Server der Serien SPARC und Netra SPARC T5. Sicherheitshandbuch



Ähnliche Dokumente
SPARC M5-32- und SPARC M6-32-Server. Sicherheitshandbuch

SPARC T7 Series-Server. Sicherheitshandbuch

StorageTek Tape Analytics

Sun Server X4-2. Sicherheitshandbuch

Oracle Hardware Management Pack for Oracle Solaris - Sicherheitshandbuch

Anti-Botnet-Beratungszentrum. Windows XP in fünf Schritten absichern

SuperCluster-System. Sicherheitshandbuch

Eigenen WSUS Server mit dem UNI WSUS Server Synchronisieren

Avira Server Security Produktupdates. Best Practice

Installation und Konfiguration Microsoft SQL Server 2012

System-Update Addendum

Firewalls für Lexware Info Service konfigurieren

Cockpit 3.4 Update Manager

Folgende Einstellungen sind notwendig, damit die Kommunikation zwischen Server und Client funktioniert:

LOG-FT BAG Filetransfer zum Austausch mit dem Bundesamt für Güterverkehr (BAG) Kurzanleitung

Das Handbuch zu KNetAttach. Orville Bennett Übersetzung: Thomas Bögel

Windows 98 / Windows NT mit NCP WAN Miniport-Treiber 23. Oktober 1998

Lizenzen auschecken. Was ist zu tun?

Windows 8 Lizenzierung in Szenarien

F-Secure Mobile Security for Nokia E51, E71 und E75. 1 Installation und Aktivierung F-Secure Client 5.1

Erste Schritte mit Desktop Subscription

2 Die Terminaldienste Prüfungsanforderungen von Microsoft: Lernziele:

ENTDECKEN SIE DIE VORTEILE VON SUBSCRIPTION SUBSCRIPTION-VERTRÄGE VERWALTEN

Benutzeranleitung (nicht für versierte Benutzer) SSH Secure Shell

Das Handbuch zu Simond. Peter H. Grasch

Firewalls für Lexware Info Service konfigurieren

Bitte melden Sie sich als Administrator des Betriebssystems oder als Benutzer mit ausreichenden Installationsrechten an Ihrem PC an.

Windows Vista Security

Windows Small Business Server (SBS) 2008

INHALT. 2. Zentrale Verwaltung von NT-, und 2003-Domänen. 3. Schnelle und sichere Fernsteuerung von Servern und Arbeitsstationen

Step by Step Webserver unter Windows Server von Christian Bartl

Handbuch. timecard Connector Version: REINER SCT Kartengeräte GmbH & Co. KG Goethestr Furtwangen

GFI-Produkthandbuch. Einschränkungen und Lizenzierungshandbuch für GFI MailArchiver- Archivierung

MailUtilities: Remote Deployment - Einführung

Oracle Solaris Studio 12.4: Sicherheitshandbuch

estos UCServer Multiline TAPI Driver

Installationsanleitung. TFSInBox

Endpoint Web Control Übersichtsanleitung

Installation Microsoft SQL Server 2008 Express

Lizenzierung von System Center 2012

How-to: HTTP Proxy mit Radius Authentifizierung an einem Windows 2003 Server. Securepoint Security System Version 2007nx

MEDION USB-Modem-Stick Software User Guide

Formular»Fragenkatalog BIM-Server«

Windows Server 2008 (R2): Anwendungsplattform

Endpoint Web Control Übersichtsanleitung. Sophos Web Appliance Sophos Enterprise Console Sophos Endpoint Security and Control

Client-Systemanforderungen für Brainloop Secure Dataroom ab Version 8.30

Diese Anleitung enthält Anweisungen, die nur durch erfahrene Anwender durchgeführt werden sollten!

Installationsanleitung CLX.PayMaker Home

Matrix42. Use Case - Sicherung und Rücksicherung persönlicher Einstellungen über Personal Backup. Version September

Migration NVC 5.x auf NEM/NPro (Migration eines bestehenden, produktiven NVC Verteilservers auf NEM/NPro)

NEVARIS Umstellen der Lizenz bei Allplan BCM Serviceplus Kunden von der NEVARIS SP Edition auf NEVARIS Standard/Professional

Netzwerkeinstellungen unter Mac OS X

DSL Konfigurationsanleitung PPPoE

VIDA ADMIN KURZANLEITUNG

Kurzanleitung zur Softwareverteilung von BitDefender Produkten...2

Avira Management Console Optimierung für großes Netzwerk. Kurzanleitung

Microsoft Windows XP SP2 und windream

CADEMIA: Einrichtung Ihres Computers unter Windows

Bedienungsanleitung. FarmPilot-Uploader

Shellfire L2TP-IPSec Setup Windows XP

Upgrade auf die Standalone Editionen von Acronis Backup & Recovery 10. Technische Informationen (White Paper)

Version Deutsch In diesem HOWTO wird beschrieben wie Sie Ihren Gästen die Anmeldung über eine SMS ermöglichen.

Windows Server 2012 R2 Essentials & Hyper-V

Windows Server 2008 für die RADIUS-Authentisierung einrichten

Installation Wawi SQL in Verbindung mit Microsoft SQL Server 2008 R2 Express with management Tools

Öffnen Sie den Internet-Browser Ihrer Wahl. Unabhängig von der eingestellten Startseite erscheint die folgende Seite in Ihrem Browserfenster:

3 Windows als Storage-Zentrale

DSL Konfigurationsanleitung PPPoE

SafeRun-Modus: Die Sichere Umgebung für die Ausführung von Programmen

Wie macht man einen Web- oder FTP-Server im lokalen Netzwerk für das Internet sichtbar?

CADEMIA: Einrichtung Ihres Computers unter Mac OS X

Anleitung. Schritt für Schritt: iphone und ipad. Richten Sie Ihr -Konto mit Ihrem iphone oder ipad Schritt für Schritt ein.

DriveLock 6. DriveLock und das Windows Sicherheitsproblem mit LNK Dateien. CenterTools Software GmbH

Alinof Key s Benutzerhandbuch

Benutzerhandbuch bintec R4100 / R4300 CAPI. Copyright 17. Juli 2006 Funkwerk Enterprise Communications GmbH Version 1.0

Mit der in Windows Vista integrierten Firewall Schützen Sie Ihren Computer gegen Angriffe aus dem Internet.

Anleitung zur Einrichtung des USB-Speicherzugriffs (SharePort) Für DIR-506L (Stand April 2013)

Lizenzierung von Windows Server 2012

Lexware professional und premium setzen bis einschließlich Version 2012 den Sybase SQL-Datenbankserver

FTP-Leitfaden RZ. Benutzerleitfaden

1 von :28

Software-Lizenzierung und Aktivierung: Verteilen von Software mit Apple Remote Desktop

Einrichtung des Cisco VPN Clients (IPSEC) in Windows7

unter runtergeladen werden.

Handbuch USB Treiber-Installation

Sophia Business Leitfaden zur Administration

SQL Server 2008 Standard und Workgroup Edition

GFI-Produkthandbuch. Einschränkungen und Lizenzierungshandbuch für GFI Archiver- Archivierung

Installation und Sicherung von AdmiCash mit airbackup

Installation der SAS Foundation Software auf Windows

Firmware-Update, CAPI Update

Installation SelectLine SQL in Verbindung mit Microsoft SQL Server 2012 Express with management tools

Technical Note ewon über DSL & VPN mit einander verbinden

GEZIELT MEHR SICHERHEIT MIT 4I ACCESS SERVER & 4I CONNECT CLIENT

Installationsanleitung CLX.PayMaker Office

WEKA Handwerksbüro PS Mehrplatzinstallation

Externe Authentifizierung. Externe Authentifizierung IACBOX.COM. Version Deutsch

Oracle Server X5-2L - Sicherheitshandbuch

Transkript:

Server der Serien SPARC und Netra SPARC T5 Sicherheitshandbuch Teilenr.: E40476-01 April 2013

Copyright 2013, Oracle and/or its affiliates. All rights reserved. Diese Software und zugehörige Dokumentation werden im Rahmen eines Lizenzvertrages zur Verfügung gestellt, der Einschränkungen hinsichtlich Nutzung und Offenlegung enthält und durch Gesetze zum Schutz geistigen Eigentums geschützt ist. Sofern nicht ausdrücklich in Ihrem Lizenzvertrag vereinbart oder gesetzlich geregelt, darf diese Software weder ganz noch teilweise in irgendeiner Form oder durch irgendein Mittel zu irgendeinem Zweck kopiert, reproduziert, übersetzt, gesendet, verändert, lizenziert, übertragen, verteilt, ausgestellt, ausgeführt, veröffentlicht oder angezeigt werden. Reverse Engineering, Disassemblierung oder Dekompilierung der Software ist verboten, es sei denn, dies ist erforderlich, um die gesetzlich vorgesehene Interoperabilität mit anderer Software zu ermöglichen. Die hier angegebenen Informationen können jederzeit und ohne vorherige Ankündigung geändert werden. Wir übernehmen keine Gewähr für deren Richtigkeit. Sollten Sie Fehler oder Unstimmigkeiten finden, bitten wir Sie, uns diese schriftlich mitzuteilen. Wird diese Software oder zugehörige Dokumentation an die Regierung der Vereinigten Staaten von Amerika bzw. einen Lizenznehmer im Auftrag der Regierung der Vereinigten Staaten von Amerika geliefert, gilt Folgendes: U.S. GOVERNMENT END USERS: Oracle programs, including any operating system, integrated software, any programs installed on the hardware, and/or documentation, delivered to U.S. Government end users are "commercial computer software" pursuant to the applicable Federal Acquisition Regulation and agency-specific supplemental regulations. As such, use, duplication, disclosure, modification, and adaptation of the programs, including any operating system, integrated software, any programs installed on the hardware, and/or documentation, shall be subject to license terms and license restrictions applicable to the programs. No other rights are granted to the U.S. Government. Diese Software oder Hardware ist für die allgemeine Anwendung in verschiedenen Informationsmanagementanwendungen konzipiert. Sie ist nicht für den Einsatz in potenziell gefährlichen Anwendungen bzw. Anwendungen mit einem potenziellen Risiko von Personenschäden geeignet. Falls die Software oder Hardware für solche Zwecke verwendet wird, verpflichtet sich der Lizenznehmer, sämtliche erforderlichen Maßnahmen wie Fail Safe, Backups und Redundancy zu ergreifen, um den sicheren Einsatz dieser Software oder Hardware zu gewährleisten. Oracle Corporation und ihre verbundenen Unternehmen übernehmen keinerlei Haftung für Schäden, die beim Einsatz dieser Software oder Hardware in gefährlichen Anwendungen entstehen. Oracle und Java sind eingetragene Marken von Oracle und/oder ihren verbundenen Unternehmen. Andere Namen und Bezeichnungen können Marken ihrer jeweiligen Inhaber sein. Intel und Intel Xeon sind Marken oder eingetragene Marken der Intel Corporation. Alle SPARC-Marken werden in Lizenz verwendet und sind Marken oder eingetragene Marken der SPARC International, Inc. AMD, Opteron, das AMD-Logo und das AMD Opteron-Logo sind Marken oder eingetragene Marken der Advanced Micro Devices. UNIX ist eine eingetragene Marke der The Open Group. Diese Software oder Hardware und die zugehörige Dokumentation können Zugriffsmöglichkeiten auf Inhalte, Produkte und Serviceleistungen von Dritten enthalten. Oracle Corporation und ihre verbundenen Unternehmen übernehmen keine Verantwortung für Inhalte, Produkte und Serviceleistungen von Dritten und lehnen ausdrücklich jegliche Art von Gewährleistung diesbezüglich ab. Oracle Corporation und ihre verbundenen Unternehmen übernehmen keine Verantwortung für Verluste, Kosten oder Schäden, die aufgrund des Zugriffs oder der Verwendung von Inhalten, Produkten und Serviceleistungen von Dritten entstehen.

Inhaltsverzeichnis 1. Sicherheitsrichtlinien für Server der Serien SPARC und Netra SPARC T5... 5 Sicherheitsgrundsätze... 5 Einrichten einer sicheren Umgebung... 6 Hardwaresicherheit... 6 Softwaresicherheit... 7 Firmwaresicherheit... 7 Oracle OpenBoot-Sicherheit... 7 Oracle ILOM-Firmware... 8 Verwalten einer sicheren Umgebung... 8 Hardwaresteuerung... 8 Ressourcenüberwachung... 8 Software- und Firmware-Aktualisierungen... 8 Lokaler und Remote-Zugriff... 8 Datensicherheit... 9 Netzwerksicherheit... 9 Server der Serien SPARC und Netra SPARC T5 3

4

1 K a p i t e l 1 Sicherheitsrichtlinien für Server der Serien SPARC und Netra SPARC T5 Dieses Dokument bietet allgemeine Sicherheitsrichtlinien für Server vom Typ SPARC T5-1B, T5-2, T5-4, T5-8 und Netra SPARC T5-1B. Mit diesem Handbuch soll die Sicherheit bei der Verwendung dieser Server in Kombination mit anderen Oracle-Hardwareprodukten wie Netzwerk-Switches und Netzwerkschnittstellenkarten gewährleistet werden. Dieses Kapitel enthält die folgenden Abschnitte: Sicherheitsgrundsätze [5] Einrichten einer sicheren Umgebung [6] Verwalten einer sicheren Umgebung [8] Sicherheitsgrundsätze Es gibt vier Sicherheitsgrundsätze: Zugang, Authentifizierung, Autorisierung und Überwachung. Zugang Physische und virtuelle Steuerungsmechanismen schützen Ihre Hardware oder Daten vor unerlaubten Zugriffen. Bei Hardware beziehen sich Zugangsbeschränkungen in der Regel auf physische Zugangsbeschränkungen. Bei Software wird sowohl der physische als auch der virtuelle Zugang beschränkt. Firmware kann nur über den Oracle-Aktualisierungsprozess geändert werden. Authentifizierung Alle Betriebssysteme für die einzelnen Plattformen verfügen über Funktionen, die eingerichtet werden können, um sicherzustellen, dass es sich bei einem Benutzer wirklich um diesen Benutzer handelt. Die Authentifizierung bietet unterschiedliche Sicherheitsgrade über Maßnahmen wie Ausweise und Passwörter. Autorisierung Kapitel 1. Sicherheitsrichtlinien für Server der Serien SPARC und Netra SPARC T5 5

Einrichten einer sicheren Umgebung Durch die Autorisierung können Mitarbeiter nur mit der Hardware und Software arbeiten, für die sie geschult wurden. Legen Sie Berechtigungen für das Lesen, Schreiben und Ausführen fest, um den Zugriff von Benutzern auf Befehle, Festplattenspeicher, Geräte und Anwendungen zu steuern. Überwachung Verwenden Sie Hardware- und Softwareüberwachungsfunktionen von Oracle zur Überwachung von Anmeldevorgängen und zur Wartung der Hardware. Die Anmeldung von Benutzern kann anhand von Systemprotokollen überwacht werden. Besonders Systemadministrator- und Wartungskonten bieten Zugriff auf leistungsstarke Befehle und sollten anhand von Systemprotokollen sorgfältig überwacht werden. Protokolle werden generell über einen langen Zeitraum geführt. Aus diesem Grund ist es äußerst wichtig, Protokolldateien regelmäßig als veraltet einzustufen, sobald diese gemäß der Unternehmensrichtlinie des Kunden eine bestimmte Größe überschreiten. Die Nachverfolgung der IT-Ressourcen von Kunden funktioniert generell über Seriennummern. Oracle-Teilenummern werden auf allen Karten, Modulen und Hauptplatinen elektronisch gespeichert und können zu Inventarerfassungszwecken verwendet werden. Einrichten einer sicheren Umgebung Beachten Sie die folgenden Hinweise vor und während der Installation und Konfiguration eines Servers und zugehöriger Geräte. Hardwaresicherheit Physische Hardware kann durch Einschränken des Zugangs zur Hardware und Aufbewahren der Seriennummern relativ einfach abgesichert werden. Schränken Sie den Zugang ein Installieren Sie Server und zugehörige Komponenten in einem Raum, der abgeschlossen werden kann und zu dem nicht jeder Zutritt hat. Wenn sich Geräte in einem Rack mit Türverriegelung befinden, halten Sie die Tür geschlossen, wenn Sie keine Wartungsarbeiten an Komponenten im Rack vornehmen müssen. Schränken Sie den Zugang auf USB-Konsolen ein, die einen leistungsstärkeren Zugang als SSH- Verbindungen bieten. Geräte wie System-Controller, Steckdosenleisten (Power Distribution Units, PDUs) und Netzwerk-Switches weisen USB-Anschlüsse auf. Schränken Sie den Zugang zu Hot-Swapping- oder Hot-Plugging-Geräten ein, da diese leicht entfernt werden können. Lagern Sie nicht verwendete FRUs (Field Replaceable Units) oder CRUs (Customer Replaceable Units) in einem abschließbaren Schrank. Nur autorisiertes Personal sollte Zugang zu diesem Schrank haben. Bewahren Sie Seriennummern auf Bewahren Sie alle Hardwareseriennummern auf. Versehen Sie alle wichtigen Komponenten der Computerhardware, wie z. B. Ersatzteile, mit einer Sicherheitskennzeichnung. Verwenden Sie spezielle UV-Stifte oder geprägte Beschriftungen. Bewahren Sie Hardwareaktivierungsschlüssel und Lizenzen an einem sicheren Ort auf, der im Systemnotfall für den Systemverwalter einfach zugänglich ist. Die ausgedruckten Dokumente sind möglicherweise Ihr einziger Eigentumsnachweis. 6 Server der Serien SPARC und Netra SPARC T5 Sicherheitshandbuch April 2013

Einrichten einer sicheren Umgebung Softwaresicherheit Hardwaresicherheit wird größtenteils durch Softwaremaßnahmen umgesetzt. Ändern Sie alle Standardpasswörter, wenn ein neues System installiert wird. Für die meisten Geräte werden allgemein bekannte Standardpasswörter wie "changeme" verwendet, bei denen die Gefahr besteht, dass Unbefugte Zugriff erhalten. Geräte wie Netzwerk-Switches können außerdem standardmäßig mehrere Benutzerkonten umfassen. Stellen Sie sicher, dass Sie die Passwörter für alle Konten geändert haben. Schränken Sie die Verwendung des Root-Superuser-Kontos ein. Stattdessen sollten nach Möglichkeit Oracle Integrated Lights Out Manager (Oracle ILOM)-Benutzerprofile wie z. B. ""Operator" und "Administrator" verwendet werden. Trennen Sie den Serviceprozessor vom Gesamtnetzwerk, indem Sie ihn in ein dezidiertes Netzwerk integrieren. Informationen zum Aktivieren der Sicherheitsfunktionen Ihrer Software finden Sie in der produktbegleitenden Dokumentation. Ein Server kann mithilfe von "WAN Boot" oder "iscsi Boot" sicher gebootet werden. Lesen Sie für das Oracle Solaris 10-Release das Handbuch Oracle Solaris Installation Guide: Network-Based Installations für weitere Informationen. Lesen Sie für das Oracle Solaris 11-Release das Handbuch Installing Oracle Solaris 11 Systems für weitere Informationen zu "WAN Boot" und das Handbuch System Administration Guide: Basic Administration für weitere Informationen zu "iscsi Boot". Das Dokument Oracle Solaris Security Guidelines enthält Informationen zu folgenden Themen: Schützen von Oracle Solaris Anwenden von Oracle Solaris-Sicherheitsfunktionen bei der Systemkonfiguration Sicheres Vorgehen beim Hinzufügen von Anwendungen und Benutzern zu einem System Schutz von netzwerkbasierten Anwendungen Sie finden das Dokument Oracle Solaris Security Guidelines für die von Ihnen verwendete Version unter: http://www.oracle.com/goto/solaris11/docs http://www.oracle.com/goto/solaris10/docs Firmwaresicherheit Alle Unterkomponenten der Oracle System-Firmware können nur gemeinsam aktualisiert werden. Die Oracle System-Firmware verwendet einen kontrollierten Firmwareaktualisierungsprozess, um nicht autorisierte Firmwaremodifizierungen zu verhindern. Ausschließlich der Superuser oder ein authentifizierter Benutzer mit ordnungsgemäßer Autorisierung kann den Aktualisierungsprozess verwenden. Oracle OpenBoot-Sicherheit Der Zugriff auf die Oracle OpenBoot Firmware-Befehlszeilenschnittstelle kann unter Verwendung der OpenBoot Sicherheitsvariablen durch ein Passwort geschützt werden. Informationen zum Festlegen der OpenBoot-Sicherheitsvariablen finden Sie im OpenBoot 4.x- Befehlsreferenzhandbuch. http://download.oracle.com/docs/cd/e19455-01/816-1177-10/cfg-var.html#pgfid-17069 Kapitel 1. Sicherheitsrichtlinien für Server der Serien SPARC und Netra SPARC T5 7

Verwalten einer sicheren Umgebung Oracle ILOM-Firmware Oracle Integrated Lights Out Manager (ILOM) ist eine Systemverwaltungs-Firmware, die auf dem Server, dem Servermodul, dem Modularsystem sowie anderer Oracle-Hardware vorinstalliert ist. Oracle ILOM ermöglicht die aktive Verwaltung und Überwachung der in Ihrem System installierten Komponenten. Die Art und Weise, auf die Sie Oracle ILOM verwenden, beeinflusst die Sicherheit Ihres Systems. Weitere Informationen zur Verwendung dieser Firmware zum Einrichten von Passwörtern, Verwalten von Benutzern und Anwenden von Sicherheitsfunktionen, einschließlich SSH-, SSL- und RADIUS-Authentifizierung (Secure Shell, Secure Socket, Remote Authentication Dial in User Service), finden Sie in der Dokumentation zu Oracle ILOM: http://www.oracle.com/goto/ilom/docs Verwalten einer sicheren Umgebung Steuern Sie nach abgeschlossener Erstinstallation und Setup die Hardware- und Überwachungssystemressourcen mithilfe von Oracle-Hardware- und Softwaresicherheitsfunktionen. Hardwaresteuerung Einige Oracle-Systeme lassen sich so einrichten, dass sie durch Softwarebefehle aktiviert bzw. deaktiviert werden können. Zusätzlich können die PDUs einiger Systemschränke per Remote-Zugriff über Softwarebefehle aktiviert oder deaktiviert werden. Normalerweise wird die Autorisierung für diese Befehle während der Systemkonfiguration eingerichtet, die auf Systemadministratoren und Servicepersonal beschränkt ist. Weitere Informationen erhalten Sie in der Dokumentation zum System oder Systemschrank. Ressourcenüberwachung Oracle-Seriennummern sind in die Firmware auf Optionskarten und Systemhauptplatinen eingebettet. Diese Seriennummern können über LAN-Verbindungen (Local Area Network) zu Inventarnachverfolgungszwecken gelesen werden. Durch drahtlose RFID-Lesegeräte (Radio Frequency Identification) gestaltet sich die Ressourcenüberwachung noch einfacher. Weitere Informationen dazu finden Sie im Oracle-Whitepaper How to Track Your Oracle Sun System Assets by Using RFID unter: http://www.oracle.com/technetwork/articles/systems-hardware-architecture/o11-001-rfidoracle-214567.pdf Software- und Firmware-Aktualisierungen Prüfen Sie in regelmäßigen Abständen, ob Updates verfügbar sind. Installieren Sie immer die neueste Software- oder Firmwareversion auf Ihren Geräten. Installieren Sie alle erforderlichen Sicherheitspatches für Ihre Software. Beachten Sie, dass zu Komponenten wie Netzwerk-Switches auch Firmware gehört, die aktualisiert werden muss. Lokaler und Remote-Zugriff Halten Sie sich an folgende Richtlinien, um einen sicheren lokalen und Remote-Zugriff auf Ihre Systeme zu gewährleisten: Erstellen Sie ein Banner, das den nicht autorisierten Zugriff ausdrücklich untersagt. 8 Server der Serien SPARC und Netra SPARC T5 Sicherheitshandbuch April 2013

Verwalten einer sicheren Umgebung Setzen Sie Zugriffskontrolllisten sinnvoll ein. Legen Sie Zeitüberschreitungen für Sitzungen sowie Berechtigungsstufen fest. Verwenden Sie Authentifizierungs-, Autorisierungs- und Überwachungsfunktionen für den lokalen und den Remote-Zugriff auf einen Switch. Verwenden Sie nach Möglichkeit die RADIUS- und TACACS+-Sicherheitsprotokolle: RADIUS (Remote Authentication Dial In User Service) ist ein Client-/Serverprotokoll, das Netzwerke vor unautorisierten Zugriffen schützt. TACACS+ (Terminal Access Controller Access-Control System) ist ein Protokoll, das einem Remotezugriffsserver die Kommunikation mit einem authentifizierten Server erlaubt, um die Zugriffsberechtigung eines Benutzers für ein Netzwerk zu bestimmen. Verwenden Sie die Portspiegelungsfunktion des jeweiligen Switch für den Zugriff auf das Angriffserkennungssystem. Richten Sie einen Portschutz zur Beschränkung des Zugriffs anhand von MAC-Adressen ein. Deaktivieren Sie das automatische Trunking bei allen Ports. Beschränken Sie die Remotekonfiguration auf bestimmte IP-Adressen, indem Sie SSH statt Telnet verwenden. Da bei Telnet die Übertragung von Benutzernamen und Passwörtern in Klartext erfolgt, können Anmeldedaten theoretisch von allen Personen im LAN-Segment eingesehen werden. Legen Sie ein sicheres Passwort für SSH fest. Frühere SNMP-Versionen bieten keinen ausreichenden Schutz, da sie Authentifizierungsdaten unverschlüsselt übertragen. Nur Version 3 von SNMP bietet sichere Übertragungen. Bei einigen Produkten ist PUBLIC serienmäßig als SNMP-Standardcommunityzeichenfolge festgelegt. Angreifer können sich durch Abfragen einer Community ein sehr gutes Bild vom Netzwerk machen und MIB-Werte (Management Information Base) verändern. Wenn SNMP erforderlich ist, ändern Sie die SNMP-Standardcommunityzeichenfolge in eine sichere Communityzeichenfolge. Aktivieren Sie den Protokollierungsvorgang und senden Sie Protokolle an einen dezidierten, sicheren Protokollhost. Konfigurieren Sie die Protokollierung mithilfe von NTP (Network Time Protocol) und Zeitstempeln, damit die Zeitangaben korrekt sind. Prüfen Sie die Protokolle auf Vorfälle, und archivieren Sie sie gemäß den Sicherheitsrichtlinien. Melden Sie sich nach Verwendung des System-Controllers immer ab, wenn dieser eine Webbrowseroberfläche hat. Datensicherheit Halten Sie sich an folgende Richtlinien, um einen maximalen Datenschutz zu erreichen: Sichern Sie wichtige Daten auf externen Festplatten oder USB-Sticks. Speichern Sie die gesicherten Daten an einem zweiten Ort erneut ab, der sicher ist und sich nicht in der Nähe des ersten Speicherorts befindet. Schützen Sie vertrauliche Daten auf Festplatten mithilfe von Verschlüsselungssoftware. Zerstören Sie nicht mehr verwendete Festplatten, oder löschen Sie sämtliche der darauf enthaltenen Daten. Durch das Löschen von Dateien oder Neuformatieren des Laufwerks werden lediglich die Adresstabellen auf dem Laufwerk entfernt. Informationen können auch nach dem Löschen von Dateien oder Neuformatieren des Laufwerks wiederhergestellt werden. (Löschen Sie alle Daten auf der Festplatte unwiderruflich mithilfe von Tools zur vollständigen Bereinigung von Festplatten.) Netzwerksicherheit Halten Sie sich an folgende Richtlinien, um die bestmögliche Netzwerksicherheit zu erreichen: Kapitel 1. Sicherheitsrichtlinien für Server der Serien SPARC und Netra SPARC T5 9

Verwalten einer sicheren Umgebung Die meisten Switches lassen das Definieren von VLANs (Virtual Local Area Networks) zu. Definieren Sie über Ihren Switch VLANs, damit sensible Systemcluster vom übrigen Netzwerk getrennt werden. Dadurch sinkt die Wahrscheinlichkeit, dass Benutzer auf diesen Clients und Servern Zugriff auf Daten erhalten. Out-of-Band-Verwaltung von Switches (getrennt vom Datenverkehr). Wenn dies nicht möglich ist, weisen Sie eine separate VLAN-Nummer (Virtual Local Area Network) für die In-Band-Verwaltung zu. Schützen Sie InfiniBand-Hosts. Eine InfiniBand-Struktur ist nur so sicher wie der Infiniband-Host mit dem geringsten Schutz. Beachten Sie, dass eine Partitionierung keinen Schutz für die InfiniBand-Struktur bietet. Sie bewirkt lediglich eine Isolierung des InfiniBand-Datenverkehrs zwischen virtuellen Maschinen auf einem Host. Pflegen Sie offline eine Switch-Konfigurationsdatei und beschränken Sie den Zugriff auf befugte Administratoren. Die Konfigurationsdatei sollte beschreibende Kommentare zu jeder Einstellung enthalten. Entscheiden Sie sich nach Möglichkeit für eine statische VLAN-Konfiguration. Deaktivieren Sie nicht verwendete Switch-Ports und weisen Sie ihnen eine nicht verwendete VLAN- Nummer zu. Weisen Sie Trunk-Ports eine eindeutige, systemeigene VLAN-Nummer zu. Beschränken Sie die Zahl der VLANs, die über einen Trunk transportiert werden können, auf das absolut notwendige Minimum. Deaktivieren Sie VTP (VLAN Trunking Protocol). Wenn dies nicht möglich ist, legen Sie für VTP die Verwaltungsdomäne, Passwort und Pruning fest. Versetzen Sie dann VTP in den Modus "transparent". Deaktivieren Sie nicht erforderliche Netzwerkdienste wie TCP Small Server oder HTTP. Aktivieren Sie erforderliche Netzwerkdienste und konfigurieren Sie sie sicher. Je nach Switch unterscheiden sich die Stufen der Portsicherheitsfunktionen. Verwenden Sie die folgenden Portsicherheitsfunktionen, sofern bei Ihrem Switch vorhanden: Durch MAC-Locking wird eine MAC-Adresse (Media Access Control) eines oder mehrerer Geräte mit einem physischen Port auf einem Switch verbunden. Wenn Sie einen Switch-Port einer bestimmten MAC-Adresse zuweisen, können Superuser keine Backdoors in Ihr Netzwerk mit Rogue-Zugriffspunkten einbauen. MAC-Lockout bewirkt, dass eine bestimmte MAC-Adresse keine Verbindung zu einem Switch mehr aufbauen kann. Die Angaben zu den direkten Portverbindungen jedes Switch werden durch MAC-Learning beim Festlegen von Sicherheitseinstellungen durch den Netzwerk-Switch auf Basis aktueller Verbindungen verwendet. 10 Server der Serien SPARC und Netra SPARC T5 Sicherheitshandbuch April 2013

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback