Verwenden von Tools zur Konfiguration und Verwaltung von Servern
Planen einer sicheren Umgebung
Verwalten einer sicheren Umgebung
Halten Sie sich an folgende Richtlinien, um einen sicheren lokalen und Remote-Zugriff auf Ihre Systeme zu gewährleisten:
Beschränken Sie die Remote-Konfiguration auf bestimmte IP-Adressen, indem Sie SSH statt Telnet verwenden. Da bei Telnet die Übertragung von Benutzernamen und Passwörtern in Klartext erfolgt, können Anmeldedaten theoretisch von allen Personen im LAN-Segment eingesehen werden. Legen Sie ein sicheres Passwort für SSH fest.
Verwenden Sie die Version 3 des SNMP (Simple Network Management Protocol), um eine sichere Übertragung zu gewährleisten. Frühere SNMP-Versionen bieten keinen ausreichenden Schutz, da sie Authentifizierungsdaten unverschlüsselt übertragen.
Wenn SNMP erforderlich ist, ändern Sie die SNMP-Standardcommunityzeichenfolge in eine sichere Communityzeichenfolge. Bei einigen Produkten ist PUBLIC als SNMP-Standardcommunityzeichenfolge festgelegt. Angreifer können sich durch Abfragen einer Community ein sehr gutes Bild vom Netzwerk machen und MIB-Werte (Management Information Base) verändern.
Melden Sie sich nach Verwendung des Systemcontrollers immer ab, wenn dieser eine Webbrowseroberfläche verwendet.
Deaktivieren Sie nicht erforderliche Netzwerkservices wie TCP (Transmission Control Protocol) oder HTTP (Hypertext Transfer Protocol). Aktivieren Sie erforderliche Netzwerkservices, und konfigurieren Sie diese sicher.
Wenden Sie bei Verwendung von LDAP für den Zugriff auf das System die LDAP-Sicherheitsmaßnahmen an. Weitere Informationen finden Sie im Sicherheitshandbuch zu Oracle ILOM unter: http://www.oracle.com/goto/ILOM/docs.
Erstellen Sie ein Banner, das den nicht autorisierten Zugriff ausdrücklich untersagt.
Setzen Sie Zugriffskontrolllisten sinnvoll ein.
Legen Sie Zeitüberschreitungen für Sitzungen sowie Berechtigungsstufen fest.
Verwenden Sie Authentifizierungs-, Autorisierungs- und Überwachungsfunktionen für den lokalen und den Remote-Zugriff auf einen Switch.
Verwenden Sie nach Möglichkeit die RADIUS- und TACACS+-Sicherheitsprotokolle:
RADIUS (Remote Authentication Dial In User Service) ist ein Client-/Serverprotokoll, das Netzwerke vor unautorisierten Zugriffen schützt
TACACS+ (Terminal Access Controller Access-Control System) ist ein Protokoll, das einem Remote-Zugriffsserver die Kommunikation mit einem authentifizierten Server erlaubt, um die Zugriffsberechtigung eines Benutzers für ein Netzwerk zu bestimmen.
Verwenden Sie die Portspiegelungsfunktion des jeweiligen Switch für den Zugriff auf das Angriffserkennungssystem.
Richten Sie einen Portschutz zur Beschränkung des Zugriffs anhand von MAC-Adressen ein. Deaktivieren Sie das automatische Trunking auf allen Ports.