Moderado, Seguridad máxima, Moderado seguridad máxima – HP Systems Insight Manager Manual del usuario

Página 132

Advertising
background image

Procedimiento: Bloqueo frente a facilidad de uso en sistemas Windows

Moderado

Los agentes HP Insight Management Agents deben configurarse para confiar por certificado. Esto
implica distribuir el certificado de HP SIM, que incluye la clave pública, a todos los sistemas
gestionados. Una vez que se han configurado los sistemas para confiar en el sistema HP SIM,
dichos sistemas aceptarán comandos seguros únicamente de este sistema en particular.

Este certificado puede distribuirse de varias formas:

Use la opción Set Trust Relationship (Configurar relación de confianza) de los Configure or
Repair Agents (Agentes de configuración o reparación) en HP SIM para implementar el
certificado de HP SIM en los sistemas gestionados. En función del sistema gestionado, éste
puede usar conexiones de red Windows o SSL para copiar archivos y configurar los sistemas
gestionados.

Use la interfaz basada en Web en un Insight Management Agent individual para especificar
el sistema HP SIM con el que se debe confiar. De este modo los agentes obtienen
inmediatamente el certificado digital del sistema HP SIM, lo que permite comprobarlo, y luego
se configura la relación de confianza. Si bien esta opción presenta algunas vulnerabilidades
limitadas, se podría engañar al sistema HP SIM al obtener el certificado y, por consiguiente,
configurar una relación de confianza inesperada. No obstante, este método es relativamente
seguro para la mayor parte de las redes.

Importe el certificado de HP SIM durante la instalación inicial de Insight Management Agents.
Puede hacerlo manualmente durante una instalación asistida o a través del archivo de
configuración en una instalación desasistida. Este método es más seguro porque las
oportunidades de un ataque de engaño parecido al anterior son mínimas.

Si ya ha implementado los agentes Insight Management Agent, puede distribuir el archivo
de configuración de seguridad y el certificado de HP SIM directamente a los sistemas
gestionados mediante la seguridad del sistema operativo.

IMPORTANTE:

Cuando se usa la opción Trust by certificate (Confiar por certificado), el certificado

SSL de HP SIM debe redistribuirse si se genera un certificado SSL nuevo para HP SIM. Por lo
general, SSH en el sistema gestionado funciona de forma parecida a confiar por certificado, en
cuanto a que requiere la clave pública SSH del CMS. Debe tener en cuenta que la clave pública
SSH no es la misma que el certificado SSL. El comando mxagentconfig se usa en el CMS para
copiar la clave en el sistema gestionado. Esto puede hacerse para cada cuenta de usuario que
deba usarse en el sistema gestionado ya que, de forma predeterminada, se usa la cuenta de
usuario raíz o de administrador.

La clave pública SSH de HP SIM debe redistribuirse si se vuelve a generar el par de claves SSH.

Seguridad máxima

La opción de seguridad máxima (Strong) permite aprovechar las ventajas de todas las características
de seguridad. Esta opción ofrece el nivel más alto de seguridad disponible en la infraestructura
de seguridad de HP SIM; no obstante, es necesario llevar a cabo pasos adicionales en las
operaciones del servidor. Asimismo, esta opción se facilita mediante su propia PKI, que incluye
una entidad emisora de certificados y un servidor de certificados.

Procedimiento 30 Configuración de la seguridad máxima

1.

Genere certificados desde su servidor de certificados para cada sistema gestionado y del
sistema HP SIM. Para hacerlo, genere primero una solicitud de firma de certificado (CSR)
desde varios sistemas. De este modo se genera un archivo PKCS#7. A continuación, este

132

Conceptos básicos sobre la seguridad de HP SIM

Advertising