vendredi oct. 28, 2011

ASR System et la Sécurité

La question se pose toujours lorsqu'on aborde un système de remonté d'alarmes : quel est le risque sur le plan de la sécurité ?
La documentation d'ASR System, en particulier le document Oracle ASR Security White Paper, apporte toutes les informations nécessaires pour vous permettre d'évaluer ce risque.
Voici une synthèse de ces aspects sécurité.

Flux Réseau

Tableau des flux  
Asset
Process
Protocole Port Direction ASR Manager Direction Port Protocole Oracle
Solaris FMA
ILOM
XSCF
SNMP, SEND
remonté d'alarme
TCP 162(*)
>
en écoute    
Solaris FMA SNMP, GET TCP 161
<
en réponse à un send
pour complément d'information
    
Service Tags
en écoute
HTTP TCP 6481
<
asr activate_asset
récupération du modèle et du numéro de série
    
     register, activate asset, open SR
heartbeat, rules update
>
TCP 443 HTTPS transport.oracle.com
En résumé, il faut 3 ports sur le réseau interne vers les serveurs et un port sortant uniquement (pas de flux entrants venant de l'Internet) pour que ASR puisse être opérationnel.
A noter que la liaison vers Oracle accepte les configurations avec proxy, authentifiés ou pas.

Data

Il faut considérer 2 temps : l'enregistrement et la remontée d'alarme.
A l'enregistrement, l'asr manager communique avec Oracle pour transmettre, toujours de manière cryptée, le SN et le modèle et un identifiant.
Après une remontée d'alarme, si l'application des règles de filtrage détermine qu'un SR doit être ouvert, c'est l'identifiant qui est utilisé en même temps que le détail de l'alarme.
Un exemple de trame XML se trouve dans le security white paper.
A aucun moment l'adresse IP ou d'autre informations sont transmises.

Autres Dispositifs de Sécurité

En plus des procédures d'identification et d'authentification, chaque étape de l'application est protégée par un contrôle de forme avant analyse.
Le backend ASR n'est pas accessible directement de l'extérieur mais uniquement au travers d'APIs qui garantissent la validité et la légitimité des accès.
Le cryptage HTTPS SSL est en RSA avec des clefs RC4 de 128 bits.
En conclusion, on voit qu'ASR offre un très haut niveau de sécurité : à aucun moment il ne transporte ni n'examine de données client, et il n'utilise qu'un flux sortant fortement crypté et très peu verbeux.

mardi sept. 22, 2009

Auto Service Request (ASR) : Installation, deuxième partie.

ASR
Auto Service Request (ASR) est un service inclus dans la garantie et les contrats de support. C'est à dire que si vous avez une machine sous garantie, vous avez droit sans supplément à ASR.
ASR ouvre des appels support automatiquement lorsqu'une panne matérielle est détectée par les éléments d'auto-diagnostique du système ou de Solaris 10 (FMA).
Les avantages d'ASR sont un gain de temps à l'ouverture d'appel, un diagnostique plus rapide, et une assurance de meilleur maintient en condition opérationnelle de vos systèmes.
 
 
Installation d'ASR : deuxième partie
Dans mon billet précédent, j'ai présenté l'installation d'ASR sur le serveur et l'activation des systèmes du réseau.
Passons maintenant au paramétrage des composants de télémétrie sur les machines du réseau.
Le principe est de rediriger les trames SNMP vers le serveur ASR. Ces trames ne seront pas remontées vers Sun : ASR applique un filtre à base de règles puis décide s'il faut demander l'ouverture d'un appel. Cette remontée chez Sun se fait en mode sécurisé selon le protocole HTTPS/SSL. Il est à noter qu'il n'y pas pas d'information d'identification utilisable par un tiers dans cette demande d'ouverture d'appel.
Les trois sources de télémétrie présentées sont :
  • ILOM
  • XSCF
  • FMA
Note: Si vous voulez installer ASR sur des modèles plus anciens, vous devrez mettre en oeuvre SunMC : ceci est décrit dans le manuel d'utilisation d'ASR.

  Voyons maintenant les détails d'implémentation :
 
Etape Instructions
Paramétrage de l'ILOM > cd /SP/alertmgmt/rules/1
> set destination_port=162
> set destination=<IP du serveur>
> set level=minor
> set snmp_version=2c
> set type=snmptrap
Paramétrage XSCF showuser -l (vous devez avoir le privilège platadm)
XSCF> setsnmp disable
XSCF>setsnmp addtraphost -t v2 -s public -p 162 <IP du serveur>
XSCF> setsnmp enable
XSCF> setsnmp enablev1v2c public
XSCF> showsnmp
Paramétrage FMA Dans /etc/sma/snmp/snmpd.conf :
dlmod sunFM /usr/lib/fm/sparcv9/libfmd_snmp.so.1
trap2sink <IP du serveur>

 
Vos systèmes vont maintenant remonter leurs alertes de détection de panne matérielle vers le serveur ASR.
 
 
 
About

MOS, ASR, SDP, CAM pour la partie Connected Services et Beehive, UCM, WebCenter pour Social Networking au sens large.

Search

Archives
« avril 2014
lun.mar.mer.jeu.ven.sam.dim.
 
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
    
       
Today