Mantenimiento del sistema: Activar o desactivar FIPS

Document created by RSA Information Design and Development on Mar 2, 2017
Version 1Show Document
  • View in full screen mode
  

En este tema se indica cómo activar y desactivar los estándares de procesamiento de información federal (FIPS). Se usa el mismo método para activar o desactivar FIPS, independientemente de si los servicios de Security Analytics usan el tipo de biblioteca de seguridad OpenSSL o BSAFE.

                 
ServiciosSeguridad
Library
Host de aplicaciones, Context Hub, Event Stream Analysis (ESA), Incident Management, Malware Analysis y Reporting Engine.BSAFE
Broker, Concentrator, Decoder, Log Decoder, Warehouse Connector, IPDB Extractor, Log Collector (Local y Remote Collectors), Archiver y WorkbenchOpenSSL

Notas importantes acerca de FIPS

Cuando ejecuta el script para habilitar/deshabilitar FIPS en el host de aplicaciones, este habilita/deshabilita todos los servicios que usan la biblioteca de seguridad de BSAFE y que están en ejecución en el host de aplicaciones y en todos los hosts conectados que usan esta biblioteca.

[Is the following information accurate for customers - and is this the best location in the documentation for it?]

Cuando Security Analytics se ejecuta en el modo FIPS, existen los siguientes requisitos para las claves privadas y los certificados:

  1. Hay tamaños de clave mínimos para la firma y la autenticación:
    1. RSA, DSA: >= claves de 2,048 bits

    2. ECDSA: >= 224 (FIPS 186-4 recomienda curvas EC específicas) 
  2. Hay tamaños de clave mínimos para la verificación (solo para uso de componentes heredados):
    1. RSA, DSA: >= claves de 1,024 bits

    2. ECDSA: >= 160

  3. En ningún caso puede usar certificados firmados por MD5.

  4. Las firmas SHA-1 se pueden verificar, pero no crear.

[IS THE FOLLOWING STATEMENT STILL TRUE?] Si FIPS está habilitado, debe completar los siguientes pasos antes de agregar un destino de SFTP mediante acceso basado en clave SSH después de que las claves SSH se hayan configurado como se describe en la Guía de configuración de Warehouse Connector.

  1. Obtenga acceso al host Warehouse Connector mediante el protocolo SSH.
  2. Ejecute los siguientes comandos:

    cd /root/.ssh/
    mv id_dsa id_dsa.old
    openssl pkcs8 -topk8 -v2 des3 -in id_dsa.old -out id_dsa

    Se le solicitará la frase de contraseña anterior y la nueva.

  3. Ingrese la contraseña antigua y la nueva.
  4. Ejecute los siguientes comandos:

    chmod 600 id_dsa

En esta sección se explica cómo activar, desactivar o verificar FIPS.

Activar, verificar o desactivar FIPS mediante BSAFE 

En esta sección se indica cómo activar, verificar o desactivar FIPS mediante BSAFE para el host de aplicaciones y todos los servicios que usan la biblioteca de seguridad de BSAFE.

Activar FIPS mediante BSAFE para el host de aplicaciones y todos los servicios que usan la biblioteca de seguridad de BSAFE

[Is this section accurate?]

Para activar FIPS mediante BSAFE [Since FIPS will always be using BSAFE, can I delete the first "using BSAFE" here?] para el host de aplicaciones y todos los servicios que usan la biblioteca de seguridad de BSAFE:

  1. Obtenga acceso al host de aplicaciones mediante el protocolo SSH con permisos de raíz.
  2. Desplácese al directorio /etc/puppet/scripts y ejecute el siguiente comando:

    ./FIPSEnable.sh

    El script SOLO se ejecuta en el host de aplicaciones. El script ./FIPSEnable.sh :

    • Activa FIPS en todos los servicios que usan la biblioteca de seguridad de BSAFE y que se aprovisionan al host de aplicaciones.
    • Reinicia los servicios en el host de aplicaciones y en todos los demás hosts.
    • Por ejemplo: Los hosts de Malware Analysis, Event Stream Analysis (ESA) y Security Analytics Core (Broker, Concentrator, Decoder y Log Decoder, etc.) se aprovisionan al host de aplicaciones. Cuando se ejecuta el script ./FIPSEnable.sh en el host de aplicaciones, activa FIPS para los servicios (Reporting Engine e Incident Management) que se ejecutan en el host de aplicaciones e indica a Context Hub, ESA y a los servicios que se ejecutan en otros hosts que se ejecuten en el modo FIPS.

      Después de la ejecución correcta del script, este reinicia automáticamente los servicios en los hosts de aplicaciones, ESA y Malware. Espere un momento hasta que los servicios se reinicien.

  3. Reiniciar hosts.

    RSA recomienda reiniciar todos los servicios que usan BSAFE, los cuales se conectan al host de aplicaciones a partir de los hosts que no son de aplicaciones. Por ejemplo, si tiene un host de Malware Analysis y un host de aplicaciones, reinicie primero el host de Malware Analysis y, a continuación, el host de aplicaciones.

    Nota: Para activar o desactivar FIPS para los servicios IPDB Extractor y Broker que se ejecutan en el host de aplicaciones, use los scripts ./NwFIPSEnable.sh o ./NwFIPSDisable.sh).

Verificar que FIPS esté activado para Reporting Engine en el host de aplicaciones

[Is this section accurate?]

Para verificar que FIPS que usa BSAFE [Since FIPS will always be using BSAFE, can I delete "using BSAFE" here?] esté activado para Reporting Engine:

  1. Inicie sesión en Security Analytics y vaya a Administration > Servicios.
  2. Seleccione el servicio Reporting Engine.
  3. Vaya a com.rsa.soc.re > Configuration > ServerConfiguration > serverConfiguration.
  4. Asegúrese de que el parámetro FIPSEnabled esté establecido en true.

FIPS_Status_RE.png

Verificar que FIPS esté activado para ESA

[Is this section accurate?]

Para verificar que FIPS que usa BSAFE [Same question as above re BSAFE] esté activado para ESA:

  1. Inicie sesión en Security Analytics y vaya a Administration > Servicios.
  2. Seleccione el servicio de ESA.
  3. Haga clic en OpenActionsIcon.PNG en Acciones y seleccione Ver> Explorar.
  4. Vaya a Servicio> Estado> servicio.
  5. Asegúrese de que el parámetro FIPSModeOn esté establecido en true.

    FIS_Status_ESA.png

Verificar que FIPS esté activado para Malware Analysis

[Is this section accurate?]

Para verificar que FIPS que usa BSAFE [Same question as above re BSAFE] esté activado para Malware Analysis, ejecute la siguiente cadena de comandos:

cat /etc/alternatives/jre/lib/security/java.security | grep FIPS

La cadena de comandos devuelve la siguiente salida cuando FIPS está activado para Malware Analysis:

com.rsa.cryptoj.fips140initialmode=FIPS140_MODE

Verificar que FIPS esté activado para Incident Management

[Is this section accurate?]

Para verificar que FIPS esté activado para Incident Management, ejecute la siguiente cadena de comandos:

cat /opt/rsa/im/logs/im.log | grep FIPS

La cadena de comandos devuelve la siguiente salida cuando FIPS está activado para Incident Management:

[WrapperSimpleAppMain] INFO com.rsa.smc.im.ServiceInitializer - Running in FIPS mode

Desactivar FIPS que usa BSAFE para el host de aplicaciones y todos los servicios que usan la biblioteca de seguridad de BSAFE

[Is this section accurate? And can I remove the first instance of "using BSAFE" since BSAFE applies to OpenSSL as well?]

Para desactivar FIPS que usa BSAFE para el host de aplicaciones:

  1. Obtenga acceso al host de aplicaciones mediante el protocolo SSH con permisos de raíz.
  2. Desplácese al directorio /etc/puppet/scripts y ejecute el siguiente comando:

    ./FIPSEnable.sh false

  3. Reinicie el host. RSA recomienda reiniciar todos los hosts que están conectados al host de aplicaciones a partir de aquellos que no son de aplicaciones. Por ejemplo, si tiene un host de Malware Analysis y un host de aplicaciones, reinicie primero el host de Malware Analysis y, a continuación, el host de aplicaciones.

[Can I remove the rest of this topic since we are now using BSAFE OpenSSL?]

Activar, verificar o desactivar FIPS mediante OpenSSL

En esta sección se indica cómo activar, verificar o desactivar FIPS que usa OpenSSL para los servicios Broker, Concentrator, Decoder, Log Decoder, Warehouse Connector, IPDB Extractor, Log Collector (Local y Remote Collectors), Archiver y Workbench.

Activar FIPS que usa OpenSSL

Para activar FIPS que usa OpenSSL:

  1. Descargue openssl-1.0.0-20.el6_2.5.x86_64.rpm a un directorio local. Puede descargar:

    • openssl-1.0.0-20.el6_2.5.x86_64.rpm directamente desde el repositorio de CentOS, o
    • SA-10.6.0.0-UpdatePack-EL6.zip, el cual contiene openssl-1.0.0-20.el6_2.5.x86_64.rpm, desde Download Central (https://download.rsasecurity.com/)
  2. Obtenga acceso a los hosts que usan OpenSSL para FIPS mediante el protocolo SSH con permisos de raíz.
  3. Copie openssl-1.0.0-20.el6_2.5.x86_64.rpm en cada uno de los hosts que usan OpenSSL para FIPS en el directorio raíz antes de ejecutar el script para activar FIPS.
  4. Activar FIPS en Security Analytics v10.6.

    1. Desplácese al directorio /etc/puppet/scripts y ejecute el siguiente comando:

      ./NwFIPSEnable.sh

    2. Inicie sesión en Security Analytics y vaya a Administration > Servicios.
    3. Seleccione el servicio. Los servicios que necesita seleccionar son Broker, Concentrator, Decoder, Log Decoder, Warehouse Connector, IPDB Extractor, Log Collector (Local y Remote Collectors), Archiver y Workbench.

    4. Haga clic en Menú Acciones recortado bajo Acciones y seleccione Ver > Configuración.
    5. En la pestaña General, seleccione la casilla de verificación Modo SSL FIPS en el panel Configuración del sistema y haga clic en Aplicar.

      FISxbox1.png

    6. En la pestaña Configuración del servicio Appliance, seleccione la casilla de verificación Modo SSL FIPS y haga clic en Aplicar.

      FISxbox2.png

    7. Reinicie el host. Los hosts que necesita reiniciar son los servicios Broker, Concentrator, Decoder, Log Decoder, Warehouse Connector, IPDB Extractor, Log Collector (Local y Remote Collectors), Archiver y Workbench.

Desactivar FIPS mediante OpenSSL

Para desactivar FIPS mediante OpenSSL:

  1. Acceda a los hosts activados para FIPS que usan OpenSSL mediante el protocolo SSH con permisos de raíz.
  2. Desplácese al directorio /etc/puppet/scripts y ejecute el siguiente comando:

    ./NwFIPSDisable.sh

  3. Inicie sesión en Security Analytics y seleccione Administration > Servicios.
  4. Seleccione el servicio. Los servicios que necesita seleccionar son Broker, Concentrator, Decoder, Log Decoder, Warehouse Connector, IPDB Extractor, Log Collector (Local y Remote Collectors), Archiver y Workbench.

  5. Haga clic en Menú Acciones recortado bajo Acciones y seleccione Ver > Configuración.
  6. En la pestaña General, deseleccione la casilla de verificación Modo SSL FIPS en el panel Configuración del sistema y haga clic en Aplicar.

    FISxbox1D.png

  7. En la pestaña Configuración del servicio Appliance, deseleccione la casilla de verificación Modo SSL FIPS y haga clic en Aplicar.

    FISxbox2D.png

  8. Reinicie el host. Los hosts que necesita reiniciar son los servicios Broker, Concentrator, Decoder, Log Decoder, Warehouse Connector, IPDB Extractor, Log Collector (Local y Remote Collectors), Archiver y Workbench.

Verificar que FIPS esté activado para los servicios mediante la biblioteca de seguridad de OpenSSL

Para verificar que FIPS esté activado para los servicios mediante la biblioteca de seguridad de OpenSSL:

  1. Inicie sesión en Security Analytics y vaya a Administration > Servicios.
  2. Seleccione el servicio. Los servicios que necesita seleccionar son Broker, Concentrator, Decoder, Log Decoder, Warehouse Connector, IPDB Extractor, Log Collector (Local y Remote Collectors), Archiver y Workbench.
  3. En Acciones, seleccione Ver > Configuración.

    Se muestra la pestaña General de la vista Configuración.

  4. En el panel Configuración del sistema, asegúrese de que el parámetro Modo SSL FIPS esté seleccionado.

    OpenSSLVerify.png

Previous Topic:Introduction
You are here
Table of Contents > Activate or Deactivate FIPS

Attachments

    Outcomes