Compatibilidad con HP-UX Bastille y otros servidores de seguridad de la red

El software de servidor de seguridad de la red, por ejemplo, HP-UX Bastille, puede bloquear los protocolos de comunicación utilizados por el software de administración del entorno VSE. Si el servidor de administración central o los sistemas administrados VSE utilizan software de servidor de seguridad, siga las pautas de configuración de las siguientes secciones.

Protocolos de comunicación de red para el software de administración VSE

El software de administración VSE recupera datos de utilización en tiempo real e históricos de los sistemas administrados y las aplicaciones asociadas utilizando los siguientes protocolos de comunicación de red.

El protocolo SSH-2 (secure shell) se utiliza para instalar el software de agente VSE del servidor de administración central para admitir las características de visualización y configuración de Virtualization Manager, y para recopilar los datos de utilización relativos a Capacity Advisor.
Los servicios Web-Based Enterprise Management (WBEM) se utilizan para admitir las características de visualización y configuración de Virtualization Manager, y para recopilar los datos de utilización relativos a Capacity Advisor.
El protocolo OpenSSL se utiliza para obtener información sobre aplicaciones procedente de los sistemas administrados para el agente Application Discovery.

HP SIM utiliza protocolos de comunicación adicionales entre el servidor de administración central y los sistemas administrados para facilitar el estado del sistema en tiempo real y las indicaciones WBEM, y para la comunicación básica entre las aplicaciones basadas en la Web y el usuario final.

Si utiliza software de servidor de seguridad, por ejemplo, HP-UX Bastille en el servidor de administración central o en los sistemas administrados, el servidor de seguridad debe configurarse para que no bloquee la comunicación de red necesaria. Las siguientes secciones presentan instrucciones detalladas para la configuración de HP-UX Bastille. Otro software de servidor de seguridad de red debe configurarse de modo parecido.

Se facilita información adicional sobre la transmisión de datos segura de HP SIM y problemas conexos en los manuales y libros blancos disponibles en el enlace «Information library» del sitio web http://hp.com/go/hpsim.

Configuración del servidor de seguridad en el servidor de administración central

El siguiente conjunto de protocolos debería poder pasar a través de los servidores de seguridad entre el servidor de administración central y otros sistemas administrados.

Comunicación entre el servidor de administración central y los nodos administrados

El protocolo de mensajes de control de Internet ICMPv4 Tipo 8 (Echo), el protocolo de ping.
HTTPS sobre el puerto 5989, utilizado por WBEM.
HTTPS sobre el puerto 2381, utilizado por los agentes de Web.
SSH-2 sobre el puerto 22, utilizado por Distributed Task Facility (DTF).
OpenSSL sobre el puerto 9143, utilizado por el agente Application Discovery.
Global Workload Manager utiliza los puertos 9617 y 9618 en el servidor de administración central. Para obtener información sobre la modificación de los puertos por defecto, consulte la sección «Puertos de comunicaciones» del documento HP Global Workload Manager versión 4.0: Guía del usuario.

Comunicación entre el servidor de administración central y el navegador web

HTTP sobre el puerto 280 (comunicación inicial)
HTTP sobre el puerto 50000 (comunicación posterior de la interface de usuario)

Configuración de Bastille en el servidor de administración central

Si Bastille/Install-Time Security se utiliza para afianzar el servidor de administración central, utilice el nivel «Managed DMZ» para el cierre inicial. Para configurar el servidor de administración inicial para el nivel «Managed DMZ», utilice el Procedimiento 2-1. Para obtener información adicional, consulte la página de manual de bastille(1M).

Procedimiento 2-1 Configuración del servidor de administración central para el nivel «Managed DMZ» bajo HP-UX Bastille

Copie el archivo de configuración /etc/opt/sec_mgmt/bastille/MANDMZ.config en /etc/opt/sec_mgmt/bastille/config.
NOTA: En algunas versiones de HP-UX Bastille, el archivo MANDMZ.config puede ubicarse en un subdirectorio bajo /etc/opt/sec_mgmt/bastille/.

Agregue las siguientes reglas al principio del archivo /etc/opt/sec_mgmt/bastille/ipf.customrules.




	NOTA: Las líneas mostradas que acaban en la antibarra («`\`») deben combinarse con la siguiente línea e introducirse como una sola línea.

# Custom CMS firewall rules
# Allow ping
pass in quick proto icmp from any to any icmp-type 8 \
keep state

# Allow HTTP on port 280 for inbound HP SIM connections
pass in quick proto tcp from any to any port = 280
# Allow HTTPS on port 50000 for inbound HP SIM connections
pass in quick proto tcp from any to any port = 50000

# Global Workload Manager uses ports 9617 and 9618 to
# communicate with remote agents
pass in quick proto tcp from any to any port = 9617 \
flags S keep state keep frags
pass in quick proto tcp from any to any port = 9618 \
flags S keep state keep frags

# Application Discovery uses OpenSSL on port 9143
pass in quick proto tcp from any to any port = 9143 \
flags S keep state keep frags

Ejecute el motor de configuración de Bastille escribiendo el siguiente comando:
# /opt/sec_mgmt/bastille/bin/bastille -b

Configuración del servidor de seguridad en los sistemas administrados

El siguiente conjunto de protocolos debería poder pasar a través del servidor de seguridad:

El protocolo de mensajes de control de Internet ICMPv4 Tipo 8 (Echo), el protocolo de ping. Se necesita tanto el ping entrante como el saliente para la detección y el estado del sistema SIM.
HTTPS sobre el puerto 5989, utilizado por WBEM.
HTTPS sobre el puerto 2381, utilizado por los agentes de Web.
SSH-2 sobre el puerto 22, utilizado por Distributed Task Facility (DTF).
Global Workload Manager utiliza el puerto 9617 en los nodos administrados. Para obtener información sobre la modificación de los puertos por defecto, consulte la sección «Puertos de comunicaciones» del documento HP Global Workload Manager versión 4.0: Guía del usuario.

Configuración de Bastille en el sistema administrado

Si Bastille/Install-Time Security se utiliza para afianzar el sistema administrado, utilice el nivel «Managed DMZ» para el cierre inicial. Para configurar un servidor administrado para el nivel «Managed DMZ», utilice el Procedimiento 2-2. Para obtener información adicional, consulte la página de manual de bastille(1M).

Procedimiento 2-2 Configuración de un sistema administrado para el nivel «Managed DMZ» bajo HP-UX Bastille

Copie el archivo de configuración /etc/opt/sec_mgmt/bastille/MANDMZ.config en /etc/opt/sec_mgmt/bastille/config.
NOTA: En algunas versiones de HP-UX Bastille, el archivo MANDMZ.config puede ubicarse en un subdirectorio bajo /etc/opt/sec_mgmt/bastille/.