherheitsmanagement und Compliance-Messungen
TNCPM MANAGEMENT
Policy Gruppen
• Enthalten eine oder mehrere Files-Set-Policies (FSPolicy)
• Enthält eine Policy Gruppe mehrere Files-Set-Policies, muss der assoziierte Client dem aktuellsten
SP seines TL's entsprechen
• Bilden die Verbindung zwischen File-Set-Policies und IP Gruppen
File-Set-Policies
• Eine Files-Set-Policies definiert, welchen TL und SP Stand ein Client haben muss
IP Gruppen
• Enthalten mehrere IP Adressen
• Jede IP Adressen kann nur in einer Gruppe sein
• Eine IP Gruppe ist mit einer Policy Gruppe assoziiert
53 20.08.2013
Sicherheitsmanagement und Compliance-Messungen
TNCPM MANAGEMENT
IP Gruppe definieren:
# tncconsole add -G aix61_grp ip=172.18.20.67
Successfully added the attribute IP group
# tncconsole add -G aix71_grp ip=172.18.20.130,172.18.20.88
Successfully added the attribute IP group
Successfully added the attribute IP group
IP Gruppen anzeigen:
# tncconsole list -G aix71_grp
#ipgroupname
ip
aix71_grp 172.18.20.130
aix71_grp 172.18.20.88
# tncconsole list -G ALL
#ipgroupname
ip
aix61_grp 172.18.20.67
aix71_grp 172.18.20.130
aix71_grp 172.18.20.88
54 20.08.2013
Sicherheitsmanagement und Compliance-Messungen
TNCPM MANAGEMENT
Erstellen einer FS Policy:
# tncconsole add -F aix6100-07-07_fspol -r 6100-07-07
Successfully added the attribute FSPOLICY
# tncconsole add -F aix7100-01-01_fspol -r 7100-01-01
Successfully added the attribute FSPOLICY
# tncconsole add -F aix7100-01-07_fspol -r 7100-01-07
Successfully added the attribute FSPOLICY
Anzeigen der definierten FS Policies:
# tncconsole list -F ALL
#fspolicyname Release TL SP
aix6100-07-07_fspol 6100 7 7
aix7100-01-07_fspol 7100 1 7
aix7100-01-01_fspol 7100 1 1
55 20.08.2013
Sicherheitsmanagement und Compliance-Messungen
TNCPM MANAGEMENT
Erstellen einer Policy Gruppe und assoziieren zu einer IP Gruppe:
# tncconsole add -P aix71-prod_pol ipgroup=aix71_grp
Successfully added the attribute IP group
Anzeigen aller Policy Gruppen:
# tncconsole list -P ALL
#policyname
groupname
aix71-prod_pol aix71_grp
Assoziieren einer FSPolicy zu einer Policy Gruppe :
# tncconsole add -P aix71-prod_pol fspolicy=aix7100-01-01_fspol,aix7100-01-07_fspol
Successfully added the attribute FS policy
Successfully added the attribute FS policy
Anzeigen aller Policy Gruppen:
# tncconsole list -P ALL
#policyname groupname subpolicy
aix71-prod_pol aix71_grp aix7100-01-01_fspol
aix71-prod_pol aix71_grp aix7100-01-07_fspol
56 20.08.2013
Sicherheitsmanagement und Compliance-Messungen
TNCPM MANAGEMENT
Clients verifizieren:
# tncconsole verify -i 172.18.20.67
Verification operation initiated in background for host
# tncconsole list -H –i 172.18.20.67
#ip Release TL SP status time lslpp
172.18.20.67 6100 7 5 FAILED 2013-06-12 17:34:22 #(baselower.rpt)
Clients Verifizierung ist nicht konsistent:
# tncconsole list -s ALL -i ALL
#ip Release TL SP status time trustlevel
172.18.20.88 7100 1 3 FAILED 2013-06-12 17:14:04 TRUSTED
172.18.20.67 6100 7 5 FAILED 2013-06-12 17:34:21 TRUSTED
172.18.20.130 7100 1 3 COMPLIANT 2013-06-12 17:34:45 TRUSTED
Client Update initiieren:
tncconsole update -i 172.18.20.67 -r 6100-07-07
# tncconsole list -H -i 172.18.20.67
#ip Release TL SP status time lslpp
172.18.20.67 6100 7 5 FAILED 2013-06-12 15:29:08 No matching policy (rele/TL) configured
172.18.20.67 6100 7 5 FAILED 2013-06-12 17:14:13 No matching policy (rele/TL) configured
172.18.20.67 0 0 0 INSTALL_FAILED 2013-06-12 17:24:09 Unable to initiate connection with TNCPM server
57 20.08.2013
Sicherheitsmanagement und Compliance-Messungen
TNCPM MANAGEMENT
Client Update funktioniert leider nicht. Im syslog finden sich folgende Einträge:
Jun 12 17:25:25 nimsrv daemon:info TNC:tnccsd[8716478]: Processing connection from client : 172.18.20.67
Jun 12 17:25:25 nimsrv daemon:info TNC:tnccsd[8716478]: Server side CA cert not available
Jun 12 17:25:25 nimsrv daemon:info TNC:tnccsd[8716478]: TLS Client SSL connection using
Jun 12 17:25:25 nimsrv daemon:info TNC:tnccsd[8716478]: Stored and offered certificates are same
Jun 12 17:25:36 nimsrv daemon:info TNC:tnccsd[8716478]: Apar List = IZ92631 IV15497 IV16241 IV21381 IV21381
Jun 12 17:25:36 nimsrv daemon:info TNC:tnccsd[8716478]: Verifying the client: 172.18.20.67, which has rele = 6100, tl = 7, sp = 5
Jun 12 17:25:36 nimsrv daemon:info TNC:tnccsd[8716478]: Attribute not found: Release
Jun 12 17:25:36 nimsrv daemon:info TNC:tnccsd[8716478]: Attribute not found: TL
Jun 12 17:25:36 nimsrv daemon:info TNC:tnccsd[8716478]: Attribute not found: SP
Jun 12 17:25:36 nimsrv daemon:info TNC:tnccsd[8716478]: Attribute not found: filename
Jun 12 17:25:36 nimsrv daemon:info TNC:tnccsd[8716478]: Attribute not found: filename
Jun 12 17:25:36 nimsrv daemon:info TNC:tnccsd[8716478]: Attributes read:RELEASE= 0, TL = 0, SP = 0
Jun 12 17:25:36 nimsrv daemon:err|error TNC:tnccsd[8716478]: Error in GetClientLevelInfoFromDB()
Jun 12 17:25:39 nimsrv daemon:err|error TNC:tnccsd[8716478]: Could not fetch the genCopyFile from DB
Jun 12 17:26:29 nimsrv daemon:err|error TNC:tnccsd[4456636]: Received signal 15. Exiting..
58 20.08.2013
Sicherheitsmanagement und Compliance-Messungen
ZUSAMMENFASSUNG
59
20.08.2013 Sicherheitsmanagement und Compliance-Messungen
PROBLEME
• Security and Compliance Automation: Einspielen von Profilen über den AIX Profile Manager funktioniert
nicht zu 100%. Nach dem Einspielen eines Profils wurden zwar 0% Differenz angezeigt, ein nachfolgender
Compare zeigte anschließend 100% Differenz an.
• TNCPM: Verwendung von Hostnamen nicht konsistent möglich, daher kaum in größeren Umgebungen
einsetzbar:
• Client kann mit Namen angelegt werden, als Parameter bei Befehlen muss aber die IP verwendet werden
• Wurde ein Client mit Namen angelegt, kann dessen History nicht mehr gelöscht werden
# tncconsole list -I -i ALL
#ip
p62pm
aixlpar3
sysdir
# tncconsole list -I -i p62pm
Host p62pm does not exists
• Wurde ein Client mit Namen angelegt, kann dieser nicht mehr gelöscht werden
60 20.08.2013
Sicherheitsmanagement und Compliance-Messungen
PROBLEME
• Fehlermeldungen sind größtenteils nicht aussagekräftig
• Wird beim Initiieren des TNC Servers mit tncconsole mkserver der Hostname statt der IP angegeben, erscheint lediglich die
Fehlermeldung, dass der Prozess nicht gestartet wurde
• Nach versehentlichen löschen der Datei /etc/tnc_config konnte der TNC Server nicht mehr gestartet werden. Fehlermeldungen dazu
gab es keine. Nur mit Hilfe des truss Kommandos konnte die Ursache festgestellt werden
• Dokumentation teilweise inkonsistent und fehlerhaft. Nachfolgende zwei Beispiele
• Die Manual Page zum Befehl tncpmconsole list gibt als Syntax tncpmconsole list -s [-c] [-q] an
• tncpmconsole --help gibt als Syntax tncpmconsole list -s [c][q] an
• In diesem Fall sind die Angaben der Manual Page korrekt
• Laut Manual Page können die APARs zu einem Service-Pack mit tncpmconsole list -a 7100-01-07 angezeigt werden. Dieses
funktioniert nicht. Der Befehl tncconsole zeigt diese Option auch nicht an.
• In diesem Fall sind die Angaben des Befehls korrekt
61 20.08.2013
Sicherheitsmanagement und Compliance-Messungen
FAZIT
Erfahrungen konnten mit folgenden PowerSC Komponenten gewonnen worden
• Trusted Logging
• Security and Compliance Automation
• Trusted Network Connect and Patch management
Praktisch einsetzbar und sinnvoll sind, mit einigen Einschränkungen, alle drei Komponenten:
• Trusted Logging: Funktioniert einwandfrei und ist einfach und schnell implementiert
• Security and Compliance Automation: Funktioniert einwandfrei und ist einfach und schnell implementiert, solange man sich auf die
Anwendung mit Hilfe des AIXPERT Kommandos beschränkt. Das Handling über den AIX Profile Manager lief in unserer Umgebung
leider nicht fehlerlos.
• Trusted Network Connect and Patch management: Der automatische Download der aktuellsten Service Packs für verschiedene
Technical Level Stände funktioniert einwandfrei und ist schnell implementiert. Leider fehlt hier noch die Möglichkeit, dass auch
einzelne Emergency und Security Patche bereitgestellt werden können. Das Installieren der Service Packs auf den Client System
funktionierte leider nicht in unserer Umgebung.
62 20.08.2013
Sicherheitsmanagement und Compliance-Messungen
RESSOURCEN
AIX Infocenter
http://pic.dhe.ibm.com/infocenter/aix/v7r1/topic/com.ibm.aix.doc/doc/base/powersc_main.htm
http://pic.dhe.ibm.com/infocenter/aix/v7r1/topic/com.ibm.aix.powersc/powersc_pdf.pdf
IBM Redbooks
Managing Security and Compliance in Cloud or Virtualized Data Centers Using IBM PowerSC
http://www.redbooks.ibm.com/redpieces/abstracts/sg248082.html
63 20.08.2013
Sicherheitsmanagement und Compliance-Messungen
VIELEN DANK FÜR
IHRE AUFMERKSAMKEIT
DRAZEN-PETER BAIC
SYSTEM ENGINEER
TEL: +49 6151 8290-7709
MOBIL: +49 163 8075246
EMAIL: D.BAIC@PROFI-AG.DE
64
20.08.2013 Sicherheitsmanagement und Compliance-Messungen
Change language