Archivos de la categoría ‘Arcsight’

Esta semana ha saltado la alerta debido a la vulnerabilidad CVE-2014-0160 más conocida como HeartBleed que abre un enorme agujero para el acceso a passwords, claves de encriptado… en OpenSSL.

Si has llegado hasta aquí y no tienes ni idea de qué es heartbleed, tal vez quieras leer esto: http://heartbleed.com/ y después cambiar tus passwords de sitios importantes (como el banco).

Para Checkpoint, el único producto afectado es Check Point Mobile VPN for iOS & Android. Para el resto podéis estar tranquilos. https://supportcenter.checkpoint.com/supportcenter/portal?eventSubmit_doGoviewsolutiondetails=&solutionid=sk100173

Si tenéis un ArcSight y estáis preocupados por su seguridad, dejad de hacerlo. La librería utilizada por los ArcSight en el mercado es openssl (version 0.9.8r) que no se encuentra afectada por la vulnerabilidad.

F5 parece tener algunos productos vulnerables a Heartbleed. El hilo de recomendaciones para su resolución es:  http://support.f5.com/kb/en-us/solutions/public/15000/100/sol15159.html

Algunos fabricantes que manejo (como Fortinet, Bluecoat o Microsoft) no han dicho “oficialmente” nada pero no parecen afectados.

Una lista no oficial de fabricantes afectados, la encontraréis aquí: http://www.kb.cert.org/vuls/byvendor?searchview&Query=FIELD+Reference=720951&SearchOrder=4

Si tienes un servidor SSL y quieres saber si estás afectado por el problema, puedes probar aquí: http://filippo.io/Heartbleed

Espero que os sirva de algo!

Saludillos!

 

UPDATE: Parece ser que FORTINET si que tiene productos afectados. La lista de productos y la solución, las podéis encontrar:  http://www.fortiguard.com/advisory/FG-IR-14-011/

Anuncios

Los que conocéis las connector appliances de ArcSight sabéis que el acceso a las mismas está tremendamente cerrado ya que, pese a ser un software propietario instalado sobre un proliant G7, son consideradas “cajas negras”.

Para acceder, Arcsight nos ofrece una consola web por HTTPS bastante completa, pese a ser un poco engorrosa en cuanto a visualizacion de logs y troubleshooting. Esta consola es la que se usa para gestión, configuración… de los conectores, incluyendo aquellos instalados fuera de la consola con la gestión remota activada. Si el acceso web deja de funcionar, nos quedamos sin uno de los puntos vitales de nuestra arquitectura de ArcSight.

Si esto ocurre pero los conectores siguen funcionando (siguen enviando eventos a los destinos) el acceso por SSH a root es una opción aunque por desgracia, al estar el sistema cerrado, para realizar este acceso necesitaremos la respuesta a un Challenge que debe ser obtenida a través del soporte de HP. Si queremos ahorrarnos este engorroso proceso, el truco es sencillo:

  1. Accedemos a la consola del appliance bien por método teclado+pantalla, conexión al puerto serie del appliance o mediante ILO (en caso de tenerlo configurado)
  2. Accedemos con nuestro usuario local al appliance. Para aquellos que tengan autenticación remota el método es igualmente válido.
  3. ejecutamos status process
  4. ejecutamos restart process web.
  5. En caso de que siga inaccesible, reiniciar apache con el mismo procedimiento.

Espero que os sirva.

Saludillos.

Cuando establecemos filtros en los destinos de los distintos conectores desde las herramientas de edición de la interfaz web de la connector appliance (versión 6.4), estos almacenan de forma errónea los caracteres especiales y por tanto, nunca son matcheados.

Por ejemplo si escribimos el filtro como se muestra en la imagen
Entrada antes de guardar

Al hacer click en aceptar y volver a editar las opciones del destino este aparece como:

FiltersError2

Es decir, las comillas son sustituidas por " que es la forma de escribir los cararcteres especiales en XML.

Para corregir este filtro y que se aplique correctamente debemos editar el fichero xml dentro del container que define el filtro para eliminar los carácteres especiales adicionales.

NOTA: No podemos realizar la modificación mediante el Diagnostic Wizard del container correspondiente ya que presenta el mismo problema

Para editar el XML:

  1. Realizamos un backup del container desde el repositorio de backups.
  2. Descargamos el backup en formato zip.
  3. Extraemos todos los ficheros del backup para que podamos trabajar cómodamente.
  4. Entre los ficheros .xml existentes con nombres del tipo 3+BET8T4BABCADtPYAQdd6g==.xml buscar el que contiene el filtro erróneo. Aparecerá la línea con formatodeviceEventClassId EQ "agent:050"
  5. Corregimos el filto eliminando los amp; sobrantes. El fitro quedaría: deviceEventClassId EQ "agent:050"
  6. Comprobamos que el filtro es correcto visualizando el xml en un navegador. El filtro debe aparecer correctamente
  7. Comprimimos en zip los ficheros de backup extraídos previamente, incluyendo los .xml modificados.
  8. Subimos el nuevo zip al repositorio de backup.
  9. Aplicamos los cambios al container correspondiente.

Hasta la proxima