Esta seção fornece informações sobre a configuração de diversos plug-ins do Sentinel no modo FIPS 140-2.
NOTA:Essas instruções são fornecidas presumindo que você tenha instalado o Sentinel no diretório /opt/novell/sentinel. Execute todos os comandos como usuário do novell.
Siga o procedimento abaixo apenas se você tiver selecionado a opção Criptografado (HTTPS) ao configurar as definições de rede do servidor de origem de evento do Gerenciador de agente.
Para configurar o Conector do Gerenciador de Agente para executar no modo FIPS 140-2:
Adicione ou edite o Servidor de Origem de Evento do Gerenciador de Agente. Avance pelas telas de configuração até que a janela Segurança seja exibida. Para obter mais informações, veja o Guia do Conector do Gerenciador de Agente.
Selecione uma das opções no campo Client Authentication Type (Tipo de autenticação do cliente). O tipo de autenticação do cliente determina estritamente como o Servidor de Origem de Evento do Gerenciador de Agente SSL verifica a identidade das Fontes de Evento do Gerenciador de Agente que estão tentando enviar dados.
Abrir: Permite todas as conexões SSL provenientes dos agentes do Gerenciador de Agente. Não executa nenhuma validação ou autenticação de certificado de cliente.
Rígida: Valida o certificado como um certificado X.509 válido e também verifica se o certificado do cliente é de confiança para o Servidor de Origem de Evento. Novas fontes precisarão ser explicitamente adicionadas ao Sentinel (isso evita que fontes fraudulentas enviem dados não autorizados).
Para a opção Rígida, você deve importar o certificado de cada novo cliente do Gerenciador de Agente para o keystore do Sentinel FIPS. Quando o Sentinel está executando no modo FIPS 140-2, não é possível importar o certificado do cliente usando a interface do Gerenciamento de Fonte de Eventos (ESM).
Para obter mais informações sobre como importar o certificado, veja Importando certificados para o banco de dados de keystore do FIPS.
NOTA:No modo FIPS 140-2, o servidor da Fonte de Evento do Gerenciador de Agente usa o par de chaves do servidor do Sentinel; não é necessário importar o par de chaves do servidor.
Se a autenticação de servidor estiver ativa nos agentes, os agentes também precisam ser configurados para confiar no servidor do Sentinel ou no certificado do Collector Manager remoto dependendo do local em que o Conector é implantado.
Localização do certificado do servidor do Sentinel: /etc/opt/novell/sentinel/config/sentinel.cer
Localização do certificado do Collector Manager remoto: /etc/opt/novell/sentinel/config/rcm.cer
NOTA:Ao usar certificados personalizados que estejam assinados digitalmente por uma autoridade de certificação (CA), o agente do Gerenciador de Agente deverá confiar no arquivo de certificado apropriado.
Siga o procedimento abaixo apenas se tiver selecionado a opção SSL ao configurar a conexão do banco de dados.
Para configurar o Conector do Banco de Dados para executar no modo FIPS 140-2:
Antes de configurar o Conector, faça o download do certificado do servidor de banco de dados e salve-o como o arquivo database.cert no diretório /etc/opt/novell/sentinel/config do servidor do Sentinel.
Para obter mais informações, consulte a respectiva documentação do banco de dados.
Importe o certificado para o keystore do Sentinel FIPS.
Para obter mais informações sobre como importar o certificado, veja Importando certificados para o banco de dados de keystore do FIPS.
Prossiga com a configuração do Conector.
Siga o procedimento abaixo apenas se tiver selecionado a opção Encrypted (HTTPS) (Criptografado [HTTPS]) ao configurar as definições da rede do Servidor de Origem de Evento do Sentinel Link.
Para configurar o Sentinel Link Connector para executar no modo FIPS 140-2:
Adicione ou edite o Servidor de Origem de Evento do Sentinel Link. Avance pelas telas de configuração até que a janela Segurança seja exibida. Para obter mais informações, consulte Guia do Sentinel Link Connector.
Selecione uma das opções no campo Client Authentication Type (Tipo de autenticação do cliente). O tipo de autenticação do cliente determina com que rigidez o Servidor de Origem de Evento SSL Sentinel Link verifica a identidade das Fontes de Evento do Sentinel Link (Integradores de Sentinel Link) que estão tentando enviar dados.
Abrir: Permite todas as conexões SSL provenientes dos clientes (Sentinel Link Integrators). Não executa nenhuma validação ou autenticação de certificado do Integrator.
Rígida: Valida o certificado do Integrator como um certificado X.509 válido e também verifica se o certificado do Integrator é de confiança para o Servidor de Origem de Evento. Para obter mais informações, consulte a respectiva documentação do banco de dados.
Para a opção Strict (Rígida):
Se o Sentinel Link Integrator estiver no modo FIPS 140-2, você deve copiar o arquivo /etc/opt/novell/sentinel/config/sentinel.cer da máquina Sentinel emissora à máquina Sentinel receptora. Importe esse certificado para o keystore do Sentinel FIPS receptor.
NOTA:Ao usar certificados personalizados que estejam assinados digitalmente por uma autoridade de certificação (CA), você deve importar o arquivo de certificado personalizado adequado.
Se o Sentinel Link Integrator estiver no modo não FIPS, você deve importar o certificado personalizado do Integrator para o keystores do Sentinel FIPS receptor.
NOTA:Se o emissor for o Sentinel Log Manager (no modo não FIPS) e o receptor for o Sentinel no modo FIPS 140-2, o certificado do servidor a ser importado no emissor será o arquivo /etc/opt/novell/sentinel/config/sentinel.cer da máquina Sentinel receptora.
Quando o Sentinel está executando no modo FIPS 140-2, não é possível importar o certificado do cliente usando a interface do Gerenciamento de Fonte de Eventos (ESM). Para obter mais informações sobre como importar o certificado, veja Importando certificados para o banco de dados de keystore do FIPS.
NOTA:No modo FIPS 140-2, o servidor da Fonte de Evento do Sentinel Link usa o par de chaves do servidor do Sentinel. Não é necessário importar o par de chaves do servidor.
Siga o procedimento abaixo apenas se tiver selecionado o protocolo SSL ao configurar as definições da rede do Servidor de Origem de Evento Syslog.
Para configurar o Syslog Connector para executar no modo FIPS 140-2:
Adicione ou edite o Servidor de Origem de Evento do Syslog. Avance pelas telas de configuração até que a janela Networking (Rede) seja exibida. Para obter mais informações, consulte o Guia do Syslog Connector.
Clique em Configurações.
Selecione uma das opções no campo Client Authentication Type (Tipo de autenticação do cliente). O tipo de autenticação do cliente determina com que rigidez o Servidor de Origem de Evento do Syslog SSL verifica a identidade das Fontes de Evento do Syslog que estão tentando enviar dados.
Abrir: Permite todas as conexões SSL provenientes dos clientes (fontes de evento). Não executa nenhuma validação ou autenticação de certificado de cliente.
Rígida: Valida o certificado como um certificado X.509 válido e também verifica se o certificado do cliente é de confiança para o Servidor de Origem de Evento. Novas fontes terão que ser explicitamente adicionadas ao Sentinel (isso previne que fontes fraudulentas enviem dados para o Sentinel).
Para a opção Rígida, você deve importar o certificado cliente syslog para a keystore FIPS do Sentinel.
Quando o Sentinel está executando no modo FIPS 140-2, não é possível importar o certificado do cliente usando a interface do Gerenciamento de Fonte de Eventos (ESM).
Para obter mais informações sobre como importar o certificado, veja Importando certificados para o banco de dados de keystore do FIPS.
NOTA:No modo FIPS 140-2, o Servidor de Origem de Evento do Syslog usa o par de chaves do servidor Sentinel. Não é necessário importar o par de chaves do servidor.
Se a autenticação de servidor estiver ativa no cliente syslog, o cliente precisa confiar no certificado do servidor do Sentinel ou no certificado do Collector Manager remoto dependendo do local em que o Conector é implantado.
O arquivo do certificado do servidor do Sentinel encontra-se em /etc/opt/novell/sentinel/config/sentinel.cer.
O arquivo do certificado do Gerenciador de coletor remoto encontra-se em /etc/opt/novell/sentinel/config/rcm.cer.
NOTA:Ao usar certificados personalizados que estejam assinados digitalmente por uma autoridade de certificação (CA), o cliente deverá confiar no arquivo de certificado apropriado.
Para configurar o Windows Event (WMI) Connector para executar no modo FIPS 140-2:
Adicione ou edite o Windows Event Connector. Avance pelas telas de configuração até que a janela Segurança seja exibida. Para obter mais informações, consulte o Guia do Windows Event (WMI) Connector
Clique em Configurações.
Selecione uma das opções no campo Client Authentication Type (Tipo de autenticação do cliente). O tipo de autenticação do cliente determina com que rigidez o Windows Event Connector verifica a identidade dos serviços do Windows Event Collection (WECS) cliente que estão tentando enviar os dados.
Abrir: permite todas as conexões SSL provenientes do WECS cliente. Não executa nenhuma validação ou autenticação de certificado de cliente.
Rígida: Valida o certificado como um certificado X.509 válido e verifica também se o certificado WECS cliente está assinado por uma CA. Novas fontes precisarão ser explicitamente adicionadas (isso previne que fontes fraudulentas enviem dados para o Sentinel).
Para a opção Strict (Rígida), você deve importar o certificado do WECS cliente para o keystore do Sentinel FIPS. Quando o Sentinel está executando no modo FIPS 140-2, não é possível importar o certificado do cliente usando a interface do Gerenciamento de Fonte de Eventos (ESM).
Para obter mais informações sobre como importar o certificado, veja Importando certificados para o banco de dados de keystore do FIPS.
NOTA:No modo FIPS 140-2, o Windows Event Source Server usa o par de chaves do servidor do Sentinel. Não é necessário importar o par de chaves do servidor.
Se a autenticação de servidor estiver ativa no cliente Windows, o cliente precisa confiar no certificado do servidor do Sentinel ou no certificado do Collector Manager remoto dependendo do local em que o Conector é implantado.
O arquivo do certificado do servidor do Sentinel encontra-se em /etc/opt/novell/sentinel/config/sentinel.cer.
O arquivo do certificado do Collector Manager remoto encontra-se em /etc/opt/novell/sentinel/config/rcm.cer.
NOTA:Ao usar certificados personalizados que estejam assinados digitalmente por uma autoridade de certificação (CA), o cliente deverá confiar no arquivo de certificado apropriado.
Se você deseja sincronizar automaticamente as fontes de evento ou preencher a lista de fontes de evento usando uma conexão do Active Directory, deverá importar o certificado do servidor Active Directory para o keystore do Sentinel FIPS.
Para obter mais informações sobre como importar o certificado, veja Importando certificados para o banco de dados de keystore do FIPS.
Siga o procedimento abaixo apenas se tiver selecionado a opção Encrypted (HTTPS) (Criptografado [HTTPS]) ao configurar as definições da rede do Sentinel Link Integrator.
Para configurar o Sentinel Link Integrator para executar no modo FIPS 140-2:
Quando o Sentinel Link Integrator está no modo FIPS 140-2, a autenticação do servidor é obrigatória. Antes de configurar a instância do Integrador, importe o certificado do servidor de Link do Sentinel para a keystore FIPS do Sentinel:
Se o Conector do link do Sentinel estiver em modo FIPS 140-2:
Se o Conector estiver implantado no servidor do Sentinel, você precisa copiar o arquivo /etc/opt/novell/sentinel/config/sentinel.cer da máquina Sentinel receptora para a máquina Sentinel emissora.
Se o Conector estiver implantado em um Collector Manager remoto, você precisa copiar o arquivo /etc/opt/novell/sentinel/config/rcm.cer da máquina receptora do Collector Manager remoto para a máquina receptora do Sentinel.
Importe esse certificado para o keystore do Sentinel FIPS emissor.
NOTA:Ao usar certificados personalizados que estejam assinados digitalmente por uma autoridade de certificação (CA), você deve importar o arquivo de certificado personalizado adequado.
Se o Conector do link do Sentinel estiver em modo não FIPS:
Importe o certificado do servidor de Link do Sentinel para a keystore FIPS do Sentinel emissor.
NOTA:Quando o Sentinel Link Integrator está no modo FIPS 140-2 e o Sentinel Link Connector está no modo não FIPS, use o par de chaves personalizado do servidor no conector. Não use o par de chaves interno do servidor.
Para obter mais informações sobre como importar o certificado, veja Importando certificados para o banco de dados de keystore do FIPS.
Prossiga com a configuração da instância do Integrator.
NOTA:No modo FIPS 140-2, o Sentinel Link Integrator usa o par de chaves do servidor do Sentinel. Importar o par de chaves do Integrador não é necessário.
Para configurar o LDAP Integrator para executar no modo FIPS 140-2:
Antes de configurar a instância do Integrator, faça o download do certificado do servidor LDAP e salve-o como arquivo ldap.cert para o diretório /etc/opt/novell/sentinel/config do servidor do Sentinel.
Por exemplo, usar
openssl s_client -connect <LDAP server IP>:636
e copiar o texto retornado (entre, sem incluir, as linhas BEGIN e END) em um arquivo.
Importe o certificado para o keystore do Sentinel FIPS.
Para obter mais informações sobre como importar o certificado, veja Importando certificados para o banco de dados de keystore do FIPS.
Prossiga com a configuração da instância do Integrator.
O Integrador SMTP suporta o modo FIPS 140-2 nas versões 2011.1r2 e mais recentes. Não é necessária nenhuma mudança de configuração.
Realize o seguinte procedimento apenas se tiver selecionado a opção Criptografado (SSL) ao definir as configurações de rede do Syslog Integrator.
Para configurar o Syslog Integrator para executar no modo FIPS 140-2:
Quando o Syslog Integrator está no modo FIPS 140-2, a autenticação do servidor é obrigatória. Antes de configurar a instância do Integrador, importe o certificado do servidor Syslog para a keystore FIPS do Sentinel:
Se o Syslog Connector estiver no modo FIPS 140-2: Se o Connector estiver implantado no servidor do Sentinel, você deverá copiar o arquivo /etc/opt/novell/sentinel/config/sentinel.cer do servidor do Sentinel receptor para o servidor do Sentinel emissor.
Se o Connector estiver implantado em um Collector Manager remoto, você deverá copiar o arquivo /etc/opt/novell/sentinel/config/rcm.cer do computador receptor do Collector Manager remoto para o computador receptor do Sentinel.
Importe esse certificado para o keystore do Sentinel FIPS emissor.
NOTA:Ao usar certificados personalizados que estejam assinados digitalmente por uma autoridade de certificação (CA), você deve importar o arquivo de certificado personalizado adequado.
Se o Syslog Connector estiver em um modo não FIPS: Será necessário importar o certificado personalizado do Syslog Server para o keystore do Sentinel FIPS remetente.
NOTA:Quando o Syslog Integrator estiver no modo FIPS 140-2 e o Syslog Connector estiver no modo não FIPS, use o par de chaves personalizado do servidor no conector. Não use o par de chaves interno do servidor.
Para importar certificados para o banco de dados de keystore do FIPS:
Copie o arquivo de certificado para qualquer local temporário no servidor do Sentinel ou Collector Manager remoto.
Vá para o diretório /opt/novell/sentinel/bin.
Execute o comando a seguir para importar o certificado para o banco de dados da keystore do FIPS e siga as instruções na tela:
./convert_to_fips.sh -i <certificate file path>
Digite sim ou s quando solicitado a reiniciar o servidor do Sentinel ou o Collector Manager remoto.
Prossiga com a configuração da instância do Integrator.
NOTA:No modo FIPS 140-2, o Syslog Integrator usa o par de chaves do servidor do Sentinel. Não é necessário importar o par de chaves do Integrator.
Esta seção fornece informações sobre como usar Conectores ativados não FIPS com um servidor do Sentinel no modo FIPS 140-2. Recomendamos essa abordagem se você tiver fontes que não suportam FIPS ou se desejar coletar eventos dos Conectores não FIPS no seu ambiente.
Para usar conectores não FIPS com o Sentinel no modo FIPS 140-2:
Instale um Collector Manager no modo não FIPS para conectar ao servidor do Sentinel no modo FIPS 140-2.
Para obter mais informações, consulte Seção III, Instalando o Sentinel.
Implemente os Conectores não FIPS especificamente para o Collector Manager remoto não FIPS.
NOTA:Há alguns problemas conhecidos quando Conectores não FIPS, como o Conector de Auditoria e o Conector de Arquivo, são implementados em um Collector Manager remoto não FIPS conectado a um servidor do Sentinel no modo FIPS 140-2. Para obter mais informações sobre esses problemas conhecidos, veja os Detalhes da versão do Sentinel .