個人用ツール

Pandora:Documentation ja: Security Architecture

提供: Pandora FMS Wiki JP

移動先: 案内, 検索

Pandora FMS ドキュメント一覧に戻る

セキュリティアーキテクチャ


The purpose of this document is to describe the security elements of each Pandora FMS component, so that the administrator knows them and knows how to use them to implement a more secure architecture, in accordance with regulations such as PCI / DSS, ISO 27001, ENS, LOPD or similar. In addition, this file provides a specific description of the security mechanisms of each Pandora FMS element, possible risks as well as the way to minimize them, using the tools available in Pandora FMS or other possible mechanisms.

このドキュメントの目的は、各 Pandora FMS コンポーネントのセキュリティ要素を説明し、管理者がそれらを理解し、PCI / DSS、ISO 27001、ENS、LOPD などの規制に従って、より安全なアーキテクチャを実装し使用する方法を知ることです。 さらに、ここでは、Pandora FMS で利用可能なツールや他の取りうるメカニズムを使用して、起こりうるリスクおよびそれらを最小化する方法の説明を提供します。

ファイル:Seguridad1.PNG

セキュリティの実装 (一般)


These points apply to international standards such as PCI / DSS, ISO 27001, National Security Scheme, LOPD, etc. They work as a guide for a safe Pandora FMS implementation in your environment.

これらのポイントは、PCI / DSS、ISO 27001、National Security Scheme、LOPD などの国際標準に適用されます。これらは、それぞれの環境における安全な Pandora FMS 実装のガイドとして利用できます。

  • Pandora FMS components have their input and output ports documented, so it is possible to secure all accesses to and from their components by means of Firewalls.
  • Pandora FMS コンポーネントの入出力は文書化されているため、ファイアウォールを使用してコンポーネントとの間のすべてのアクセスを保護することができます。
  • Safe traffic through encryption and certificates: Pandora FMS supports SSL / TLS encryption and certificates at both ends and at all levels (user operation, communication between components).
  • 暗号化と証明書による安全なトラフィック:Pandora FMS は、すべてのレベル(ユーザ操作、コンポーネント間の通信)でSSL / TLS 暗号化と証明書をサポートします。
  • Dual access authentication system: A double authentication system can be implemented. The first one is placed at access level (HTTP) integrated with any open source or commercial token system.
  • デュアルアクセス認証システム:二段階認証システムを実装できます。 1つ目は、オープンソースまたは商用トークンシステムと統合されたアクセスレベル(HTTP)に配置されます。
  • Authentication with third parties system: located at the application level, it is managed by Pandora FMS, which can be authenticated against LDAP or Active Directory.
  • サードパーティシステムとの認証:Pandora FMS によって管理されるアプリケーションレベルで、LDAP または Active Directory による認証ができます。
  • SSO (Single Sign-On), with SAML.
  • SAML による SSO (シングルサインオン)。
  • Security policies in user management: User management is defined by policies both at user profile level and at operational visibility profile level, defined as the Enterprise version Extended ACL system.
  • ユーザ管理におけるセキュリティポリシー:ユーザ管理は、Enterprise 版の拡張 ACL システムとして定義される、ユーザプロファイルと運用可視性プロファイルの両方のポリシーによって定義されます。
  • Possibility of audits on the actions of the monitored elements: Pandora FMS Enterprise version audits all user actions, including information or altered or deleted fields. In addition, it includes a validation system by signing these records.
  • 監視対象要素の操作に対する監査が可能:Pandora FMS Enterprise 版は、情報または変更、または削除されたフィールドを含むすべてのユーザ操作を監査します。 さらに、これらのレコードに署名できる検証システムが含まれています。
  • Audit data transfer to external log managers: Audit logs are available for export through SQL and allow them to be integrated into a 3rd source for higher security, almost in real time.
  • 外部ログマネージャーへの監査データ転送:監査ログは、SQL を介してエクスポートでき、セキュリティを高めるためにほぼリアルタイムで外部ソースに統合できます。
  • Physical separation of components that offer an interface to the user and the information containers (filesystem). Both the data stored in the database and the filesystems that store monitoring configuration information can be in separate physical machines, in different networks, protected through perimeter systems.
  • ユーザインタフェースと情報コンテナ(ファイルシステム)を提供するコンポーネントの物理的な分離。 データベースに保存されているデータと監視構成情報を保存しているファイルシステムの両方を、境界ネットワークによって保護された、異なるネットワークの別々の物理マシンに置くことができます。
  • Active password policy that enforces a strict password management policy for users to access the application (console).
  • ユーザがアプリケーション(コンソール)にアクセスするための厳密なパスワード管理ポリシーを要求するアクティブパスワードポリシー
  • Sensitive data encryption. The system allows the most sensitive data such as login credentials to be stored in an encrypted and secure manner.
  • 機密データの暗号化。 このシステムでは、ログイン資格情報などの最も機密性の高いデータを暗号化された安全な方法で保存できます。

コンポーネントごとのセキュリティ


Pandora FMS architecture, in a very simple way, can be summarized as follows:

Pandora FMS アーキテクチャは、非常に簡略化すると、次のように要約できます。

ファイル:Seguridad2.PNG


サーバ


  • The server needs root permissions, but it can be installed (with certain limits) with non-root permissions (Linux systems only).
  • サーバは root 権限が必要ですが、(いくつかの制限はありますが)非 root 権限でのインストールが可能です。(Linux システムのみ)
  • The server needs direct access (read and write) to the agent remote configuration files of the agents, which are spread when the agents contact the server periodically. These files are protected by the filesystem, with standard permissions.
  • サーバは、エージェントのリモート設定ファイルへの直接アクセス(読み取りおよび書き込み)が必要です。これらのファイルは、エージェントが定期的にサーバに接続する際に展開されます。 これらのファイルは、標準の権限でのファイルシステムによって保護されています。
  • The server itself does not listen to any port. It is the Tentacle server who listens on a port, the server only accesses the files left by the Tentacle server on disk.
  • サーバ自体は任意のポートでの待ち受けをしません。待ち受けをするのは Tentacle サーバです。サーバは、Tentacle サーバがディスクに書き込んだファイルにのみアクセスします。
  • The server has its own very detailed log.
  • サーバ自身は詳細のログを持ちます。
  • The server connects to the main database using a standard MySQL / TCP connection.
  • サーバは、通常の MySQL / TCP 接続を用いてメインデータベースに接続します。
  • Part of the code is accessible (OpenSource) and that of the enterprise version can be requested under specific contract conditions (for customers only).
  • コードの一部はアクセス可能(オープンソース)であり、Enterprise 版のコードは特定の契約条件の下で要求できます(お客様のみ)。


Possible vulnerabilities and safeguards 考えられる脆弱性と保護手段

  • Unauthorized access to agent configuration files. Solution:
  1. Implement an external secured container for external configuration files through NFS.
  • エージェント設定ファイルへの不正アクセス。解決策:
  1. NFS を使用して、外部構成ファイル用の外部保護コンテナを実装します。
  • Command injection on remote agents through the manipulation of configuration files stored in the configuration container. Solution:
  1. Disable remote configuration on highly sensitive agents after configuration and leave them running without being able to carry out any changes remotely, for total security.
  2. Remote monitoring - without agents - of the most delicate devices.
  • 設定コンテナに格納されている設定ファイルの操作によるリモートエージェントへのコマンドインジェクション。 解決策:
  1. 設定後に機密性の高いエージェントのリモート設定を無効にし、完全なセキュリティを確保するために、リモートから設定変更できないようにします。
  2. 最もデリケートなデバイスのであれば、エージェントを用いないリモート監視をします。
  • Vulnerable against false information attacks, such as simulating agents that are not in the system or impersonating their identity. To avoid this, several mechanisms can be used:
  1. Password protection system (which works by group).
  2. Limiting agent self-creation, and creating them instead manually.
  3. Limiting the ability to auto detect changes in the agent and not take new information from the XML, apart from the existing one.
  • システムに存在しないエージェントをシミュレートしたり、ID を偽装するなど、偽情報攻撃に対して脆弱です。 これを回避するには、いくつかのメカニズムを使用できます。
  1. (グループごとに機能する)パスワード保護システム。
  2. エージェントの自動作成を制限し、代わりに手動で作成します。
  3. すでに設定があるものを除き XML から新しい情報を取得しないようにしたり、エージェントの変更を自動検出する機能を制限します。
  • Malicious capture of communication between server and console (network traffic capture). Solution:
  1. Activate TLS communication between server and MySQl database.
  • サーバとコンソール間の通信の悪意のあるキャプチャ(ネットワークトラフィックキャプチャ)。 解決策:
  1. サーバと MySQL データベース間の TLS 通信を有効にします。

Tentacle


  • Tentacle is an official internet service, documented as such by IANA. This means that it can be easily protected with any perimeter security tool.
  • Tentacle は公式のインターネットサービスであり、IANA によって文書化されています。 これは、あらゆる境界セキュリティツールで簡単に保護できることを意味します。
  • It does not need root or special privileges.
  • root や特別な権限は必要ありません。
  • It has four security levels: No encryption (default), SSL / TLS Basic, SSL / TLS with certificate at both ends and SSL / TLS with certificate and CA validation.
  • 4つのセキュリティレベルがあります:暗号化なし(デフォルト)、SSL / TLS Basic、両端に証明書がある SSL / TLS、および証明書と CA 検証がある SSL / TLS。
  • Specifically designed not to give clues to possible intruders in error messages and with specific timeouts to prevent brute force attacks.
  • 特にブルートフォース攻撃を防ぐために、特定のタイムアウトを使用して、エラーメッセージで侵入者の手がかりを与えないような特別な設計がされています。
  • It has its own audit log.
  • 独自の監査ログがあります。
  • 100% of the code is accessible (under opensource GPL2 licence).
  • コードは 100% 公開されています。(GPL2 ライセンスによるオープンソース)


Possible vulnerabilities and safeguards 考えられる脆弱性と保護手段

  • Attacks on the filesystem. The configuration container must be accessed. Solutions:
  1. It is protected in the same way as the server, by means of a secured external NFS system.
  • ファイルシステムへの攻撃。 設定コンテナにアクセスする必要があります。解決策:
  1. セキュアな外部 NFS システムにより、サーバと同じ方法で保護できます。
  • DoS attacks due to overload. Solutions:
  1. Set up an HA solution on the TCP service it offers for balancing, or an active / active cluster. Any hardware or software solution available is valid because it is a standard TCP service.
  • DoS 攻撃による過負荷。解決策:
  1. バランシングのための TCP サービス、またはアクティブ/アクティブクラスターで HA ソリューションをセットアップします。 標準の TCP サービスであるため、いずれのハードウェアまたはソフトウェアソリューションも利用できます。

コンソール


  • It does not need root, it is installed with a user without privileges.
  • root は必要ありません。権限のないユーザとともにインストールされます。
  • It must have access to the agent configuration repository (filesystem).
  • エージェント設定リポジトリー(ファイルシステム)へのアクセス権が必要です。
  • It listens on standard HTTP or HTTPS ports.
  • 標準の HTTP または HTTPS ポートで待ち受けます。
  • It registers all requests via HTTP request log.
  • HTTP アクセスログを介してすべての要求を記録します。
  • It offers a public API via HTTP / HTTPS, secured with credentials.
  • 資格情報で保護された HTTP / HTTPS 経由の公開 API を提供します。
  • There is an application specific audit, which records the activity of each user on each system object.
  • 各システムオブジェクトの各ユーザの操作を記録するアプリケーション固有の監査があります。
  • Each user access to any section of the application can be restricted, and even administrators with restricted permissions can be created.
  • アプリケーションの任意のセクションへの各ユーザのアクセスを制限できます。また、管理者においてもアクセスが制限されたユーザを作成することもできます。
  • The application incorporates a dual authentication system.
  • このアプリケーションには、二段階認証システムが組み込まれています。
  • The application incorporates a delegated authentication system (LDAP, AD).
  • このアプリケーションには、外部認証システム(LDAP、AD)が組み込まれています。
  • A read-only system can be built. With no access to device configurations.
  • 読み取り専用システムを構築できます。デバイス設定にアクセスできません。
  • Confidential information (passwords) can be stored encrypted in the database.
  • 機密情報(パスワード)を暗号化してデータベースに保存できます。
  • The application connects to the main database using a standard MySQL / TCP connection.
  • アプリケーションは、標準の MySQL / TCP 接続を使用してメインデータベースに接続します。
  • Part of the code is accessible (OpenSource) and that of the enterprise version can be requested under specific contract conditions (for customers only).
  • コードの一部はアクセス可能(OpenSource)であり、Enterprise 版のコードは特定の契約条件の下で要求できます(お客様のみ)。
  • There is a strong implementation of security policies regarding passwords (length, forced change, history, type of valid characters, etc.)
  • パスワードに関するセキュリティポリシーの強力な実装があります(長さ、強制変更、履歴、有効な文字のタイプなど)。


Possible vulnerabilities and safeguards 考えられる脆弱性と保護手段

  • Attacks on the filesystem. The configuration container must be accessed. Solutions:
  1. It is protected in a similar fashion as the server, by means of a secured external NFS system.
  • ファイルシステムへの攻撃。 設定コンテナーにアクセスする必要があります。 解決策:
  1. 保護された外部 NFS システムにより、サーバと同様の方法で保護できます。
  • Brute force or dictionary attacks against user authentication. Solution:
  1. Implement a hard password policy (point 14).
  2. Implement a double authentication system (point 8).
  • ユーザ認証に対するブルートフォース攻撃または辞書攻撃。 解決策:
  1. 厳格なパスワードポリシーを実装します(ポイント14)。
  2. 二段階認証システムを実装します(ポイント8)。
  • Traffic capture (eavesdropping) of traffic to the console. Solution:
  1. Implement SSL/TLS.
  • コンソールへのトラフィックのキャプチャ(盗聴)。 解決策:
  1. SSL/TLS を実装します。
  • Traffic capture (eavesdropping) of traffic to the database. Solution:
  1. Implement SSL/TLS.
  • データベースへのトラフィックのキャプチャ(盗聴)。 解決策:
  1. SSL/TLS を実装します。
  • SQL injection attacks to obtain confidential information from the application database. Solution:
  1. Implement encrypted data storage.
  • アプリケーションデータベースから機密情報を取得する SQL インジェクション攻撃。 解決策:
  1. 暗号化データストレージの実装。
  • Application user misuse (intentional or unintended). Solution:
  1. Activate the audit log and show the users that it exists and its accuracy.
  2. Activate the extended ACL system to restrict the functions of each user as much as possible.
  3. Export the audit log to an external system on a regular basis.
  • アプリケーションユーザーの誤用(意図的または意図しない)。 解決策:
  1. 監査ログを有効化し、ユーザにその存在とその正確性を示します。
  2. 拡張 ACL システムを有効化して、各ユーザの機能をできるだけ制限します。
  3. 定期的に監査ログを外部システムにエクスポートします。
  • Execution of malicious code in local console tools, replacing binary files. Solution:
  1. Enforcing server security (hardening) of the server that contains the application.
  • ローカルコンソールツールでの悪意のあるコードの実行、バイナリファイルの置き換え。 解決策:
  1. アプリケーションを含むサーバのセキュリティ強化。

エージェント


  • It can be run without superuser permissions (with limited features).
  • 管理者権限なしで実行できます(機能が制限されます)。
  • Remote agent management can be disabled (locally and remotely), so that the impact of a break-in on the central system can be minimized.
  • リモートエージェント管理を無効にして(ローカルおよびリモート)、中央システムへの侵入の影響を最小限に抑えることができます。
  • The agent does not listen to network ports, it is the one who connects to Pandora FMS server.
  • エージェントはネットワークのポートを待ち受けず、Pandora FMS サーバに接続します。
  • There is a record of each execution.
  • 各処理実行の記録があります。
  • Configuration files are protected by default through file system permissions. Only a user with super administrator permissions can modify them.
  • 設定ファイルは、ファイルシステムのパーミッションによってデフォルトで保護されています。 管理者権限を持つユーザのみがそれらを変更できます。
  • 100% of the code is accessible (under opensource GPL2 licence).
  • コードは 100% 参照可能です(GPL2 ライセンスのオープンソース)。


Possible vulnerabilities and safeguards 考えられる脆弱性と保護手段

  • Intrusion into the central system that allows distributing malicious command execution to agents. Solutions:
  1. Limit which users can make these policy or configuration modifications (via ordinary console ACL or extended ACL).
  2. Activate the “readonly” mode of the agents (they do not allow configuration remote modifications) for those especially sensitive systems.
  • 悪意のあるコマンドの実行をエージェントに配信できる中央システムへの侵入。 解決策:
  1. これらのポリシーまたは設定を変更できるユーザを制限します(通常のコンソール ACL または拡張 ACL を使用)。
  2. 特に機密性の高いシステムに対して、エージェントの "読み取り専用" モードを有効化します(設定のリモート変更は許可されません)。
  • Vulnerability in the filesystem that allows modifying files. Solution:
  1. Correct permission settings.
  • ファイルの変更を可能にするファイルシステムの脆弱性。 解決策:
  1. パーミッション設定を正しくします。
  • Execution of plugins or malicious commands. Solution:
  1. Limit which users can upload executables (via ordinary console ACL or extended ACL).
  2. Perform an audit of new plugins.
  • プラグインまたは悪意のあるコマンドの実行。 解決策:
  1. (通常のコンソール ACL または拡張 ACL を介して)実行可能ファイルをアップロードできるユーザを制限します。
  2. 新しいプラグインの監査をします。

データベース


  • It is a standard product (MySQL)
  • 標準製品(MySQL)です。


Possible vulnerabilities and safeguards 考えられる脆弱性と保護手段

  • Eavesdropping (network traffic capture). Solution:
  1. Implementation of a secure TLS connection. MySQL supports it.
  • 盗聴(ネットワークトラフィックキャプチャ。 解決策:
  1. 安全なTLS接続の実装。 MySQL はそれをサポートしています。
  • Incorrect permissions. Solution:
  1. Correct configuration of access permissions.
  • 不正なパーミッション。 解決策:
  1. アクセスパーミッション設定の修正。
  • Known MySQL weak spots. It is advisable to establish an update plan for the MySQL server in which you can have it as updated as possible and therefore get rid of any vulnerabilities that old versions may have.
  • 既知の MySQL の弱点。 MySQL サーバの更新計画を確立して、可能な限り更新することをお勧めします。これにより古いバージョンに存在する可能性のある脆弱性を取り除くことができます。