Configurazione della sicurezza

La sicurezza di Operations Console è costituita dall'autenticazione delle unità programmi di manutenzione, dall'autenticazione degli utenti, dalla riservatezza dei dati e dall'integrità dei dati.

Una console locale collegata direttamente dispone dell'autenticazione dell'unità, della riservatezza dei dati e dell'integrità dei dati implicite grazie al suo collegamento point-to-point. La sicurezza relativa all'autenticazione utente è richiesta per accedere al pannello della console.

L'autenticazione e la codifica dei dati migliorate forniscono la sicurezza di rete per le procedure di console. I collegamenti di rete di Operations Console utilizzano una versione di SSL (Secured Sockets Layer) che supporta l'autenticazione di unità e utenti senza però utilizzare certificati. Per impostazione predefinita, Operations Console utilizza la massima codificazione possibile per l'autenticazione e i dati.

La seguente figura fornisce una panoramica della sicurezza della LAN di Operations Console. La parola d'ordine di accesso (1), se corretta, induce Operations Console ad inviare (2) l'ID unità programmi di manutenzione (QCONSOLE) e la relativa parola d'ordine codificata al server. Il server controlla i due valori (3) e, se corrispondenti, esso calcola una nuova parola d'ordine ID unità programmi di manutenzione ed informa l'utente della modifica. Il processo di collegamento convalida quindi l'ID utente e la parola d'ordine dei programmi di manutenzione prima di inviare il pannello della console di sistema al PC (4).


Sicurezza della LAN di Operations Console

La sicurezza della console è costituita dall'autenticazione dell'unità programmi di manutenzione, dall'autenticazione degli utenti e dalla riservatezza, l'integrità e la codifica dei dati:

Codifica dati
L'autenticazione e la codifica dei dati migliorate forniscono la sicurezza di rete per le procedure di console. Una console locale su una rete (LAN) utilizza una versione di SSL che supporta l'autenticazione di unità e utenti senza però utilizzare certificati.
Integrità dei dati
Questa funzione di sicurezza garantisce che i dati di console non vengano modificati in fase di trasmissione al destinatario. Una console locale collegata direttamente ha la stessa integrità dei dati di un collegamento biassiale. Se il collegamento fisico è protetto, i dati di console restano protetti.
Riservatezza dei dati
Questa funzione di sicurezza consente di garantire che i dati di console possano essere letti solo dai destinatari desiderati. Una console locale collegata direttamente utilizza un collegamento fisico simile ad una console biassiale o a un collegamento di rete protetto per la connettività LAN per proteggere i dati di console. Una Operations Console che utilizza un collegamento diretto ha la stessa riservatezza dei dati di un collegamento biassiale. Se il collegamento fisico è protetto, come trattato nella sezione relativa all'autenticazione dell'unità di servizio, i dati di console restano protetti. Per proteggere i dati, assicurarsi che solo le persone autorizzate dispongano di accesso alla console.
Autenticazione di unità
L'autenticazione di unità è basata sull'ID unità programmi di manutenzione. Gli ID unità programmi di manutenzione sono gestiti in DST (dedicated service tools) e SST (system service tools). Tali ID consistono di un ID unità programmi di manutenzione e di una parola d'ordine ID unità programmi di manutenzione. L'ID unità programmi di manutenzione predefinito è QCONSOLE con una parola d'ordine predefinita QCONSOLE. Una console locale su una rete (LAN) codifica e modifica la parola d'ordine durante ogni collegamento stabilito correttamente. E' necessario utilizzare QCONSOLE ID unità predefinito per installare un nuovo server se si utilizza una console locale su una rete (LAN).
Importante: l'autenticazione di unità richiede un ID unità programmi di manutenzione univoco per ciascun PC configurato con una console locale su una rete (LAN).
Quando si utilizza una console locale su una rete (LAN), la procedura guidata di configurazione aggiunge le informazioni necessarie al PC. La procedura guidata di configurazione richiede l'ID unità programmi di manutenzione e la parola d'ordine di accesso. La parola d'ordine iniziale dell'ID unità programmi di manutenzione prende come valore predefinito il nome dell'ID unità programmi di manutenzione in maiuscolo.
Nota: la parola d'ordine di accesso protegge le informazioni sull'ID unità programmi di manutenzione (ID e parola d'ordine unità programmi di manutenzione) sul PC.
Quando si stabilisce un collegamento di rete, la procedura guidata di configurazione di Operations Console richiede la parola d'ordine di accesso per accedere all'ID ed alla parola d'ordine unità programmi di manutenzione codificati. All'utente viene anche richiesto un ID ed una parola d'ordine utente programmi di manutenzione validi.
Autenticazione unità programmi di manutenzione
Questa funzione di sicurezza garantisce che una unità fisica sia la console. Una console locale collegata direttamente è un collegamento fisico simile ad una console biassiale. Il cavo seriale utilizzato per Operations Console con un collegamento diretto può essere fisicamente protetto in modo analogo ad un collegamento biassiale per controllare l'accesso all'unità di console fisica.
Autenticazione utente
Questa funzione di sicurezza consente di garantire l'identità dell'utente che sta utilizzando l'unità di servizio. Tutti i problemi relativi all'autenticazione utente sono gli stessi, indipendentemente dal tipo di console. Per ulteriori informazioni, consultare ID e parole d'ordine programmi di manutenzione.

Gestione della sicurezza

L'amministrazione di Operations Console consente agli amministratori di sistema di controllare l'accesso alle funzioni di console, compreso il pannello di controllo remoto ed il pannello di controllo virtuale. Quando si utilizza una console locale su una rete (LAN), l'autenticazione di unità e di utenti è controllata tramite gli ID unità dei programmi di manutenzione e gli ID utente dei programmi di manutenzione.

Importante: considerare quanto segue quando si gestisce una console locale su una rete (LAN):
  • Per ulteriori informazioni sugli ID utente di programmi di manutenzione, consultare la sezione relativa a ID e parole d'ordine programmi di manutenzione.
  • Per il pannello di controllo remoto, le selezioni di modalità richiedono l'autorizzazione di sicurezza per l'utente che autentica il collegamento, come quella fornita da QSECOFR. Inoltre, quando si collega il pannello di controllo remoto utilizzando una rete, l'ID unità programmi di manutenzione deve disporre dell'autorizzazione ai dati del pannello di controllo sul sistema o sulla partizione logica cui si collega il pannello di controllo remoto.
  • Quando si verifica una mancata corrispondenza nella parola d'ordine dell'ID unità programmi di manutenzione tra il server ed il PC Operations Console, occorre risincronizzare la parola d'ordine sia sul PC che sul server. Tuttavia, il PC viene sincronizzato automaticamente dopo la parola d'ordine dell'ID unità programmi di manutenzione sul server al collegamento successivo. Per ulteriori informazioni sulla risincronizzazione delle parole d'ordine, consultare la sezione Nuova sincronizzazione delle parole d'ordine ID unità programmi di manutenzione del server e del PC. Si verifica una mancata corrispondenza, ad esempio, se il PC viene cambiato e l'utente deve creare di nuovo la configurazione di collegamento.
  • Poiché QCONSOLE è un ID unità programmi di manutenzione predefinito, è possibile decidere di non utilizzare questo ID unità.
    Importante: per impedire l'accesso non autorizzato, è possibile configurare temporaneamente un collegamento utilizzando questo ID ed eseguire una connessione corretta. Cancellare, quindi, la configurazione ma non reimpostare l'ID unità sul server. Questo impedirà un accesso non autorizzato di utenti che utilizzano l'ID unità programmi di manutenzione predefinito conosciuto. Se è necessario utilizzare questo ID unità in seguito, è possibile reimpostarlo quando occorre utilizzando il pannello di controllo o i menu.
  • Se si implementa un programma per la sicurezza di rete che analizza le porte per una protezione da intrusioni, tenere presente che Operations Console utilizza le porte 449, 2300, 2301, 2323, 3001 e 3002 per le operazioni normali. La porta 2301, utilizzata per la console su una partizione logica che esegue Linux, può essere oggetto di analisi. Se il programma dovesse analizzare qualcuna di queste porte, potrebbe verificarsi una perdita della console; questo richiederebbe il riavvio del server per ripristinare la console. Queste porte dovrebbero essere escluse dalle verifiche per la protezione da intrusioni.

Suggerimenti per la protezione della sicurezza

Quando si utilizza una console locale su una rete (LAN), rivedere i seguenti elementi:

  1. Creare un ID unità programmi di manutenzione aggiuntivo di riserva per ciascun PC utilizzato come una console con attributi di console e di pannello di controllo richiesti da utilizzare in caso di emergenza.
  2. Selezionare una parola d'ordine di accesso non facilmente deducibile.
  3. Proteggere il PC Operations Console come si protegge una console biassiale o una console locale collegata direttamente.
  4. Modificare la parola d'ordine per i seguenti ID utente di DST: QSECOFR, 22222222 e QSRV.
  5. Aggiungere gli ID utente dei programmi di manutenzione di riserva con autorizzazioni sufficienti ad abilitare o disabilitare gli ID unità e utente programmi di manutenzione.
Argomento principale: Pianificazione della configurazione di Operations Console
Invia feedback | Valuta questa pagina