Configuratiebeveiliging

De beveiliging van Operations Console bestaat uit verificatie van het servicetoolsapparaat, verificatie van de gebruiker, gegevensbescherming en controle van de betrouwbaarheid van de gegevens.

Een rechtsreeks verbonden lokale console beschikt impliciet over apparaatverificatie, gegevensbescherming en controle van de betrouwbaarheid van de gegevens dankzij de point-to-point-verbinding. Gebruikersverificatie is vereist bij aanmelding op het consolescherm.

Verbeterde verificatie en gegevensversleuteling voorzien in de netwerkbeveiliging voor consoleprocedures. Voor netwerkverbindingen van Operations Consoles wordt een versie van Secured Sockets Layer (SSL) gebruikt die zonder certificaten apparaat- en gebruikersverificatie ondersteunt. Standaard gebruikt Operations Console de meest krachtige versleuteling voor de verificatie en gegevens.

In de onderstaande afbeelding ziet u een overzicht van de LAN-beveiliging voor Operations Consoles. Het toegangswachtwoord (1) heeft, als het correct is, tot gevolg dat Operations Console het apparatuur-ID van de servicetools (QCONSOLE) en het versleutelde wachtwoord naar de server zendt (2). De server controleert de twee waarden (3) en als deze overeenkomen wordt er een nieuw wachtwoord voor het apparatuur-ID van de servicetools berekend en wordt de client op de hoogte gebracht van de wijziging. Vervolgens controleert het verbindingsproces de gebruikers-ID en het bijbehorende wachtwoord van de servicetools alvorens de systeemconsoleweergave naar de PC te sturen (4).


LAN-beveiliging van Operations Console

De beveiliging van de console bestaat uit verificatie van het servicetoolsapparaat, verificatie van de gebruiker, gegevensbescherming, controle van de betrouwbaarheid van de gegevens en gegevensversleuteling:

Gegevensversleuteling
Verbeterde verificatie en gegevensversleuteling voorzien in de netwerkbeveiliging voor consoleprocedures. Voor lokale consoles in een netwerk (LAN) wordt een versie van Secured Sockets Layer (SSL) gebruikt die zonder certificaten apparaat- en gebruikersverificatie ondersteunt.
Betrouwbaarheid van de gegevens
Dankzij deze beveiligingsmaatregel kunt u erop vertrouwen dat de consolegegevens onderweg naar de ontvanger niet zijn veranderd. Bij een rechtstreeks verbonden lokale console zijn de gegevens even betrouwbaar als bij een twinaxverbinding. Als de fysieke verbinding veilig is, blijven de consolegegevens beschermd.
Gegevensbescherming
Dankzij deze beveiligingsmaatregel kunt u erop vertrouwen dat de consolegegevens alleen kunnen worden gelezen door de beoogde ontvanger. Een rechtstreeks verbonden lokale console beschermt de consolegegevens met een fysieke verbinding die veel wegheeft van een twinaxconsole of een beveiligde netwerkverbinding voor LAN-koppelingen. Een Operations Console via een rechtstreekse verbinding biedt dezelfde gegevensbescherming als een twinaxverbinding. Als de fysieke verbinding op de besproken manier wordt beveiligd door de apparaatverificatie, blijven de consolegegevens beschermd. U moet er ter bescherming van de gegevens voor zorgen dat alleen bevoegde personen toegang tot de console hebben.
Apparaatverificatie
De apparaatverificatie gaat uit van een apparatuur-ID van de servicetools. Apparatuur-ID's van servicetools worden beheerd in DST (Dedicated Service Tools) en SST (System Service Tools). Deze ID's bestaan uit een apparatuur-ID en een bijbehorend wachtwoord. Het standaardapparatuur-ID van servicetools is QCONSOLE met als standaardwachtwoord QCONSOLE. Lokale consoles in een netwerk (LAN) versleutelen en wijzigen het wachtwoord bij elke geslaagde verbinding. U moet het standaardapparatuur-ID QCONSOLE gebruiken om een nieuwe server te installeren als u een lokale console in een netwerk (LAN) gebruikt.
Belangrijk: Voor de apparaatverificatie is een uniek apparatuur-ID van de servicetools vereist voor elke PC die met een lokale console in een netwerk (LAN) is geconfigureerd).
Als u een lokale console in een netwerk (LAN) gebruikt, voegt de configuratiewizard de vereiste gegevens toe aan de PC. De configuratiewizard vraagt om de naam van het apparatuur-ID van de servicetools en een toegangswachtwoord. Het oorspronkelijke wachtwoord voor het apparatuur-ID van de servicetools wordt de naam van uw apparatuur-ID voor de servicetools in hoofdletters.
Opmerking: Het toegangswachtwoord beveiligt de apparatuurgegevens (apparatuur-ID van de servicetools en bijbehorend wachtwoord) op de PC.
Wanneer u een netwerkverbinding tot stand brengt, vraagt de configuratiewizard van Operations Console u om het toegangswachtwoord alvorens u toegang krijgt tot de versleutelde apparaatgegevens van de servicetools (ID en wachtwoord). Bovendien wordt u gevraagd om een geldig gebruikers-ID en een bijbehorend wachtwoord voor de servicetools.
Verificatie van het servicetoolsapparaat
Deze beveiligingsmaatregel zorgt ervoor dat één fysiek apparaat als console fungeert. Een rechtstreeks verbonden lokale console is qua fysieke verbinding te vergelijken met een twinaxconsole. De seriële kabel die u in een rechtstreekse verbinding voor Operations Console gebruikt, mag net als een twinaxverbinding fysiek worden beveiligd om de toegang tot het fysieke consoleapparaat te beheren.
Gebruikersverificatie
Deze beveiligingsmaatregel heeft tot doel te controleren wie een serviceapparaat gebruikt. Alle problemen van de gebruikersverificatie zijn identiek, ongeacht het consoletype. Raadpleeg voor meer informatie Gebruikers-ID's en wachtwoorden voor servicetools.

Beveiligingsbeheer

De beheerfunctionaliteit van Operations Console stelt systeembeheerders ertoe in staat de toegang tot consolefuncties, met inbegrip van het bedieningspaneel op afstand en het virtuele bedieningspaneel, te controleren. Als u een lokale console in een netwerk (LAN) gebruikt, wordt de apparaat- en gebruikersverificatie aangestuurd via de apparatuur-ID's en gebruikers-ID's van de servicetools.

Belangrijk: Neem het volgende in overweging wanneer u een lokale console in een netwerk (LAN) beheert:
  • Voor meer informatie over gebruikers-ID's voor servicetools, raadpleegt uGebruikers-ID's en wachtwoorden voor servicetools.
  • In het geval van een bedieningspaneel op afstand, heeft de gebruiker die de verbinding laat verifiëren rechten nodig zoals deze bijvoorbeeld door QSECOFR worden geleverd. Als u het bedieningspaneel op afstand bovendien verbindt via een netwerk, moet het apparatuur-ID van de servicetools geschikt zijn voor de bedieningspaneelgegevens in het systeem of in de logische partitie waarmee het bedieningspaneel op afstand een verbinding maakt.
  • Als de wachtwoorden voor apparatuur-ID's van de servicetools op de server en op de Operations Console-PC onderling verschillen, moet u het wachtwoord zowel op de PC als op de server opnieuw synchroniseren. Door de PC moet echter automatisch een synchronisatie worden uitgevoerd nadat het wachtwoord voor het apparatuur-ID van de servicetools opnieuw op de server is ingesteld wanneer er opnieuw een verbinding wordt gemaakt. Voor meer informatie over het opnieuw synchroniseren van wachtwoorden, raadpleegt uDe wachtwoorden voor het apparatuur-ID van de servicetools van de PC en de server opnieuw synchroniseren. Er kunnen bijvoorbeeld onderlinge verschillen optreden als uw PC wordt vervangen en u de verbindingsconfiguratie opnieuw moet maken.
  • Aangezien QCONSOLE een standaardapparatuur-ID voor servicetools is, kunt u besluiten dit ID niet te gebruiken.
    Belangrijk: Om toegang door onbevoegden te voorkomen kunt u tijdelijk een verbinding configureren met behulp van dit ID en vervolgens een verbinding maken. Verwijder de configuratie vervolgens maar stel het apparatuur-ID op de server niet opnieuw in. Zo voorkomt u dat onbevoegden met het bekende standaardapparatuur-ID toegang kunnen krijgen. Als u het apparatuur-ID later toch nog wilt gebruiken, kunt u het op dat moment alsnog opnieuw instellen met het bedieningspaneel of de menu's.
  • Als u een netwerkbeveiligingstool implementeert die poorten op indringingsbeveiliging controleert, is het van belang te weten dat Operations Console de poorten 449, 2300, 2301, 2323, 3001 en 3002 voor normale bewerkingen gebruikt. Poort 2301, die op logische partities met Linux voor de console wordt gebruikt, is ook kwetsbaar voor dergelijke controles. Als uw tool een van deze poorten controleert, kan dit tot gevolg gevolg hebben dat u de console kwijtraakt, zodat u de server opnieuw moet starten om de console te herstellen. Deze poorten moeten van tests in het kader van de indringingsbeveiliging worden uitgesloten.

Beveiligingstips

Als u een lokale console op een netwerk (LAN) gebruikt, voert u de volgende stappen uit:

  1. Maak een extra backupapparatuur-ID voor servicetools voor elke PC die als console met console- en bedieningspaneelkenmerken wordt gebruikt. Dit extra ID kan dan in noodgevallen worden gebruikt.
  2. Kies een niet-triviaal toegangswachtwoord.
  3. Beveilig de Operations Console-PC op dezelfde manier als u een twinaxconsole of een rechtstreeks verbonden lokale console zou beveiligen.
  4. Wijzig het wachtwoord voor de volgende DST-gebruikers-ID's: QSECOFR, 22222222, en QSRV.
  5. Voeg reservegebruikers-ID's voor de servicetools toe met voldoende rechten om de gebruikers- en apparatuur-ID's van de servicetools in en uit te schakelen.
Hoofdonderwerp: Planning voor uw Operations Console-configuratie
Feedback verzenden|Deze pagina beoordelen