Security server v6 installation requirements

CSC Security server v6 installation requirements Security server version 6.x. Version 0.2 Pekka Muhonen 2/10/2015

Date Version Description 18.12.2014 0.1 Initial version 10.02.2015 0.2 Major changes Contents 1. Purpose of this document... 3 2. Software version information... 3 3. Server hardware requirements... 3 4. Networking requirements... 3 5. Information you should have available before starting installation... 4 6. Other installation information... 6 7. All other connections should be blocked... 6

1. Purpose of this document This document lists technical requirements for X-road v6 Security Server (liityntäpalvelin) 2. Software version information - Security server version: Security server version o FI-DEV environment: 6.1-3-201502021259 - OS version: Ubuntu 14.04 LTS Server install 3. Server requirements - Physical or virtual server - 2 cores - 2-4 GB memory (in production 4GB) - 40GB hard disk (in production, more is probably needed ) - 1 network interface - one foot configuration preferred - Additional network interface for BU if needed - NTP configured 4. Networking requirements Inbound ports - from your own management network IPs: TCP 22, 4000 - communication from Central Servers security server (86.50.27.68): TCP 5500, 5577 - communication from other allowed security servers: TCP 5500, 5577 - Information systems (adapter server, web server) connections: TCP 80,443 Outbound ports (in case outbound ports are blocked) - Global Config fetch from Central Server: 86.50.27.139: TCP 80, 4001 - communication to Central Server s security server 86.50.27.68: TCP 5500, 5577 - communication to other allowed security servers: TCP 5500, 5577 - CA service: 193.166.25.16, 86.50.28.71: TCP 80, 443 - TSA service: 213.35.160.21, 86.50.28.69: TCP 80, 443 - X-road software download: 195.80.123.195, 193.166.3.2: TCP 80 - Other software download: ppa.launchpad.net, keyserver.ubuntu.com: TCP: 80 - communication to other allowed security servers: TCP 5500, 5577 - DNS servers: TCP 53

- NTP servers: UDP 123 - Information system (adapter server, web server) connection: TCP 80,443 How to check if particular port is open/closed to the target host In console of your Security server give a command telnet targethost port, for example telnet www.csc.fi 80 If you get Connected to port in question is open, if you only see trying or unable to connect, that port is not open to the target host Keep in mind that your own network may have restrictions for outbound traffic too 5. Information you should have available before starting installation (in Finnish) Alla olevat tiedot täytyy tallentaa oman organisaatiosi tietoturvakäytäntöjä noudattaen - Palvelimen käyttöjärjestelmän pääkäyttäjän (root -tason tunnus) tiedot Käyttäjätunnus Salasana - Palvelimen Palveluväylä-hallintakäyttäjä (käyttäjä, jolla on oikeudet muuttaa palvelimen Palveluväyläasetuksia www-käyttöliittymässä) Käyttäjätunnus Salasana - Palveluväylään rekisteröity, palvelimen omistajan Member name: - Saat tämän Palveluväylän ylläpidolta pyydettyäsi organisaatiosi liittämistä Palveluväylään - Palvelimen omistajan (Y-tunnus) Member code: - Palvelimen nimi: esim. pv6tvrklp01 - Palvelimen FQDN: esim. pv6tvrklp01.csc.fi - Palvelimella on oltava nimi julkisessa nimipalvelussa - Server code: esim. pv6tvrklp01 (sama kuin palvelimen FQDN:n host-osuus) - Server PIN (päättämäsi 8 merkkiä pitkä numero): - Säilytä varmassa tallessa niin että itsekin löydät sen - Palvelimen Sign-sertifikaatissa käytettävä distinguished name - C=FI-DEV, O=GOV, CN= - CN on organisaation Y-tunnus - Auth-sertifikaatin distinguished name: - C=FIDEV, CN= - CN on asennettavan palvelimen nimi, (=server code), esim. pv6tvrklp01 - Mikäli asennusympäristössä käytetään yksityisiä IP-osoitteita sekä osoitteenmuutosta

(NAT) - Palvelimen yksityinen (IPv4) IP: - osoitteen on oltava kiinteä - mikäli käytetään DHCP:tä, on palvelimen saatava aina sama osoite - Palvelimen julkinen (IPv4) IP:

- Palvelimen yksityinen-ip on syytä laittaa /etc/hosts -tiedostoon, alla esimerkkipalvelimen hosts-tiedoston 2 ensimmäistä riviä 127.0.0.1 localhost 10.10.10.11 pv6tvrklp01 pv6tvrklp01.csc.fi - - Mikäli käytössä on vain julkisia IP-osoitteita - Palvelimen julkinen (IPv4) IP: - Osoitteen on oltava kiinteä 6. Other installation information Other installation manuals will be available in http://www.palveluväylä.fi/... Note! Security server should be protected from all unneeded network access. In other words: security server should be accessible only from other systems like - other security servers (and only from those you are directly granting access) - adapter servers connected to that particular security server - Information systems linked - management systems - Certificate authority, CA - Time stamp authority, TSA - All other connections should be blocked