Wenn Sie ein Profil für den Edge-Zugriff konfigurieren, müssen Sie unbedingt die entsprechende Option für den Supportzugriff, den Konsolenzugriff, den USB-Portzugriff, den SNMP-Zugriff und den lokalen Web-UI-Zugriff unter Firewalleinstellungen auswählen, um die Sicherheit des Edge zu erhöhen. Dadurch wird verhindert, dass ein bösartiger Benutzer auf den Edge zugreift.

Standardmäßig sind die Optionen für den Supportzugriff, den Konsolenzugriff, den SNMP-Zugriff und den lokalen Web-UI-Zugriff aus Sicherheitsgründen deaktiviert.

Power-On Self-Test

In der Version 5.1.0 wird nach dem Einschalten oder Neustart des SD-WAN Orchestrator ein Power-On Self-Test durchgeführt, um den Software-Autor zu überprüfen und sicherzustellen, dass kritische Dateien und Code nicht beschädigt wurden. Zu den Anwendungsfällen für diese Funktion gehören Common Criteria-Anforderungen und Bereitstellungen mit mittlerem bis hohem Risiko (Finanzen, Behörden usw.).
Hinweis: Die Funktion „Power-On Self-Test“ ist standardmäßig deaktiviert. Auf der Konsole wird eine Warnmeldung angezeigt, ein Ereignis wird erzeugt und der Power-On Self-Test wird fortgesetzt.
Die Funktion „Power On Self-Test“ umfasst die folgenden Prüfungen, wenn der SD-WAN Orchestrator eingeschaltet oder neugestartet wird:
  • Software-Integritätstest: Kritische Systemdateien werden zum Zeitpunkt der Erstellung identifiziert und signiert. Die Integrität der Signaturen wird überprüft. Bei diesem Vorgang werden kryptografische Signaturen verwendet, um Die Authentizität und Integrität zu validieren.
  • Known Answer Test (KAT) von kryptografischen Modulen: Kryptografische Module, wie z. B. Openssl, führen „Known answer“-Tests durch und überprüfen, ob sie alle bestehen.
  • Test der Entropiequelle: Die Fähigkeit der Entropiequelle zur Generierung von Zufallszahlen wird überprüft.
Hinweis: Der Power-On Self-Test liefert ein bestanden/nicht bestanden-Ergebnis (Pass/Fail). Das System fährt nur dann mit dem Hochfahren der übrigen Anwendungen fort, wenn der Power-On Self-Test bestanden wurde. Wenn der Power-On Self-Test fehlschlägt, werden Fehlermeldungen angezeigt, werden Fehlermeldungen angezeigt, die angeben, wo der Test fehlgeschlagen ist, und die Systemstartsequenz wird abgebrochen.

Die folgenden Dateien werden signiert und während des Einschalt- und Neustartvorgangs überprüft:

  • Edges (alle Dateien unter):
    • /opt/vc/bin
    • /opt/vc/sbin
    • /opt/vc/lib
    • /bin
    • /sbin
    • /lib
    • /usr/bin
    • /usr/sbin
    • /usr/lib
    • /vmlinuz
    • /etc/init.d
  • SD-WAN Orchestrator und SD-WAN Gateway
    Hinweis: Bei den folgenden Modulen läuft die Integritätsprüfung im erzwungenen (ENFORCED) Modus. Wenn sie nicht verifiziert werden können, wird ein Fehler (FAIL) beim Start angezeigt.
    • SD-WAN Gateway – Paketnamen werden in folgender Datei gespeichert: /opt/vc/etc/post/vcg_critical_packages.in
      • Kritische Gateway-Module
        • gatewayd.*:all
        • libssl1.0.0:.*:amd64
        • libssl1.1:.*:amd64
        • openssl:.*:all
        • python-openssl:.*:all
    • SD-WAN Orchestrator – Paketnamen werden in /opt/vc/etc/post/vco_critical_packages.in gespeichert
      • Kritische Module für SD-WAN Orchestrator:
        • libssl1.0.0:.*:amd64
        • ibssl1.1:.*:amd64
        • openssl:.*:all
        • vco-backend:.*:all
        • vco-cws-service:.*:all
        • vco-dr:.*:all
        • vco-new-ui:.*:all
        • vco-nginx-apigw:.*:all
        • vco-nginx-common:.*:all
        • vco-nginx-i18n:.*:all
        • vco-nginx-portal:.*:all
        • vco-nginx-reporting:.*:all
        • vco-nginx-sdwan-api:.*:all
        • vco-nginx-upload:.*:all
        • vco-node-common:.*:all
        • vco-portal:.*:all
        • vco-sdwan-api:.*:all
        • vco-tools:.*:all
        • vco-ui:.*:all
        • vco-ztnad-service:.*:all
        • nodejs:.*:all
        • vc-fips-common:.*:all
        • vc-fips-complaint:.*:all
        • vc-fips-strict:.*:all
        • openssh-client:.*:all
        • openssh-server:.*:all
        • linux-base:.*:all
        • linux-firmware:.*:all
        • linux-tools-common:.*:all
        • libselinux1:.*:amd64
        • linux-base:.*:all
        • linux-firmware:.*:all
        • linux-libc-dev:.*:amd64
        • util-linux:.*:amd64
        • linux-tools-common:.*:all
        • linux-(aws|azure|generic)-headers-.*:.*:all
        • linux-(aws|azure|generic)-tools-.*:.*:amd64
        • linux-headers-.*-(aws|azure|generic):.*:amd64
        • linux-headers-(aws|azure|generic)-lts-.*:.*:amd64
        • linux-image-unsigned-.*-(aws|azure|generic):.*:amd64
        • linux-image-unsigned-(aws|azure|generic)-lts-.*:.*:amd64
        • linux-modules-.*-(aws|azure|generic):.*:amd64
        • linux-tools-.*-(aws|azure|generic):.*:amd64
        • linux-tools-(aws|azure|generic)-lts-.*:amd64

Vorgehensweise

Führen Sie die folgenden Schritte aus, um den Edge-Zugriff für Profile zu konfigurieren:

Prozedur

  1. Navigieren Sie in SD-WAN Orchestrator zu Konfigurieren (Configure) > Profile (Profiles) > Firewall. Die Seite Firewall wird angezeigt.

  2. Im Bereich Edge-Zugriff (Edge Access) können Sie den Gerätezugriff mithilfe der folgenden Optionen konfigurieren:
    Bereich Beschreibung
    Supportzugriff (Support Access)

    Wählen Sie Die folgenden IPs zulassen (Allow the following IPs) aus, wenn Sie explizit die IP-Adressen angeben möchten, von denen Sie SSH auf diesen Edge anwenden können. Sie können sowohl IPv4- als auch IPv6-Adressen durch Komma (,) getrennt eingeben.

    Standardmäßig ist Alle verweigern (Deny All) ausgewählt.

    Konsolenzugriff (Console Access) Wählen Sie Zulassen (Allow) aus, um den Edge-Zugriff über die physische Konsole (serieller Anschluss oder VGA-Anschluss (Video Graphics Array)) zu aktivieren. Standardmäßig ist Verweigern (Deny) ausgewählt, und die Konsolenanmeldung wird nach einer Edge-Aktivierung deaktiviert.
    Hinweis: Immer dann, wenn die Einstellung für den Konsolenzugriff von Zulassen (Allow) in Verweigern (Deny) oder umgekehrt geändert wird, muss der Edge manuell neu gestartet werden.
    Power-On Self Test erzwingen Wenn Aktiviert (Enabled) ausgewählt ist, wird der Edge bei einem fehlgeschlagenen Power-On Self-Test außer Betrieb gesetzt. Um den Edge wiederherzustellen, muss er auf die Werkseinstellungen zurückgesetzt und erneut aktiviert werden. HINWEIS: Diese Funktion wird in Version 5.1.0 und höher unterstützt.
    USB-Portzugriff (USB Port Access)

    Wählen Sie Zulassen (Allow) zum Aktivieren und Verweigern (Deny) zum Deaktivieren des USB-Portzugriffs auf Edges aus.

    Diese Option ist nur für die Edge-Modelle 510 und 6x0 verfügbar.

    Hinweis: Wenn die Einstellung für den USB-Portzugriff von Zulassen (Allow) in Verweigern (Deny) oder umgekehrt geändert wird, müssen Sie den Edge manuell neu starten. Wenn Sie Zugriff auf den Edge haben, der sich an einer Remote-Site befindet, müssen Sie den Edge mit SD-WAN Orchestrator neu starten. Anweisungen finden Sie unter Remote-Aktionen.
    SNMP-Zugriff (SNMP Access) Ermöglicht den Edge-Zugriff von gerouteten Schnittstellen/WAN über SNMP. Wählen Sie eine der folgenden Optionen aus:
    • Alle verweigern (Deny All): Standardmäßig ist der SNMP-Zugriff für alle mit einem Edge verbundenen Geräte deaktiviert.
    • Alle LANs zulassen (Allow All LAN): Lässt den SNMP-Zugriff für alle mit dem Edge über ein LAN-Netzwerk verbundenen Geräte zu.
    • Die folgenden IPs zulassen (Allow the following IPs): Ermöglicht Ihnen die explizite Angabe der IP-Adressen, von denen Sie über SNMP auf den Edge zugreifen können. Die IP-Adressen müssen durch ein Komma (,) getrennt werden.
    Lokaler Web-UI-Zugriff (Local Web UI Access) Ermöglicht den Edge-Zugriff von gerouteten Schnittstellen/WAN über eine lokale Web-UI. Wählen Sie eine der folgenden Optionen aus:
    • Alle verweigern (Deny All): Standardmäßig ist der lokale Web-UI-Zugriff für alle mit einem Edge verbundenen Geräte deaktiviert.
    • Alle LANs zulassen (Allow All LAN): Lässt den lokalen Web-UI-Zugriff für alle mit dem Edge über ein LAN-Netzwerk verbundenen Geräte zu.
    • Die folgenden IPs zulassen (Allow the following IPs): Ermöglicht Ihnen die explizite Angabe der IP-Adressen, von denen Sie über die lokale Web-UI auf den Edge zugreifen können. Die IP-Adressen müssen durch ein Komma (,) getrennt werden.
    Portnummer der lokalen Web-UI (Local Web UI Port Number) Geben Sie die Portnummer der lokalen Web-UI ein, von der Sie auf den Edge zugreifen können.
  3. Klicken Sie auf Änderungen speichern (Save Changes).

Nächste Maßnahme

Wenn Sie die Einstellungen für den Edge-Zugriff für einen bestimmten Edge überschreiben möchten, verwenden Sie die Option Edge-Überschreibung aktivieren (Enable Edge Override), die auf der Seite Edge-Firewall (Edge Firewall) verfügbar ist. Weitere Informationen finden Sie unter Konfigurieren der Firewall für Edges