Lors de la configuration d'un profil pour l'accès au dispositif Edge, veillez à sélectionner l'option appropriée pour l'accès au support, l'accès à la console, l'accès au port USB, l'accès SNMP et l'accès à l'interface utilisateur Web locale dans les paramètres du pare-feu pour rendre le dispositif Edge plus sécurisé. Cela empêche tout utilisateur malveillant d'accéder au dispositif Edge.

Par défaut, l'accès au support, l'accès à la console, l'accès SNMP et l'accès à l'interface utilisateur Web locale sont désactivés pour des raisons de sécurité.

Autotest de mise sous tension

Dans la version 5.1.0, un autotest de mise sous tension est effectué après la mise sous tension ou le redémarrage de SD-WAN Orchestrator pour vérifier l'auteur du logiciel et garantir que les fichiers et le code critiques n'ont pas fait l'objet d'alertes ni n'ont été endommagés. Les cas d'utilisation de cette fonctionnalité incluent les exigences de critères communs et les déploiements de risque moyen à élevé (finance, gouvernement, etc.).
Note : La fonctionnalité d'autotest de mise sous tension est désactivée par défaut. Un message d'avertissement s'affiche sur la console, un événement est généré et l'autotest de mise sous tension se poursuit.
La fonctionnalité d'autotest de mise sous tension est composée des vérifications suivantes lorsque SD-WAN Orchestrator est mis sous tension ou redémarré :
  • Test d'intégrité du logiciel : les fichiers système critiques sont identifiés et signés au moment de la génération. L'intégrité des signatures est vérifiée. Ce processus utilise des signatures cryptographiques pour valider l'authenticité et l'intégrité.
  • Test de réponse connue des modules de chiffrement : les modules de chiffrement, tels qu'OpenSSL, exécutent des tests de réponse connue et vérifient qu'ils réussissent tous.
  • Test de la source d'entropie : la capacité de génération de nombres aléatoires de la source d'entropie est vérifiée.
Note : L'autotest de mise sous tension indique un résultat Réussite/Échec (Pass/Fail). Le système continue de mettre en place les applications restantes uniquement si l'autotest de mise sous tension a réussi. Si l'autotest de mise sous tension échoue, les messages d'erreur s'affichent et indiquent où le test a échoué. La séquence de démarrage du système s'arrête alors.

Les fichiers suivants sont signés et vérifiés lors du processus de mise sous tension et de redémarrage :

  • Dispositifs Edge (tous les fichiers sous) :
    • /opt/vc/bin
    • /opt/vc/sbin
    • /opt/vc/lib
    • /bin
    • /sbin
    • /lib
    • /usr/bin
    • /usr/sbin
    • /usr/lib
    • /vmlinuz
    • /etc/init.d
  • SD-WAN Orchestrator et SD-WAN Gateway
    Note : Pour les modules suivants, le contrôle d'intégrité s'exécute en mode APPLIQUÉ (ENFORCED) et entraîne un ÉCHEC du démarrage s'ils ne peuvent pas être vérifiés.
    • SD-WAN Gateway : les noms de modules sont stockés dans : /opt/vc/etc/post/vcg_critical_packages.in
      • Modules critiques de Gateway
        • gatewayd.*:all
        • libssl1.0.0:.*:amd64
        • libssl1.1:.*:amd64
        • openssl:.*:all
        • python-openssl:.*:all
    • SD-WAN Orchestrator : les noms de modules sont stockés dans /opt/vc/etc/post/vco_critical_packages.in
      • Modules critiques de SD-WAN Orchestrator :
        • libssl1.0.0:.*:amd64
        • ibssl1.1:.*:amd64
        • openssl:.*:all
        • vco-backend:.*:all
        • vco-cws-service:.*:all
        • vco-dr:.*:all
        • vco-new-ui:.*:all
        • vco-nginx-apigw:.*:all
        • vco-nginx-common:.*:all
        • vco-nginx-i18n:.*:all
        • vco-nginx-portal:.*:all
        • vco-nginx-reporting:.*:all
        • vco-nginx-sdwan-api:.*:all
        • vco-nginx-upload:.*:all
        • vco-node-common:.*:all
        • vco-portal:.*:all
        • vco-sdwan-api:.*:all
        • vco-tools:.*:all
        • vco-ui:.*:all
        • vco-ztnad-service:.*:all
        • nodejs:.*:all
        • vc-fips-common:.*:all
        • vc-fips-complaint:.*:all
        • vc-fips-strict:.*:all
        • openssh-client:.*:all
        • openssh-server:.*:all
        • linux-base:.*:all
        • linux-firmware:.*:all
        • linux-tools-common:.*:all
        • libselinux1:.*:amd64
        • linux-base:.*:all
        • linux-firmware:.*:all
        • linux-libc-dev:.*:amd64
        • util-linux:.*:amd64
        • linux-tools-common:.*:all
        • linux-(aws|azure|generic)-headers-.*:.*:all
        • linux-(aws|azure|generic)-tools-.*:.*:amd64
        • linux-headers-.*-(aws|azure|generic):.*:amd64
        • linux-headers-(aws|azure|generic)-lts-.*:.*:amd64
        • linux-image-unsigned-.*-(aws|azure|generic):.*:amd64
        • linux-image-unsigned-(aws|azure|generic)-lts-.*:.*:amd64
        • linux-modules-.*-(aws|azure|generic):.*:amd64
        • linux-tools-.*-(aws|azure|generic):.*:amd64
        • linux-tools-(aws|azure|generic)-lts-.*:amd64

Procédure

Pour configurer l'accès au dispositif Edge pour les profils, procédez comme suit :

Procédure

  1. Dans SD-WAN Orchestrator, accédez à Configurer (Configure) > Profils (Profiles) > Pare-feu (Firewall). La page Pare-feu (Firewall) s'affiche.

  2. Dans la zone Accès au dispositif Edge (Edge Access), vous pouvez configurer l'accès au périphérique à l'aide des options suivantes :
    Champ Description
    Accès au support (Support Access)

    Sélectionnez Autoriser les adresses IP suivantes (Allow the following IPs) si vous souhaitez spécifier explicitement les adresses IP à partir desquelles vous pouvez vous connecter au dispositif Edge via SSH. Vous pouvez entrer des adresses IPv4 et IPv6 séparées par une virgule (,).

    Par défaut, l'option Tout refuser (Deny All) est sélectionnée.

    Accès à la console (Console Access) Sélectionnez Autoriser (Allow) pour activer l'accès au dispositif Edge via la console physique (port série ou Video Graphics Array [VGA]). Par défaut, l'option Refuser (Deny) est sélectionnée et la connexion à la console est désactivée après l'activation du dispositif Edge.
    Note : Chaque fois que le paramètre d'accès à la console passe de l'option Autoriser (Allow) à Refuser (Deny) ou inversement, vous devez redémarrer le dispositif Edge manuellement.
    Appliquer l'autotest de mise sous tension Lorsque l'option Activé (Enabled) est sélectionnée, un échec de l'autotest de mise sous tension désactive le dispositif Edge. Pour récupérer le dispositif Edge, il doit être réinitialisé aux paramètres d'usine et réactivé. REMARQUE : cette fonctionnalité est prise en charge dans la version 5.1.0 et les versions ultérieures.
    Accès au port USB (USB Port Access)

    Sélectionnez Autoriser (Allow) pour activer et sélectionner Refuser (Deny) pour désactiver l'accès au port USB sur les dispositifs Edge.

    Cette option est disponible uniquement pour les modèles d'Edge 510 et 6x0.

    Note : Chaque fois que le paramètre d'accès au port USB passe de l'option Autoriser (Allow) à Refuser (Deny) ou inversement, vous devez redémarrer le dispositif Edge manuellement si vous avez accès au dispositif Edge et s'il se trouve dans sur un site distant, redémarrez le dispositif Edge à l'aide de SD-WAN Orchestrator. Pour obtenir des instructions, reportez-vous à la section Actions à distance.
    Accès SNMP (SNMP Access) Autorise l'accès au dispositif Edge à partir des interfaces routées/du WAN via SNMP. Sélectionnez l'une des options suivantes :
    • Tout refuser (Deny All) : par défaut, l'accès SNMP est désactivé pour tous les périphériques connectés à un dispositif Edge.
    • Autoriser le LAN complet (Allow All LAN) : autorise l'accès SNMP pour tous les périphériques connectés au dispositif Edge via un réseau LAN.
    • Autoriser les adresses IP suivantes (Allow the following IPs) : permet de spécifier explicitement les adresses IP à partir desquelles vous pouvez accéder au dispositif Edge via SNMP. Les adresses IP doivent être séparées par une virgule (,).
    Accès à l'interface utilisateur Web locale (Local Web UI Access) Autorise l'accès au dispositif Edge à partir des interfaces routées/du WAN via une interface utilisateur Web locale. Sélectionnez l'une des options suivantes :
    • Tout refuser (Deny All) : par défaut, l'accès à l'interface utilisateur Web locale est désactivé pour tous les périphériques connectés à un dispositif Edge.
    • Autoriser le LAN complet (Allow All LAN) : autorise l'accès à l'interface utilisateur Web locale pour tous les périphériques connectés au dispositif Edge via un réseau LAN.
    • Autoriser les adresses IP suivantes (Allow the following IPs) : permet de spécifier explicitement les adresses IP à partir desquelles vous pouvez accéder au dispositif Edge via l'interface utilisateur Web locale. Les adresses IP doivent être séparées par une virgule (,).
    Numéro de port de l'interface utilisateur Web locale (Local Web UI Port Number) Entrez le numéro de port de l'interface utilisateur Web locale à partir de laquelle vous pouvez accéder au dispositif Edge.
  3. Cliquez sur Enregistrer les modifications (Save Changes).

Que faire ensuite

Pour remplacer les paramètres d'accès d'un dispositif Edge spécifique, utilisez l'option Activer le remplacement au niveau du dispositif Edge (Enable Edge Override) disponible sur la page Pare-feu du dispositif Edge (Edge Firewall). Pour obtenir des informations connexes, reportez-vous à la section Configurer le pare-feu pour les dispositifs Edge