Máxima – HP Systems Insight Manager Manual del usuario
Página 123
administrados. Una vez que se han configurado los sistemas para confiar en el sistema HP SIM,
dichos sistemas aceptarán comandos seguros únicamente de este sistema en particular.
Este certificado puede distribuirse de varias formas:
•
Use la opción Set Trust Relationship (Configurar relación de confianza) de Configure or Repair
Agents en HP SIM para implementar el certificado de HP SIM en los sistemas administrados.
En función del sistema administrado, éste puede usar conexiones de red Windows o SSL para
copiar archivos y configurar los sistemas administrados.
•
Use la interfaz basada en Web en un Insight Management Agent individual para especificar
el sistema HP SIM con el que se debe confiar. De este modo los agentes obtienen
inmediatamente el certificado digital del sistema HP SIM, lo que permite comprobarlo, y luego
se configura la relación de confianza. Si bien esta opción presenta algunas vulnerabilidades
limitadas, se podría engañar al sistema HP SIM al obtener el certificado y, por consiguiente,
configurar una relación de confianza inesperada. No obstante, este método es relativamente
seguro para la mayor parte de las redes.
•
Importe el certificado de HP SIM durante la instalación inicial de los agentes Insight
Management Agent. Puede hacerlo manualmente durante una instalación asistida o a través
del archivo de configuración en una instalación desasistida. Este método es más seguro
porque las oportunidades de un ataque de engaño parecido al anterior son mínimas.
•
Si ya ha implementado los agentes Insight Management Agent, puede distribuir el archivo
de configuración de seguridad y el certificado de HP SIM directamente a los sistemas
administrados mediante la seguridad del sistema operativo.
IMPORTANTE:
Cuando se usa la opción Trust by certificate (Confiar por certificado), el certificado
SSL de HP SIM debe redistribuirse si se genera un certificado SSL nuevo para HP SIM. Por lo
general, SSH en el sistema administrado funciona de forma parecida a confiar por certificado,
en cuanto a que requiere la clave pública SSH del CMS. Debe tener en cuenta que la clave pública
SSH no es la misma que el certificado SSL. El comando mxagentconfig se usa en el CMS para
copiar la clave en el sistema administrado. Esto puede hacerse para cada cuenta de usuario que
deba usarse en el sistema administrado ya que, de forma predeterminada, se usa la cuenta de
usuario raíz o de administrador.
La clave pública SSH de HP SIM debe redistribuirse si se vuelve a generar el par de claves SSH.
Máxima
La opción de seguridad máxima (Strong) permite aprovechar las ventajas de todas las características
de seguridad. Esta opción ofrece el nivel más alto de seguridad disponible en la infraestructura
de seguridad de HP SIM; no obstante, es necesario llevar a cabo pasos adicionales en las
operaciones del servidor. Asimismo, esta opción se facilita mediante su propia PKI, que incluye
una entidad emisora de certificados y un servidor de certificados.
Procedimiento 22 Configuración de la seguridad máxima
1.
Genere certificados desde su servidor de certificados para cada sistema administrado y del
sistema HP SIM. Para hacerlo, genere primero una solicitud de firma de certificado (CSR)
desde varios sistemas. De este modo se genera un archivo PKCS#7. A continuación, este
archivo se debe pasar al servidor de certificados y firmar, y el archivo resultante (generalmente
una respuesta PKCS#10) debe importarse en cada sistema administrado y al sistema HP SIM.
Para maximizar la seguridad, es importante no realizar ninguno de estos pasos a través de
una red a menos que todas las comunicaciones ya estén protegidas por algún otro tipo de
mecanismo.
Por consiguiente, en el caso de los agentes Insight Management Agent, debe llevarse un
soporte extraíble (por ejemplo, un lápiz de memoria USB, un disco) directamente al sistema
administrado, se le debe aplicar el PKCS#7 y luego debe llevarse a mano a un sistema seguro
con acceso al servidor de certificados. El archivo de respuestas PKCS#10 debería colocarse
Procedimiento: Bloqueo frente a facilidad de uso en sistemas Windows
123