Cette section vous indique le processus de planification pour une installation sécurisée. Il décrit également plusieurs topologies de déploiement recommandées pour ces systèmes et explique comment sécuriser la bibliothèque.
Les réponses aux questions suivantes peuvent vous aider à comprendre les exigences de sécurité.
Vous pouvez protéger plusieurs types de ressources de l'environnement de production. Lorsque vous choisissez le niveau de sécurité à mettre en oeuvre, tenez compte des ressources qui nécessitent une protection.
Il faut interdire l'accès à la bibliothèque à toute personne connectée à Internet et aux utilisateurs d'intranet non autorisés.
Certains types de failles sont aisément détectés et ne sont considérés que comme un désagrément. Toutefois, ce type de faille peut avoir de lourdes conséquences pour les entreprises ou les clients qui utilisent la bibliothèque. Pour protéger correctement vos ressources, vous devez comprendre toutes les implications liées à la sécurité de chaque ressource.
Par défaut, la bibliothèque utilise les ports répertoriés dans le Tableau 2-1, Ports réseau SL150. Le pare-feu doit être configuré de sorte que ces ports puissent être utilisés par le trafic et que tous les ports non utilisés soient bloqués.
Tableau 2-1 Ports réseau SL150
| Port | Type | Description |
|---|---|---|
|
22 |
TCP |
Accès à la CLI SSH - données entrantes avec état For development test and debug only, not available in the field |
|
25 |
TCP |
SMTP sans authentification |
|
67 |
DHCP |
Client - données sortantes |
|
68 |
DHCP |
Client - données entrantes |
|
80 |
HTTP |
Port WebLogic pour l'interface utilisateur distante |
|
123 |
NTP |
Network Time Protocol (s'il est activé) |
|
161 |
UDP |
Demandes de l'agent de bibliothèque SNMP - données entrantes avec état |
|
162 |
UDP |
Notifications d'informations et de déroutements SNMP - données sortantes sans état pour les déroutements, avec état pour les informations |
|
465 |
TCP |
SMTP avec authentification SSL ou TLS |
|
443 |
HTTPS |
Port WebLogic pour l'interface utilisateur distante pour HTTPS |
|
546 |
DHCPv6 |
Client DHCP IPv6 - données sortantes |
|
547 |
DHCPv6 |
Client DHCP IPv6 - données entrantes |
|
33200-33500 |
TRACEROUTE |
Utilisation du développement logiciel |
La sélection d'un numéro de port valide pour l'utilisation de la bibliothèque est soit réservée soit recommandée par la liste de tableaux ci-dessus. Les numéros de port légitimes commencent à 1, car zéro n'est pas un numéro de port légitime.
Lorsque vous configurez SNMP, il est vivement recommandé d'utiliser le protocole SNMPv3 (et non SNMPv2c) en raison de ses fonctions de confidentialité, d'intégrité et d'authentification.
Lors de la configuration de SMTP, il est fortement recommandé de préférer l'utilisation de l'authentification TLS à SSL et aux options de non-authentification.
Cette section documente les modifications de configuration de la sécurité à effectuer au cours de l'installation.
Lors de la première mise sous tension, un assistant de configuration s'affiche automatiquement sur le panneau opérateur local pour fournir les informations de configuration de base. Celles-ci incluent le nom d'utilisateur et le mot de passe du compte administrateur, les paramètres du réseau et d'autres paramètres de base.
La bibliothèque n'est pas opérationnelle tant que toutes ces informations ne sont pas renseignées dans l'assistant de configuration.
Un compte de connexion est fourni à la livraison du produit. L'installateur doit entrer les informations relatives à ce compte au cours de la première étape de l'assistant de configuration. L'utilisateur doit ensuite saisir un nouveau mot de passe.
Après avoir suivi les étapes de l'assistant de configuration initiale et une fois la bibliothèque entièrement mise sous tension, les modifications supplémentaires apportées à la configuration de la bibliothèque peuvent être effectuées via l'interface utilisateur de navigateur (BUI) pour tous les paramètres de la bibliothèque.
Les règles élémentaires de gestion des mots de passe (comme la longueur, l'historique et la complexité) doivent être appliquées à tous les mots de passe. Les mots de passe de la bibliothèque SL150 doivent contenir de 8 à 128 caractères dont au moins un caractère alphanumérique ou un caractère spécial. Il faut modifier le mot de passe par défaut au cours de l'installation et ne jamais le réutiliser.
Remarque :
Le nombre de caractères masqués affichés ne correspond pas au nombre exact de caractères entrés.Limitez les paramètres de navigateur utilisés pour accéder à l'interface utilisateur distante à TLS 1.0 ou supérieur, afin de réduire les niveaux de microprogramme du CVE-2014-3566 en dessous de la version 2.50. Le microprogramme de la bibliothèque n'adoptera pas automatiquement SSLv3 avec la version 2.50.