Al configurar un perfil para el acceso de Edge, debe asegurarse de seleccionar la opción adecuada para el acceso de soporte, el acceso a la consola, el acceso a puertos USB, el acceso SNMP y el acceso de interfaz de usuario web local en la configuración del firewall. El objetivo es que la instancia de Edge sea más segura. Esto evitará que cualquier usuario malintencionado acceda a Edge.

De forma predeterminada, el acceso de soporte, el acceso a la consola, el acceso SNMP y el acceso de interfaz de usuario web local se encuentran desactivados por motivos de seguridad.

Autoprueba de encendido

En la versión 5.1.0, se realiza una autoprueba de encendido después de encender o reiniciar SD-WAN Orchestrator para comprobar el autor del software y garantizar que los archivos y el código críticos no se hayan alertado o estén dañados. Los casos de uso para esta función incluyen requisitos de criterios comunes e implementaciones de riesgo medio a alto (finanzas, gobierno, etc.).
Nota: La función de autoprueba de encendido está desactivada de forma predeterminada. (Se muestra un mensaje de advertencia en la consola, se genera un evento y la autoprueba de encendido continúa.
La función de autoprueba de encendido consta de las siguientes comprobaciones cuando SD-WAN Orchestrator se enciende o se reinicia:
  • Prueba de integridad de software: los archivos críticos del sistema se identifican y se firman en el momento de la compilación. Se comprobará la integridad de las firmas. Este proceso utiliza firmas criptográficas para validar la autenticidad y la integridad.
  • Prueba de respuesta conocida de los módulos criptográficos: los módulos criptográficos, como OpenSSL, ejecutarán pruebas de respuesta conocida y comprobarán que todas son correctas.
  • Prueba de origen de entropía: se verifica la capacidad de generación de números aleatorios del origen de entropía.
Nota: La autoprueba de encendido indicará un resultado de correcto/error. El sistema seguirá activando las aplicaciones restantes solo si se ha superado la prueba automática de encendido. Si se produce un error en la autoprueba de encendido, se mostrarán mensajes de error que indican dónde falló la prueba y se detendrá la secuencia de arranque del sistema.

Los siguientes archivos se firman y se verifican durante el proceso de encendido y reinicio:

  • Instancias de Edge (todos los archivos en):
    • /opt/vc/bin
    • /opt/vc/sbin
    • /opt/vc/lib
    • / bin
    • /sbin
    • / lib
    • /usr/bin
    • /usr/sbin
    • /usr/lib
    • / vmlinuz
    • /etc/init.d
  • SD-WAN Orchestrator y SD-WAN Gateway
    Nota: Para los siguientes módulos, la comprobación de integridad se ejecuta en modo FORZADO (ENFORCED) y provocará un ERROR (FAIL) de arranque si no se pueden verificar.
    • SD-WAN Gateway: los nombres de los paquetes se almacenan en: /opt/vc/etc/post/vcg_critical_packages.in
      • Módulos críticos de Gateway
        • gatewayd.*:all
        • libssl1.0.0:.*:amd64
        • libssl1.1:.*:amd64
        • openssl:.*:all
        • python-openssl:.*:all
    • SD-WAN Orchestrator: los nombres de los paquetes se almacenan en /opt/vc/etc/post/vco_critical_packages.in
      • Módulos críticos de SD-WAN Orchestrator:
        • libssl1.0.0:.*:amd64
        • ibssl1.1:.*:amd64
        • openssl:.*:all
        • vco-backend:.*:all
        • vco-cws-service:.*:all
        • vco-dr:.*:all
        • vco-new-ui:.*:all
        • vco-nginx-apigw:.*:all
        • vco-nginx-common:.*:all
        • vco-nginx-i18n:.*:all
        • vco-nginx-portal:.*:all
        • vco-nginx-reporting:.*:all
        • vco-nginx-sdwan-api:.*:all
        • vco-nginx-upload:.*:all
        • vco-node-common:.*:all
        • vco-portal:.*:all
        • vco-sdwan-api:.*:all
        • vco-tools:.*:all
        • vco-ui:.*:all
        • vco-ztnad-service:.*:all
        • nodejs:.*:all
        • vc-fips-common:.*:all
        • vc-fips-complaint:.*:all
        • vc-fips-strict:.*:all
        • openssh-client:.*:all
        • openssh-server:.*:all
        • linux-base:.*:all
        • linux-firmware:.*:all
        • linux-tools-common:.*:all
        • libselinux1:.*:amd64
        • linux-base:.*:all
        • linux-firmware:.*:all
        • linux-libc-dev:.*:amd64
        • util-linux:.*:amd64
        • linux-tools-common:.*:all
        • linux-(aws|azure|generic)-headers-.*:.*:all
        • linux-(aws|azure|generic)-tools-.*:.*:amd64
        • linux-headers-.*-(aws|azure|generic):.*:amd64
        • linux-headers-(aws|azure|generic)-lts-.*:.*:amd64
        • linux-image-unsigned-.*-(aws|azure|generic):.*:amd64
        • linux-image-unsigned-(aws|azure|generic)-lts-.*:.*:amd64
        • linux-modules-.*-(aws|azure|generic):.*:amd64
        • linux-tools-.*-(aws|azure|generic):.*:amd64
        • linux-tools-(aws|azure|generic)-lts-.*:amd64

Procedimiento

Si desea configurar el acceso de Edge para los perfiles, realice los siguientes pasos:

Procedimiento

  1. En SD-WAN Orchestrator, vaya a Configurar (Configure) > Perfiles (Profiles) > Firewall. Aparecerá la página Firewall.

  2. En el área Acceso de Edge (Edge Access), puede configurar el acceso a los dispositivos mediante las siguientes opciones:
    Campo Descripción
    Acceso de soporte (Support Access)

    Seleccione Permitir las siguientes direcciones IP (Allow the following IPs) si desea especificar de forma explícita las direcciones IP desde las que puede acceder a esta instancia de Edge mediante SSH. Puede introducir direcciones IPv4 e IPv6 separadas por comas (,).

    De forma predeterminada, la opción Denegar todos (Deny All) está seleccionada.

    Acceso a la consola (Console Access) Seleccione Permitir (Allow) para activar el acceso de Edge a través de la consola física (puerto serie o puerto de matriz de gráficos de video [Video Graphics Array, VGA]). De forma predeterminada, la opción Denegar (Deny) se encuentra seleccionada, y se desactiva el inicio de sesión de la consola después de la activación de Edge.
    Nota: Cada vez que se cambie la configuración de acceso a la consola de Permitir (Allow) a Denegar (Deny) o viceversa, la instancia de Edge deberá reiniciarse manualmente.
    Forzar la autoprueba de encendido Cuando se selecciona Habilitado (Enabled), una autoprueba de encendido con errores desactivará la instancia de Edge. Para recuperar la instancia de Edge, se debe restablecerla a los valores de fábrica y volver a activarla. NOTA: Esta función es compatible con la versión 5.1.0 y versiones posteriores.
    Acceso a puertos USB

    Seleccione Permitir (Allow) para activar el acceso a puertos USB en instancias de Edge y Denegar (Deny) para desactivarlo.

    Esta opción solo está disponible para los modelos Edge 510 y 6x0.

    Nota: Siempre que la configuración de acceso a puertos USB se cambie de Permitir (Allow) a Denegar (Deny) o viceversa, debe reiniciar la instancia de Edge manualmente si tiene acceso a ella y, si la instancia de Edge se encuentra en un sitio remoto, debe reiniciarla con SD-WAN Orchestrator. Para obtener instrucciones, consulte Acciones remotas.
    Acceso SNMP (SNMP Access) Permite el acceso de Edge desde interfaces enrutadas/WAN a través de SNMP. Seleccione una de las siguientes opciones:
    • Denegar todos (Deny All): de forma predeterminada, el acceso SNMP está desactivado en todos los dispositivos conectados a una instancia de Edge.
    • Permitir todas las redes LAN (Allow All LAN): permite el acceso SNMP para todos los dispositivos conectados a la instancia de Edge a través de una red LAN.
    • Permitir las siguientes direcciones IP (Allow the following IPs): permite especificar de forma explícita las direcciones IP desde las que se puede acceder a la instancia de Edge a través de SNMP. Las direcciones IP deben estar separadas por comas (,).
    Acceso de interfaz de usuario web local (Local Web UI Access) Permite el acceso de Edge desde interfaces enrutadas/WAN a través de una interfaz de usuario web local. Seleccione una de las siguientes opciones:
    • Denegar todos (Deny All): de forma predeterminada, el acceso de interfaz de usuario web local está desactivado en todos los dispositivos conectados a una instancia de Edge.
    • Permitir todas las redes LAN (Allow All LAN): permite el acceso de interfaz de usuario web local para todos los dispositivos conectados a la instancia de Edge a través de una red LAN.
    • Permitir las siguientes direcciones IP (Allow the following IPs): permite especificar de forma explícita las direcciones IP desde las que se puede acceder a la instancia de Edge a través de la interfaz de usuario web local. Las direcciones IP deben estar separadas por comas (,).
    Número de puerto de interfaz de usuario web local (Local Web UI Port Number) Introduzca el número de puerto de la interfaz de usuario web local desde la que puede acceder a la instancia de Edge.
  3. Haga clic en Guardar cambios (Save Changes).

Qué hacer a continuación

Si desea anular la configuración de acceso de Edge para una instancia de Edge específica, utilice la opción Habilitar anulación de Edge (Enable Edge Override) disponible en la página Firewall de Edge (Edge Firewall). Para obtener información relacionada, consulte Configurar el firewall para instancias de Edge