In diesem Abschnitt werden die Schritte bei der Planung und Implementierung einer sicheren Installation und Konfiguration aufgeführt. Außerdem werden verschiedene empfohlene Deployment-Topologien für die Systeme beschrieben und wird erläutert, wie Sie eine Bandbibliothek sichern.
Zum besseren Verständnis der Sicherheitsanforderungen müssen die folgenden Fragen gestellt werden:
Viele Ressourcen in der Production-Umgebung können geschützt werden. Bedenken Sie, welche Ressourcen geschützt werden müssen, wenn Sie die erforderliche Sicherheitsstufe festlegen.
Die Bibliothek muss vor jedem Benutzer im Internet geschützt werden. Muss die Bibliothek jedoch auch vor den Mitarbeitern im Intranet Ihres Unternehmens geschützt werden?
In einigen Fällen kann ein Fehler im Sicherheitsschema einfach entdeckt und nur als eine Unannehmlichkeit eingestuft werden. In anderen Fällen kann ein Fehler großen Schaden für Unternehmen oder einzelne Kunden anrichten, die das Bandlaufwerk verwenden. Wenn Sie die Sicherheitsauswirkungen jeder Ressource kennen, können Sie diese richtig schützen.
Standardmäßig verwendet die Bibliothek die in der folgenden Tabelle aufgeführten Ports. Die Firewall muss so konfiguriert sein, dass diese Ports zum Datenaustausch verwendet werden können, und dass alle nicht verwendeten Ports blockiert sind. Die SL8500- und SL3000-Bibliotheken unterstützen IPv4.
Tabelle 2-1 Verwendete Netzwerkports
| Port | SL500 | SL3000 | SL8500 |
|---|---|---|---|
|
22 tcp - SSH CLI- und SLC-Zugriff - eingehend, zustandsbehaftet |
X |
X |
X |
|
115 tcp - Download von SFTP-Code von SLC, eingehend, zustandsbehaftet |
X |
X |
X |
|
161 udp - Anforderungen von SNMP-Bibliotheks-Agent - eingehend, zustandsbehaftet |
X |
X |
X |
|
162 udp - SNMP-Bibliotheks-Traps und Benachrichtigungen zur Information - ausgehend, zustandslos für Traps, ausgehend, zustandsbehaftet für Informationen |
X |
X |
X |
|
68 udp - DHCP-Client - eingehend und ausgehend |
X |
||
|
50001-50016 tcp - HLI-Hostzugriff - eingehend, zustandsbehaftet |
X |
X |
|
|
33200-33500 udp - Traceroute (CLI-Debugging von Routetabellen) - ausgehend, zustandsbehaftet |
X |
X |
Bei der Konfiguration von SNMP wird unbedingt empfohlen, SNMPv3 wegen seiner Vertraulichkeits-, Integritäts- und Authentifizierungsmöglichkeiten und nicht SNMPv2c zu verwenden.
SLC darf nur in Systemen installiert werden, die sich innerhalb derselben (durch Firewall) geschützten Netzwerkinfrastruktur befinden wie die Bibliothek. Kundenzugriffskontrolle muss für die Systeme erzwungen werden, auf denen SLC installiert ist, um den eingeschränkten Zugriff auf die Bibliothek zu gewährleisten. In Tabelle 2–1 werden die von SLC verwendeten Ports aufgeführt.
In den folgenden Bibliotheksbenutzerhandbüchern finden Sie Anweisungen zum Starten der SLC-Installation im Web.
SL500-Benutzerhandbuch
SL3000-Benutzerhandbuch
SL8500-Benutzerhandbuch
In diesem Abschnitt werden die Änderungen an der Sicherheitskonfiguration dokumentiert, die nach der Installation vorgenommen werden müssen.
Das Passwort des Admin-Kontos des Kunden wird von einer One Time Password-(OTP-)Infrastruktur verwaltet. Es sind 280 Passwörter zur Verwendung während des Lebenszyklus der Bibliothek verfügbar, falls das Admin-Passwort vergessen wird oder zurückgesetzt werden muss. Das erste OTP befindet sich auf einem Label, das am Rahmen angebracht ist. Ihr Vertriebsbeauftragter verwendet dieses OTP bei der Installation der Bibliothek. Danach können Sie ein Passwort Ihrer Wahl eingeben.