En esta sección, se detallan los procesos de planificación e implementación para lograr una instalación y una configuración seguras, y se describen varias topologías de implementación recomendadas para los sistemas. Además, se explica cómo proteger una biblioteca de cinta.
Para comprender mejor las necesidades de seguridad, deben hacerse las siguientes preguntas:
Pueden protegerse varios recursos en el entorno de producción. Considere los recursos que necesitan protección al decidir el nivel de seguridad que debe proporcionar.
La unidad de cinta debe estar protegida contra todos los usuarios de Internet. Pero ¿debe protegerse la unidad de cinta contra los empleados de la intranet de su empresa?
En algunos casos, un fallo en un esquema de seguridad se detecta fácilmente y se considera nada más que un inconveniente. En otros casos, un fallo podría causar un gran daño a la empresa o a los clientes individuales que usan la unidad de cinta. Comprender las ramificaciones de la seguridad de cada recurso ayudará a protegerlo correctamente.
De forma predeterminada, la unidad de cinta usa los puertos detallados en la siguiente tabla. El firewall debe estar configurado para permitir que el tráfico utilice estos puertos y que se bloqueen todos los puertos no utilizados. Las unidades de cinta son compatibles con IPv6 e IPv4.
Tabla 2-1 Puertos de red utilizados
| Puerto | T10000C |
|---|---|
|
22 tcp - SSH VOP |
X |
|
22 tcp - SFTP |
X |
|
161 udp - Solicitudes de agente de unidad de cinta de SNMPV1 (entrante con estado) |
X |
|
162 udp - Notificaciones de información y capturas de SNMPV1 de unidad de cinta (saliente sin estado para las capturas, saliente con estado para la información) |
X |
|
23 tcp - TELNET |
|
|
21 tcp - FTP |
|
|
9842 tcp - EPT |
|
|
3331 OKM - Servicio CA de desafío y raíz |
X |
|
3332 OKM – Inscripción. La potencia cibernética es AES256 |
X |
|
3334 OKM - Intercambio de claves de cifrado. La potencia cibernética es AES256 |
X |
|
3335 OKM - Descubrimiento de cluster. La potencia cibernética es AES256 |
X |
Para T10000C, los puertos 21 y 23 se desactivarán para nuestros clientes. Existe una opción de configuración de VOP disponible para el caso en que un cliente requiera acceso a una TELNET no segura y/o a un FTP no seguro.
VOP solo debe instalarse en sistemas que se encuentren dentro de la misma infraestructura de red protegida que la unidad de cinta. Los controles de acceso del cliente deben aplicarse en los sistemas en los que VOP esté instalado para garantizar el acceso restringido a la unidad de cinta. Consulte Tabla 2-1 para obtener información acerca de los puertos utilizados por VOP.
Consulte la siguiente guía del usuario de VOP para iniciar por Web las instrucciones de instalación de VOP.
http://www.oracle.com/technetwork/documentation/tape-storage-curr-187744.html#vop
En esta sección, se documentan los cambios en la configuración de seguridad que deben realizarse después de la instalación.
El cliente debe cambiar la contraseña de la cuenta de administrador de cliente en el sitio, y esta contraseña le pertenecerá al cliente. La contraseña de seguridad debe cumplir con los estándares de Oracle. Una cantidad infinita de contraseñas está disponible para su uso durante el ciclo de vida de la unidad de cinta. Si se olvida la contraseña de administrador, esta puede restablecerse. La primera contraseña es la predeterminada que se envía con la unidad de cinta.
Se deben aplicar las reglas de administración de contraseñas básicas, como longitud y complejidad de la contraseña, a la contraseña del administrador.
Las reglas de administración de contraseñas deben incluir al menos una de las siguientes reglas.
Debe tener entre 8 y 16 caracteres de largo
Minúsculas (a-z)
Mayúsculas (A-Z)
Dígito decimal (0-9)
Caracteres especiales (.?;:"{}[]()!@#$%&, ...)