Inhaltsverzeichnis
Werbung
Zugehörige Sicherheitsrichtlinien
• Die meisten Switches lassen das Definieren von VLANs (Virtual Local Area Networks) zu.
Definieren Sie über Ihren Switch VLANs, damit sensible Systemcluster vom übrigen Netzwerk
getrennt werden. Dadurch sinkt die Wahrscheinlichkeit, dass Benutzer auf diesen Clients und
Servern Zugriff auf Daten erhalten.
• Out-of-Band-Verwaltung von Switches (getrennt vom Datenverkehr). Wenn dies nicht möglich ist,
weisen Sie eine separate VLAN-Nummer (Virtual Local Area Network) für die In-Band-Verwaltung
zu.
• Schützen Sie InfiniBand-Hosts. Eine InfiniBand-Struktur ist nur so sicher wie der Infiniband-Host
mit dem geringsten Schutz.
• Beachten Sie, dass eine Partitionierung keinen Schutz für die InfiniBand-Struktur bietet. Sie bewirkt
lediglich eine Isolierung des InfiniBand-Datenverkehrs zwischen virtuellen Maschinen auf einem
Host.
• Pflegen Sie offline eine Switch-Konfigurationsdatei und beschränken Sie den Zugriff auf befugte
Administratoren. Die Konfigurationsdatei sollte beschreibende Kommentare zu jeder Einstellung
enthalten.
• Entscheiden Sie sich nach Möglichkeit für eine statische VLAN-Konfiguration.
• Deaktivieren Sie nicht verwendete Switch-Ports und weisen Sie ihnen eine nicht verwendete VLAN-
Nummer zu.
• Weisen Sie Trunk-Ports eine eindeutige, systemeigene VLAN-Nummer zu.
• Beschränken Sie die Zahl der VLANs, die über einen Trunk transportiert werden können, auf das
absolut notwendige Minimum.
• Deaktivieren Sie VTP (VLAN Trunking Protocol). Wenn dies nicht möglich ist, legen Sie für
VTP die Verwaltungsdomäne, Passwort und Pruning fest. Versetzen Sie dann VTP in den Modus
"transparent".
• Deaktivieren Sie nicht erforderliche Netzwerkdienste wie TCP Small Server oder HTTP. Aktivieren
Sie erforderliche Netzwerkdienste und konfigurieren Sie sie sicher.
• Je nach Switch unterscheiden sich die Stufen der Portsicherheitsfunktionen. Verwenden Sie die
folgenden Portsicherheitsfunktionen, sofern bei Ihrem Switch vorhanden:
• Durch MAC-Locking wird eine MAC-(Media Access Control-)Adresse eines oder mehrerer
Geräte mit einem physischen Port auf einem Switch verbunden. Wenn Sie einen Switch-Port einer
bestimmten MAC-Adresse zuweisen, können Superuser keine Backdoors in Ihr Netzwerk mit
Rogue-Zugriffspunkten einbauen.
• MAC-Lockout bewirkt, dass eine bestimmte MAC-Adresse keine Verbindung zu einem Switch
mehr aufbauen kann.
• Die Angaben zu den direkten Verbindungen jedes Switch-Ports werden durch MAC-Learning
beim Festlegen von Sicherheitseinstellungen durch den Netzwerk-Switch auf Basis aktueller
Verbindungen verwendet.
Zugehörige Sicherheitsrichtlinien
Für die in SuperCluster-System verwendeten Software- und Hardwarekomponenten gelten
möglicherweise produktspezifische Sicherheitsrichtlinien. Die folgende Liste gibt Aufschluss über
die in SuperCluster-System verwendeten Komponenten und darüber, wo sich die produktspezifischen
Sicherheitsrichtlinien ggf. befinden:
• SPARC T4-4-Server:
http://www.oracle.com/pls/topic/lookup?ctx=E23411_01
• SPARC T5-8-Server:
12
SuperCluster-System · Sicherheitshandbuch · Juli 2013
Werbung
Inhaltsverzeichnis
