Compatibilità con HP-UX Bastille ed altri firewall di rete

Il software firewall di rete, come HP-UX Bastille, potrebbe bloccare i protocolli di comunicazione utilizzati dal software di amministrazione VSE. Se il proprio server di amministrazione centrale o i propri i sistemi amministrati VSE utilizzano dei firewall, seguire le linee guida per la configurazione descritte nelle sezioni successive.

Protocolli di comunicazione di rete del software di amministrazione VSE

Il software di amministrazione VSE ottiene dati in tempo reale e dati cronologici di utilizzo dai sistemi amministrati e le applicazioni associate utilizzando i seguenti protocolli di comunicazione di rete.

Il protocollo SSH-2 (secure shell) è utilizzato per installare l'agente software VSE dal server di amministrazione centrale, per il supporto delle funzionalità di visualizzazione e configurazione di Virtualization Manager e per la raccolta dei dati di utilizzo per Capacity Advisor.
I servizi Web-Based Enterprise Management (WBEM) sono utilizzati per il supporto delle funzionalità di visualizzazione e configurazione di Virtualization Manager e per la raccolta dei dati di utilizzo per Capacity Advisor
Il protocollo OpenSSL è utilizzato per ottenere le informazioni delle applicazioni dai sistemi amministrati per Application Discovery.

HP Systems Insight Manager – SIM – richiede ulteriori protocolli di comunicazione fra il server di amministrazione centrale e i sistemi amministrati per fornire le indicazioni di stato del sistema e dei processi WBEM in tempo reale e per le comunicazioni di base tra le applicazioni Web e l'utente finale.

Se si utilizza del software firewall, come HP-UX Bastille, nel server di amministrazione centrale o nei sistemi amministrati, il firewall dev'essere configurato in modo da non bloccare le comunicazioni di rete necessarie. Le sezioni seguenti presentano le istruzioni dettagliate per la configurazione di HP-UX Bastille. Gli altri software firewall di rete devono essere configurati in modo simile.

Per ulteriori informazioni sulla trasmissione dati protetta di SIM, consultare la sezione Secure data trasmission di HP Systems Insight Manager Installation and Configuration Guide for HP-UX, all'indirizzo:

http://docs.hp.com/en/5991-4498/ch01s08.html

Ulteriori informazioni sono contenute nel libro bianco HP Understanding HP Systems Insight Manager security, disponibile nella Information Library, all'indirizzo http://hp.com/go/hpsim.

Impostazioni del firewall nel server di amministrazione centrale

È necessario consentire il passaggio nel firewall del gruppo di protocolli seguenti, tra il server di amministrazione centrale ed i sistemi amministrati.

Comunicazioni tra il server di amministrazione centrale ed i nodi amministrati

Internet Control Message Protocol ICMPv4 Type 8 (Echo), ovvero il protocollo ping.
HTTPS tramite la porta 5989, usata da WBEM.
HTTPS tramite la porta 2381, usata dagli agenti Web.
SSH-2 tramite la porta 22, usata da Distributed Task Facility (DTF).
OpenSSL tramite la porta 9143, utilizzata da Application Discovery.
Global Workload Manager utilizza le porte 9617 e 9618 del server di amministrazione centrale. Per informazioni dettagliate su come cambiare le porte predefinite, consultare la sezione “Porte di comunicazione” del Manuale per l'utente di HP Integrity Essentials Global Workload Manager versione A.03.00.00.

Comunicazioni tra il server di amministrazione centrale ed il browser Web

HTTP tramite la porta 280 (comunicazioni iniziali).
HTTPS tramite la porta 50000 (successive comunicazioni dell'interfaccia utente).

Impostazioni di Bastille nel server di amministrazione centrale

Se per proteggere il server di amministrazione centrale sarà utilizzato Bastille/Install-Time Security, per il blocco iniziale utilizzare il livello “Managed DMZ”, quindi aggiungere le seguenti regole di configurazione IPFilter all'inizio del file: /etc/opt/sec_mgmt/bastille/ipf.customrules

pass in quick proto icmp from any to any icmp-type 8 keep state
pass in quick proto tcp from any to any port = 280
pass in quick proto tcp from any to any port = 50000
pass in quick proto tcp from any to any port = 9617 flags S keep state keep frags
pass in quick proto tcp from any to any port = 9618 flags S keep state keep frags
pass in quick proto tcp from any to any port = 9143 flags S keep state keep frags

Eseguire quindi nuovamente Bastille con il comando bastille -b.

Impostazioni del firewall nei sistemi amministrati

È necessario consentire il passaggio nel firewall del gruppo di protocolli seguenti:

Internet Control Message Protocol ICMPv4 Type 8 (Echo), ovvero il protocollo ping. I ping in ingresso ed in uscita sono entrambi necessari per il rilevamento di SIM e lo stato dei sistemi.
HTTPS tramite la porta 5989, usata da WBEM.
HTTPS tramite la porta 2381, usata dagli agenti Web.
SSH-2 tramite la porta 22, usata da Distributed Task Facility (DTF).
Nei nodi amministrati, Global Workload Manager utilizza la porta 9617. Per informazioni dettagliate su come cambiare le porte predefinite, consultare la sezione “Porte di comunicazione” del Manuale per l'utente di HP Integrity Essentials Global Workload Manager versione A.03.00.00.

Impostazioni di Bastille nei sistemi amministrati

Se per proteggere i sistemi amministrati sarà utilizzato Bastille/Install-Time Security, per il blocco iniziale utilizzare il livello “Managed DMZ”, quindi aggiungere la seguente regola di configurazione IPFilter all'inizio del file: /etc/opt/sec_mgmt/bastille/ipf.customrules

pass in quick proto icmp from any to any icmp-type 8 keep state
pass in quick proto tcp from any to any port = 9617 flags S keep state keep frags