Cette section expose dans les grandes lignes les processus de planification et d'implémentation à mettre en oeuvre pour garantir une installation et une configuration sécurisées. Elle décrit également plusieurs topologies de déploiement recommandées pour ces systèmes et explique comment sécuriser un lecteur de bande.
Les réponses aux questions suivantes peuvent vous aider à comprendre les exigences de sécurité :
Vous pouvez protéger plusieurs types de ressources de l'environnement de production. Lorsque vous choisissez le niveau de sécurité à mettre en oeuvre, tenez compte des ressources qui nécessitent une protection.
L'accès à la bibliothèque doit être interdit à toute personne connectée à Internet. Faut-il également interdire l'accès à la bibliothèque aux employés qui utilisent l'intranet de votre entreprise ?
Certains types de failles sont aisément détectés et ne sont considérés que comme un désagréments. D'autres types de failles peuvent être lourds de conséquences pour les entreprises ou les clients qui utilisent le lecteur de bande. Pour protéger correctement vos ressources, vous devez comprendre toutes les implications liées à la sécurité de chaque ressource.
Par défaut, la bibliothèque utilise les ports répertoriés dans le tableau suivant. Le pare-feu doit être configuré de sorte que ces ports puissent être utilisés par le trafic et que tous les ports non utilisés soient bloqués. Les bibliothèques SL8500 et SL3000 prennent en charge IPv4.
Tableau 2-1 Ports réseau utilisés
| Port | SL500 | SL3000 | SL8500 |
|---|---|---|---|
|
Port TCP : 22 - accès à la CLI SSH et à SLC - données entrantes avec état |
X |
X |
X |
|
Port TCP : 115 - téléchargement de code SFTP depuis SLC - données entrantes avec état |
X |
X |
X |
|
Port UDP : 161 - demandes de l'agent de bibliothèque SNMP - données entrantes avec état |
X |
X |
X |
|
Port UDP : 162 - notifications d'informations et de déroutements de bibliothèque SNMP - données sortantes sans état pour les déroutements, avec état pour les informations |
X |
X |
X |
|
Port UDP : 68 - client DHCP - données entrantes et sortantes |
X |
||
|
Ports TCP : 50001-50016 - accès à l'hôte HLI - données entrantes avec état |
X |
X |
|
|
Ports UDP : 33200-33500 - traceroute (débogage CLI des tables de routage) - données sortantes avec état |
X |
X |
Lorsque vous configurez SNMP, il est vivement recommandé d'utiliser le protocole SNMPv3 (et non SNMPv2c) en raison de ses fonctions de confidentialité, d'intégrité et d'authentification.
SLC doit uniquement être installé sur des systèmes qui se trouvent dans la même infrastructure réseau protégée que la bibliothèque. Des contrôles d'accès client doivent être mis en place sur les systèmes où SLC est installé pour garantir un accès restreint à la bibliothèque. Consultez le tableau 2–1 pour connaître les ports utilisés par SLC.
Reportez-vous aux guides d'utilisation de la bibliothèque pour consulter les instructions d'installation de SLC sur Internet.
Guide de l'utilisateur SL500
Guide de l'utilisateur SL3000
Guide de l'utilisateur SL8500
Cette section documente les modifications de configuration de la sécurité à effectuer une fois l'installation terminée.
Le mot de passe du compte d'administrateur client est géré par une infrastructure OTP (One Time Password). 280 mots de passe sont disponibles tout au long de la vie de la bibliothèque si le mot de passe administrateur a été oublié et doit être réinitialisé. Le premier mot de passe OTP se trouve sur une étiquette apposée sur le cadre. Le représentant du service technique utilise ce mot de passe OTP lors de l'installation de la bibliothèque. Vous pouvez ensuite entrer un mot de passe de votre choix.