In diesem Abschnitt werden die Schritte bei der Planung einer sicheren Installation aufgeführt. Außerdem werden verschiedene empfohlene Deployment-Topologien für die Systeme beschrieben, und es wird erläutert, wie Sie die Bibliothek sichern.
Damit Sie die Sicherheitsanforderungen besser verstehen, müssen die folgenden Fragen gestellt werden.
Viele Ressourcen in der Production-Umgebung können geschützt werden. Bedenken Sie, welche Ressourcen geschützt werden müssen, wenn Sie die erforderliche Sicherheitsstufe festlegen.
Die Bibliothek muss vor jedem Benutzer im Internet und nicht befugten Intranetbenutzern geschützt werden.
In einigen Fällen kann ein Fehler im Sicherheitsschema einfach entdeckt und nur als eine Unannehmlichkeit eingestuft werden. In anderen Fällen kann ein Fehler großen Schaden für Unternehmen oder einzelne Kunden anrichten, die die Bibliothek verwenden. Wenn Sie die Sicherheitsauswirkungen jeder Ressource kennen, können Sie diese richtig schützen.
Standardmäßig verwendet die Bibliothek Ports, die in Tabelle 2-1, SL150-Netzwerkports aufgeführt werden. Die Firewall muss so konfiguriert sein, dass der Datenverkehr diese Ports verwenden kann und dass alle nicht verwendeten Ports blockiert sind.
Tabelle 2-1 SL150-Netzwerkports
| Port | Typ | Beschreibung |
|---|---|---|
|
22 |
TCP |
SSH-CLI-Zugriff - eingehend, zustandsbehaftet Nur für Tests und Debugging in der Entwicklung, im normalen Betrieb nicht verfügbar |
|
25 |
TCP |
SMTP ohne Authentifizierung |
|
67 |
DHCP |
Client - ausgehend |
|
68 |
DHCP |
Client - eingehend |
|
80 |
HTTP |
WebLogic-Port für Remote-Benutzerschnittstelle |
|
123 |
NTP |
Network Time Protocol (wenn aktiviert) |
|
161 |
UDP |
Anforderungen von SNMP-Bibliotheks-Agent - eingehend, zustandsbehaftet |
|
162 |
UDP |
SNMP-Bibliotheks-Traps und Benachrichtigungen zur Information - ausgehend, zustandslos für Traps, ausgehend, zustandsbehaftet für Informationen |
|
465 |
TCP |
SMTP mit SSL- oder TLS-Authentifizierung |
|
443 |
HTTPS |
WebLogic-Port für Remote-Benutzerschnittstelle für HTTPS |
|
546 |
DHCPv6 |
IPv6 DHCP-Client - ausgehend |
|
547 |
DHCPv6 |
IPv6 DHCP-Client - eingehend |
|
33200-33500 |
TRACEROUTE |
Verwendung bei Softwareentwicklung |
Für die Bibliothek können entweder reservierte oder in der obigen Liste empfohlene Portnummern ausgewählt werden. Gültige Portnummern beginnen bei der Zahl 1, da 0 (null) keine gültige Portnummer ist.
Bei der Konfiguration von SNMP wird unbedingt empfohlen, SNMPv3 wegen seiner Vertraulichkeits-, Integritäts- und Authentifizierungsmöglichkeiten und nicht SNMPv2c zu verwenden.
Bei der Konfiguration von SMTP wird unbedingt empfohlen, TLS-Authentifizierung und nicht SSL oder keine Authentifizierung zu verwenden.
In diesem Abschnitt werden die Änderungen an der Sicherheitskonfiguration dokumentiert, die während der Installation vorgenommen werden müssen.
Beim ersten Einschalten wird automatisch ein Setupassistent im lokalen Bedienfeld ausgeführt, um grundlegende Konfigurationsinformationen abzurufen. Dazu gehören Benutzername und Kennwort des Administratorkontos, Netzwerkeinstellungen sowie andere grundlegende Einstellungen.
Die Bibliothek ist erst betriebsbereit, nachdem der Setupassistent abgeschlossen ist.
Ein Anmeldekonto wird mit der Produktlieferung bereitgestellt, das als erster Schritt in der Routine des Setupassistenten eingegeben werden muss. Der Benutzer muss dann ein neues Passwort eingeben, bevor der Setupassistent abgeschlossen wird.
Sobald der Assistent für das anfängliche Setup abgeschlossen wurde und die Bibliothek vollständig eingeschaltet ist, können weitere Änderungen an der Bibliothekskonfiguration über die Browserbenutzeroberfläche (Browser Unser Interface, BUI) für alle Bibliothekseinstellungen vorgenommen werden.
Grundlegende Regeln zur Passwortverwaltung, wie Passwortlänge, Historie und Komplexität müssen für alle Passwörter angewendet werden. SL150-Kennwörter müssen zwischen 8 und 128 Zeichen lang sein und mindestens eine Zahl oder ein Sonderzeichen enthalten. Das Standardpasswort muss während der Installation geändert werden und kann nicht wieder verwendet werden.
Hinweis:
Die Anzahl der maskiert angezeigten Zeichen gibt nicht die genaue Anzahl der eingegebenen Zeichen wieder.Begrenzen Sie die Browsereinstellungen, die für den Zugriff auf die Remote-Benutzeroberfläche verwendet werden, auf TLS 1.0 oder höher, um CVE-2014-3566 für Firmware unter Version 2.50 herabzusetzen. Die Bibliotheksfirmware wird in Version 2.50 nicht selbstständig auf SSLv3 herabgesetzt.