Při konfiguraci profilu pro přístup k Edge musíte pro větší zabezpečení Edge v nastavení brány firewall zvolit správnou možnost pro podpůrný přístup, přístup ke konzole, přístup k portu USB, přístup k SNMP a přístup k místnímu webovému uživatelskému rozhraní. Tím zabráníte jakémukoli uživateli se zlými úmysly v přístupu k Edge.

Ve výchozím nastavení jsou přístup k podpoře, přístup ke konzole, přístup SNMP a přístup k místnímu webovému uživatelskému rozhraní z bezpečnostních důvodů deaktivovány.

Vnitřní test při spuštění

Ve verzi 5.1.0 se po spuštění nebo restartu softwaru SD-WAN Orchestrator provede vnitřní test při spuštění, aby bylo zaručeno, že důležité soubory a kód neaktivují výstrahy nebo nejsou poškozené. Příklady použití této funkce zahrnují společná kritéria a střední až vysoce rizikové nasazení (finance, státní správa atd.).
Poznámka: Funkce vnitřního testu při spuštění je ve výchozím nastavení deaktivována. (V konzole se zobrazí varovná zpráva, vygeneruje se událost a vnitřní test při spuštění (Power-on Self-test) bude pokračovat.
Funkce vnitřního testu při spuštění sestává z následujících kontrol, pokud je systém SD-WAN Orchestrator spuštěn nebo restartován:
  • Test integrity softwaru: kritické systémové soubory jsou identifikovány a podepsány v době sestavení. Integrita podpisů je ověřena. Tento proces používá kryptografické podpisy k ověření pravosti a integrity.
  • Test známých odpovědí kryptografických modulů: kryptografické moduly, jako například Openssl, spustí test známých odpovědí a ověří, zda všechny projdou.
  • Test zdroje entropie: ověřuje se schopnost generování náhodného čísla zdroje entropie.
Poznámka: Vnitřní test při spuštění bude indikovat výsledek Úspěch/neúspěch (Pass/Fail). Systém bude pokračovat v spouštění zbývajících aplikací pouze v případě, že byl vnitřní test při spuštění úspěšný. Pokud se vnitřní test při spuštění nezdaří, zobrazí se chybové zprávy indikující neúspěšný test a systémová sekvence spouštění se zastaví.

Během procesu spouštění a restartu jsou podepsány a ověřeny následující soubory:

  • Edge (všechny soubory ve složkách):
    • /opt/vc/bin
    • /opt/vc/sbin
    • /opt/vc/lib
    • /bin
    • /sbin
    • /lib
    • /usr/bin
    • /usr/sbin
    • /usr/lib
    • /vmlinuz
    • /etc/init.d
  • SD-WAN Orchestrator a brána SD-WAN Gateway
    Poznámka: U následujících modulů se kontrola integrity spustí v režimu VYNUCENO (ENFORCED), a pokud nelze provést ověření, způsobí SELHÁNÍ (FAIL) spuštění.
    • Brána SD-WAN Gateway – názvy svazků jsou uloženy v souboru /opt/vc/etc/post/vcg_critical_packages.in.
      • Kritické moduly brány
        • gatewayd.*:vše
        • libssl1.0.0:.*:amd64
        • libssl1.1:.*:amd64
        • openssl:.*:vše
        • python-openssl:.*:vše
    • SD-WAN Orchestrator – názvy svazků se ukládají do souboru /opt/vc/etc/post/vco_critical_packages.in
      • Kritické moduly systému SD-WAN Orchestrator:
        • libssl1.0.0:.*:amd64
        • ibssl1.1:.*:amd64
        • openssl:.*:vše
        • vco-backend:.*:vše
        • vco-cws-service:.*:vše
        • vco-dr:.*:vše
        • vco-new-ui:.*:vše
        • vco-nginx-apigw:.*:vše
        • vco-nginx-common:.*:vše
        • vco-nginx-i18n:.*:vše
        • vco-nginx-portal:.*:vše
        • vco-nginx-reporting:.*:vše
        • vco-nginx-sdwan-api:.*:vše
        • vco-nginx-upload:.*:vše
        • vco-node-common:.*:vše
        • vco-portal:.*:vše
        • vco-sdwan-api:.*:vše
        • vco-tools:.*:vše
        • vco-ui:.*:vše
        • vco-ztnad-service:.*:vše
        • nodejs:.*:vše
        • vc-fips-common:.*:vše
        • vc-fips-complaint:.*:vše
        • vc-fips-strict:.*:vše
        • openssh-client:.*:vše
        • openssh-server:.*:vše
        • linux-base:.*:vše
        • linux-firmware:.*:vše
        • linux-tools-common:.*:vše
        • libselinux1:.*:amd64
        • linux-base:.*:vše
        • linux-firmware:.*:vše
        • linux-libc-dev:.*:amd64
        • util-linux:.*:amd64
        • linux-tools-common:.*:vše
        • linux-(aws|azure|generic)-headers-.*:.*:vše
        • linux-(aws|azure|generic)-tools-.*:.*:amd64
        • linux-headers-.*-(aws|azure|generic):.*:amd64
        • linux-headers-(aws|azure|generic)-lts-.*:.*:amd64
        • linux-image-unsigned-.*-(aws|azure|generic):.*:amd64
        • linux-image-unsigned-(aws|azure|generic)-lts-.*:.*:amd64
        • linux-modules-.*-(aws|azure|generic):.*:amd64
        • linux-tools-.*-(aws|azure|generic):.*:amd64
        • linux-tools-(aws|azure|generic)-lts-.*:amd64

Postup (Procedure)

Chcete-li přiřadit přístup k Edge k profilu, proveďte následující kroky:

Procedura

  1. SD-WAN Orchestrator přejděte do nabídky Konfigurovat (Configure) > Profily (Profiles) > Brána firewall (Firewall). Otevře se stránka Brána firewall (Firewall).

  2. V oblasti Přístup k Edge (Edge Access) můžete nakonfigurovat přístup k zařízení pomocí následujících možností:
    Pole Popis (Description)
    Podpůrný přístup (Support Access)

    Vyberte možnost Povolit následující IP adresy (Allow the following IPs) a explicitně uveďte IP adresy, ze kterých bude SSH moci přistupovat k této lokalitě Edge. Adresy IPv4 i IPv6 můžete zadat oddělené čárkou (,).

    Jako výchozí je nastaven režim Zakázat vše (Deny All).

    Přístup ke konzole (Console Access) Chcete-li aktivovat přístup k Edge prostřednictvím fyzické konzole (sériový port nebo port VGA), vyberte možnost Povolit (Allow). Ve výchozím nastavení je po aktivaci zařízení Edge vybrána možnost Zakázat (Deny) a přihlášení do konzoly je deaktivováno.
    Poznámka: Kdykoli se změní nastavení přístupu do konzoly z  Povolit (Allow) na Zakázat (Deny) nebo naopak, je třeba Edge ručně restartovat.
    Vynucení vnitřního testu při spuštění Je-li vybrána možnost Aktivováno (Enabled), neúspěšný vnitřní test při spuštění deaktivuje zařízení Edge. Chcete-li zařízení Edge obnovit, musí být obnoveno do továrního nastavení a znovu aktivováno. POZNÁMKA: Tato funkce je podporována ve verzi 5.1.0 a novějších.
    Přístup k portu USB

    Vyberte možnost Povolit (Allow), chcete-li aktivovat přístup k portu USB na zařízeních Edge, případně možnost Zakázat (Deny), chcete-li přístup deaktivovat.

    Tato možnost je k dispozici pouze pro modely Edge 510 a 6x0.

    Poznámka: Vždy při změně nastavení přístupu k portu USB z  Povolit (Allow) na Zakázat (Deny) nebo naopak je nutné restartovat zařízení Edge ručně, pokud máte k Edge přístup a pokud je Edge na vzdáleném místě, restartujte zařízení Edge pomocí SD-WAN Orchestrator. Pokyny naleznete v tématu Vzdálené akce.
    Přístup SNMP (SNMP Access) Umožňuje přístup k Edge ze směrovaných rozhraní / WAN přes SNMP. Vyberte jednu z následujících možností:
    • Zakázat vše (Deny All) – Ve výchozím nastavení je přístup SNMP deaktivován pro všechna zařízení připojená k Edge.
    • Povolit všechny sítě LAN (Allow All LAN) – umožňuje přístup SNMP všem zařízením připojeným k Edge přes síť LAN.
    • Povolit následující IP adresy (Allow the following IPs) – umožňuje explicitně specifikovat IP adresy, ze kterých můžete přistupovat k Edge přes SNMP. IP adresy musí být oddělené čárkou (,).
    Přístup k místnímu webovému uživatelskému rozhraní (Local Web UI Access) Umožňuje přístup k Edge ze směrovaných rozhraní / WAN přes místní webové uživatelské rozhraní. Vyberte jednu z následujících možností:
    • Zakázat vše (Deny All) – Ve výchozím nastavení je přístup k místnímu webovému uživatelskému rozhraní deaktivován pro všechna zařízení připojená k Edge.
    • Povolit všechny sítě LAN (Allow All LAN) – umožňuje přístup k místnímu webovému uživatelskému rozhraní všem zařízením připojeným k Edge přes síť LAN.
    • Povolit následující IP adresy (Allow the following IPs) – umožňuje explicitně specifikovat IP adresy, ze kterých můžete přistupovat k Edge přes místní webové uživatelské rozhraní. IP adresy musí být oddělené čárkou (,).
    Číslo portu místního webového uživatelského rozhraní (Local Web UI Port Number) Zadejte číslo portu místního webového uživatelského rozhraní, ze kterého máte přístup k Edge.
  3. Klikněte na tlačítko Uložit změny (Save Changes).

Jak pokračovat dále

Pokud chcete přepsat nastavení přístupu k Edge pro konkrétní Edge, použijte možnost Povolit potlačení Edge (Enable Edge Override) dostupnou na stránce Brána firewall Edge (Edge Firewall). Další informace naleznete v tématu Konfigurace brány firewall pro Edge.