En esta sección, se detallan los procesos de planificación e implementación para lograr una instalación y una configuración seguras, y se describen varias topologías de implementación recomendadas para los sistemas. Además, se explica cómo proteger una biblioteca de cinta.
Para comprender mejor las necesidades de seguridad, deben hacerse las siguientes preguntas:
Pueden protegerse varios recursos en el entorno de producción. Considere los recursos que necesitan protección al decidir el nivel de seguridad que debe proporcionar.
La biblioteca debe estar protegida contra todos los usuarios de Internet. Pero ¿debe protegerse la biblioteca contra los empleados de la intranet de su empresa?
En algunos casos, un fallo en un esquema de seguridad se detecta fácilmente y se considera nada más que un inconveniente. En otros casos, un fallo podría causar un gran daño a la empresa o a los clientes individuales que usan la unidad de cinta. Comprender las ramificaciones de la seguridad de cada recurso ayudará a protegerlo correctamente.
De forma predeterminada, la biblioteca usa los puertos detallados en la siguiente tabla. El firewall debe estar configurado para permitir que el tráfico utilice estos puertos y que se bloqueen todos los puertos no utilizados. Las bibliotecas SL8500 y SL3000 admiten IPv4.
Tabla 2-1 Puertos de red utilizados
| Puerto | SL500 | SL3000 | SL8500 |
|---|---|---|---|
|
22 tcp - Acceso SSH desde la CLI y SLC: entrante con estado |
X |
X |
X |
|
22 tcp - Descarga de código SFTP SLC: entrante con estado |
X |
X |
X |
|
161 udp - Solicitudes de agente de biblioteca de SNMP: entrante con estado |
X |
X |
X |
|
162 udp - Notificaciones de información y capturas de SNMP de biblioteca: saliente sin estado para las capturas, saliente con estado para la información |
X |
X |
X |
|
68 udp - Cliente dhcp: entrante y saliente |
X |
||
|
50001-50016 tcp - Acceso de host HLI: entrante con estado |
X |
X |
|
|
33200-33500 udp - Traceroute (depuración de CLI de tablas de ruta): saliente con estado |
X |
X |
Al configurar SNMP, se recomienda especialmente el uso de SNMPv3 mediante SNMPv2c debido a sus capacidades de confidencialidad, integridad y autenticación.
SLC sólo debe instalarse en sistemas que se encuentren dentro de la misma infraestructura de red protegida que la biblioteca. Los controles de acceso del cliente deben aplicarse en los sistemas en los que SLC esté instalada para garantizar el acceso restringido a la biblioteca. Consulte la Tabla 2–1 para conocer los puertos utilizados por SLC
Consulte las siguientes guías del usuario de la biblioteca para iniciar por Web las instrucciones de instalación de SLC.
Guía del usuario de SL500
Guía del usuario de SL3000
Guía del usuario de SL8500
En esta sección, se documentan los cambios en la configuración de seguridad que deben realizarse después de la instalación.
La contraseña de la cuenta de administración del cliente es gestionada por una infraestructura de contraseña de un solo uso (OTP). Hay 280 contraseñas disponibles para usar durante la vida útil de la biblioteca en el caso de que se pierda la contraseña de administrador y deba ser restablecida. La primera OTP está en una etiqueta colocada en el marco. El representante de servicio usará esta OTP cuando instale la biblioteca. Puede introducir la contraseña que prefiera.