Cette section vous indique les processus de planification et d'implémentation pour une installation et une configuration sécurisées. Il décrit également plusieurs topologies de déploiement recommandées pour ces systèmes et explique comment sécuriser un lecteur de bande.
Les réponses aux questions suivantes peuvent vous aider à comprendre les exigences de sécurité :
Vous pouvez protéger plusieurs types de ressources de l'environnement de production. Lorsque vous choisissez le niveau de sécurité à mettre en oeuvre, tenez compte des ressources qui nécessitent une protection.
Il faut interdire l'accès au lecteur de bande à toute personne connectée à Internet. Faut-il également interdire l'accès au lecteur de bande aux employés qui utilisent l'intranet de votre entreprise ?
Il peut arriver qu'une faille dans le schéma de sécurité soit détectée et considérée uniquement comme un désagrément. Toutefois, ce type de faille peut avoir des conséquences lourdes pour les entreprises ou les clients qui utilisent le lecteur de bande. Pour protéger correctement vos ressources, vous devez comprendre toutes les implications liées à la sécurité de chaque ressource.
Par défaut, le lecteur de bande utilise les ports répertoriés dans le tableau suivant. Il faut configurer le pare-feu de sorte que ces ports puissent être utilisés par le trafic et que tous les ports non utilisés soient bloqués. Les lecteurs de bande prennent en charge les protocoles IPv6 et IPv4.
Tableau 2-1 Ports réseau utilisés
| Port | T10000D |
|---|---|
|
Port TCP : 22 - SSH VOP |
X |
|
Port TCP : 22 - SFTP |
X |
|
Port UDP : 161 - SNMPV1 Demandes de l'agent de lecteur de bande - données entrantes avec état |
X |
|
Port UDP : 162 - Notifications d'informations et de déroutements de lecteur de bande SNMPV1 - données sortantes sans état pour les déroutements, avec état pour les informations |
X |
|
TCP :23 - TELNET |
|
|
TCP : 21 - FTP |
|
|
TCP : 9842 - EPT |
|
|
3331 OKM - Service CA des serveurs Root et Challenge |
X |
|
3332 OKM – Inscription. Niveau de chiffrement : AES256 |
X |
|
3334 OKM – Echange de clé de chiffrement. Niveau de chiffrement : AES256 |
X |
|
3335 OKM – Détection du cluster. Niveau de chiffrement : AES256 |
X |
Les ports 21 et 23 seront désactivés pour les utilisateurs du lecteur de bande T10000D. Une option de configuration VOP est à la disposition des clients ayant besoin d'un accès TELNET et/ou FTP non sécurisés.
VOP doit être installé uniquement sur les systèmes qui se trouvent dans la même infrastructure réseau protégée que le lecteur de bande. Il faut mettre en place des contrôles d'accès client sur les systèmes où VOP est installé pour garantir un accès restreint au lecteur de bande. Reportez-vous au Tableau 2-1 pour connaître les ports utilisés par VOP.
Reportez-vous au guide d'utilisation VOP pour consulter les instructions d'installation de VOP sur Internet.
http://www.oracle.com/technetwork/documentation/tape-storage-curr-187744.html#vop
Cette section documente les modifications de configuration de la sécurité à effectuer une fois l'installation terminée.
Le client du site doit modifier le mot de passe du compte admin et ce dernier appartiendra au client. La sécurité du mot de passe doit être conforme aux normes Oracle. Il existe un nombre infini de mots de passe que vous pouvez utiliser tout au long du cycle de vie du lecteur de bande. Si le mot de passe admin a été oublié, il est possible de le réinitialiser. Le premier mot de passe correspond au mot de passe par défaut envoyé avec le lecteur de bande.
Les règles élémentaires de gestion des mots de passe (comme la longueur et la complexité) doivent être appliquées au mot de passe administrateur.
Le mot de passe doit comporter au moins un des éléments de chacune des règles suivantes.
Le mot de passe doit comprendre entre 8 et 16 caractères.
Minuscules (a-z)
Majuscules (A-Z)
Chiffre décimal (0-9)
Caractères spéciaux (.?;:"{}[]()!@#$%&, ...)