En esta sección, se detallan los procesos de planificación para lograr una instalación segura, se describen varias topologías de implementación recomendadas para los sistemas y se explica cómo proteger la biblioteca.
Para comprender mejor las necesidades de seguridad, deben hacerse las siguientes preguntas.
Pueden protegerse varios recursos en el entorno de producción. Considere los recursos que necesitan protección al decidir el nivel de seguridad que debe proporcionar.
La biblioteca debe estar protegida contra todos los usuarios de Internet y usuarios de intranet.
En algunos casos, un fallo en un esquema de seguridad se detecta fácilmente y se considera nada más que un inconveniente. En otros casos, un fallo podría causar un gran daño a la empresa o a los clientes individuales que usan la biblioteca. Comprender las ramificaciones de la seguridad de cada recurso ayudará a protegerlo correctamente.
Por defecto, la biblioteca utiliza puertos detallados en la Tabla 2-1, Puertos de red de SL150. El firewall debe estar configurado para permitir que el tráfico utilice estos puertos y que se bloqueen todos los puertos no utilizados.
Tabla 2-1 Puertos de red de SL150
| Puerto | Tipo | Descripción |
|---|---|---|
|
22 |
TCP |
Acceso SSH desde la CLI: entrante con estado Para prueba de desarrollo y depuración solamente; no disponible en el campo |
|
25 |
TCP |
SMTP sin autenticación |
|
67 |
DHCP |
Cliente: saliente |
|
68 |
DHCP |
Cliente: entrante |
|
80 |
HTTP |
Puerto WebLogic para la interfaz de usuario remoto |
|
123 |
NTP |
Protocolo de hora de red (si está activado) |
|
161 |
UDP |
Solicitudes de agente de biblioteca de SNMP: entrante con estado |
|
162 |
UDP |
Notificaciones de información y capturas de SNMP de biblioteca: saliente sin estado para las capturas, saliente con estado para la información |
|
465 |
TCP |
SMTP con SSL o autenticación TLS |
|
443 |
HTTPS |
Puerto WebLogic para la interfaz de usuario remoto para HTTPS |
|
546 |
DHCPv6 |
Cliente IPv6 DHCP: saliente |
|
547 |
DHCPv6 |
Cliente IPv6 DHCP: entrante |
|
33200-33500 |
TRACEROUTE |
Uso del desarrollo del software |
La selección del número de puerto válido para el uso de la biblioteca está reservada o recomendada según la tabla anterior. Los números de puerto legítimos comienzan con el valor numérico 1, ya que cero no es un puerto legítimo.
Al configurar SNMP, se recomienda especialmente el uso de SNMPv3 mediante SNMPv2c debido a sus capacidades de confidencialidad, integridad y autenticación.
Al configurar SMTP, se recomienda especialmente el uso de la autenticación TLS mediante SSL o la opción de no autenticación.
En esta sección, se documentan los cambios en la configuración de seguridad que deben realizarse durante la instalación.
En el primer encendido, un asistente de instalación se ejecuta automáticamente en el panel del operador local a fin de obtener información de configuración básica. Esto incluye el nombre de usuario y contraseña de la cuenta de administrador, la configuración de red, y otros valores de configuración básicos.
Se evita que la biblioteca se vuelva operacional hasta que se complete el asistente de instalación.
Con el envío del producto, se proporciona una cuenta de inicio de sesión en la que el instalador debe ingresar como primer paso de la rutina del asistente de instalación. Luego, el usuario debe introducir una nueva contraseña antes de que se complete el asistente de instalación.
Una vez que el asistente de configuración inicial se ha completado y la biblioteca esté completamente encendida, se pueden efectuar modificaciones adicionales a la configuración de la biblioteca mediante la interfaz de usuario basada en explorador (BUI) para todos los valores de configuración de la biblioteca.
Se deben aplicar las reglas de administración de contraseñas básicas, como longitud, historial y complejidad de la contraseña, a todas las contraseñas. Las contraseñas de SL150 deben tener entre 8 y 128 caracteres y deben contener al menos un carácter numérico o especial. La contraseña por defecto debe modificarse durante la instalación y no debe volver a usarse.
Nota:
El número de caracteres que se muestra enmascarado no indica el número exacto de caracteres introducidos.Mantenga la configuración del explorador que se utiliza para acceder a la interfaz del usuario remoto en TLS 1.0 o posterior para mitigar CVE-2014-3566 para niveles de firmware anteriores a la versión 2.50. El firmware de la biblioteca no negociará automáticamente SSLv3 en la versión 2.50.