Compatibilidad con HP-UX Bastille y otros servidores de seguridad de la red

El software de servidor de seguridad de la red, por ejemplo, HP-UX Bastille, puede bloquear los protocolos de comunicación utilizados por el software de administración del entorno VSE. Si el servidor de administración central o los sistemas administrados VSE utilizan software de servidor de seguridad, siga las pautas de configuración de las siguientes secciones.

Protocolos de comunicación de red para el software de administración VSE

El software de administración VSE recupera datos de utilización en tiempo real e históricos de los sistemas administrados y las aplicaciones asociadas utilizando los siguientes protocolos de comunicación de red.

El protocolo SSH-2 (secure shell) se utiliza para instalar el software de agente VSE del servidor de administración central para admitir las características de visualización y configuración de Virtualization Manager, y para recopilar los datos de utilización relativos a Capacity Advisor.
Los servicios Web-Based Enterprise Management (WBEM) se utilizan para admitir las características de visualización y configuración de Virtualization Manager, y para recopilar los datos de utilización relativos a Capacity Advisor.
El protocolo OpenSSL se utiliza para obtener información sobre aplicaciones procedente de los sistemas administrados para el agente Application Discovery.

HP Systems Insight Manager (SIM) utiliza protocolos de comunicación adicionales entre el servidor de administración central y los sistemas administrados para facilitar el estado del sistema en tiempo real y las indicaciones WBEM, y para la comunicación básica entre las aplicaciones basadas en la Web y el usuario final.

Si utiliza software de servidor de seguridad, por ejemplo, HP-UX Bastille en el servidor de administración central o en los sistemas administrados, el servidor de seguridad debe configurarse para que no bloquee la comunicación de red necesaria. Las siguientes secciones presentan instrucciones detalladas para la configuración de HP-UX Bastille. Otro software de servidor de seguridad de red debe configurarse de modo parecido.

Para obtener más información sobre la transmisión de datos segura de SIM, consulte la sección Secure data transmission del documento HP Systems Insight Manager Installation and Configuration Guide for HP-UX ubicado en:

http://docs.hp.com/en/5991-4498/ch01s08.html

Se facilita información adicional en el libro blanco de HP titulado Understanding HP Systems Insight Manager security, que está accesible en el enlace Information Library de la dirección http://hp.com/go/hpsim.

Configuración del servidor de seguridad en el servidor de administración central

El siguiente conjunto de protocolos debería poder pasar a través de los servidores de seguridad entre el servidor de administración central y otros sistemas administrados.

Comunicación entre el servidor de administración central y los nodos administrados

El protocolo de mensajes de control de Internet ICMPv4 Tipo 8 (Echo), el protocolo de ping.
HTTPS sobre el puerto 5989, utilizado por WBEM.
HTTPS sobre el puerto 2381, utilizado por los agentes de Web.
SSH-2 sobre el puerto 22, utilizado por Distributed Task Facility (DTF).
OpenSSL sobre el puerto 9143, utilizado por el agente Application Discovery.
Global Workload Manager utiliza los puertos 9617 y 9618 en el servidor de administración central. Para obtener información sobre la modificación de los puertos por defecto, consulte la sección «Puertos de comunicaciones» del documento Guía del usuario de HP Integrity Essentials Global Workload Manager versión A.03.00.00.

Comunicación entre el servidor de administración central y el navegador web

HTTP sobre el puerto 280 (comunicación inicial).
HTTP sobre el puerto 50000 (comunicación posterior de la interface de usuario).

Configuración de Bastille en el servidor de administración central

Si va a utilizar Bastille/Install-Time Security para afianzar el servidor de administración central, utilice el nivel «Managed DMZ» para el bloqueo inicial y agregue las siguientes reglas de configuración de IPFilter en la parte superior del archivo: /etc/opt/sec_mgmt/bastille/ipf.customrules

pass in quick proto icmp from any to any icmp-type 8 keep state
pass in quick proto tcp from any to any port = 280
pass in quick proto tcp from any to any port = 50000
pass in quick proto tcp from any to any port = 9617 flags S keep state keep frags
pass in quick proto tcp from any to any port = 9618 flags S keep state keep frags
pass in quick proto tcp from any to any port = 9143 flags S keep state keep frags

A continuación, ejecute de nuevo Bastille utilizando el comando bastille -b.

Configuración del servidor de seguridad en los sistemas administrados

El siguiente conjunto de protocolos debería poder pasar a través del servidor de seguridad:

El protocolo de mensajes de control de Internet ICMPv4 Tipo 8 (Echo), el protocolo de ping. Se necesita tanto el ping entrante como el saliente para la detección y el estado del sistema SIM.
HTTPS sobre el puerto 5989, utilizado por WBEM.
HTTPS sobre el puerto 2381, utilizado por los agentes de Web.
SSH-2 sobre el puerto 22, utilizado por Distributed Task Facility (DTF).
Global Workload Manager utiliza el puerto 9617 en los nodos administrados. Para obtener información sobre la modificación de los puertos por defecto, consulte la sección «Puertos de comunicaciones» del documento Guía del usuario de HP Integrity Essentials Global Workload Manager versión A.03.00.00.

Configuración de Bastille en el sistema administrado

Si va a utilizar Bastille/Install-Time Security para afianzar el sistema administrado, utilice el nivel «Managed DMZ» para el bloqueo inicial y agregue la siguiente regla de configuración de IPFilter en la parte superior del archivo: /etc/opt/sec_mgmt/bastille/ipf.customrules

pass in quick proto icmp from any to any icmp-type 8 keep state
pass in quick proto tcp from any to any port = 9617 flags S keep state keep frags