Seguridad de la configuración

La seguridad de la consola de operaciones consta de las características de autenticación del dispositivo de herramientas de servicio, autenticación de dispositivo, autenticación de usuario, privacidad de datos e integridad de datos.

Una consola local directamente conectada tiene características implícitas de autenticación de dispositivo, privacidad de datos e integridad de datos debido a su conexión punto a punto. La seguridad por autenticación de usuario es necesaria para iniciar la sesión en la pantalla de la consola.

La autenticación mejorada y el cifrado de datos ofrecen seguridad de red para los procedimientos de consola. Las conexiones de red de la consola de operaciones utilizan una versión de SSL (Secured Sockets Layer) que da soporte a la autenticación de dispositivos y usuarios sin utilizar certificados. Por omisión, la consola de operaciones utiliza el cifrado más robusto posible para la autenticación y los datos.

La figura siguiente ofrece una visión general de la seguridad de LAN de la consola de operaciones. La contraseña de acceso (1), si es correcta, induce a la consola de operaciones a enviar (2) el ID de dispositivo de herramientas de servicio (QCONSOLE) y su contraseña cifrada al servidor. El servidor comprueba los dos valores (3) y, si coinciden, calcula una nueva contraseña de ID de dispositivo de herramientas de servicio y notifica el cambio al cliente. A continuación, el proceso de conexión valida el ID de usuario y la contraseña de herramientas de servicio antes de enviar la pantalla de la consola del sistema al PC (4).


Seguridad de LAN de la consola de operaciones

La seguridad de la consola consta de las características de autenticación del dispositivo de herramientas de servicio, autenticación de dispositivo, autenticación de usuario, privacidad de datos, integridad de datos y cifrado de datos.

Cifrado de datos
La autenticación mejorada y el cifrado de datos ofrecen seguridad de red para los procedimientos de consola. Una consola local en una red (LAN) utiliza una versión de SSL que da soporte a la autenticación de dispositivos y usuarios sin utilizar certificados.
Integridad de datos
Esta característica proporciona la seguridad de que los datos de la consola no han cambiado en su ruta al receptor. Una consola local directamente conectada tiene la misma integridad de datos que una conexión twinaxial. Si la conexión física es segura, los datos de la consola permanecen protegidos.
Privacidad de datos
Esta característica proporciona la seguridad de que sólo el receptor deseado puede leer los datos de la consola. Una consola local directamente conectada utiliza una conexión física similar a una consola twinaxial o conexión de red segura para conectividad LAN para proteger los datos de la consola. Una consola de operaciones que utilice una conexión directa tiene la misma privacidad de daros que una conexión twinaxial. Si la conexión física es segura según lo descrito en la autenticación del dispositivo de servicio, los datos de la consola permanecen protegidos. Para proteger los datos, asegúrese de que sólo los usuarios autorizados tengan acceso a la consola.
Autenticación de dispositivo
La autenticación de dispositivo se basa en un ID de dispositivo de herramientas de servicio. Los ID de dispositivo de herramientas de servicio se administran en las herramientas de servicio dedicado (DST) o las herramientas de servicio del sistema (SST). Estos ID constan de un ID de dispositivo de herramientas de servicio y una contraseña de ID de dispositivo de herramientas de servicio. El ID de dispositivo de herramientas de servicio por omisión es QCONSOLE, con la contraseña por omisión QCONSOLE. Una consola local en una red (LAN) cifra y cambia la contraseña durante cada conexión satisfactoria. Debe utilizar el ID de dispositivo por omisión QCONSOLE para instalar un servidor nuevo si utiliza una consola local en una red (LAN).
Importante: La autenticación de dispositivo requiere un ID de dispositivo de herramientas de servicio exclusivo para cada PC que esté configurado con una consola local en una red (LAN).
Si está utilizando una consola local en una red (LAN), el asistente de configuración añadirá la información necesaria al PC. El asistente de configuración solicita el ID de dispositivo de herramientas de servicio y una contraseña de acceso. La contraseña del ID de dispositivo de herramientas de servicio toma por omisión el nombre del ID de dispositivo de herramientas de servicio en mayúsculas.
Nota: La contraseña de acceso protege la información del ID de dispositivo de herramientas de servicio (ID y contraseña del dispositivo de herramientas de servicio) en el PC.
Al establecer una conexión de red, el asistente de configuración de la consola de operaciones solicita la contraseña de acceso para acceder al ID y la contraseña cifrados del dispositivo de herramientas de servicio. También se solicita al usuario un ID de usuario y una contraseña válidos para las herramientas de servicio.
Autenticación de dispositivo de herramientas de servicio
Esta característica garantiza que un dispositivo físico sea la consola. Una consola local directamente conectada es una conexión física similar a una consola twinaxial. El cable serie utilizado para la consola de operaciones mediante conexión directa puede protegerse físicamente de forma similar a una conexión twinaxial para controlar el acceso al dispositivo físico de la consola.
Autenticación de usuario
Esta característica proporciona seguridad con respecto al usuario que está utilizando el dispositivo de servicio. Todos los problemas relacionados con la autenticación de usuarios son iguales independientemente del tipo de consola. Para obtener más información, consulte la sección ID de usuario y contraseñas de herramientas de servicio.

Administración de seguridad

La administración de la consola de operaciones permite a los administradores de sistemas controlar el acceso a las funciones de la consola, incluidas el panel de control remoto y el panel de control virtual. Si está utilizando una consola local en una red (LAN), la autenticación de dispositivos y usuarios se controla mediante los ID de dispositivo de herramientas de servicio y los ID de usuario de herramientas de servicio.

Importante: Al administrar una consola local en una red (LAN), tenga en cuenta lo siguiente:
  • Para obtener más información acerca de los ID de usuario de herramientas de servicio, consulte la sección ID de usuario y contraseñas de herramientas de servicio.
  • Para el panel de control remoto, las selecciones de modalidad requieren autorización de seguridad para el usuario que autentica la conexión, como por ejemplo la que ofrece QSECOFR. Asimismo, al conectar el panel de control remoto mediante una red, el ID de dispositivo de herramientas de servicio debe tener autorización sobre los datos del panel de control del sistema o la partición lógica a la que se conecta el panel de control remoto.
  • Cuando se produzca una discrepancia entre las contraseñas del ID de dispositivo de herramientas de servicio entre el servidor y del PC de consola de operaciones, resincronice la contraseña tanto en el PC como en el servidor. Sin embargo, el PC debe autosincronizarse después de restablecer la contraseña del ID de dispositivo de herramientas de servicio del servidor en la próxima conexión. Para obtener más información acerca de la resincronización de las contraseñas, consulte la sección Resincronizar las contraseñas de ID de dispositivo de herramientas de servicio del PC y del servidor. Una discrepancia se producirá, por ejemplo, si cambia de PC y debe volver a crear la configuración de la conexión.
  • Dado que QCONSOLE es un ID de dispositivo de herramientas de servicio por omisión, puede optar por no utilizarlo.
    Importante: Para evitar el acceso no autorizado, puede configurar temporalmente una conexión utilizando este ID y conectarse satisfactoriamente. A continuación, suprima la configuración, pero no restablezca el ID de dispositivo en el servidor. Así evitará que un usuario no autorizado utilice el ID de dispositivo de herramientas de servicio por omisión, que es conocido. Si necesita utilizar este ID de dispositivo más tarde, puede restablecerlo en ese momento mediante el panel de control o los menús.
  • Si implementa una herramienta de seguridad de red que sondea los puertos para protegerlos de intrusiones, tenga en cuenta que la consola de operaciones utiliza los puertos 449, 2300, 2301, 2323, 3001 y 3002 para las operaciones habituales. El puerto 2301 se utiliza para la consola en las particiones lógicas que ejecutan Linux y también es vulnerable a sondeos. Si la herramienta sondea alguno de estos puertos, puede provocar la pérdida de la consola, lo cual requerirá el reinicio del servidor para recuperarla. Estos puertos deben excluirse de las pruebas de protección contra intrusiones.

Sugerencias de protección de seguridad

Se está utilizando una consola local en una red (LAN), tenga cuenta las siguientes sugerencias:

  1. Cree un ID de dispositivo de herramientas de servicio de reserva adicional para cada PC que se utilice como consola, con los atributos necesarios de consola y panel de control, para utilizarlo en caso de emergencia.
  2. Elija una contraseña de acceso difícil de adivinar.
  3. Proteja el PC de consola de operaciones del mismo modo que protegería una consola twinaxial o una consola local directamente conectada.
  4. Cambie la contraseña de los siguientes ID de usuario de DST: QSECOFR, 22222222 y QSRV.
  5. Añada ID de usuario de herramientas de servicio de reserva con autorización suficiente para habilitar o inhabilitar usuarios e ID de dispositivo de herramientas de servicio.
Tema principal: Planificar la configuración de la consola de operaciones
Enviar información | Valorar esta página