Esta seção aborda o processo de planejamento de uma instalação segura, descreve várias topologias de implantação recomendadas para os sistemas e explica como proteger a biblioteca.
Para compreender melhor suas necessidades de segurança, as perguntas a seguir devem ser feitas.
Vários recursos do ambiente de produção podem ser protegidos. Considere os recursos que necessitam de proteção ao decidir o nível de segurança que você deve fornecer.
A biblioteca deverá ser protegida contra todos na Internet e contra usuários não autorizados na intranet.
Em alguns casos, uma falha no esquema de segurança é facilmente detectada e considerada nada mais do que uma inconveniência. Em outros, uma falha poderá causar danos a empresas ou a clientes individuais que utilizam a biblioteca. Compreender as implicações de segurança de cada recurso ajudará a protegê-los adequadamente.
Por padrão, a biblioteca utiliza as portas listadas em Tabela 2-1, Portas de Rede SL150. O firewall deve estar configurado para permitir que o tráfego use essas portas e que qualquer porta não utilizada seja bloqueada.
Tabela 2-1 Portas de Rede SL150
| Porta | Tipo | Descrição |
|---|---|---|
|
22 |
TCP |
Acesso CLI SSH – com monitoramento do estado de entrada Apenas para teste de desenvolvimento e depuração, não disponível no campo |
|
25 |
TCP |
SMTP sem autenticação |
|
67 |
DHCP |
cliente - saída |
|
68 |
DHCP |
cliente - entrada |
|
80 |
HTTP |
Porta do WebLogic para interface do usuário remota |
|
123 |
NTP |
Network Time Protocol (se ativado) |
|
161 |
UDP |
Solicitações do agente de biblioteca SNMP - com monitoramento do estado de entrada |
|
162 |
UDP |
Traps de biblioteca SNMP e notificações informativas - sem monitoramento do estado de saída para traps, com monitoramento do estado de saída para informações |
|
465 |
TCP |
SMTP com autenticação SSL ou TLS |
|
443 |
HTTPS |
Porta do WebLogic para interface do usuário remota para HTTPS |
|
546 |
DHCPv6 |
IPv6 - cliente DHCP - saída |
|
547 |
DHCPv6 |
IPv6 - cliente DHCP - entrada |
|
33200-33500 |
TRACEROUTE |
Uso no desenvolvimento de software |
A seleção dos números de porta válidos para uso da biblioteca é reservada ou recomendada de acordo com a lista da tabela anterior. Os números de porta válidos começam com o número 1, uma vez que zero não é um número de porta válido.
Ao configurar o SNMP, é altamente recomendável usar o SNMPv3, em vez do SNMPv2c, pelos seus recursos de confidencialidade, integridade e autenticação.
Ao configurar o SMTP, é altamente recomendável usar a autenticação TLS, em vez da autenticação SSL ou de nenhuma autenticação.
Esta seção registra as alterações na configuração de segurança que devem ser feitas durante a instalação.
Na primeira inicialização, um assistente de configuração é executado automaticamente no painel de operador local para obter informações básicas de configuração. Isso inclui o nome de usuário e a senha da conta do administrador, as definições de rede e outras definições básicas.
A biblioteca não se tornará operacional até que o assistente de configuração seja concluído.
Uma conta de log-in é fornecida com a entrega do produto, a qual o instalador deverá fornecer como a primeira etapa na rotina do assistente de configuração. O usuário deverá informar uma nova senha antes da conclusão do assistente de configuração.
Quando o assistente de configuração inicial tiver sido concluído e a biblioteca estiver totalmente operacional, outras modificações poderão ser feitas em todas as definições da biblioteca por meio da BUI (Browser User Interface, Interface do Usuário do Browser).
As regras básicas de gerenciamento de senhas, como tamanho, histórico e complexidade da senha, devem ser aplicadas a todas as senhas. As senhas do SL150 devem ter entre 8 e 128 caracteres e conter pelo menos um caractere numérico ou especial. A senha padrão deve ser alterada durante a instalação e não pode ser reutilizada.
Observação:
O número de caracteres mostrados mascarados não indica o número exato de caracteres inseridos.Limite as definições do browser usadas para acessar a interface do usuário remota de modo que permaneçam em TLS 1.0 ou em uma versão superior, a fim de reduzir a vulnerabilidade CVE-2014-3566 para os níveis de firmware abaixo da versão 2.50. O firmware da biblioteca não fará uma negociação automática para SSLv3 na versão 2.50.