Pandora: QuickGuides ES: Configuracion de comunicacion segura con tentacle

From Pandora FMS Wiki
Jump to: navigation, search

1 Guía de configuración de Tentacle con opciones de seguridad

Vamos a explicar paso a paso cómo configurar tanto los agentes como el servidor de Tentacle para una comunicación segura.

En primer lugar, es muy recomendable realizar pruebas a mano desde los terminales para asegurarnos de que la configuración, parámetros y certificados son correctos.

1.1 Cifrado de la comunicación

Para cifrar la comunicación entre los clientes y el servidor de Tentacle, será necesario contar previamente con certificados y claves SSL. En esta guía veremos todas las opciones de configuración posibles, por lo que los certificados pueden ser tanto autofirmados como firmados por una CA válida.

Puedes consultar nuestra guía rápida de certificados OpenSSL si tienes dudas de como generarlos.

Aunque en la guía anterior no se especifica, los certificados indicados pueden necesitarse en formato DER en lugar de PEM para algunos sistemas operativos (como Ubuntu o Windows). Si es el caso, se puede obtener el certificado en ese formato a partir del PEM generado:

openssl x509 -outform der -in tentaclecert.pem -out tentaclecert.der

Por último para evitar confusiones, de aquí en adelante nos referiremos a los certificados y claves de cada lado con los siguientes nombres:

  • ca_cert: Será el certificado de la CA usada para la firma de los certificados.
  • tentacle_key: Será la clave generada para el servidor de tentacle.
  • tentacle_cert: Será el certificado generado para el servidor de tentacle.
  • tentacle_client_key: Será la clave generada para el cliente de tentacle.
  • tentacle_client_cert: Será el certificado generado para el cliente de tentacle.

Template warning.png

Es necesario SIEMPRE indicar en los parámetros las rutas absolutas donde se encuentren los certificados, por ejemplo '/etc/ssl/tentaclecert.pem'

 


Template warning.png

Para utilizar las opciones seguras de tentacle, por favor, verifique que el paquete perl(IO::Socket::SSL) está instalado en su sistema.

 


1.2 Configuración de certificados en el servidor de Tentacle aceptando cualquier certificado en el cliente

Para esta configuración solo tendremos que indicar el certificado y la clave usados para el cifrado en la configuración del servidor de Tentacle.

Lanzando el servidor a mano tendremos que incluir los parámetro -e y -k:

# su - pandora -s /bin/bash
# tentacle_server -v -e tentacle_cert -k tentacle_key -s /tmp

Lanzando el cliente a mano tendremos que incluir el parámetro -c:

# echo test > file.txt
# tentacle_client -v -c -a 192.168.70.125 file.txt

Si esta ejecución manual funciona correctamente, podemos hacer la configuración permanente.

  • Para el servidor de tentacle modificaremos el fichero /etc/tentacle/tentacle_server.conf:
ssl_cert tentacle_cert
ssl_key tentacle_key
  • Para los agentes de Pandora modificaremos el fichero /etc/pandora/pandora_agent.conf o C:\Program Files\pandora_agent\pandora_agent.conf (dependiendo del sistema operativo):
server_opts -c
  • Para los servidores satélite de Pandora modificaremos el fichero /ect/pandora/satellite_server.conf:
server_opts -c

1.3 Configuración de certificados en el servidor de Tentacle y en el cliente verificando el certificado con una CA específica en el cliente

Para esta configuración tendremos que indicar el certificado y la clave usados para el cifrado en la configuración del servidor de Tentacle y los certificados usados para el cifrado en los clientes.

Lanzando el servidor a mano tendremos que incluir los parámetro -e y -k:

# su - pandora -s /bin/bash
# tentacle_server -v -e tentacle_cert -k tentacle_key -s /tmp

Lanzando el cliente a mano tendremos que incluir los parámetros -e y -f:

# echo test > file.txt
# tentacle_client -v -e tentacle_client_cert -f ca_cert -a 192.168.70.125 file.txt

Si esta ejecución manual funciona correctamente, podemos hacer la configuración permanente.

  • Para el servidor de tentacle modificaremos el fichero /etc/tentacle/tentacle_server.conf:
ssl_cert tentacle_cert
ssl_key tentacle_key
  • Para los agentes de Pandora modificaremos el fichero /etc/pandora/pandora_agent.conf o C:\Program Files\pandora_agent\pandora_agent.conf (dependiendo del sistema operativo):
server_opts -e tentacle_client_cert -f ca_cert
  • Para los servidores satélite de Pandora modificaremos el fichero /ect/pandora/satellite_server.conf:
server_opts -e tentacle_client_cert -f ca_cert

1.4 Configuración de certificados en el servidor de Tentacle y en el cliente verificando el certificado con una CA específica en el servidor

Para esta configuración tendremos que indicar los certificados y las claves usados para el cifrado en la configuración del servidor de Tentacle y de los clientes.

Lanzando el servidor a mano tendremos que incluir los parámetro -e, -k y -f:

# su - pandora -s /bin/bash
# tentacle_server -v -e tentacle_cert -k tentacle_key -f ca_cert -s /tmp

Lanzando el cliente a mano tendremos que incluir los parámetros -e y -k:

# echo test > file.txt
# tentacle_client -v -e tentacle_client_cert -k tentacle_client_key -a 192.168.70.125 file.txt

Si esta ejecución manual funciona correctamente, podemos hacer la configuración permanente.

  • Para el servidor de tentacle modificaremos el fichero /etc/tentacle/tentacle_server.conf:
ssl_cert tentacle_cert
ssl_ca ca_cert
ssl_key tentacle_key
  • Para los agentes de Pandora modificaremos el fichero /etc/pandora/pandora_agent.conf o C:\Program Files\pandora_agent\pandora_agent.conf (dependiendo del sistema operativo):
server_opts -e tentacle_client_cert -k tentacle_client_key
  • Para los servidores satélite de Pandora modificaremos el fichero /ect/pandora/satellite_server.conf:
server_opts -e tentacle_client_cert -k tentacle_client_key

1.5 Configuración de certificados en el servidor de Tentacle y en el cliente verificando el certificado con una CA específica en ambos

Para esta configuración tendremos que indicar los certificados y las claves usados para el cifrado en la configuración del servidor de Tentacle y de los clientes.

Lanzando el servidor a mano tendremos que incluir los parámetro -e, -k y -f:

# su - pandora -s /bin/bash
# tentacle_server -v -e tentacle_cert -k tentacle_key -f ca_cert -s /tmp

Lanzando el cliente a mano tendremos que incluir los parámetros -e, -k y -f:

# echo test > file.txt
# tentacle_client -v -e tentacle_client_cert -k tentacle_client_key -f ca_cert -a 192.168.70.125 file.txt

Si esta ejecución manual funciona correctamente, podemos hacer la configuración permanente.

  • Para el servidor de tentacle modificaremos el fichero /etc/tentacle/tentacle_server.conf:
ssl_cert tentacle_cert
ssl_ca ca_cert
ssl_key tentacle_key
  • Para los agentes de Pandora modificaremos el fichero /etc/pandora/pandora_agent.conf o C:\Program Files\pandora_agent\pandora_agent.conf (dependiendo del sistema operativo):
server_opts -e tentacle_client_cert -k tentacle_client_key -f ca_cert
  • Para los servidores satélite de Pandora modificaremos el fichero /ect/pandora/satellite_server.conf:
server_opts -e tentacle_client_cert -k tentacle_client_key -f ca_cert