Quando si configura un profilo per l'accesso all'Edge, è necessario assicurarsi di selezionare l'opzione appropriata per l'accesso al supporto, l'accesso alla console, l'accesso alla porta USB, l'accesso SNMP e l'accesso all'interfaccia utente Web locale nelle impostazioni del firewall per rendere l'Edge più sicuro. Questo impedirà agli utenti malintenzionati di accedere all'Edge.

Per impostazione predefinita, l'accesso al supporto, l'accesso alla console, l'accesso SNMP e l'accesso all'interfaccia utente Web locale sono disattivate per motivi di sicurezza.

Test automatico dell'accensione

Nella versione 5.1.0, viene eseguito un test automatico dell'accensione dopo l'accensione o il riavvio di SD-WAN Orchestrator per verificare l'autore del software e garantire che i file e il codice critici non siano stati alterati o danneggiati. I casi d'uso per questa funzionalità includono i requisiti dei criteri comuni e le distribuzioni a rischio medio-alto (società finanziarie, enti governativi e così via).
Nota: La funzionalità di test automatico dell'accensione è disattivata per impostazione predefinita. Viene visualizzato un messaggio di avviso nella console, viene generato un evento e il test automatico dell'accensione continua.
La funzionalità di test automatico dell'accensione esegue i controlli seguenti quando SD-WAN Orchestrator viene acceso o riavviato:
  • Test dell'integrità del software: i file di sistema critici vengono identificati e firmati al momento della creazione. L'integrità delle firme viene verificata. Questo processo utilizza firme crittografiche per convalidare l'autenticità e l'integrità.
  • Test delle risposte note dei moduli crittografici: i moduli crittografici, ad esempio Openssl, eseguiranno test delle risposte note e verificheranno tutti i risultati.
  • Test dell'origine di entropia: viene verificata la funzionalità di generazione del numero casuale dell'origine dell'entropia.
Nota: Il risultato del test automatico dell'accensione indicherà se l'operazione è riuscita o non è stata esrguita correttamente. Il sistema continuerà ad attivare le applicazioni rimanenti solo se il test automatico dell'accensione è riuscito. Se il test automatico dell'accensione non riesce, vengono visualizzati messaggi di errore che indicano in quale punto il test non è riuscito e la sequenza di avvio automatico del sistema viene interrotta.

I seguenti file vengono firmati e verificati durante il processo di accensione e riavvio:

  • Edge (tutti i file in):
    • /opt/vc/bin
    • /opt/vc/sbin
    • /opt/vc/lib
    • /bin
    • /sbin
    • /lib
    • /usr/bin
    • /usr/sbin
    • /usr/lib
    • /vmlinuz
    • /etc/init.d
  • SD-WAN Orchestrator e SD-WAN Gateway
    Nota: Per i seguenti moduli, il controllo dell'integrità viene eseguito in modalità ENFORCED e causerà un errore di avvio se non possono essere verificati.
    • SD-WAN Gateway: i nomi dei pacchetti vengono archiviati in /opt/vc/etc/post/vcg_critical_packages.in
      • Moduli critici del gateway
        • gatewayd.*:all
        • libssl1.0.0:.*:amd64
        • libssl1.1:.*:amd64
        • openssl:.*:all
        • python-openssl:.*:all
    • SD-WAN Orchestrator: i nomi dei pacchetti vengono archiviati in /opt/vc/etc/post/vco_critical_packages.in
      • Moduli critici di SD-WAN Orchestrator:
        • libssl1.0.0:.*:amd64
        • ibssl1.1:.*:amd64
        • openssl:.*:all
        • vco-backend:.*:all
        • vco-cws-service:.*:all
        • vco-dr:.*:all
        • vco-new-ui:.*:all
        • vco-nginx-apigw:.*:all
        • vco-nginx-common:.*:all
        • vco-nginx-i18n:.*:all
        • vco-nginx-portal:.*:all
        • vco-nginx-reporting:.*:all
        • vco-nginx-sdwan-api:.*:all
        • vco-nginx-upload:.*:all
        • vco-node-common:.*:all
        • vco-portal:.*:all
        • vco-sdwan-api:.*:all
        • vco-tools:.*:all
        • vco-ui:.*:all
        • vco-ztnad-service:.*:all
        • nodejs:.*:all
        • vc-fips-common:.*:all
        • vc-fips-complaint:.*:all
        • vc-fips-strict:.*:all
        • openssh-client:.*:all
        • openssh-server:.*:all
        • linux-base:.*:all
        • linux-firmware:.*:all
        • linux-tools-common:.*:all
        • libselinux1:.*:amd64
        • linux-base:.*:all
        • linux-firmware:.*:all
        • linux-libc-dev:.*:amd64
        • util-linux:.*:amd64
        • linux-tools-common:.*:all
        • linux-(aws|azure|generic)-headers-.*:.*:all
        • linux-(aws|azure|generic)-tools-.*:.*:amd64
        • linux-headers-.*-(aws|azure|generic):.*:amd64
        • linux-headers-(aws|azure|generic)-lts-.*:.*:amd64
        • linux-image-unsigned-.*-(aws|azure|generic):.*:amd64
        • linux-image-unsigned-(aws|azure|generic)-lts-.*:.*:amd64
        • linux-modules-.*-(aws|azure|generic):.*:amd64
        • linux-tools-.*-(aws|azure|generic):.*:amd64
        • linux-tools-(aws|azure|generic)-lts-.*:amd64

Procedura

Per configurare l'accesso all'Edge per i profili, eseguire i passaggi seguenti:

Procedura

  1. Da SD-WAN Orchestrator, passare a Configura (Configure) > Profili (Profiles) > Firewall. Viene visualizzata la pagina Firewall.

  2. Nell'area Accesso all'Edge (Edge Access), è possibile configurare l'accesso al dispositivo utilizzando le seguenti opzioni:
    Campo Descrizione
    Accesso assistenza (Support Access)

    Selezionare Consenti IP seguenti (Allow the following IPs) se si desidera specificare in modo esplicito gli indirizzi IP da cui è possibile accedere tramite SSH a questo Edge. È possibile immettere sia indirizzi IPv4 sia indirizzi IPv6 separati da virgole (,).

    Per impostazione predefinita, è selezionata l'opzione Nega tutto (Deny All).
    Accesso alla console (Console Access) Selezionare Consenti (Allow) per attivare l'accesso all'Edge tramite la console fisica, ovvero la porta seriale o la porta VGA (Video Graphics Array). Per impostazione predefinita, è selezionata l'opzione Nega (Deny) e l'accesso alla console viene disattivato dopo l'attivazione dell'Edge.
    Nota: Ogni volta che l'impostazione di accesso alla console viene modificata da Consenti (Allow) a Nega (Deny) o viceversa, l'Edge deve essere riavviato manualmente.
    Imponi test automatico accensione (Enforce Power-on Self Test) Quando è selezionata l'opzione Abilitato (Enabled), se il test automatico dell'accensione non riesce, l'Edge verrà disattivato. Per ripristinare l'Edge, è necessario ripristinare le impostazioni predefinite e riattivarlo. NOTA: questa funzionalità è supportata nelle versioni 5.1.0 e successive.
    Accesso porta USB (USB Port Access)

    Selezionare Consenti (Allow) per attivare e Nega (Deny) per disattivare l'accesso alla porta USB negli Edge.

    Questa opzione è disponibile solo per i modelli di Edge 510 e 6x0.

    Nota: Ogni volta che l'impostazione di accesso alla porta USB viene modificata da Consenti (Allow) a Nega (Deny) o viceversa, è necessario riavviare l'Edge manualmente se si dispone dell'accesso all'Edge. Se l'Edge si trova in un sito remoto, riavviarlo utilizzando SD-WAN Orchestrator. Per istruzioni, fare riferimento a Azioni remote.
    Accesso SNMP (SNMP Access) Consente l'accesso all'Edge dalle interfacce instradate o dalla WAN tramite SNMP. Selezionare una delle seguenti opzioni:
    • Nega tutto (Deny All) - per impostazione predefinita, l'accesso SNMP è disattivato per tutti i dispositivi connessi a un Edge.
    • Consenti tutte le LAN (Allow All LAN): consente l'accesso SNMP per tutti i dispositivi connessi all'Edge tramite una rete LAN.
    • Consenti IP seguenti (Allow the following IPs): consente di specificare in modo esplicito gli indirizzi IP da cui è possibile accedere all'Edge tramite SNMP. Gli indirizzi IP devono essere separati da virgola (,).
    Accesso all'interfaccia utente Web locale (Local Web UI Access) Consente l'accesso all'Edge da interfacce instradate o WAN tramite un'interfaccia utente Web locale. Selezionare una delle seguenti opzioni:
    • Nega tutto (Deny All) - per impostazione predefinita, l'accesso all'interfaccia utente Web locale è disattivato per tutti i dispositivi connessi a un Edge.
    • Consenti tutte le LAN (Allow All LAN): consente l'accesso all'interfaccia utente Web locale per tutti i dispositivi connessi all'Edge tramite una rete LAN.
    • Consenti IP seguenti (Allow the following IPs): consente di specificare in modo esplicito gli indirizzi IP da cui è possibile accedere all'Edge tramite l'interfaccia utente Web locale. Gli indirizzi IP devono essere separati da virgola (,).
    Numero di porta dell'interfaccia utente Web locale (Local Web UI Port Number) Immettere il numero di porta dell'interfaccia utente Web locale da cui è possibile accedere all'Edge.
  3. Fare clic su Salva modifiche (Save Changes).

Operazioni successive

Se si desidera sostituire le impostazioni di accesso per un Edge specifico, utilizzare l'opzione Abilita override dell'Edge (Enable Edge Override) disponibile nella pagina Firewall Edge (Edge Firewall). Per informazioni correlate, vedere Configurazione del firewall per gli Edge