Data Domain: Guía de reforzamiento del sistema y prácticas recomendadas
Resumen: El proceso de endurecimiento es doble. Tradicionalmente, los clientes que buscan reforzar un sistema lo hacen porque Ya sea bajo mandato o están practicando prácticas de computación seguras. En estas tablas, se proporcionan los procedimientos de endurecimiento y los pasos de mitigación para cumplir con la Implementación Técnica de Seguridad de la Agencia de Sistemas de Información de Defensa (DISA) federal Interfaces de usuario (STIG) en el dispositivo. La información de esta guía está relacionada con nuestra última versión de DDOS, 7.10. ...
Instrucciones
Acceso administrativo
| Descripción | Recomendación de reforzamiento |
| Cambie la contraseña predeterminada. | Inicie sesión como sysadmin y ejecute # user change password |
| Configure la rotación frecuente de contraseñas de acuerdo con la política de contraseñas de la empresa. |
Siga la política de contraseña de la empresa para establecer la política de caducidad de contraseña predeterminada. # user password aging option set
{[min-days-between-change <days>]
[max-days-between-change <days>]
[warn-days-before-expire <days>]
[disable-days-after-expire <days>]}
|
| Configure una política de contraseña segura. |
Establezca una política de seguridad de contraseñas de usuario: # user password strength set
{[min-length <length>]
[min-character-classes <num-classes>]
[passwords-remembered <0 - 24>][minpositions-changed <min-positions>]}
Recomendaciones de contraseña: |
| Habilite al director de seguridad. |
Agregue un usuario con la función de director de seguridad, fuerce el cambio de contraseña y habilite la política de autorización. Utilice el comando user add para agregar al director de seguridad como un usuario con función de seguridad. # user add <user>
[uid <uid>]
[role {admin | limited-admin | security |
user | backup-operator | none}]
[min-days-between-change <days>]
[max-days-between-change <days>]
[warn-days-before-expire <days>]
[disable-days-after-expire <days>]
[disable-date <date>]
[force-password-change {yes | no}]
Establezca force-password-change en yes cuando agregue la cuenta del director de seguridad. Log in as security officer, and run
# authorization policy set security-officer enabled
|
| Utilice limited-admin para las operaciones diarias en lugar de administrador o sysadmin. |
Agregue un usuario con función de administrador limitado y establezca una contraseña diferente para los usuarios con función sysadmin/admin. # user add <user>
[uid <uid>]
[role {admin | limited-admin | security |
user | backup-operator | none}]
[min-days-between-change <days>]
[max-days-between-change <days>]
[warn-days-before-expire <days>]
[disable-days-after-expire <days>]
[disable-date <date>]
[force-password-change {yes | no}]
|
| Cambie la contraseña del director de seguridad creado por sysadmin. |
Log in as security officer, and then run
# user change password |
| Utilice la lista de clientes para restringir el acceso solo a los hosts requeridos. |
For SSH:
● Add an SSH host.
# adminaccess ssh add <host-list>
● Delete hosts from the SSH list.
# adminaccess ssh del <host-list>
For HTTP and HTTPS:
● Add an HTTP/HTTPS host.
# adminaccess http add <host-list>
● Delete hosts from the HTTP/HTTPS list.
# adminaccess http del <host-list>
Nota: No utilice caracteres comodín que permitan el acceso a ningún usuario. En su lugar, escriba direcciones IP individuales o nombres de clientes.
|
De manera predeterminada, se admiten cifrados de clave estática, lo que hace que los escáneres de seguridad identifiquen "Se detectaron conjuntos de cifrado débiles: Perfect Forward Secrecy no es compatible". Configure la lista de cifrado TLS para eliminar los cifrados de clave estática de soporte.
From DDOS v7.7, cipher-list can be
modified to support only cipher-suites with
perfect forward secrecy by running following
command: adminaccess option set cipherlist DHE-RSA-AES128-SHA256:DHE-RSA-AES128-
GCM-SHA256:DHE-RSA-AES256-SHA256:DHE-RSAAES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCMSHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHEECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-
GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHERSA-AES256-SHA384:ECDHE-ECDSA-AES128-
SHA256:ECDHE-RSA-AES128-SHA256
| Monitoree el registro del sistema para observar la creación de usuarios y otras actividades confidenciales en el sistema. |
● Configure and forward logs to syslog server.
● Monitor audit log and access log. See the DDOS Command
Reference UIde for more information.
○ # log view access-info
○ # log view audit-info
● Consider writing a script that runs the above commands
several times a day and reports any suspicious activities.
● Pay close attention to sensitive and not often used
commands that are related to user access management
and network settings, including time setting.
● Monitor authentication and authorization failures in
particular.
● Monitor all operations that require password.
● Monitor destruction operations and any failures and
repeating attempts.
● Highly recommended is to write searches and dashboards
to view log forwarded info. Also setup alerts rules on your
log server. |
| Proporcione credenciales de director de seguridad diferentes a las de sysadmin. | Establezca contraseñas diferentes para sysadmin, usuarios con función admin y director de seguridad. |
| Ninguna persona debe conocer las credenciales de sysadmin y director de seguridad. | Se recomienda tener diferentes personas como administrador del sistema y como director de seguridad. |
| Utilice certificados emitidos por el centro de datos. | Los sistemas DD vienen con certificados autofirmados. Se recomienda importar los certificados desde el centro de datos. |
| Utilice netfilter para deshabilitar los puertos si no es necesario. | Por ejemplo, deshabilite los puertos 111 y 2049 si DD Boost no está en uso. |
| No habilite Telnet. |
Disable telnet by running # adminaccess disable telnet |
| Utilice FTPS y SCP, pero no FTP. | FTP está deshabilitado de manera predeterminada. Utilice FTPS y SCP, pero no FTP. |
| Utilice SNMP v3 cuando SNMP esté configurado. | Cuando SNMP esté configurado, habilítelo en SNMPv3. Asegúrese de que SNMPv1 y SNMPv2c estén deshabilitados. |
Cifrado
| Descripción | Recomendación de reforzamiento |
| Utilice un administrador de claves externo para el cifrado. | Preguntas frecuentes sobre Data Domain Encryption |
| Uso del algoritmo de cifrado y la longitud de la clave | Se recomienda utilizar claves de 256 bits y algoritmo AES en modo GCM. |
| Configure la frase de contraseña del sistema. |
Set and use a hardened system passphrase. The default
minimum length requirement is 9 characters. Use system
passphrase option set min-length to set higher
length requirements. PowerProtect DD: Cómo establecer y cambiar la frase de contraseña del sistema |
TLS para FTP
| Descripción | Recomendación de reforzamiento |
| Versión de TLS | De manera predeterminada, FTPS habilita TLSv1.2. Las versiones de TLS TLSv1.0 y TLSv1.1 están deshabilitadas de manera predeterminada. Si es necesario, utilice la opción de configuración tls-version que se proporciona para habilitar las versiones de TLS TLSv1.0 y TLSv1.1. |
| Lista de cifrado | La lista de cifrado predeterminada solo admite TLSv1.2. Para habilitar TLSv1.0 y TLSv1.1, cambie la lista de cifrados según corresponda. |
Replicación
| Descripción | Recomendación de reforzamiento |
| Utilizar cifrado y autenticación bidireccional. |
Configure two-way authentication when adding a replication
pair.
# replication add source <source>
destination <destination>
[low-bw-optim {enabled | disabled}]
[encryption {enabled [authentication-mode
{one-way | two-way | anonymous}] |
disabled}]
[propagate-retention-lock {enabled |
disabled}]
[ipversion {ipv4 | ipv6}]
[max-repl-streams <n>]
[destination-tenant-unit <tenant-unit>] |
DD Boost
| Descripción | Recomendación de reforzamiento |
| Configure global-authentication-mode en two-way-password y habilite el cifrado. |
De manera predeterminada, el modo de autenticación global está establecido en ninguno y el cifrado está deshabilitado. Las configuraciones garantizan que solo los clientes de DD Boost con al menos soporte de autenticación de contraseña bidireccional, aquellos que utilizan DD Boost 3.3 o posterior, puedan conectarse y que los datos se cifren en la conexión.
Nota: Hay disponibles configuraciones más seguras, unidireccionales (por cliente) y bidireccionales (globales). Con esta configuración, los clientes de DD Boost deben proporcionar los certificados necesarios para conectarse.
# ddboost option set global-authenticationmode two-way-password global-encryptionstrength <high/medium>
|
| Establezca el soporte de hash de contraseña en SHA512 |
De manera predeterminada, el hash de contraseña está establecido en MD5. La modificación de esto a SHA512 evita que los clientes de DD Boost que no pueden soportar el SHA512 se conecten. # adminaccess option set password-hash
{md5 | sha512}
|
| Configure usuarios de DD Boost con la función none. NOTA: La función none para los usuarios de DD Boost se aplica a los sistemas independientes de Data Domain y PowerProtect DD. Cuando integre DD Boost con software de respaldo (es decir, Avamar), siga las instrucciones de función de usuario en la documentación del software de respaldo. |
Create a none role user and associates it to be a DD Boost
user.
# user add <user> role none
# ddboost user assign <user> |
| Limite la asignación de un usuario de DD Boost a una sola unidad de almacenamiento. | No asigne el mismo usuario de DD Boost a varias unidades de almacenamiento de DD Boost. Esto limita la cantidad de clientes de DD Boost que comparten la misma información de identificación de DD Boost. |
| Utilice la lista de clientes para limitar el acceso. |
# ddboost clients add client-list [encryption-strength {none | medium | high} authentication-mode {one-way | two-way | twoway-password | anonymous | kerberos}]
Nota: Durante la configuración, no utilice un carácter comodín que permita el acceso a ningún usuario. En su lugar, escriba direcciones IP individuales o nombres de clientes.
|
| Active el cifrado con autenticación bidireccional para la replicación administrada de archivos. |
Utilice el modo de autenticación bidireccional. # ddboost file-replication option set
encryption enabled authentication-mode twoway
|
| Configure el puerto NFS para utilizar algo distinto de 2049 a fin de evitar el acceso del cliente NFSv3. |
# nfs option set nfs3-port <new port number>
# nfs option set nfs4-port <new port number> |
| Use Kerberos para BoostFS. | Se recomienda a los clientes que se conectan al sistema de DD mediante BoostFS que utilicen la compatibilidad con Kerberos solo si FIPS no es una opción. Se debe configurar el soporte de Active Directory del sistema DD. Para configurar los clientes de BoostFS de modo que utilicen Kerberos, consulte la interfaz de usuario de configuración de DD BoostFS específica de la plataforma |
| Utilice la configuración de seguridad predeterminada de Avamar para la conectividad de DD Boost si utiliza Avamar. | De manera predeterminada, Avamar utiliza certificados TLS bidireccionales, cifrado y acceso por token para los clientes. Se recomienda mantener el valor predeterminado. |
| Si DD Boost o NFS no están en uso, utilice la opción netfilter para deshabilitar el puerto 111 de portmapper. |
# net filter add operation block protocol
tcp ports 111
# net filter add operation block protocol
udp ports 111 |
NFS
| Descripción | Recomendación de reforzamiento |
| Configurar Kerberos con cifrado. |
Ensures that data on the wire is encrypted.
# nfs export create <export name> path
<path> option sec=krb5p |
| Especifique la lista de hosts que pueden acceder a la exportación. |
Delete NFS clients from an export
# nfs add <path> <client-list> [ ( <optionlist> ) ]
Delete NFS clients from an export.
# nfs del <path> <client-list>
Nota: Durante la configuración, no utilice un carácter comodín que permita el acceso a ningún usuario. En su lugar, escriba direcciones IP individuales o nombres de clientes.
|
| No se utiliza no_root_squash |
Verifique mediante el siguiente comando: # nfs export show list
Debe verificar que no_root_squash no esté configurado para ninguna exportación. |
VTL/vDisk
| Descripción | Recomendaciones de reforzamiento |
| Utilice las opciones predeterminadas. | Las opciones predeterminadas existentes se consideran prácticas recomendadas. |
Estándares
DISA STIGLa siguiente tabla contiene las reglas de DISA STIG/SRG con sus pasos de reforzamiento correspondientes.
Estas recomendaciones se pueden utilizar para cumplir con los estándares STIG de DISA para el tipo de dispositivo.
| Descripción | Recomendación de reforzamiento |
| Habilitación del cifrado aprobado por FIPS 140-2. | DD solo soporta el uso de cifrados aprobados por FIPS 140-2 para conexiones seguras. DD recomienda usar la interfaz de usuario o la CLI para habilitar el modo FIPS: ● Interfaz de usuario: Administration > Setting > FIPS mode ● CLI: system fips-mode enable |
| El servidor de aplicaciones debe limitar la cantidad de sesiones simultáneas a una cantidad definida por la organización para todas las cuentas y los tipos de cuentas. | DD recomienda reforzar la interfaz de usuario o la CLI: ● Interfaz de usuario: Administración > Acceso > Más tareas > Cambiar las opciones de inicio de sesión (para establecer el inicio de sesión activo en 100) ● CLI: opción adminaccess set login-maxactive 100 |
| El dispositivo de red debe estar configurado para imponer el límite de tres intentos consecutivos de registros no válidos, después de lo cual debe bloquear cualquier intento de inicio de sesión durante 15 minutos. | DD recomienda el uso de la interfaz de usuario o la CLI para configurar: ● Interfaz de usuario: Administración > Acceso Más > tareas > Cambie el valor en Máximo de intentos de inicio de sesión a 3, Tiempo de espera de desbloqueo a 900 segundos |
Estándares DISA STIG
| Descripción | Recomendación de reforzamiento |
| Habilitación del cifrado aprobado por FIPS 140-2. |
DD supports use of only FIPS 140-2 approved ciphers for
secured connections. DD recommends using UI or CLI to
enable FIPS mode:
● UI: Administration > Setting > FIPS mode
● CLI: system fips-mode enable |
| El servidor de aplicaciones debe limitar la cantidad de sesiones simultáneas a una cantidad definida por la organización para todas las cuentas y los tipos de cuentas. |
DD recommends UI or CLI hardening:
● UI: Administration > Access > More Tasks > Change
Login Options (to set active login to 100)
● CLI: adminaccess option set login-maxactive 100 |
| El dispositivo de red debe estar configurado para imponer el límite de tres intentos consecutivos de registros no válidos, después de lo cual debe bloquear cualquier intento de inicio de sesión durante 15 minutos. |
DD recomienda el uso de la interfaz de usuario o la CLI para configurar: ● CLI:
○ adminaccess option set login-maxattempts 3
○ adminaccess option set login-unlocktimeout 900
|
| El servidor de aplicaciones debe finalizar automáticamente una sesión de usuario después de las condiciones definidas por la organización o desencadenar eventos que requieran una desconexión de la sesión. El sistema debe configurarse de modo que todas las conexiones de red asociadas con una sesión de comunicación finalicen al final de la sesión o después de 10 minutos de inactividad del usuario en un símbolo del sistema, excepto para cumplir con los requisitos de misión documentados y validados. |
DD admite la finalización de las conexiones al final de la sesión y la finalización de la sesión de soporte después del tiempo de inactividad configurado. Hay una CLI para especificar el período de inactividad. La conexión SSH sigue activa, pero se rechazan todas las solicitudes del cliente. Se está ejecutando un proceso de limpieza de sesión y se finalizan las sesiones que ya no son válidas. DD recomienda lo siguiente para el reforzamiento de la interfaz de usuario o la CLI: ● UI: Administration > Access > Check on HTTPS >
Configure > ADVANCE and set timeout value as 600 sec.
Repeat the same for SSH by clicking SSH in Services.
● CLI:
○ SSH: adminaccess ssh option set sessiontimeout 600
○ https: adminaccess web option set
session-timeout 600
|
| Diversos requisitos de caducidad de contraseña |
DD recomienda la opción de caducidad de contraseña de usuario de la CLI. De manera predeterminada, la política de contraseña se relaja para ser compatible con versiones anteriores. El cliente puede usar la interfaz de usuario o las CLI para modificar la configuración de la contraseña de modo que sea más restrictiva y cumpla con los requisitos de antigüedad. ● Interfaz de usuario: Administración >Acceso >Más tareas>Cambiar inicio de sesión Opciones
Nota: La opción por usuario se puede establecer a través de Administración, >Acceso >, Modificación de usuarios> locales, Avanzado>
● CLI: user password aging
|
| Varias contraseñas y requisitos de seguridad |
DD es compatible con una política de contraseña integral y recomienda usar la CLI o la interfaz de usuario para proteger la contraseña. Establezca o modifique las características y la complejidad de la política de contraseña de la cuenta según lo que desee dentro del código de la aplicación. Consulte la política de contraseña para obtener más información sobre los requisitos. ● Interfaz de usuario: Administración >Acceso>Más tareas>Cambiar opcionesde inicio de sesión ● CLI: user password strength set
|
| El sistema operativo debe, para los sistemas en red, sincronizar los relojes con un servidor que esté sincronizado con uno de los servidores horarios redundantes de Observatorio Naval de los Estados Unidos (USNO), un servidor horario designado para la red adecuada del DoD (NIPRNet/SIPRNet) o el sistema de posicionamiento global (GPS). | DD recomienda usar la UI o la CLI para configurar el servidor NTP. ● Interfaz de usuario: Administración >Configuración >MÁS TAREAS>Configurar ajustes de hora Ingrese la información del servidor NTP haciendo clic en el signo +.
● CLI: ntp add timeserver <server-name> ntp enable |
| El Apache Web Server debe estar configurado para utilizar una dirección IP y un puerto especificados. |
DD es compatible con diferentes puertos HTTPS y con la limitación de ciertas interfaces en lugar del valor predeterminado de todas las interfaces para las conexiones HTTPS. DD recomienda usar adminaccess y el comando de la CLI netfilter para reforzar: ● adminaccess web option set https-port
<port>
● net filter add operation allow protocol
tcp ports <port> interfaces <IP_address>
Nota: La dirección IP debe ser una interfaz activa informada mediante el comando ifconfig.
|
|
El servidor de aplicaciones debe identificar de forma única todos los dispositivos terminales conectados a la red antes de establecer cualquier conexión. El Apache Web Server debe restringir las conexiones entrantes desde zonas no seguras. |
Para restringir las conexiones entrantes, DD recomienda configurar el host permitido en las conexiones HTTPS y SSH mediante el comando de la interfaz de usuario o la CLI. ● Interfaz de usuario: > Acceso de administración > ACCESO DE ADMINISTRADOR: > seleccione HTTPS/SSH > CONFIGURAR > GENERAL y haga clic en el signo + (Agregar). ● CLI:
○ adminaccess http add <host_list>
○ adminaccess ssh add <host-list>
|
| Notificaciones cuando se alcanza la capacidad de almacenamiento del registro de auditoría |
Se puede enviar una alerta por correo electrónico cuando el espacio de almacenamiento del registro de auditoría alcanza el umbral del 80 % y el 100 %. DD recomienda el uso de la UI o CLI para configurar el sistema para "Enviar correos electrónicos de notificación de alerta". ● Interfaz de usuario: Salud >Alertas >NOTIFICACIÓN >ADD (grupos en la clase del sistema de archivos con WARNING y CRITICAL y SUBSCRIBER CONFIGURE (agregar direcciones de correo electrónico y grupos) ● CLI:
○ alerts notify-list create <group name
warning> class filesystem severity
warning
○ alerts notify-list add <group name
warning> emails <email>
○ alerts notify-list create <group name
critical> class filesystem severity
critical
○ alerts notify-list add <group name
critical> emails <email>
|
| Habilitación del reenvío de registros de auditoría: |
DD supports syslog forwarding and recommends using CLI to
set up connection to a remote syslog server.
● log host add <Remote_syslog_Server>
● log host enable
|
| Uso del servidor de autenticación para autenticar usuarios antes de otorgarles acceso administrativo. |
DD supports multiple name servers protocols such as LDAP,
NIS, and AD. DD recommends using OpenLDAP with FIPS
enabled. DD manages only local accounts. DD recommends
using UI or CLI to configure LDAP.
● UI: Administration > Access > Authentication
● CLI: Authentication LDAP commands
Active Directory can also be configured for user logins with
FIPS enabled. However, CIFS data access with AD users is no
longer be supported with that configuration. |
| El dispositivo de red debe autenticar los terminales SNMP de administración de red antes de establecer una conexión local, remota o de red mediante una autenticación bidireccional basada en criptografía. |
DD supports SNMPV3 that is FIPS-compliant. DD
recommends using UI or CLI to configure SNMPV3.
● UI: Administration > Settings > SNMP
● CLI: SNMP commands |
| El servidor de aplicaciones debe aceptar las credenciales de verificación de identidad personal (PIV) para acceder a la interfaz de administración. |
DD es compatible con el uso de la tarjeta CAC/PIV emitida por DoD en el navegador del cliente para iniciar sesión mediante la interfaz de usuario. Este es un inicio de sesión multifactor mediante el certificado de la tarjeta CAC/PIV. DD recomienda el comando de la interfaz de usuario o la CLI para configurar MFA y configurar OpenLDAP para la autorización del usuario. Procedimiento general: |
| El servidor de aplicaciones, para la autenticación basada en PKI, debe implementar una caché local de datos de revocación para admitir el descubrimiento y la validación de rutas en caso de que no se pueda acceder a la información de revocación a través de la red. |
DD supports CRL on MFA with issuing CA revoking CAC
certificate by importing CRL cert to DD. DD recommends
using CLI to import CRL certificate.
● CLI: adminaccess certificate cert-revokelist import application login-auth |
| El Apache Web Server debe estar configurado para desconectar o deshabilitar inmediatamente el acceso remoto a las aplicaciones alojadas. |
DD recommends disabling HTTPS service to terminate all
active sessions by UI or CLI.
● UI: Administration > Access > Administrator Access >
HTTPS > CONFIGURE (clear HTTPS and save).
● CLI: adminaccess disable https |
| El sistema operativo Red Hat Enterprise Linux no debe permitir el inicio de sesión SSH de un host de confianza sin certificado en el sistema. |
DD soporta la conexión SSH mediante claves SSH en lugar de un inicio de sesión basado en contraseña. Si el inicio de sesión basado en contraseña está deshabilitado, también se deshabilita el inicio de sesión en la interfaz de usuario con contraseña. DD recomienda usar la CLI para importar el certificado de clave y deshabilitar el inicio de sesión SSH basado en contraseña. ● CLI:
○ adminaccess add ssh-keys user
<user_name>
○ adminaccess option set password-auth
disable
Nota: La cuenta sysadmin debe importar primero la clave ssh para deshabilitar el inicio de sesión basado en contraseña.
|
| Uso de un algoritmo de hash criptográfico aprobado por FIPS 140-2. |
El sistema debe usar un algoritmo de hash criptográfico aprobado por FIPS 140-2 para generar hashes de contraseña de cuenta. Los sistemas deben emplear hashes criptográficos para las contraseñas mediante la familia de algoritmos SHA-2 o sucesores aprobados por FIPS 140-2. El uso de algoritmos no aprobados puede dar lugar a hashes de contraseña débiles y más vulnerables a riesgos.
Nota: La interfaz de usuario de referencia de comandos de DDOS describe cómo utilizar el conjunto de opciones adminaccess passwordhash {md5 | sha512}
para establecer el hash criptográfico aprobado por FIPS 140-2 en el sistema. El cambio del algoritmo hash no cambia el valor de hash de las contraseñas existentes. Las contraseñas existentes a las que se les aplicó un algoritmo hash con md5 seguirán teniendo valores de hash md5 después de cambiar el algoritmo password-hash a sha512. Esas contraseñas se deben restablecer para que se calcule un nuevo valor de hash sha512. |
| Elimine el paquete telnet-server. |
Telnet can be removed. Run adminaccess uninstall
telnet to remove the telnet package from the DD system.
Nota: Si se elimina Telnet, no se puede volver a agregar al sistema.
|
| Reenvío de registros de auditoría al servidor de registro del sistema remoto | DD es compatible con el reenvío del registro de auditoría local al servidor de registro del sistema. ● CLI ○ log host add <Remote_syslog_IP>
○ log host enable
Nota: Se requiere la configuración correspondiente para aceptar el registro del sistema en el servidor de registro del sistema remoto.
|
| Consentimiento del usuario para el banner de aviso y consentimiento |
DD can be configured to prompt for user consent prior to log in to the system UI interface.
● UI: Administration > LOGIN BANNER > CONFIGURE
● CLI: system option set loginbanner /ddr/var/releases/<banner_file>
● Where <banner_file> is uploaded to
DD's /ddr/var/releases as text file |