Maintenance sys : Activer ou désactiver FIPS (Federal Information Processing Standards)

Document created by RSA Information Design and Development on Feb 6, 2017
Version 1Show Document
  • View in full screen mode
  

Cette rubrique indique comment activer et désactiver Federal Information Processing Standards (FIPS). Vous utilisez la même méthode pour activer ou désactiver FIPS, quel que soit le type de librairie de sécurité utilisé par vos services Security Analytics : OpenSSL ou BSAFE.

                 
ServicesSécurité
Library
Hôte d'application, Context Hub, Event Stream Analysis (ESA), Incident Management, Malware Analysis et Reporting Engine.BSAFE
Broker, Concentrator, Decoder, Log Decoder, Warehouse Connector, IPDB Extractor, Log Collector (Local et Remote Collectors), Archiver et WorkbenchOpenSSL

Remarques importantes concernant FIPS

Lorsque vous exécutez le script d'activation ou de désactivation de FIPS sur l'hôte d'application, celui-ci active ou désactive tous les services qui utilisent la bibliothèque de sécurité BSAFE s'exécutant sur l'hôte d'application et tous les hôtes connectés qui utilisent la bibliothèque de sécurité BSAFE.

[Ces informations sont-elles assez précises pour les clients, et est-ce le meilleur endroit dans la documentation pour les mentionner ?]

Lors de l’exécution de Security Analytics en mode FIPS, voici des exigences concernant les certificats et les clés privées :

  1. Il existe des tailles de clé minimales pour l’authentification et la signature :
    1. RSA, DSA : >= clés de 2 048 bits

    2. ECDSA : >= 224 (FIPS 186-4 recommande des courbes EC particulières) 
  2. Il existe des tailles de clé minimales pour la vérification (utilisation existante uniquement) :
    1. RSA, DSA : >= clés 1 024 bits

    2. ECDSA : >= 160

  3. Vous ne pouvez pas du tout utiliser des certificats signés MD5.

  4. Les signatures SHA-1 peuvent être vérifiées, mais pas créées.

[CETTE REMARQUE EST-ELLE TOUJOURS VRAIE ?] Si FIPS est activé, vous devez effectuer les étapes ci-dessous avant d'ajouter une destination SFTP via un accès basé sur une clé SSH après avoir configuré les clés SSH comme décrit dans le Guide de configuration de Warehouse Connector.

  1. Connectez-vous à l'hôte Warehouse Connector via SSH.
  2. Exécutez les commandes suivantes :

    cd /root/.ssh/
    mv id_dsa id_dsa.old
    openssl pkcs8 -topk8 -v2 des3 -in id_dsa.old -out id_dsa

    Vous serez invité à saisir l'ancienne phrase de passe et la nouvelle.

  3. Saisissez l'ancienne et la nouvelle phrase de passe.
  4. Exécutez les commandes suivantes :

    chmod 600 id_dsa

Les sections suivantes vous indiquent comment activer, désactiver ou vérifier FIPS.

Activer, vérifier ou désactiver FIPS avec BSAFE 

Cette section vous indique comment activer, vérifier ou désactiver FIPS avec BSAFE pour l'hôte d'application et tous les services qui utilisent la bibliothèque de sécurité BSAFE.

Activer FIPS avec BSAFE pour l'hôte d'application et tous les services qui utilisent la bibliothèque de sécurité BSAFE

[Cette section est-elle exacte ?]

Pour activer FIPS avec BSAFE [Puisque FIPS utilisera toujours BSAFE, puis-je supprimer le premier « avec BSAFE » ici ?] pour l’hôte d’application et tous les services à l’aide de la librairie de sécurité BSAFE :

  1. SSH sur l'application avec des autorisations au niveau racine.
  2. Accédez au répertoire /etc/puppet/scripts et exécutez la commande suivante :

    ./FIPSEnable.sh

    Le script s'exécute UNIQUEMENT sur l'hôte d'application. Le script ./FIPSEnable.sh  :

    • Active FIPS sur tous les services utilisant la bibliothèque de sécurité BSAFE qui sont provisionnés sur l'hôte d'application.
    • Redémarre les services sur l'hôte d'application et tous les autres hôtes.
    • Par exemple : Malware Analysis, Event Stream Analysis (ESA) et les hôtes Security Analytics Core (Broker, Concentrator, Decoder et Log Decoder, etc.) sont provisionnés sur l’hôte d’application. Lorsque vous exécutez le script ./FIPSEnable.sh  sur l’hôte d’application, celui-ci active FIPS pour les services (Reporting Engine et Incident Management) s’exécutant sur l’hôte d’application et il indique à Context Hub, ESA et aux services qui s’exécutent sur d’autres hôtes de s’exécuter en mode FIPS.

      Lorsqu'il s'est exécuté avec succès, le script redémarre automatiquement les services sur l'hôte d'application et les hôtes ESA et Malware. Laissez un peu de temps aux services pour redémarrer.

  3. Redémarrer les hôtes

    RSA recommande de redémarrer tous les services hôtes utilisant BSAFE qui sont connectés à l'hôte d'application en commençant par les hôtes autres qu'applicatifs. Par exemple, si vous avez un hôte Malware Analysis et un hôte d'application, commencez par redémarrer l'hôte Malware Analysis et redémarrez ensuite l'hôte d'application.

    Remarque : Pour activer ou désactiver FIPS pour les services IPDB Extractor et Broker s'exécutant sur l'hôte d'application, utilisez les scripts ./NwFIPSEnable.sh ou ./NwFIPSDisable.sh).

Vérifier que FIPS est configuré pour le Reporting Engine sur l'hôte d'application

[Cette section est-elle exacte ?]

Pour vérifier que FIPS avec BSAFE [Puisque FIPS utilisera toujours BSAFE, puis-je supprimer le premier « avec BSAFE » ici ?] est activé pour le Reporting Engine :

  1. Connectez-vous à Security Analytics et accédez à Administration > Services.
  2. Sélectionnez le service Reporting Engine.
  3. Accédez à com.rsa.soc.re > Configuration > ServerConfiguration > serverConfiguration.
  4. Assurez-vous que le paramètre FIPSEnabled est défini sur true.

FIPS_Status_RE.png

Vérifier que FIPS est configuré pour ESA

[Cette section est-elle exacte ?]

Pour vérifier que FIPS avec BSAFE [Même questions que précédemment au sujet de BSAFE] est activé pour ESA :

  1. Connectez-vous à Security Analytics et accédez à Administration > Services.
  2. Sélectionnez le service ESA.
  3. Cliquez sur OpenActionsIcon.PNG sous Actions et sélectionnez Vue > Explorer.
  4. Accédez à Service > État > Service.
  5. Assurez-vous que le paramètre FIPSModeOn est défini sur true (vrai).

    FIS_Status_ESA.png

Vérifier que FIPS est configuré pour Malware Analysis

[Cette section est-elle exacte ?]

Pour vérifier que FIPS avec BSAFE Même questions que précédemment au sujet de BSAFE est bien configuré pour Malware Analysis, exécutez la chaîne de commande suivante :

cat /etc/alternatives/jre/lib/security/java.security | grep FIPS

Cette chaîne de commande renvoie la sortie suivante lorsque FIPS est configuré pour Malware Analysis :

com.rsa.cryptoj.fips140initialmode=FIPS140_MODE

Vérifier que FIPS est configuré pour Incident Management

[Cette section est-elle exacte ?]

Pour vérifier que FIPS est configuré pour Incident Management, exécutez la chaîne de commande suivante :

cat /opt/rsa/im/logs/im.log | grep FIPS

Cette chaîne de commande renvoie la sortie suivante lorsque FIPS est configuré pour Incident Management :

[WrapperSimpleAppMain] INFO com.rsa.smc.im.ServiceInitializer - Running in FIPS mode

Désactiver FIPS avec BSAFE pour l'hôte d'application et tous les services utilisant la bibliothèque de sécurité BSAFE

[Cette section est-elle exacte ? Et puis-je retirer la première instance de « avec BSAFE » puisque BSAFE s’applique également à OpenSSL ?]

Pour désactiver FIPS avec BSAFE pour l'hôte d'application :

  1. SSH sur l'application avec des autorisations au niveau racine.
  2. Accédez au répertoire /etc/puppet/scripts et exécutez la commande suivante :

    ./FIPSEnable.sh false

  3. Redémarrez l'hôte. RSA recommande de redémarrer tous les hôtes connectés à l'hôte d'application, en commençant par les hôtes non applicatifs. Par exemple, si vous avez un hôte Malware Analysis et un hôte d'application, commencez par redémarrer l'hôte Malware Analysis et redémarrez ensuite l'hôte d'application.

[Puis-je supprimer le reste de cette rubrique étant donné que nous utilisons désormais BSAFE OpenSSL ?]

Activer, vérifier ou désactiver FIPS avec OpenSSL

Cette section indique comment activer, vérifier ou désactiver FIPS avec OpenSSL pour les services suivants : Broker, Concentrator, Decoder, Log Decoder, Warehouse Connector, IPDB Extractor, Log Collector (Collecteurs locaux et distants), Archiver et Workbench.

Activer FIPS avec OpenSSL

Pour activer FIPS avec OpenSSL :

  1. Téléchargez openssl-1.0.0-20.el6_2.5.x86_64.rpm dans un répertoire local. Vous pouvez télécharger :

    • openssl-1.0.0-20.el6_2.5.x86_64.rpm directement à partir du référentiel CentOS, ou
    • SA-10.6.0.0-UpdatePack-EL6.zip, qui contient le fichier openssl-1.0.0-20.el6_2.5.x86_64.rpm, à partir de Download Central (https://download.rsasecurity.com/)
  2. Connectez-vous avec SSH à chacun des hôtes qui utilisent OpenSSL pour FIPS avec des autorisations au niveau racine.
  3. Copiez openssl-1.0.0-20.el6_2.5.x86_64.rpm sur chacun des hôtes qui utilisent OpenSSL pour FIPS sous le répertoire racine avant d'exécuter le script pour activer FIPS.
  4. Activez FIPS dans la Security Analytics 10.6.

    1. Accédez au répertoire /etc/puppet/scripts et exécutez la commande suivante :

      ./NwFIPSEnable.sh

    2. Connectez-vous à Security Analytics et accédez à Administration > Services.
    3. Sélectionnez le service. Les services que vous devez sélectionner sont les suivants : Broker, Concentrator, Decoder, Log Decoder, Warehouse Connector, IPDB Extractor, Log Collector (Collecteurs locaux et distants), Archiver et Workbench.

    4. Cliquez sur Menu Actions détouré sous Actions, puis sélectionnez Vue > Configuration.
    5. Sous l'onglet Général, activez la case à cocher Mode SSL FIPS dans le panneau Configuration système, puis cliquez sur Appliquer.

      FISxbox1.png

    6. Sous l'onglet Configuration du service Appliance, activez la case à cocher Mode SSL FIPS, puis cliquez sur Appliquer.

      FISxbox2.png

    7. Redémarrez l'hôte. Les hôtes que vous devez réinitialiser sont les services suivants : Broker, Concentrator, Decoder, Log Decoder, Warehouse Connector, IPDB Extractor, Log Collector (Collecteurs locaux et distants), Archiver et Workbench.

Désactiver FIPS avec OpenSSL

Pour désactiver FIPS avec OpenSSL :

  1. Connectez-vous avec SSH à chacun des hôtes configurés pour FIPS avec OpenSSL avec des autorisations au niveau racine.
  2. Accédez au répertoire /etc/puppet/scripts et exécutez la commande suivante :

    ./NwFIPSDisable.sh

  3. Connectez-vous à Security Analytics et sélectionnez Administration > Services.
  4. Sélectionnez le service. Les services que vous devez sélectionner sont les suivants : Broker, Concentrator, Decoder, Log Decoder, Warehouse Connector, IPDB Extractor, Log Collector (Collecteurs locaux et distants), Archiver et Workbench.

  5. Cliquez sur Menu Actions détouré sous Actions, puis sélectionnez Vue > Configuration.
  6. Sous l'onglet Général, désactivez la case à cocher Mode SSL FIPS dans le panneau Configuration système, puis cliquez sur Appliquer.

    FISxbox1D.png

  7. Sous l'onglet Configuration du service Appliance, désactivez la case à cocher Mode SSL FIPS, puis cliquez sur Appliquer.

    FISxbox2D.png

  8. Redémarrez l'hôte. Les hôtes que vous devez réinitialiser sont les services suivants : Broker, Concentrator, Decoder, Log Decoder, Warehouse Connector, IPDB Extractor, Log Collector (Collecteurs locaux et distants), Archiver et Workbench.

Vérifier que FIPS est activé pour les services utilisant la bibliothèque de sécurité OpenSSL

Pour vérifier que FIPS est activé pour les services utilisant la bibliothèque de sécurité OpenSSL :

  1. Connectez-vous à Security Analytics et accédez à Administration > Services.
  2. Sélectionnez le service. Les services que vous devez sélectionner sont les suivants : Broker, Concentrator, Decoder, Log Decoder, Warehouse Connector, IPDB Extractor, Log Collector (Collecteurs locaux et distants), Archiver et Workbench.
  3. Sous Actions, sélectionnez Afficher > Config.

    L'onglet Général de la vue Configuration est affiché.

  4. Dans le panneau Configuration système, assurez-vous que le paramètre Mode FIPS SSL est coché.

    OpenSSLVerify.PNG

Previous Topic:Introduction
You are here
Table of Contents > Activer ou désactiver FIPS (Federal Information Processing Standards

Attachments

    Outcomes