AP2 setup

Back

LBL®Global Distributed Gateway Virtual Appliance (VAPP d’ora in avanti) è uno strumento di bilanciamento e instradamento del traffico dati a livello OSI layer 4 e OSI Layer 7 HTTP/S DNS con caratteristiche avanzate di sicurezza WAF, DoS/DDoS/A-DDoS.

LBL®Global Distributed Gateway è un prodotto destinato ad ambienti mission critical pertanto solo personale che ha effettuato il corso ed ha superato l’esame è autorizzato a certificare l’installazione e manutenzione dei prodotti in esercizio. Tutte le persone certificate sono dotate di attestato di partecipazione ai corsi e superamento della prova di esame rilasciati da TCOGROUP SRL.

Attack Prophecy® è un sistema avanzato per la rilevazione e la protezione dagli attacchi informatici contro i servizi web. Attraverso un insieme di modelli specializzati è in grado di identificare le richieste anomale, categorizzandole e dunque identificando un’ampia varietà di attacchi contro i servizi web. Il sistema consente inoltre all’operatore di ispezionare le segnalazioni (confermandole o etichettandole come legittime) e definire in pochi semplici passaggi delle regole di protezione per i servizi web. Tali regole di protezione verranno poi utilizzate da LBL®WAF per garantire la protezione dei servizi monitorati.

Preparazione all’installazione

Per installare LBL®Global Distributed Gateway nella versione VAPP è sufficiente eseguire il download attraverso il sito web https://download.oplon.net. La VAPP scaricata contiene una licenza d’uso a scopo demo/prototipizzazione senza limitazione di tempo ma con una capacità limitata. È possibile sbloccare la VAPP attraverso l’acquisto delle licenze d’uso in qualsiasi momento.

Compatibility Matrix

Le VAPP distribuite e disponibili direttamente dal download sono per le più diffuse piattaforme virtuali oggi sul mercato, altre immagini virtuali possono essere richieste a TCOGROUP SRL attraverso e-mail: customercare@oplon.net.

Immagini direttamente disponibili dal sito:

  • VMware (con OS di base “Powered by CentOS” o “Powered by Ubuntu”)
  • Microsoft Hyper-V (con OS di base “Powered by CentOS” o “Powered by Ubuntu”)
  • Virtual BOX (con OS di base “Powered by CentOS” o “Powered by Ubuntu”)

È inoltre disponibile una VAPP destinata allo sviluppo delle regole e classi di rewriting LBL R9GDG Developer (su OS di base “Powered by Ubuntu”).

ATTENZIONE:

Affinchè l’installazione sia supportata verificare la compatibility matrix sul documento di white paper oppure sul sito web

www.oplon.net

Compatibility Matrix: Moduli di Sistema Operativo e servizi

Le VAPP sono predisposte con i servizi necessari al funzionamento del sistema LBL®S.A.A.I. Ciò nonostante è possibile installare altre funzionalità al sistema operativo di base preventivamente verificata la coesistenza dei moduli con i servizi erogati dalla piattaforma LBL®S.A.A.I.

ATTENZIONE:

LBL®ADC necessita per ogni Sistema Operativo dei soli servizi relativi alla raggiungibilità (SSHD per i Sistemi Operativi Unix/Linux, Console Windows Desktop per Sistemi Operativi MS Windows) e connettività ethernet e servizi di rete di base (TCP/IP, UDP, ICMP, MULTICAST). Altri servizi come firewall servizi di posta elettronica application server etc. non sono necessari a LBL®ADC per il suo funzionamento e concorrono nell’utilizzo delle stesse risorse o, come nel caso dei firewall, eseguono operazioni molto pesanti sul traffico dati. In questi casi tutti i moduli devono essere configurati per ottenere il massimo risultato dalle risorse presenti e commisurate al traffico che devono sostenere.

Virtual Appliance import

L’import della VAPP è facilitato dagli strumenti dei sistemi di virtualizzazione. Ogni sistema di virtualizzazione mette a disposizione una console per effettuare l’operazione.

Una volta importata la VAPP il sistema è pronto per effettuare il primo setup compatibilmente all’ambiente del datacenter.

NOTA: Durante l’import è importante aver cura di scegliere, nei diversi sistemi di virtualizzazione, un import con rigenerazione dei MAC address delle schede virtuali. In questo modo le macchine virtuali non entreranno in conflitto.

Virtual Appliance VM OS guest setup

Una volta importata la VAPP nel sistema di virtualizzazione è necessario inserirla nel contesto operativo.

I parametri che sono da tenere in considerazione sono di tipo dimensionale (sizing) e di contesto della rete esistente.

Di seguito in maniera sintetica i parametri da controllare prima dell’import e l’avvio dell’istanza virtuale:

  1. Memoria RAM (default 4096 MB)
  2. Numero di CPU (default 1 CPU *core)
  3. Virtual Network Interface (default 1 VNIC)
  4. HDD 40GB Thin Provision

Una volta verificati questi parametri è possibile eseguire lo start della macchina virtuale.

Per le impostazioni di rete verificare:

Per distribuzione con SO di base Ubuntu: Documentazione ufficiale

(genericamente /etc/network/interfaces)

Per distribuzione con SO di base CentOS: E’ disponibile il tool da console # nmtui

Virtual Appliance configuration

Dopo l’avvio della macchina virtuale il sistema parte in modalità carattere per tutte le VAPP di produzione, in modalità grafica per la VAPP di sviluppo. In questo documento si prenderà in considerazione la VAPP destinata alla produzione.

Allo start il sistema richiederà login e password amministrativo:

Login : administrator

Password: adminadmin


Appena digitato login e password, la console suggerirà i comandi disponibili.

Con il comando lblhelp è possibile richiedere la lista delle funzioni disponibili.


Eseguendo lblsetup il sistema richiederà l’impostazione della password dell’amministratore. La VAPP è preimpostata con la password: adminadmin


Il sistema di configurazione iniziale è stato ridotto al minimo nella console per permettere una semplice impostazione delle funzioni con cui poi effettuare la connessione attraverso LBL®Global Distributed Gateway dove è possibile effettuare la configurazione estesa. Per default le console eseguono un bind su tutti gli indirizzi disponibili:

Di seguito la spiegazione delle richieste effettuate dalla console:

Management address: (default 0.0.0.0)

  • È l’indirizzo da cui è possibile collegarsi dall’esterno con LBL®Management Console

Management port: (default 54443)

  • È la porta da cui è possibile collegarsi dall’esterno con LBL®Management Console

Global Distributed Gateway def. port (default 4444)

  • È la porta da cui è possibile collegarsi dall’esterno con LBL®Global Distributed Gateway. È possibile modificare questa porta attraverso la console web del processo Global Distributed Gateway.

Type LBL root username and password:

  • È l’impostazione del login di amministratore root con cui sdarà possibile eseguire da LBL®Management Console il setup completo ed impostare o cancellare altri utenti

Type primary system name and password for system delegation.

  • Imposta il login la password dell’utente delelgato primario per effettuare operazioni tra più sistemi LBL®S.A.A.I. (è consigliato impostare un login associato ad una password di sola conoscenza del personale adibito alla security o comunque non disponibile a tutto il personale. Per maggiori informazioni in caso di particolari installazioni critiche verificare il manuale LBL_AutonomousDelegatedAuthentication)

NOTA: Il programma di setup esce automaticamente dopo 3 minuti dallo start.

Per ragioni di sicurezza, consigliamo di modificare l’indirizzo, login e password rispetto ai default indicati.

Una volta impostati login e password è possibile eseguire l’uscita con salvataggio.

ATTENZIONE:

Quando viene modificato l’indirizzo o la porta di management, dovrà essere eseguito necessariamente un comando di restart del monitor. È possibile effettuare questa operazione da console attraverso il comando:

# lblrestart

Il comando lblrestart necessita di circa 60 secondi per essere eseguito. In questo periodo di tempo il sistema LBL®S.A.A.I. non è operativo.

Impostazione Data e Ora timezone del sistema operativo

LBL®Global Distributed Gateway non è sensibile a differenze di orario sui Nodi durante il funzionamento. Ciò nonostante se durante il funzionamento si dovessero cambiare la data e l’ora del sistema alcune considerazioni potrebbero venire falsate come ad esempio i calcoli di time-out, lease time o considerazioni sulle date di repository (es.: data della versione del repository di georeferenzazione).

Per quanto descritto è quindi consigliabile impostare la data e l’ora del sistema con valori il più vicino possibile alla data e all’ora correnti. L’utilizzo dell’allineamento tramite protocollo NTP è consigliato.

Per cambiare il timezone è disponibile il comando lbltimezone che, in dipendenza del sistema operativo di base utilizzato, avrà la propria interfaccia di setup o le indicazioni per effettuare la modifica.

ATTENZIONE:

Se installazione con licenze a noleggio (rent licensing) l’impostazione della data e l’ora sono fondamentali per il funzionamento dei prodotti

www.oplon.net

Impostazione Keyboard del sistema operativo

Per cambiare la keyboard della console è disponibile il comando lblkeyboard che, in dipendenza del sistema operativo di base utilizzato, avrà la propria interfaccia di setup o le indicazioni per effettuare la modifica.


Base CentOS:


Base Ubuntu:

Primo login da LBL®Global Distributed Gateway

Dalla console è possibile verificare l’attuale configurazione ed indirizzo DHCP associato attraverso i normali comandi Linux (ip addr).


Il sistema LBL®Monitor e LBL®Global Distributed Gateway sono per default impostati per accettare connessioni da tutte le reti.


È sufficiente quindi, verificare con il comando “ip addr” un indirizzo disponibile ed eseguire il login da LBL®Management Console, LBL Web Console o da LBL®Global Distributed Gateway sull’indirizzo specificato es.:

Per l’accesso ai servizi LBL®Global Distributed Gateway digitare: https://x.x.x.x:4444

(dove x.x.x.x è un qualsiasi indirizzo del sistema se non avete modificato l’indirizzo 0.0.0.0 oppure l’indirizzo da voi scelto con lblsetup).


Se non modificato in fase di setup: login: root

Nomi e convenzioni LBL®Global Distributed Gateway

Di seguito sono riportati i nomi convenzionali delle aree utilizzate dall’interfaccia grafica a cui tutta la documentazione fa riferimento.

Setup Attack Prophecy

Il setup di Attack Prophecy è molto semplice e necessita solamente di parametrizzare i diritti di accesso ed e domini che si vogliono analizzare.

Accedere attraverso console del sistema operativo:

utente: prophecy

password: ap2-user

– Fermare Attack Prophecy e il server HTTP.

$ su

Password: adminadmin

# systemctl stop attackprophecy*

# systemctl stop httpd
# exit
$

– Abilitare i servizi.

$ su

Password: adminadmin

# systemctl enable attackprophecy.service

# systemctl enable attackprophecy-collector.service
# systemctl enable attackprophecy-detector.service

# systemctl enable attackprophecy-detector.timer

# exit
$

– Modificare il file /home/prophecy/ap2/src/config.ini

* Nella sezione [MAIN] indicare il numero di processi paralleli da impiegare per l’elaborazione.

[MAIN]

data_dir = /home/prophecy/ap2/data

processes = 2

queue_maxsize = 100

* Nella sezione [SOURCE] sono indicati i parametri di collegamento al database

[SOURCE]

engine = mysql

db = LBL

ip = 127.0.0.1

user = root

pwd = localpasswd

* Nella sezione [CACHE] modificare i nomi dei domini da analizzare

In domain_names i nomi di dominio da monitorare devono essere separati da virgole. È possibile usare il carattere wildcard ‘*’ se si intende monitorare tutto il traffico

[CACHE]

batch_size = 100000

lbl_l7_table = L7_HTTP_HTTPS

lbl_rule_table = EXECUTED_RULE

# Set domain_names to the wildcar character * to monitor all requested

# domain names

domain_names = www.domain1.it,www.domain2.it

* Nella sezione [LBL] se necessario, modificare le informazioni di accesso per l’upload

delle regole al WAF

[LBL]

user = administrator

ip = 192.168.1.1

notification_dir = /TCOProject/bin/LBL/LBL_HOME/lib/notificationDir

ip_whitelist_fname = IP_GLOBAL_WHITE_LIST.txt

ip_blacklist_fname = IP_GLOBAL_BLACK_LIST.txt

waf_rules_fname = WAF_RULES_LIST.xml

waf_rules_validator = waf_rules_list.xsd

– Setup accessi alla web console Attack Prophecy

Modificare il file /home/prophecy/ap2/src/AttackProphecy/settings.py per inserire nella lista chiamata ALLOWED_HOSTS l’indirizzo che verrà utilizzato per accedere all’interfaccia

ALLOWED_HOSTS = [“*”] indica che qualunque indirizzo client può accedere da ciascuna delle interfacce di rete configurate sul sistema.

– Creazione un utente per l’accesso all’interfaccia Attack Prophecy:

$ cd /home/prophecy/ap2/src/

$ python2 manage.py createsuperuser

…seguire le indicazioni

– Abilitazione dell’aggiornamento regole verso sistemi ADC

Da utente prophecy

$ pwd

/home/prophecy

$ ssh-keygen

ATTENZIONE: Alle domande del comando premere sempre enter

$ cd /home/prophecy/.ssh

(di seguito il comando per esportare la chiave pubblica del sistema AP verso gli ADC/WAF, eseguire i seguenti comandi per tutti i sistemi che dovranno aggiornare le regole di sicurezza)

$ ssh-copy-id -i id_rsa.pub administrator@192.168.XXX.XXX

$ ssh ‘administrator@192.168.XXX.XXX’

– Come utente root, riavviare attack prophecy e il server HTTP:

$ su

Password: adminadmin

# systemctl restart attackprophecy

# systemctl restart httpd
# exit

Sei interessato alle nostre soluzioni?