Ir al contenido

Más allá de la percepción

Información general

Esta guía de usuario integrada BeyondInsight de BeyondTrust se ha preparado utilizando las versiones de software y firmware que se indican a continuación:

  • Windows Server 2019/2022
  • BeyondInsight 22.2.2.109/22.3.0.1270/24.1.2.1398
  • DINAMO HSM con FW 5.1.0
  • DINAMO CLIENTE en la versión 4.10.2

Requisitos:

  1. Conectividad con el HSM (puerto TCP 4433).
  2. Software cliente HSM instalado en el servidor BeyondInsight (consulte el tema de Windows).
  3. Servicio HSM iniciado.
  4. Credenciales de la partición HSM que utilizará BeyondInsight.

Integración con BeyondInsight

La integración entre BeyondInsight y HSM se realiza mediante la biblioteca PKCS#11.

Ajustes HSM

La integración con la aplicación se realiza mediante la librería PKCS#11 (más información en PKCS#11).

  1. DINAMO Configurar los parámetros PKCS#11 con las credenciales de la partición en la Consola (DINAMOcon). En la pantalla de inicio, seleccionaConfiguración local.

    Pantalla de inicio de la consola Pantalla de inicio de la consola
    Pantalla de inicio de la consola

  2. En la siguiente pantalla, seleccione la opción de la barra lateral izquierda HSMintroduzca las credenciales de la partición que utilizará BeyondInsight y haga clic en Aplicar.

    Ficha HSM Ficha HSM
    Ficha HSM

Configuración en BeyondInsight

  1. Abra la herramienta de configuración de BeyondInsight:

    Inicio > Aplicaciones > eEye Digital Security > Configuración de BeyondInsight.

  2. Haga clic en Configurar credenciales HSM en la barra lateral derecha.

    Configuración de BeyondInsight
    Configuración de BeyondInsight

  3. En la ventana Configurar credenciales HSM, seleccione:

    Edición > Añadir nueva credencial HSM.

    Credenciales de HSM
    Credenciales de HSM

  4. Introduzca la configuración del HSM:

    • 32-bit Driver Path: Normalmente situado en: Dinamo Networks DinamoC:Archivos de programa \HSM \sdk\32-bit\tacndp11.dll.

    • Ruta del controlador de 64 bits: Normalmente situado en: Dinamo Networks DinamoC:Archivos de programa \HSM \sdk\c\tacndp11.dll.

    • DINAMO Ranura: En los HSM sólo hay unaranura. Dinamo Seleccione: HSM (0).

    • Nombre clave : Etiqueta. Se puede utilizar cualquier nombre siempre que sea único (por ejemplo: keytest).

    • Descripción: Información sobre la llave.

    • PIN: Contraseña de la partición configurada en el paso anterior.

  5. Haga clic en Guardar.

Pruebas

Para probar la conectividad con el HSM, haga clic en Probar credencial activa en la ventana Configurar credenciales de HSM. Se mostrará un mensaje de éxito si la conexión se ha realizado correctamente.

HSM Conectado

HSM Conectado

Puede seguir la apertura de la sesión en HSM por el servicio BeyondInsight y también el uso de la clave simétrica mediante la herramienta de supervisión en la consola remota (hsmcon).

Registros HSM
Dinamo - Remote Management Console v. 4.7.33.0 2018 (c) Dinamo Networks

HSM 10.61.53.64 e - Engine 5.0.28.0 (DST) - TCA0000000  - ID master

HSM - Logs - Follow

Press Control+C to exit...


2022/10/17 20:34:35 0000C42C 000B3E0D EDC1CCA3 e-conn: 10.61.53.205|10.61.53.205 10.61.53.64:4433 -
2022/10/17 20:34:35 0000C42D 000B3E10 CDEF55B7 e-conn: 10.61.53.205|10.61.53.205 10.61.53.64:4433 -
2022/10/17 20:34:35 0000C42D 000B3E11 000A3309 session thread down [4]|10.61.53.205 10.61.53.64:4433 -
2022/10/17 20:34:42 0000C42E 000B3E12 000A3309 session thread up [5]
2022/10/17 20:34:42 0000C42E 000B3E13 FAED60C4 10.61.53.205 auth try, c: 39, tls: y, 5|10.61.53.205 10.61.53.64:4433 -
2022/10/17 20:34:42 0000C42E 000B3E14 FAED60C4 beyondtrust auth init, c: 39|10.61.53.205 10.61.53.64:4433 -
2022/10/17 20:34:42 0000C42E 000B3E15 FAED60C4 beyondtrust auth ok, 10.61.53.205, 5|10.61.53.205 10.61.53.64:4433 -
                                               ^^^^^^^^^^^ # (1)!
2022/10/17 20:34:46 0000C42E 000B3E17 FAED60C4 e-conn: 10.61.53.205|10.61.53.205 10.61.53.64:4433 -
2022/10/17 20:35:10 0000C423 000B3E2F 02C2DA21 f-sym: beyondtrust/518bf6106ecefb, 82, 0010, 0160|10.61.53.205 10.61.53.64:4433 beyondtrust
                                                      ^^^^^^^^^^^ ^^^^^^^^^^^^ # (2)!
2022/10/17 20:35:10 0000C423 000B3E30 02C2DA21 f-sym: beyondtrust/518bf6106ecefb, 82, 0010, 0160|10.61.53.205 10.61.53.64:4433 beyondtrust
2022/10/17 20:35:10 0000C423 000B3E31 02C2DA21 f-sym: beyondtrust/518bf6106ecefb, 02, 0010, 0160|10.61.53.205 10.61.53.64:4433 beyondtrust
2022/10/17 20:36:49 0000C423 000B3E4B 02C2DA21 e-conn: 10.61.53.205|10.61.53.205 10.61.53.64:4433 beyondtrust
2022/10/17 20:36:49 0000C423 000B3E4C 000A3309 session thread down [4]|10.61.53.205 10.61.53.64:4433 beyondtrust
  1. Inicio de sesión con autenticación de cuenta
  2. Registro con la tecla

Clave AES de 128 bits generada por BeyondInsight en HSM:

Clave AES en la consola
Dinamo - Remote Management Console v. 4.7.33.125 2018 (c) Dinamo Networks

HSM 10.61.53.64 e - Engine 5.0.28.0 (DST) - TCA0000000  - ID beyondtrust

Keys/Objects - List


Name                                      Type                 T E Label
================================================================================
518bf6106ecefb                            aes128               n n keytest 
^^^^^^^^^^^^^^ # (1)!

Total of objects: 1

Press ENTER key to continue...
  1. Clave AES generada en el HSM

Para más detalles sobre la integración con HSM, consulte el sitio web de BeyondInsight.

Credenciales de descubrimiento

Toda configuración realizada mediante la consola Dinamocon de HSM se realizará en el ámbito del usuarioactual. Para configurar los parámetros de las cuentas del sistema, es necesario suplantar la ejecución de la consola en Windows bajo la cuenta en cuestión. Para ello se pueden utilizar herramientas proporcionadas por el propio Microsoft, fabricante del sistema operativo.

La cuenta del sistema tratada aquí es:

  • Sistema (o SISTEMA), sid: S-1-5-18

Herramientas utilizadas

  • Herramienta utilizada para la suplantación de identidad: psexec64de la suite PSTtools proporcionada por Microsoft.

Cuenta del sistema

DinamoUna vez configurada y creada la credencial HSM, una de las funcionalidades de BeyondInsight que se puede utilizar conHSM es Discovery Credential Management. Para ello, deberá configurar Dinamoncon en la cuenta del sistema, como se muestra a continuación.

Peligro

Advertencia: la ejecución con la identidad SYSTEM proporciona un acceso prácticamente ilimitado a todo el entorno y puede causar daños reales si se utiliza de forma inadecuada. Sea muy cauteloso al utilizar esta facilidad.

  1. Creación de un terminal cmd en el perfil de cuenta de sistema de Windows. Ejecute el siguiente comando en un terminal (powershell o cmd) con elevación de privilegios administrativos:

    psexec64 -i -u "NT AUTHORITY\System" cmd

    Las cuentas deben tener exactamente este nombre(en inglés) incluso en sistemas portugueses; aunque pueden mostrarse localizadas en ciertas utilidades de Windows (gui y cli).

    Tenga en cuenta que la cuenta no tiene contraseña. Si se le pide una, es probable que el nombre se esté introduciendo incorrectamente.

    Por ejemplo:

    Lanzamiento del terminal con permiso de la cuenta del sistema
    > psexec64 -i -u "NT AUTHORITY\system" cmd

PsExec v2.43 - Execute processes remotely
Copyright (C) 2001-2023 Mark Russinovich
Sysinternals - www.sysinternals.com
               .
               .
               .
   cmd lançado em outro terminal (interativo) ... # (1)!
               .
               .
               .
   ... exit no terminal do cmd.

cmd exited on MYHOST with error code 0.
> _

    1. Una nueva terminal con cmd se pone en marcha.

    El nuevo cmd iniciado se ejecutará bajo el perfil de la cuenta indicada, es decir, esta cuenta será la usuario actual para cualquier aplicación que se ejecute desde él.

  2. Ejecutar la consola GUI gestión de HSM de terminal cmd.

    "\Program Files\Dinamo Networks\HSM Dinamo\dinamocon.exe"

    La barra de título muestra la cuenta con la que se ejecuta la consola (v 4.8.0+).

    Suplantación de la cuenta SISTEMA Suplantación de la cuenta SISTEMA
    Suplantación de la cuenta SYSTEM (observe la barra de título)

  3. Tras configurar la dirección IP, el nombre y la contraseña del usuario de la partición HSM en la consola, compruebe que las variables de entorno están configuradas tanto en la cuenta de usuario como en la de sistema, tal y como se muestra en la siguiente lista:

    Variables de entorno
    DFENCE_PKCS11_AUTO_RECONNECT = 1
DFENCE_PKCS11_ENCRYPTED = 1
DFENCE_PKCS11_LARGE_FIND_LIST = 1
DFENCE_PKCS11_SPECIAL_PWD = 0
DFENCE_PKCS11_IP = <Endereço IP do HSM>
DFENCE_PKCS11_USER = <id do usuário do HSM>

  4. Tras la configuración, deberá reiniciar el ordenador. Una vez reiniciado, abra el servicio de configuración de BeyondInsight. Haga clic en Detener servicios, luego en Iniciar servicios y, por último, en Aplicar para que el sistema BeyondInsight reconozca la configuración ajustada.

    HSM Conectado
    Reinicio del servicio BeyondInsight

  5. En la configuración de BeyondInsight WebConsole, puede utilizar la partición definida en las credenciales de BeyondInsight ubicadas en Discovery Management, configuradas en HSM. BeyondInsight utiliza las credenciales de descubrimiento al ejecutar exploraciones, como se muestra en la imagen siguiente:

    HSM Conectado
    Añadir una nueva credencial en la configuración

    HSM Conectado
    Ejemplo de credencial creada mediante HSM

    La imagen anterior es una demostración de una cuenta o credencial creada en BeyondInsight utilizando HSM cuando está configurado.

  6. Es posible controlar el uso de la clave simétrica en tiempo real. HSM a través de la herramienta de supervisión de la consola remota (hsmcon), especialmente cuando se está creando o actualizando una nueva credencial en el servicio BeyondInsight.

    HSM Conectado
    Clave en HSM utilizada para crear o actualizar credenciales de BeyondInsight

    Registros en HSM
    Dinamo - Remote Management Console v. 4.10.1.0 2018 (c) Dinamo Networks

HSM 200.202.34.21 e - Engine 5.1.0.0-24-g8c90dda (DST) - TCA0000000  - ID master

HSM - Logs - Follow

Press Control+C to exit...

2024/06/13 18:42:45 00049AA8 000187B4 000A3309 session thread up [4]
2024/06/13 18:42:46 00049AA8 000187B5 B94FCD8C 52.90.118.21 auth try, c: 41, tls: y, 4|52.90.118.21 192.168.1.6:4433 -
2024/06/13 18:42:46 00049AA8 000187B6 B94FCD8C BI auth init, c: 41|52.90.118.21 192.168.1.6:4433 -
                                               ^^ # (1)!
2024/06/13 18:42:46 00049AA8 000187B7 B94FCD8C BI auth ok, 52.90.118.21, 4|52.90.118.21 192.168.1.6:4433 -
2024/06/13 18:42:46 00049AA8 000187B8 B94FCD8C 52.90.118.21#41 probe|52.90.118.21 192.168.1.6:4433 BI
2024/06/13 18:42:46 00049AA8 000187B9 B94FCD8C 52.90.118.21#41 probe|52.90.118.21 192.168.1.6:4433 BI
2024/06/13 18:42:47 00049AA8 000187BA B94FCD8C 52.90.118.21#41 probe|52.90.118.21 192.168.1.6:4433 BI
2024/06/13 18:42:47 00049AA8 000187BB B94FCD8C f-sym: BI/b3b2d802cf7f8b, 02, 0010, 00E0|52.90.118.21 192.168.1.6:4433 BI
                                                      ^^^^^^^^^^^^^^^ # (2)!
2024/06/13 18:42:54 00049AA8 000187BC B94FCD8C 52.90.118.21#41 probe|52.90.118.21 192.168.1.6:4433 BI
2024/06/13 18:42:54 00049AA8 000187BD B94FCD8C 52.90.118.21#41 probe|52.90.118.21 192.168.1.6:4433 BI
2024/06/13 18:42:55 00049AA8 000187BE B94FCD8C f-sym: BI/b3b2d802cf7f8b, 82, 0010, 00E0|52.90.118.21 192.168.1.6:4433 BI
2024/06/13 18:42:55 00049AA8 000187BF B94FCD8C 52.90.118.21#41 probe|52.90.118.21 192.168.1.6:4433 BI
2024/06/13 18:42:55 00049AA8 000187C0 B94FCD8C 52.90.118.21#41 probe|52.90.118.21 192.168.1.6:4433 BI
2024/06/13 18:42:55 00049AA8 000187C1 B94FCD8C 52.90.118.21#41 probe|52.90.118.21 192.168.1.6:4433 BI
2024/06/13 18:42:56 00049AA8 000187C2 B94FCD8C f-sym: BI/b3b2d802cf7f8b, 02, 0010, 00E0|52.90.118.21 192.168.1.6:4433 BI
    1. Autenticación HSM
    2. Uso de la clave AES

Nota: Sin Dinamocon correctamente configurado en la cuenta AUTORIDADAl intentar crear o actualizar una credencial en BeyondInsight, se produce el siguiente error: La cuenta funcional no ha podido ser guardada, por favor inténtelo de nuevo. Si el problema persiste, póngase en contacto con el administrador.