Compatibilità con HP-UX Bastille ed altri firewall di rete

Il software firewall di rete, come HP-UX Bastille, potrebbe bloccare i protocolli di comunicazione utilizzati dal software di amministrazione VSE. Se il proprio server di amministrazione centrale o i propri i sistemi amministrati VSE utilizzano dei firewall, seguire le linee guida per la configurazione descritte nelle sezioni successive.

Protocolli di comunicazione di rete del software di amministrazione VSE

Il software di amministrazione VSE ottiene dati in tempo reale e dati cronologici di utilizzo dai sistemi amministrati e dalle applicazioni associate utilizzando i seguenti protocolli di comunicazione di rete.

Il protocollo SSH-2 (secure shell) è utilizzato per installare l'agente software VSE dal server di amministrazione centrale, per il supporto delle funzionalità di visualizzazione e configurazione di Virtualization Manager e per la raccolta dei dati di utilizzo per Capacity Advisor.
I servizi Web-Based Enterprise Management (WBEM) sono utilizzati per il supporto delle funzionalità di visualizzazione e configurazione di Virtualization Manager e per la raccolta dei dati di utilizzo per Capacity Advisor
Il protocollo OpenSSL è utilizzato per ottenere le informazioni delle applicazioni dai sistemi amministrati per Application Discovery.

HP SIM richiede ulteriori protocolli di comunicazione fra il server di amministrazione centrale e i sistemi amministrati per fornire le indicazioni di stato del sistema e dei processi WBEM in tempo reale e per le comunicazioni di base tra le applicazioni Web e l'utente finale.

Se si utilizza del software firewall, come HP-UX Bastille, nel server di amministrazione centrale o nei sistemi amministrati, il firewall dev'essere configurato in modo da non bloccare le comunicazioni di rete necessarie. Le sezioni seguenti presentano le istruzioni dettagliate per la configurazione di HP-UX Bastille. Gli altri software firewall di rete devono essere configurati in modo simile.

Ulteriori informazioni sulla trasmissione protetta dei dati di HP SIM e gli aspetti correlati possono essere trovate nei manuali e nei libri bianchi disponibili tramite il collegamento “Information library” all'indirizzo http://hp.com/go/hpsim.

Impostazioni del firewall nel server di amministrazione centrale

È necessario consentire il passaggio nel firewall del gruppo di protocolli seguenti, tra il server di amministrazione centrale ed i sistemi amministrati.

Comunicazioni tra il server di amministrazione centrale ed i nodi amministrati

Internet Control Message Protocol ICMPv4 Type 8 (Echo), ovvero il protocollo ping.
HTTPS tramite la porta 5989, usata da WBEM.
HTTPS tramite la porta 2381, usata dagli agenti Web.
SSH-2 tramite la porta 22, usata da Distributed Task Facility (DTF).
OpenSSL tramite la porta 9143, utilizzata da Application Discovery.
Global Workload Manager utilizza le porte 9617 e 9618 del server di amministrazione centrale. Per informazioni dettagliate su come cambiare le porte predefinite, consultare la sezione “Porte di comunicazione” di HP Global Workload Manager versione 4.0: Manuale per l'utente.

Comunicazioni tra il server di amministrazione centrale ed il browser Web

HTTP tramite la porta 280 (comunicazioni iniziali)
HTTPS tramite la porta 50000 (successive comunicazioni dell'interfaccia utente)

Impostazioni di Bastille nel server di amministrazione centrale

Se per proteggere il server di amministrazione centrale sarà utilizzato Bastille/Install-Time Security, per il blocco iniziale utilizzare il livello “Managed DMZ”. Per configurare il server di amministrazione per Managed DMZ, usare la Procedura 2-1. Per ulteriori informazioni, vedere bastille(1M).

Procedura 2-1 Configurazione del server di amministrazione centrale per Managed DMZ con HP-UX Bastille

Copiare il file di configurazione /etc/opt/sec_mgmt/bastille/MANDMZ.config in /etc/opt/sec_mgmt/bastille/config.
NOTA: In alcune versioni di HP-UX Bastille, il file MANDMZ.config potrebbe trovarsi in una sottodirectory di /etc/opt/sec_mgmt/bastille/.

All'inizio del file /etc/opt/sec_mgmt/bastille/ipf.customrules, aggiungere le seguenti regole:




	NOTA: Le righe mostrate che terminano con “`\`” devono essere combinate con la riga successiva e digitate come singola riga.

# Regole personalizzate del firewall del server di amministrazione centrale
# Consente il ping
pass in quick proto icmp from any to any icmp-type 8 \
keep state

# Consente l'uso di HTTP nella porta 280 per le connessioni di HP SIM in entrata
pass in quick proto tcp from any to any port = 280
# Consente l'uso di HTTPS nella porta 50000 per le connessioni di HP SIM in entrata
pass in quick proto tcp from any to any port = 50000

# Global Workload Manager usa le porte 9617 e 9618 per
# comunicare con gli agenti remoti
pass in quick proto tcp from any to any port = 9617 \
flags S keep state keep frags
pass in quick proto tcp from any to any port = 9618 \
flags S keep state keep frags

# Application Discovery usa OpenSSL nella porta 9143
pass in quick proto tcp from any to any port = 9143 \
flags S keep state keep frags

Eseguire il motore di configurazione di Bastille digitando il comando seguente:
# /opt/sec_mgmt/bastille/bin/bastille -b

Impostazioni del firewall nei sistemi amministrati

È necessario consentire il passaggio nel firewall del gruppo di protocolli seguenti:

Internet Control Message Protocol ICMPv4 Type 8 (Echo), ovvero il protocollo ping. I ping in ingresso ed in uscita sono entrambi necessari per il rilevamento di SIM e lo stato dei sistemi.
HTTPS tramite la porta 5989, usata da WBEM.
HTTPS tramite la porta 2381, usata dagli agenti Web.
SSH-2 tramite la porta 22, usata da Distributed Task Facility (DTF).
Nei nodi amministrati, Global Workload Manager utilizza la porta 9617. Per informazioni dettagliate su come cambiare le porte predefinite, consultare la sezione “Porte di comunicazione” di HP Global Workload Manager versione 4.0: Manuale per l'utente.

Impostazioni di Bastille nei sistemi amministrati

Se per proteggere il sistema amministrato sarà utilizzato Bastille/Install-Time Security, per il blocco iniziale utilizzare il livello “Managed DMZ”. Per configurare un sistema amministrato per Managed DMZ, usare la Procedura 2-2. Per ulteriori informazioni, vedere bastille(1M).

Procedura 2-2 Configurazione del sistema amministrato per Managed DMZ con HP-UX Bastille

Copiare il file di configurazione /etc/opt/sec_mgmt/bastille/MANDMZ.config in /etc/opt/sec_mgmt/bastille/config.
NOTA: In alcune versioni di HP-UX Bastille, il file MANDMZ.config potrebbe trovarsi in una sottodirectory di /etc/opt/sec_mgmt/bastille/.