Sécurité de la configuration

La sécurité d'Operations Console comprend l'authentification de l'unité de maintenance, de l'unité et de l'utilisateur, la confidentialité et l'intégrité des données.

Une console locale directement connectée permet d'authentifier implicitement une unité, et de protéger la confidentialité et l'intégrité des données du fait de sa connexion point à point. L'authentification de l'utilisateur est obligatoire pour ouvrir une session sur l'écran de la console.

Une authentification et un chiffrement des données améliorés apportent une sécurité réseau aux procédures exécutées sur la console. Les connexions réseau d'Operations Console utilisent une version de SSL qui prend en charge l'authentification de l'unité et de l'utilisateur sans utiliser de certificats. Par défaut, Operations Console utilise le chiffrement le plus robuste possible pour l'authentification et les données.

Le schéma qui suit vous donne un aperçu de la sécurité de réseau local mise en oeuvre pour Operations Console. Le mot de passe d'accès (1), s'il est correct, entraîne l'envoi au serveur par Operations Console de (2) l'ID unité d'outils de maintenance (QCONSOLE) et de son mot de passe chiffré. Le serveur vérifie les deux valeurs (3), et si celles-ci sont concordantes, il calcule un nouveau mot de passe d'ID unité d'outils de maintenance et signale la modification au client. Le processus de connexion valide ensuite l'ID utilisateur et le mot de passe d'outils de maintenance avant d'envoyer l'écran de console système sur le PC (4).


Sécurité du réseau local d'Operations Console

La sécurité de la console comprend l'authentification de l'unité de maintenance, l'authentification de l'unité, l'authentification de l'utilisateur, la confidentialité des données, l'intégrité des données et le chiffrement des données :

Chiffrement des données
Une authentification et un chiffrement des données améliorés apportent une sécurité réseau aux procédures exécutées sur la console. Une console locale sur un réseau local utilise une version de couche SSL qui prend en charge l'authentification de l'unité et de l'utilisateur, mais sans utiliser de certificats.
Intégrité des données
Cette sécurité permet de s'assurer que les données de la console n'ont pas été modifiées lors de leur acheminement vers le destinataire. Une console locale directement connectée offre la même intégrité de données qu'une connexion twinax. Si la connexion physique est sécurisée, les données de la console resteront protégées.
Confidentialité des données
Cette sécurité permet de s'assurer que les données de la console seront bien lues par le destinataire souhaité. Une console locale directement connectée utilise une connexion physique similaire à celle d'une console twinax ou d'une connexion de réseau sécurisée pour la connectivité de réseau local afin de protéger les données de la console. Operations Console avec une connexion directe garantit la même confidentialité de données qu'une connexion twinax. Si la connexion physique est sécurisée, comme indiqué dans la rubrique concernant l'authentification des unités de maintenance, les données de la console seront protégées. Pour protéger les données, assurez-vous que seules les personnes autorisées peuvent pénétrer dans la salle informatique.
Authentification de l'unité
L'authentification de l'unité se base sur l'ID unité d'outils de maintenance. Les ID unité d'outils de maintenance sont gérés dans les outils de maintenance en mode dédié (DST) et les outils de maintenance du système (SST). Ces ID sont constitués d'un ID unité d'outils de maintenance proprement dit et du mot de passe correspondant. L'ID unité d'outils de maintenance par défaut est QCONSOLE dont le mot de passe par défaut est QCONSOLE. Une console locale en réseau local chiffre et modifie le mot de passe au cours de chaque connexion réussie. Vous devez utiliser l'ID unité par défaut QCONSOLE pour installer un nouveau serveur si vous utilisez une console locale sur un réseau local.
Important : L'authentification d'unité nécessite un ID unité d'outils de maintenance unique pour chaque PC configuré avec une console locale sur un réseau local.
Lorsque vous utilisez une console locale sur un réseau local, l'assistant de configuration ajoute les informations nécessaires au PC. L'assistant de configuration demande l'ID unité d'outils de maintenance et un mot de passe d'accès. Le mot de passe de l'ID unité d'outils de maintenance correspond par défaut au nom de l'ID unité d'outils de maintenance en majuscules.
Remarque : Le mot de passe d'accès protège les informations concernant l'ID unité d'outils de maintenance (ID unité d'outils de maintenance et mot de passe) sur le PC.
Lors d'une connexion réseau, l'assistant de configuration d'Operations Console demande d'entrer le mot de passe d'accès pour accéder à l'ID et au mot de passe d'unité d'outils de maintenance chiffrés. L'utilisateur est également invité à entrer un ID et un mot de passe utilisateur d'outils de maintenance.
Authentification de l'unité d'outils de maintenance
Avec cette sécurité, il est vérifié que l'une des unités physiques tient lieu de console. Une console locale directement connectée constitue une connexion physique similaire à une console twinax. Le câble série utilisé pour Operations Console utilisant une connexion directe peut être sécurisé physiquement de la même façon qu'une connexion twinax pour contrôler l'accès à l'unité de console physique.
Authentification de l'utilisateur
Cette sécurité permet de vérifier la validité de la personne qui utilise l'unité de maintenance. Toutes les difficultés liées à l'authentification de l'utilisateur sont les mêmes quel que soit le type de console. Pour plus d'informations, voir Service tools user IDs and passwords.

Administration de la sécurité

L'administration d'Operations Console permet aux administrateurs de contrôler l'accès aux fonctions de la console, y compris celles du panneau de commande éloigné et du panneau de commande virtuel. Lors de l'utilisation d'une console locale sur un réseau local, l'authentification de l'unité et de l'utilisateur est contrôlée à l'aide des ID unité d'outils de maintenance et les ID utilisateur d'outils de maintenance.

Important : Tenez compte des points suivants quand vous administrez une console locale sur un réseau local :
  • Pour plus d'informations sur les ID utilisateur d'outils de maintenance, voir Service tools user IDs and passwords.
  • Pour la sélection du mode sur le panneau de commande éloigné, l'utilisateur qui authentifie la connexion doit obligatoirement disposer des droits de sécurité, tels que ceux conférés par QSECOFR (responsable de la sécurité). En outre, pour la connexion au panneau de commande éloigné via un réseau, l'ID utilisateur d'outils de maintenance doit détenir les droits sur les données du panneau de commande sur la partition logique ou le système auquel est connecté le panneau de commande.
  • Lorsque les mots de passe de l'ID unité d'outils de maintenance ne concordent pas entre le serveur et le PC Operations Console, vous devez resynchroniser le mot de passe à la fois sur le PC et sur le serveur. Toutefois, le PC doit se resynchroniser lui-même après la réinitialisation du mot de passe de l'ID unité d'outils de maintenance sur le serveur lors de la connexion suivante. Pour plus d'informations sur la resynchronisation des mots de passe, voir Resynchronisation des mots de passe d'ID unité d'outils de maintenance du PC et du serveur. Une discordance se produit, par exemple, lorsque vous changez le PC et que vous devez recréer la configuration de la connexion.
  • QCONSOLE étant un ID unité d'outils de maintenance par défaut, vous pouvez décider de ne pas utiliser cet ID unité.
    Important : Pour empêcher les accès non autorisés, vous pouvez configurer une connexion temporaire en utilisant cet ID pour vous connecter. Supprimez ensuite la configuration, mais ne réinitialisez pas l'ID unité sur le serveur pour empêcher tout accès non autorisé à l'aide de l'ID unité d'outils de maintenance par défaut connu. Si vous devez utiliser ultérieurement cet ID unité, vous pouvez le réinitialiser à l'aide du panneau de commande ou des menus.
  • Si vous mettez en oeuvre un outil de sécurité réseau qui sonde les ports dans le cadre de la protection contre les accès non autorisés, gardez à l'esprit qu'Operations Console utilise les ports 449, 2300, 2301, 2323, 3001 et 3002 pour les opérations normales. En outre, le port 2301, qui est utilisé pour la console sur une partition logique exécutant le système d'exploitationLinux est également vulnérable aux sondages. Si votre outil doit sonder l'un de ces ports, vous perdez la console et vous devez redémarrer le serveur pour récupérer la console. Ces ports doivent être exclus des tests de protection contre les accès non autorisés.

Conseils de sécurité

Lorsque vous utilisez une console locale sur un réseau local, procédez comme suit :

  1. Créez un ID unité d'outils de maintenance supplémentaire pour chacun des PC utilisés comme console avec des attributs de console et de panneau de commande à utiliser en cas d'urgence.
  2. Choisissez un mot de passe d'accès difficile à deviner.
  3. Protégez le PC Operations Console de la même manière que vous protégez une console twinax ou une console locale directement connectée.
  4. Modifiez votre mot de passe pour les ID utilisateur DST suivants : QSECOFR, 22222222 et QSRV.
  5. Ajoutez des ID utilisateur d'outils de maintenance de secours avec des droits d'accès suffisants pour pouvoir activer ou désactiver les ID utilisateur et unité d'outils de maintenance.
Sujet parent : Planification de la configuration d'Operations Console
Envoyer un commentaire | Evaluer la page