Pular para conteúdo

Beyond Insight

Informações Gerais

Este guia de uso integrado com o BeyondInsight da BeyondTrust foi preparado usando as versões de software e firmware abaixo:

  • Windows Server 2019/2022
  • BeyondInsight 22.2.2.109/22.3.0.1270/24.1.2.1398
  • HSM DINAMO com FW 5.1.0
  • DINAMO CLIENT na versão 4.10.2

Requisitos:

  1. Conectividade com o HSM (porta TCP 4433).
  2. Software client do HSM instalado no servidor do BeyondInsight, (consulte o tópico Windows).
  3. Serviço do HSM iniciado.
  4. Credenciais da partição do HSM que será utilizada pelo BeyondInsight.

Integração com BeyondInsight

A integração entre o BeyondInsight e o HSM é feita utilizado a biblioteca PKCS#11.

Configurações no HSM

A integração com a aplicação é realizada utilizando a biblioteca PKCS#11 (mais informações em PKCS#11).

  1. Configurar os parâmetros da PKCS#11 com as credenciais da partição no DINAMO Console (DINAMOcon). Na tela inicial selecionar Configurações local.

    Tela inicial Console Tela inicial Console
    Tela inicial Console

  2. Na tela seguinte selecionar na barra lateral esquerda a opção HSM, inserir as credenciais da partição que será utilizada pelo BeyondInsight e clicar em Aplicar.

    Aba HSM Aba HSM
    Aba HSM

Configurações no BeyondInsight

  1. Abra o BeyondInsight Configuration tool:

    Start > Apps > eEye Digital Security > BeyondInsight Configuration.

  2. Clique em Configure HSM Credentials na barra lateral direita.

    BeyondInsight Configuration
    BeyondInsight Configuration

  3. Na janela Configure HSM Credentials selecione:

    Edit > Add New HSM Credential.

    HSM Credentials
    HSM Credentials

  4. Insira as configurações do HSM:

    • 32-bit Driver Path: Normalmente localizado em: C:\Program Files\Dinamo Networks\HSM Dinamo\sdk\32-bit\tacndp11.dll.

    • 64-bit Driver Path: Normalmente localizado em: C:\Program Files\Dinamo Networks\HSM Dinamo\sdk\c\tacndp11.dll.

    • Slot : Nos HSMs DINAMO existe apenas um slot. Selecione: Dinamo HSM (0).

    • Key Name : Label da chave. Qualquer nome pode ser utilizado desde que seja único (ex: keytest).

    • Description : Informações sobre a chave.

    • PIN : Senha da partição configurada na etapa anterior.

  5. Clique em Save.

Testes

Para testar a conectividade com o HSM clique em Test Active Credential na janela Configure HSM Credentials. Uma mensagem se sucesso será exibida caso a conexão tenha sido bem sucedida.

HSM Connected

HSM Connected

É possível acompanhar a abertura de sessão no HSM pelo serviço do BeyondInsight e também a utilização da chave simétrica usando a ferramenta de monitoramento no console remoto (hsmcon).

Logs do HSM
Dinamo - Remote Management Console v. 4.7.33.0 2018 (c) Dinamo Networks

HSM 10.61.53.64 e - Engine 5.0.28.0 (DST) - TCA0000000  - ID master

HSM - Logs - Follow

Press Control+C to exit...


2022/10/17 20:34:35 0000C42C 000B3E0D EDC1CCA3 e-conn: 10.61.53.205|10.61.53.205 10.61.53.64:4433 -
2022/10/17 20:34:35 0000C42D 000B3E10 CDEF55B7 e-conn: 10.61.53.205|10.61.53.205 10.61.53.64:4433 -
2022/10/17 20:34:35 0000C42D 000B3E11 000A3309 session thread down [4]|10.61.53.205 10.61.53.64:4433 -
2022/10/17 20:34:42 0000C42E 000B3E12 000A3309 session thread up [5]
2022/10/17 20:34:42 0000C42E 000B3E13 FAED60C4 10.61.53.205 auth try, c: 39, tls: y, 5|10.61.53.205 10.61.53.64:4433 -
2022/10/17 20:34:42 0000C42E 000B3E14 FAED60C4 beyondtrust auth init, c: 39|10.61.53.205 10.61.53.64:4433 -
2022/10/17 20:34:42 0000C42E 000B3E15 FAED60C4 beyondtrust auth ok, 10.61.53.205, 5|10.61.53.205 10.61.53.64:4433 -
                                               ^^^^^^^^^^^ # (1)!
2022/10/17 20:34:46 0000C42E 000B3E17 FAED60C4 e-conn: 10.61.53.205|10.61.53.205 10.61.53.64:4433 -
2022/10/17 20:35:10 0000C423 000B3E2F 02C2DA21 f-sym: beyondtrust/518bf6106ecefb, 82, 0010, 0160|10.61.53.205 10.61.53.64:4433 beyondtrust
                                                      ^^^^^^^^^^^ ^^^^^^^^^^^^ # (2)!
2022/10/17 20:35:10 0000C423 000B3E30 02C2DA21 f-sym: beyondtrust/518bf6106ecefb, 82, 0010, 0160|10.61.53.205 10.61.53.64:4433 beyondtrust
2022/10/17 20:35:10 0000C423 000B3E31 02C2DA21 f-sym: beyondtrust/518bf6106ecefb, 02, 0010, 0160|10.61.53.205 10.61.53.64:4433 beyondtrust
2022/10/17 20:36:49 0000C423 000B3E4B 02C2DA21 e-conn: 10.61.53.205|10.61.53.205 10.61.53.64:4433 beyondtrust
2022/10/17 20:36:49 0000C423 000B3E4C 000A3309 session thread down [4]|10.61.53.205 10.61.53.64:4433 beyondtrust
  1. Log com autenticação da conta
  2. Log com uso da chave

Chave AES de 128 bits gerada pelo BeyondInsight no HSM:

Chave AES na console
Dinamo - Remote Management Console v. 4.7.33.125 2018 (c) Dinamo Networks

HSM 10.61.53.64 e - Engine 5.0.28.0 (DST) - TCA0000000  - ID beyondtrust

Keys/Objects - List


Name                                      Type                 T E Label
================================================================================
518bf6106ecefb                            aes128               n n keytest 
^^^^^^^^^^^^^^ # (1)!

Total of objects: 1

Press ENTER key to continue...
  1. Chave AES gerada dentro do HSM

Para mais detalhes sobre a integração com o HSM consulte o site da BeyondInsight.

Credenciais de Descoberta

Toda a configuração feita usando a console Dinamocon do HSM estará no escopo do usuário atual (Current User). Para configurar os parâmetros para contas de sistema, é necessário impersonificar a execução do console no Windows sob a conta em questão. Isto pode ser feito utilizando ferramentas disponibilizadas pela própria Microsoft, fabricante do sistema operacional.

A conta de sistema tratada aqui é:

  • System (ou SISTEMA), sid: S-1-5-18

Ferramentas utilizadas

  • Ferramenta utilizada para impersonificação: psexec64, da suite PSTtools fornecida pela Microsoft.

Conta de Sistema

Uma vez configurada e criada a credencial do HSM Dinamo, uma das funcionalidades do BeyondInsight que pode ser utilizada com o HSM é o Gerenciamento de Credenciais de Descoberta. Para isso, será necessário configurar o Dinamoncon na conta de sistema, conforme mostrado a seguir.

Perigo

Atenção: a execução com identidade de SISTEMA dá um acesso praticamente ilimitado a todo o ambiente e pode provocar danos reais se usada de forma inapropriada. Seja bastante cauteloso no uso desta facilidade.

  1. Instanciar um terminal cmd sob o perfil da conta de sistema do Windows. Execute o comando abaixo num terminal (powershell ou cmd) com elevação de privilégio administrativo:

    psexec64 -i -u "NT AUTHORITY\System" cmd

    A contas deve ser informada exatamente por este nome (em inglês) mesmo em sistemas em português; ainda que possa ser mostrada localizada em certos utilitários (gui e cli) do Windows.

    Note que a conta não têm senha. Caso esteja sendo solicitada alguma é provável que o nome esteja sendo informado incorretamente.

    Exemplo:

    Lançamento de terminal com permissão de conta de sistema
    > psexec64 -i -u "NT AUTHORITY\system" cmd

PsExec v2.43 - Execute processes remotely
Copyright (C) 2001-2023 Mark Russinovich
Sysinternals - www.sysinternals.com
               .
               .
               .
   cmd lançado em outro terminal (interativo) ... # (1)!
               .
               .
               .
   ... exit no terminal do cmd.

cmd exited on MYHOST with error code 0.
> _

    1. Um novo terminal com cmd é lançado.

    O novo cmd startado rodará sob o perfil da conta indicada, ou seja, esta conta será o current user para qualquer aplicação executada a partir dele.

  2. Executar a console GUI de gerência do HSM a partir do terminal cmd.

    "\Program Files\Dinamo Networks\HSM Dinamo\dinamocon.exe"

    Na barra de título é exibida a conta sob a qual a console está rodando (v 4.8.0+).

    Impersonificação da conta SISTEMA Impersonificação da conta SISTEMA
    Impersonificação da conta SISTEMA (note a barra de título)

  3. Após configurar endereço IP, nome e senha do usuário da partição do HSM na console, verifique se as variáveis de ambiente estão configuradas tanto na conta de usuário quanto na de sistema, conforme a lista abaixo:

    Variáveis de ambiente
    DFENCE_PKCS11_AUTO_RECONNECT = 1
DFENCE_PKCS11_ENCRYPTED = 1
DFENCE_PKCS11_LARGE_FIND_LIST = 1
DFENCE_PKCS11_SPECIAL_PWD = 0
DFENCE_PKCS11_IP = <Endereço IP do HSM>
DFENCE_PKCS11_USER = <id do usuário do HSM>

  4. Após a configuração, será necessário reiniciar o computador. Depois que o serviço for reinicializado, abra o serviço BeyondInsight Configuration. Clique em Stop Services, em seguida Start Services, e depois em Apply para que o sistema da BeyondInsight reconheça as configurações ajustadas.

    HSM Connected
    Reinicializando o serviço da BeyondInsight

  5. Nas configurações do WebConsole do BeyondInsight, é possível usar a partição definida nas credenciais do BeyondInsight localizadas em Discovery Management, configuradas no HSM. As credenciais de descoberta são utilizadas pelo BeyondInsight ao executar varreduras, conforme demonstrado na imagem abaixo:

    HSM Connected
    Adicionando nova credencial em configurações

    HSM Connected
    Exemplo de credencial criada com o uso do HSM

    A imagem acima é uma demonstração de uma conta ou credencial criada no BeyondInsight usando o HSM quando estiver configurado.

  6. É possível monitorar em tempo real a utilização da chave simétrica do HSM através da ferramenta de monitoramento no console remoto (hsmcon), especialmente no momento em que uma nova credencial está sendo criada ou atualizada no serviço do BeyondInsight.

    HSM Connected
    Chave no HSM usada na criação ou atualização da credencial do BeyondInsight

    Logs no HSM
    Dinamo - Remote Management Console v. 4.10.1.0 2018 (c) Dinamo Networks

HSM 200.202.34.21 e - Engine 5.1.0.0-24-g8c90dda (DST) - TCA0000000  - ID master

HSM - Logs - Follow

Press Control+C to exit...

2024/06/13 18:42:45 00049AA8 000187B4 000A3309 session thread up [4]
2024/06/13 18:42:46 00049AA8 000187B5 B94FCD8C 52.90.118.21 auth try, c: 41, tls: y, 4|52.90.118.21 192.168.1.6:4433 -
2024/06/13 18:42:46 00049AA8 000187B6 B94FCD8C BI auth init, c: 41|52.90.118.21 192.168.1.6:4433 -
                                               ^^ # (1)!
2024/06/13 18:42:46 00049AA8 000187B7 B94FCD8C BI auth ok, 52.90.118.21, 4|52.90.118.21 192.168.1.6:4433 -
2024/06/13 18:42:46 00049AA8 000187B8 B94FCD8C 52.90.118.21#41 probe|52.90.118.21 192.168.1.6:4433 BI
2024/06/13 18:42:46 00049AA8 000187B9 B94FCD8C 52.90.118.21#41 probe|52.90.118.21 192.168.1.6:4433 BI
2024/06/13 18:42:47 00049AA8 000187BA B94FCD8C 52.90.118.21#41 probe|52.90.118.21 192.168.1.6:4433 BI
2024/06/13 18:42:47 00049AA8 000187BB B94FCD8C f-sym: BI/b3b2d802cf7f8b, 02, 0010, 00E0|52.90.118.21 192.168.1.6:4433 BI
                                                      ^^^^^^^^^^^^^^^ # (2)!
2024/06/13 18:42:54 00049AA8 000187BC B94FCD8C 52.90.118.21#41 probe|52.90.118.21 192.168.1.6:4433 BI
2024/06/13 18:42:54 00049AA8 000187BD B94FCD8C 52.90.118.21#41 probe|52.90.118.21 192.168.1.6:4433 BI
2024/06/13 18:42:55 00049AA8 000187BE B94FCD8C f-sym: BI/b3b2d802cf7f8b, 82, 0010, 00E0|52.90.118.21 192.168.1.6:4433 BI
2024/06/13 18:42:55 00049AA8 000187BF B94FCD8C 52.90.118.21#41 probe|52.90.118.21 192.168.1.6:4433 BI
2024/06/13 18:42:55 00049AA8 000187C0 B94FCD8C 52.90.118.21#41 probe|52.90.118.21 192.168.1.6:4433 BI
2024/06/13 18:42:55 00049AA8 000187C1 B94FCD8C 52.90.118.21#41 probe|52.90.118.21 192.168.1.6:4433 BI
2024/06/13 18:42:56 00049AA8 000187C2 B94FCD8C f-sym: BI/b3b2d802cf7f8b, 02, 0010, 00E0|52.90.118.21 192.168.1.6:4433 BI
    1. Autenticação no HSM
    2. Uso da chave AES

Observação: Sem o Dinamocon devidamente configurado na conta AUTHORITY\SYSTEM, ao tentar criar ou atualizar uma credencial no BeyondInsight, ocorrerá o seguinte erro: Não foi possível salvar a conta funcional, tente novamente. Se o problema persistir, entre em contato com o administrador.