安全的資料傳輸

管理通訊協定

支援的基本管理通訊協定和應用程式包括 SSH、以網頁為基礎的企業管理 (Web-Based Enterprise Management，WBEM)、安全的 HTTP (HTTPS)、桌上管理系統管理介面 (Desktop Management Interface，DMI)，以及 SNMP (simple Network Management Protocol，簡易網路管理通訊協定)。工具不受限於這些通訊協定，且可提供自訂的管理通訊協定。每個受管理系統上唯一必須安裝的通訊協定是 SSH。工具需要特定的通訊協定，而若所需的通訊協定安裝與配置無誤，亦只能在受管理系統中執行這些工具。

SSH  SSH 是一個程式，可讓您透過網路登入另一個系統，並在該系統上執行命令行。亦可讓您在系統之間移動檔案，且透過不安全的通道提供認證與安全通訊。SSH 使用公開/私密金鑰對組提供安全的認證和加密通訊機制。SSH 金鑰用於識別受管理系統上的 execute-as 使用者。一般而言，execute-as 使用者若非 root 即為管理者，但亦可配置其他使用者，端視將在受管理系統上執行的工具而定。私密金鑰安全地存放於 CMS，而公開金鑰則安裝在每個受管理系統中。

HP SIM 分散式作業配備程式 (Distributed Task Facility，DTF) 利用 SSH-2 通訊協定與受管理系統通訊。DTF 藉由使用單一命令複製管理網域內整個系統或系統群組的作業，以提升操作人員的效率。此功能可減輕管理者在多重系統環境下的工作量。X Window 工具和 CLI 工具使用 DTF 執行及支援下列作業：

DTF 會將 CMS 連至各受管理系統上執行的 SSH 伺服器軟體，並告知 SSH 伺服器必須在系統上執行哪些作業，接著 SSH 伺服器就會執行這些作業，並將結果回傳給 DTF。DTF 會彙整從受管理系統接收的回饋。

WBEM   WBEM 是簡化系統管理的業界標準，以一組專為統一企業運算環境管理而開發的管理與網際網路標準技術為基礎，能夠讓您存取 WBEM 相容應用程式可讀取的軟體資料和硬體資料。

HP SIM 中有執行 WBEM 的受管理系統密碼資料庫，此資料庫包含各受管理系統的使用者名稱和密碼，為使用此通訊協定的工具提供使用者認證時需用到這些使用者名稱和密碼。這些帳戶不需具備其他存取能力 (例如登入權限)，只有 HP SIM 需要使用這些帳戶存取 WBEM。您可透過 CLI 或 GUI 設定 WBEM 使用者名稱和密碼，若需相關資訊，請參閱 《HP Systems Insight Manager 5.2 使用指南》，位於 http://h18013.www1.hp.com/products/servers/management/hpsim/infolibrary.html 中的「管理軟體」一節。

HP SIM 使用 HTTPS 存取 WBEM 資料，為系統管理資料提供安全的路徑。

HTTPS  HTTPS 是透過 SSL 傳輸的 HTTP，亦即支援透過網路安全地傳送資料的通訊協定。如上一節所述，HTTPS 用於存取 WBEM 資料和 ProLiant 代理程式資訊。HTTPS 利用數位憑證在代理程式和 CMS 之間建立信任關係，而不利用使用者名稱和密碼。欲由 CMS 管理的每個代理程式均需載入 CMS 的憑證。

DMI (限 HP-UX 11.0 和舊版的受管理系統)  在現今的 HP SIM 環境中，DMI 僅適用於蒐集來自 HP-UX 11.0 系統的庫存資料。DMI (desktop management interface，桌上管理系統管理介面) 是桌上管理系統管理專門小組建立的業界標準通訊協定，主要運用於用戶端管理。DMI 針對回報用戶端系統問題提供相當有效率的方法。與 DMI 相容的電腦可透過網路將狀況資料傳送至 CMS。無法透過 WBEM 和 SNMP 取得資料時，系統庫存集合可支援 DMI。HP-UX CMS 會利用 DMI 蒐集來自其他 HP-UX 系統的系統資訊。DMI 並非安全的通訊協定，因此，能夠存取您網路的任何人均可攔截和檢視 DMI 傳輸。

SNMP  SNMP 是一組管理複雜網路的通訊協定。SNMP 將稱為通訊協定資料單元 (protocol data unit，PDU) 的訊息送至網路的不同部份，與 SNMP 相容的裝置 (代理程式) 將與其自身相關的資料儲存在管理資訊庫 (Management Information Base，MIB)，並將此資料傳回 SNMP 要求者。SNMP 提供數種版本。HP SIM 使用的 SNMP 1.0 版並非安全的通訊協定，因此，能夠存取您網路的任何人均可攔截和檢視 SNMP 傳輸。

HP SIM 有一個資料庫可存放執行 SNMP 的受管理系統之讀取和寫入群體名稱，群體名稱必須與管理系統上配置的名稱相符。您可透過 CLI 或 GUI 設定 SNMP 群體名稱和密碼。若需相關資訊，請參閱 《HP Systems Insight Manager 5.2 使用指南》，位於 http://h18013.www1.hp.com/products/servers/management/hpsim/infolibrary.html 中的「管理軟體」一節。

HP SIM 不使用 SNMP SetRequest。按照預設，支援的作業系統會停用 SNMP SetRequest。為加強安全性，請勿在 CMS 或受管理系統上啟用 SNMP SetRequest，即使 SNMP GetRequest 回應也有可能遭到詐騙，因此，SNMP 傳來的所有資訊均應視為不安全的資訊。

網頁伺服器的安全性

HP SIM 在 CMS 上使用 Tomcat 網頁伺服器。HP SIM 依預設會關閉不需要的 Tomcat 功能，包括 Server Side Includes (伺服器端引入，SSI) 和 Common Gateway Interface (通用閘道介面，CGI) 命令集。

自簽憑證

若未將有效的憑證安全地匯入用戶端或瀏覽器， 其他系統即可利用 WBEM 和網頁伺服器認證所需的自簽憑證假冒 CMS， 這就是所謂的 spoofing (詐騙)。為防止遭到詐騙的可能性，請使用可信任之認證機構 (Certificate Authority，CA) 簽署的憑證，或在本機瀏覽至 CMS 以安全的方式匯出憑證，再將憑證匯入瀏覽器。您也可以藉由遠端瀏覽的方式取得伺服器憑證，並在第一次存取 HP SIM 時將憑證儲存在瀏覽器中，但這種方式較不安全，且仍有可能遭受攔截式攻擊 (「man-in-the-middle」attack)。《HP Systems Insight Manager 5.2 使用指南》，位於 http://h18013.www1.hp.com/products/servers/management/hpsim/infolibrary.html 的「管理軟體」一節提供匯入認證機構簽署憑證的相關資訊。

X 應用程式的安全性

受管理系統執行的 X 用戶端 (或應用程式) 與網路用戶端上的 X 伺服器之間是透過網路以明文 (clear text) 傳送交換資料。HP 不建議在重視安全性的環境下使用 X 用戶端。

管理受防火牆保護的伺服器

若使用 SSH、HTTPS 和 WBEM 通訊協定，則 HP SIM 支援受防火牆保護的管理伺服器。由於 SNMP 和 DMI 通訊協定並非安全的通訊協定，因此 HP 不建議使用。您必須配置防火牆，使其允許此訊務通過防火牆。使用的連接埠如下：

若需 HP SIM 使用的完整連接埠清單，請參閱《Understanding HP SIM Security》白皮書。此白皮書可自 http://www.hp.com/go/hpsim/ 取得。