Ao configurar um perfil para o acesso do Edge, deve certificar-se de que seleciona a opção adequada para Acesso de suporte (Support access), Acesso de consola (Console access), Acesso à porta USB (USB port access), Acesso SNMP (SNMP access) e Acesso IU Web local (Local Web UI access) nas definições de firewall para tornar o Edge mais seguro. Evitará, assim, que qualquer utilizador malicioso aceda ao Edge.

Por predefinição, as opções Acesso de suporte (Support Access), Acesso de consola (Console access), Acesso SNMP (SNMP Access) e Acesso IU Web local (Local Web UI Access) estão desativadas por razões de segurança.

Autoteste de ligação

Na versão 5.1.0, um autoteste de ligação é realizado após o SD-WAN Orchestrator ser ligado ou reiniciado para verificar o autor do software e garantir que os ficheiros e códigos críticos não foram alterados ou corrompidos. Os casos de utilização desta funcionalidade incluem Requisitos de Critérios Comuns e implementações de médio a alto risco (Finanças, Governo, etc.).
Nota: A funcionalidade Autoteste de ligação (Power-on Self-test) está desativada por predefinição. (Uma mensagem de aviso aparece na consola, um evento é gerado e o Autoteste de ligação continua.)
A funcionalidade Autoteste de ligação é composta pelas seguintes verificações quando o SD-WAN Orchestrator é ligado ou reiniciado:
  • Teste de integridade do software: os ficheiros críticos do sistema são identificados e assinados no momento da criação. A integridade das assinaturas é verificada. Este processo utiliza assinaturas criptográficas para validar a autenticidade e integridade.
  • Teste de resposta conhecida de módulos criptográficos: os módulos criptográficos, como o Openssl, irão executar testes de resposta conhecida e verificar se todos são aprovados.
  • Teste da fonte de entropia: é verificada a capacidade de geração aleatória de números da fonte de entropia.
Nota: O Autoteste de ligação indicará um resultado de Êxito/Falha. O sistema continuará a apresentar as restantes aplicações apenas se o Autoteste de ligação tiver êxito. Se o Autoteste de ligação falhar, aparecem mensagens de erro que indicam onde o teste falhou e que a sequência de arranque do sistema irá parar.

Os seguintes ficheiros são assinados e verificados durante o processo de ligação e reinício:

  • Edges (Todos os ficheiros em):
    • /opt/vc/bin
    • /opt/vc/sbin
    • /opt/vc/lib
    • /bin
    • /sbin
    • /lib
    • /usr/bin
    • /usr/sbin
    • /usr/lib
    • /vmlinuz
    • /etc/init.d
  • SD-WAN Orchestrator e SD-WAN Gateway
    Nota: Para os seguintes módulos, a verificação de integridade é executada no modo ENFORCED (Forçado) e causará uma FALHA de arranque se a verificação não puder ser realizada.
    • SD-WAN Gateway – Os nomes dos pacotes são armazenados em: /opt/vc/etc/post/vcg_critical_packages.in
      • Módulos críticos de Gateway
        • gatewayd.*:all
        • libssl1.0.0:.*:amd64
        • libssl1.1:.*:amd64
        • openssl:.*:all
        • python-openssl:.*:all
    • SD-WAN Orchestrator – Os nomes dos pacotes são armazenados em /opt/vc/etc/post/vco_critical_packages.in
      • Módulos críticos do SD-WAN Orchestrator:
        • libssl1.0.0:.*:amd64
        • ibssl1.1:.*:amd64
        • openssl:.*:all
        • vco-backend:.*:all
        • vco-cws-service:.*:all
        • vco-dr:.*:all
        • vco-new-ui:.*:all
        • vco-nginx-apigw:.*:all
        • vco-nginx-common:.*:all
        • vco-nginx-i18n:.*:all
        • vco-nginx-portal:.*:all
        • vco-nginx-reporting:.*:all
        • vco-nginx-sdwan-api:.*:all
        • vco-nginx-upload:.*:all
        • vco-node-common:.*:all
        • vco-portal:.*:all
        • vco-sdwan-api:.*:all
        • vco-tools:.*:all
        • vco-ui:.*:all
        • vco-ztnad-service:.*:all
        • nodejs:.*:all
        • vc-fips-common:.*:all
        • vc-fips-complaint:.*:all
        • vc-fips-strict:.*:all
        • openssh-client:.*:all
        • openssh-server:.*:all
        • linux-base:.*:all
        • linux-firmware:.*:all
        • linux-tools-common:.*:all
        • libselinux1:.*:amd64
        • linux-base:.*:all
        • linux-firmware:.*:all
        • linux-libc-dev:.*:amd64
        • util-linux:.*:amd64
        • linux-tools-common:.*:all
        • linux-(aws|azure|generic)-headers-.*:.*:all
        • linux-(aws|azure|generic)-tools-.*:.*:amd64
        • linux-headers-.*-(aws|azure|generic):.*:amd64
        • linux-headers-(aws|azure|generic)-lts-.*:.*:amd64
        • linux-image-unsigned-.*-(aws|azure|generic):.*:amd64
        • linux-image-unsigned-(aws|azure|generic)-lts-.*:.*:amd64
        • linux-modules-.*-(aws|azure|generic):.*:amd64
        • linux-tools-.*-(aws|azure|generic):.*:amd64
        • linux-tools-(aws|azure|generic)-lts-.*:amd64

Procedimento

Para configurar o acesso do Edge para perfis, execute os seguintes passos:

Procedimento

  1. No SD-WAN Orchestrator, aceda a Configurar > Perfis > Firewall (Configure > Profiles > Firewall). É apresentada a página Firewall.

  2. Na área Acesso Edge (Edge Access), pode configurar o acesso ao dispositivo utilizando as seguintes opções:
    Campo Descrição
    Acesso de suporte (Support Access)

    Selecione Permitir os seguintes IPs (Allow the following IPs) se pretender especificar explicitamente os endereços IP de onde pode executar o protocolo SSH neste Edge. Pode introduzir ambos os endereços IPv4 e IPv6 separados por vírgula (,).

    Por predefinição, está selecionada a opção Recusar tudo (Deny All).
    Acesso de consola (Console Access) Selecione Permitir (Allow) para permitir o acesso do Edge através da consola física [porta de série ou porta Video Graphics Array (VGA)]. Por predefinição, Recusar (Deny) está selecionado e o início de sessão da consola é desativado após a ativação do Edge.
    Nota: Sempre que a definição de acesso de consola for alterada de Permitir (Allow) para Recusar (Deny) ou vice-versa, o Edge deve ser reiniciado manualmente.
    Forçar o Autoteste de ligação Quando Ativado (Enabled) está selecionado, a falha de um Autoteste de ligação desativará o Edge. Para recuperar o Edge, tem de ser realizada uma reposição de fábrica e reativação. NOTA: esta funcionalidade é suportada na versão 5.1.0 e posteriores.
    Acesso à porta USB (USB Port Access)

    Selecione Permitir (Allow) para ativar e selecione Recusar (Deny) para desativar o acesso à porta USB nos Edges.

    Esta opção só está disponível para os modelos Edge 510 e 6x0.

    Nota: Sempre que a definição de acesso à porta USB for alterada de Permitir (Allow) para Recusar (Deny) ou vice-versa, será necessário reiniciar manualmente o Edge se tiver acesso ao Edge e se o Edge estiver num local remoto, deverá ser reiniciado com o SD-WAN Orchestrator. Para obter as instruções, consulte Ações remotas.
    Acesso SNMP (SNMP Access) Permite o acesso do Edge a partir de interfaces/WAN routed através do SNMP. Selecione uma das seguintes opções:
    • Recusar tudo (Deny All) – Por predefinição, o acesso SNMP está desativado para todos os dispositivos ligados a um Edge.
    • Permitir todas as LAN (Allow All LAN) – Permite o acesso SNMP a todos os dispositivos ligados ao Edge através de uma rede LAN.
    • Permitir os seguintes IPs (Allow the following IPs) – Permite-lhe especificar explicitamente os endereços IP de onde pode aceder ao Edge através do SNMP. Os endereços IP têm de ser separados por vírgula (,).
    Acesso IU Web Local (Local Web UI Access) Permite o acesso do Edge a partir de interfaces/WAN routed através de uma IU Web local. Selecione uma das seguintes opções:
    • Recusar tudo (Deny All) – Por predefinição, a opção Acesso IU Web local (Local Web UI Access) está desativada para todos os dispositivos ligados a um Edge.
    • Permitir todas as LAN (Allow All LAN) – Permite o acesso IU Web local a todos os dispositivos ligados ao Edge através de uma rede LAN.
    • Permitir os seguintes IPs (Allow the following IPs) – Permite-lhe especificar explicitamente os endereços IP de onde pode aceder ao Edge através da IU Web. Os endereços IP têm de ser separados por vírgula (,).
    Número de porta IU Web Local (Local Web UI Port Number) Introduza o número da porta da IU Web local de onde pode aceder ao Edge.
  3. Clique em Guardar alterações (Save Changes).

Como proceder a seguir

Se pretender sobrepor as definições do acesso do Edge para um Edge específico, utilize a opção Ativar sobreposição de configuração do Edge (Enable Edge Override) disponível na página Firewall Edge (Edge Firewall). Para obter informações relacionadas, consulte Configurar a firewall para os Edges