In questa sezione viene descritto il processo di pianificazione per un'installazione sicura, vengono illustrate diverse topologie di distribuzione consigliate per i sistemi e viene spiegato come proteggere la libreria.
Per comprendere meglio le esigenze di sicurezza, è necessario rispondere alle domande riportate di seguito.
Nell'ambiente di produzione è possibile proteggere molte risorse. Identificare le risorse da proteggere quando si stabilisce il livello di sicurezza da impostare.
La libreria deve essere protetto da chiunque navighi su Internet e da utenti non autorizzati che utilizzano la rete Intranet.
In alcuni casi, un errore in uno schema di sicurezza viene rilevato facilmente e considerato semplicemente un inconveniente. In altri casi, un errore può causare un danno grave alle società o ai singoli clienti che utilizzano la libreria. Per proteggere correttamente ogni risorsa, è necessario comprenderne le ramificazioni in termini di sicurezza.
Per impostazione predefinita, la libreria utilizza le porte elencate in Tabella 2-1, Porte di rete di SL150. È necessario che il firewall sia configurato in modo da consentire al traffico di utilizzare queste porte e bloccare eventuali porte non utilizzate.
Tabella 2-1 Porte di rete di SL150
Porta | Tipo | Descrizione |
---|---|---|
22 |
TCP |
Accesso CLI SSH - in entrata con conservazione dello stato Solo per debug e test dello sviluppo, non disponibile nel campo |
25 |
TCP |
SMTP senza autenticazione |
67 |
DHCP |
Client - in uscita |
68 |
DHCP |
Client - in entrata |
80 |
HTTP |
Porta WebLogic per interfaccia utente remota |
123 |
NTP |
NTP (Network Time Protocol) (se attivato) |
161 |
UDP |
Richieste agente libreria SNMP - in entrata con conservazione dello stato |
162 |
UDP |
Trap e notifiche informative libreria SNMP - in uscita senza conservazione dello stato per trap, in uscita con conservazione dello stato per informazioni |
465 |
TCP |
SMTP con autenticazione SSL o TLS |
443 |
HTTPS |
Porta WebLogic per interfaccia utente remota per HTTPS |
546 |
DHCPv6 |
Client IPv6 DHCP - in uscita |
547 |
DHCPv6 |
Client IPv6 DHCP - in entrata |
33200-33500 |
TRACEROUTE |
Uso sviluppo software |
La selezione di numeri di porta validi per l'uso della libreria è riservata o consigliata per l'elenco riportato nella tabella sopra indicata. I numeri di porta validi iniziano dal numero 1 poiché 0 (zero) non è un numero di porta valido.
Quando si configura SNMP, si consiglia di utilizzare SNMPv3 anziché SNMPv2c a causa delle relative caratteristiche di riservatezza, integrità e autenticazione.
Quando si configura SMTP, si consiglia di utilizzare l'autenticazione TLS anziché SSL o nessuna opzione di autenticazione.
In questa sezione vengono indicate le modifiche alla configurazione di sicurezza da apportare durante l'installazione.
Alla prima accensione, sul pannello dell'operatore locale viene automaticamente eseguita una procedura di impostazione guidata in cui viene richiesto di specificare le informazioni di configurazione di base. Ciò include il nome utente e la password dell'account di amministratore, le impostazioni di rete e altre impostazioni di base.
La libreria potrà diventare operativa solo una volta completata la procedura di impostazione guidata.
Con la spedizione del prodotto viene fornito un account di login che dovrà essere specificato dal programma di installazione come primo passo della routine di impostazione guidata. Prima del completamento della procedura di impostazione guidata, l'utente deve immettere una nuova password.
Quando la procedura di impostazione iniziale è stata completata e la libreria è pronta, è possibile eseguire ulteriori modifiche a tutte le impostazioni di configurazione della libreria mediante l'interfaccia utente del browser (BUI).
È necessario applicare a tutte le password le regole base per la gestione delle password, come la lunghezza, la cronologia e la complessità della password. Le password di SL150 devono essere composte da un numero di caratteri compreso tra 8 e 128 e devono contenere almeno un carattere numerico o speciale. La password predefinita deve essere modificata durante l'installazione e non può essere riutilizzata.
Nota:
Il numero di caratteri che appaiano mascherati non indica il numero esatto di caratteri immessi.Limitare le impostazioni del browser utilizzate per accedere all'interfaccia utente remota per continuare a usare TLS 1.0 o versione successiva e limitare l'uso di CVE-2014-3566 per i livelli di firmware inferiori alla versione 2.50. Nella versione 2.50 non verrà eseguita la negoziazione automatica del firmware della libreria fino al livello SSLv3.