In questa sezione viene descritto il processo di pianificazione e implementazione per un'installazione e una configurazione sicure, vengono illustrate diverse topologie di distribuzione consigliate per i sistemi e viene spiegato come proteggere una libreria a nastro.
Per comprendere meglio le esigenze di sicurezza, è necessario rispondere alle domande riportate di seguito.
Nell'ambiente di produzione è possibile proteggere molte risorse. Identificare le risorse da proteggere quando si stabilisce il livello di sicurezza da impostare.
La libreria deve essere protetta da chiunque navighi su Internet. Stabilire tuttavia se la libreria deve essere protetta anche dai dipendenti che utilizzano la rete Intranet aziendale.
In alcuni casi un errore in uno schema di sicurezza viene rilevato facilmente e considerato semplicemente un inconveniente. In altri casi un errore può causare un danno grave alle società o ai singoli clienti che utilizzano l'unità nastro. Per proteggere correttamente ogni risorsa, è necessario comprenderne le ramificazioni in termini di sicurezza.
Per impostazione predefinita, la libreria utilizza le porte elencate nella tabella riportata di seguito. È necessario che il firewall sia configurato in modo da consentire al traffico di utilizzare queste porte e bloccare eventuali porte non utilizzate. Le librerie SL8500 e SL3000 supportano IPv4.
Tabella 2-1 Porte di rete utilizzate
| Porta | SL500 | SL3000 | SL8500 |
|---|---|---|---|
|
22 tcp - accesso SSH CLI e SLC - in entrata con conservazione dello stato |
X |
X |
X |
|
115 tcp - download del codice SFTP da SLC in entrata con conservazione dello stato |
X |
X |
X |
|
161 udp - richieste agente libreria SNMP - in entrata con conservazione dello stato |
X |
X |
X |
|
162 udp - notifiche informative e di interrupt libreria SNMP - in uscita senza conservazione dello stato per interrupt, in uscita con conservazione dello stato per informazioni |
X |
X |
X |
|
68udp - client dhcp - in entrata e in uscita |
X |
||
|
50001-50016 tcp - accesso host HLI - in entrata con conservazione dello stato |
X |
X |
|
|
33200-33500 udp - traceroute (debug CLI delle tabelle di invio) - in uscita con conservazione dello stato |
X |
X |
Quando si configura SNMP, si consiglia di utilizzare SNMPv3 anziché SNMPv2c a causa delle relative caratteristiche di riservatezza, integrità e autenticazione.
SLC deve essere installato solo nei sistemi inclusi nella stessa infrastruttura di rete protetta della libreria. Per assicurare che l'accesso alla libreria sia limitato, applicare i controlli dell'accesso del cliente ai sistemi in cui è installato SLC. Per un elenco delle porte utilizzate da SLC, vedere la tabella 2–1.
Per istruzioni sull'installazione di SLC per l'avvio Web, consultare i manuali dell'utente della libreria riportati di seguito.
Manuale dell'utente di SL500
Manuale dell'utente di SL3000
Manuale dell'utente di SL8500
In questa sezione vengono indicate le modifiche alla configurazione di sicurezza da apportare dopo l'installazione.
La password dell'account di amministrazione del cliente è gestita da un'infrastruttura One Time Password (OTP). Se si dimentica la password dell'amministratore ed è necessario reimpostarla, sono disponibili 280 password da utilizzare durante l'intero ciclo di vita della libreria. Il primo OTP si trova su un'etichetta posta sulla struttura. Durante l'installazione della libreria, il rappresentante dell'assistenza utilizzerà questo OTP. È quindi possibile immettere la password desiderata.