Posts etiquetados ‘Connector Appliace’

Los que conocéis las connector appliances de ArcSight sabéis que el acceso a las mismas está tremendamente cerrado ya que, pese a ser un software propietario instalado sobre un proliant G7, son consideradas “cajas negras”.

Para acceder, Arcsight nos ofrece una consola web por HTTPS bastante completa, pese a ser un poco engorrosa en cuanto a visualizacion de logs y troubleshooting. Esta consola es la que se usa para gestión, configuración… de los conectores, incluyendo aquellos instalados fuera de la consola con la gestión remota activada. Si el acceso web deja de funcionar, nos quedamos sin uno de los puntos vitales de nuestra arquitectura de ArcSight.

Si esto ocurre pero los conectores siguen funcionando (siguen enviando eventos a los destinos) el acceso por SSH a root es una opción aunque por desgracia, al estar el sistema cerrado, para realizar este acceso necesitaremos la respuesta a un Challenge que debe ser obtenida a través del soporte de HP. Si queremos ahorrarnos este engorroso proceso, el truco es sencillo:

  1. Accedemos a la consola del appliance bien por método teclado+pantalla, conexión al puerto serie del appliance o mediante ILO (en caso de tenerlo configurado)
  2. Accedemos con nuestro usuario local al appliance. Para aquellos que tengan autenticación remota el método es igualmente válido.
  3. ejecutamos status process
  4. ejecutamos restart process web.
  5. En caso de que siga inaccesible, reiniciar apache con el mismo procedimiento.

Espero que os sirva.

Saludillos.

Anuncios

Generando el CSR para cada container

Si no contamos con un certificado previo y no hay límite de firma:

1. Backup de certificados remote_management.cer y remote_management.p12

2. Crear una JKS Keystore con su Keypair (Se inserta la indormación del certificado de CA. Debe tener la misma password que el keystore original)

c:\arcsight\testing\current\jre\bin\keytool -keystore c:\arcsight\testing\current\user\agent\remote_management.jks -storepass changeit -genkeypair -alias tomcat -keysize 2048 -keyalg RSA

3. Se genera el CSR (certificate Signing Request)

c:\arcsight\testing\current\jre\bin\keytool -keystore c:\arcsight\testing\current\user\agent\remote_management.jks -storepass changeit -certreq -alias tomcat -file c:\arcsight\testing\current\user\agent\remote_management.csr

4. Se envía el CSR a la CA para su firma y se obtiene el certificado firmado

5. Importar el certificado de CA (Se debe importar el certificado de CA al almacén de confizanza anted de este paso)

c:\arcsight\testing\current\jre\bin\keytool  -keystore c:\arcsight\testing\current\user\agent\remote_management.jks -storepass changeit -importcert -alias whateverca -file c:\arcsight\testing\current\user\agent\ca.crt

6. Importar el certificado firmado.

c:\arcsight\testing\current\jre\bin\keytool  -keystore c:\arcsight\testing\current\user\agent\remote_management.jks -storepass changeit -importcert -alias tomcat -file c:\arcsight\testing\current\user\agent\remote_management.cer

7. Convertir el keystore a formato p12 

c:\arcsight\testing\current\jre\bin\keytool -importkeystore -srckeystore c:\arcsight\testing\current\user\agent\remote_management.jks -srcstorepass changeit -deststorepass changeit -srcstoretype JKS -deststoretype PKCS12 -destkeystore c:\arcsight\testing\current\user\agent\remote_management.p12

8. Reiniciar el container

CON EL CERTIFICADO YA GENERADO PARA HTTPS

 

1. Una vez se ha generado el CSR y se ha importado el certificado a través de la interfaz web disponemos tanto del certificado firmado por la CA como de la clave privada necesarias para la comunicación. Estas pueden encontrarse en los ficheros:

/opt/arcsight/userdata/platform/ssl.crt/server.crt -> certificado de CA
/opt/arcsight/userdata/platform/ssl.crt/server.pem -> clave privada

2. A través del acceso SSH, generamos el fichero en formato p12 que contendrá el keypair correspondiente con el comando:

# openssl pkcs12 -export -in server.crt -inkey server.pem -out server.p12

3. Se agregan los certificados de CA a server.p12 a través de keytool o keytoolgui.

4. Se realiza una copia de seguridad de los ficheros existentes:

/opt/arcsight/container_X/current/user/agent/remote_management.cer
/opt/arcsight/container_X/current/user/agent/remote_management.p12

5. Se substituyen los ficheros por los creados con el certificado de CA:

/opt/arcsight/container_X/current/user/agent/remote_management.cer -> sustituye por server.crt
/opt/arcsight/container_X/current/user/agent/remote_management.p12 -> sustituye por server.p12

6. Se reinicia el container, enviando el comando restart a través de la web console.