HP SIM 5.1および5.2のセキュリティの概要 概要................................................................................................................................................... 3 アーキテクチャの概要......................................................................................................................... 3 通信プロトコル .................................................................................................................................. 3 Simple Network Management Protocol(SNMP) ............................................................................... 3 Hyper Text Transfer Protocol(HTTP) ................................................................................................ 3 Web-Based Enterprise Management(WBEM) .................................................................................. 3 デスクトップ管理インタフェース(DMI) ........................................................................................ 4 Remote Method Invocation(RMI) .................................................................................................... 4 リモート ウェイクアップ................................................................................................................. 4 Internet Control Message Protocol(ICMP)........................................................................................ 4 Lightweight Directory Access Protocol(LDAP) ................................................................................... 4 Simple Object Access Protocol(SOAP) ........................................................................................... 4 通信のセキュリティ保護 ..................................................................................................................... 4 Secure Sockets Layer(SSL)............................................................................................................. 4 Secure Shell(SSH) ........................................................................................................................ 4 HTTPS............................................................................................................................................. 5 セキュア タスク実行とシングル ログイン ......................................................................................... 5 分散タスク ファシリティ................................................................................................................. 5 WBEM............................................................................................................................................ 5 LDAP .............................................................................................................................................. 5 RMI ................................................................................................................................................ 6 証明書の管理...................................................................................................................................... 6 SSL証明書 ....................................................................................................................................... 6 証明書共有 ..................................................................................................................................... 6 SSHキー ......................................................................................................................................... 6 パスワード ..................................................................................................................................... 6 管理対象システムの設定 ..................................................................................................................... 7 通信の管理 ..................................................................................................................................... 7 エージェントのインストール ........................................................................................................... 7 エージェントの設定 ........................................................................................................................ 7 権限 ............................................................................................................................................... 7 ブラウザ ............................................................................................................................................ 7 SSL................................................................................................................................................. 7 Cookie............................................................................................................................................ 7 パスワード ..................................................................................................................................... 7 ブラウザの警告............................................................................................................................... 8 信頼されていないシステム........................................................................................................... 8 不正な証明書 .............................................................................................................................. 8 ホスト名の不一致 ........................................................................................................................ 8 署名済みアプレット..................................................................................................................... 8 ブラウザ セッション ....................................................................................................................... 8 Internet Explorerのゾーン.................................................................................................................. 8 システム リンクのフォーマット ....................................................................................................... 9 オペレーティング システムの依存関係................................................................................................. 9 ユーザ アカウントおよび認証 .......................................................................................................... 9 ファイル システム........................................................................................................................... 9 バックグラウンド プロセス ........................................................................................................... 10 Windows Cygwin .......................................................................................................................... 10 HP-UX/Linux .................................................................................................................................. 10 データベース.................................................................................................................................... 10 SQL Server/MSDE ......................................................................................................................... 10 リモートSQL Server....................................................................................................................... 10 PostgreSQL.................................................................................................................................... 10 Oracle .......................................................................................................................................... 10 監査................................................................................................................................................. 11 コマンド ライン インタフェース........................................................................................................ 11 方法:設定チェックリスト ................................................................................................................ 11 全般 ............................................................................................................................................. 11 CMSの設定................................................................................................................................... 11 強力なセキュリティ................................................................................................................... 11 管理対象システムの設定................................................................................................................ 11 管理対象システムに関するCMSの設定............................................................................................ 12 方法:ロックダウンと操作の容易さ ................................................................................................... 12 Moderate...................................................................................................................................... 12 Strong .......................................................................................................................................... 13 ポート リスト................................................................................................................................... 14 Vulnerability and Patch Management Packファイアウォール ポート ...................................................... 16 HP SIMサーバ ............................................................................................................................... 16 VPMサーバ ................................................................................................................................... 16 MSDE ....................................................................................................................................... 16 Harris STAT®スキャナ エンジン................................................................................................... 18 Radia Patch Manager ................................................................................................................. 18 ターゲット ノード......................................................................................................................... 18 Scanner Access(ターゲット ノード) ........................................................................................ 18 HP SIM ..................................................................................................................................... 19 Radia Patch Manager ................................................................................................................. 19 Virtual Machine Management Packポート............................................................................................ 19 Integrated Lights-Out(iLO)のポート .................................................................................................. 20 概要 このWhite Paperでは、HP Systems Insight Manager(HP SIM)フレームワークで使用できるセキュリティ機能 について説明します。詳しくは、『HP Systems Insight Managerテクニカル リファレンス ガイド』を参照して ください。 アーキテクチャの概要 HP SIMは中央管理サーバ(CMS)上で動作し、各種プロトコルを使用して、管理対象システムと通信します。 ユーザは、CMSにアクセスすることも、管理対象システムに直接アクセスすることもできます。 図1.アーキテクチャの概要 通信プロトコル Simple Network Management Protocol(SNMP) SNMP v1は、システムに関するデータを収集するための主要なプロトコルの1つです。SNMPトラップは、HP SIMにステータスの変化やシステム上のイベントを通知するために使用されます。SNMPでは要求や応答、ト ラップが送信先に確実に到達することは保証されないため、SNMPは保証されたプロトコルとはいえません。 SNMPのセキュリティ機能は、要求に含まれる、パスワードによく似た平文のコミュニティ名だけです。 SNMPデータは暗号化されないため、ネットワーク上でペイロード全体が簡単に盗聴される可能性があります。 管理対象システムのオペレーティング システムでは、有効な要求に対するIPアドレス制限など、SNMPのセ キュリティ機能が強化されている可能性があります。 Hyper Text Transfer Protocol(HTTP) HTTPは、識別中に、管理対象システムに関するデータを取得するために使用されるもう1つの主要なプロトコ ルです。HTTPも安全なプロトコルではなく、ネットワーク上で簡単に見ることができます。HTTPのセキュリ ティ保護されたバージョンは、HTTPSです。このプロトコルについては、後で説明します。 Web-Based Enterprise Management(WBEM) WBEMは、管理対象システムのデータを取得する別のプロトコルです。このプロトコルは、基本的には、 HTTPまたはHTTPS上のXMLです。 デスクトップ管理インタフェース(DMI) DMIはデータ管理のための従来のプロトコルで、現在ではほぼWBEMに置き換わっています。DMIはDCE/RPC (Distributed Computing Environment Remote Procedure Call)に基づくセキュリティ保護されていないプロト コルです。 Remote Method Invocation(RMI) Java™ RMIは、CMS内でプロセス間通信にのみ使用されます。 リモート ウェイクアップ リモート ウェイクアップは、電源がソフトオフされているシステムの電源をリモートからオンにする機能を 意味します。ACPI(Advanced Configuration and Power Interface)をサポートするシステムは、そのシステム に対する任意のネットワーク動作により、透過的に起動されます。また、システムがMagic Packetテクノロジ をサポートする場合もあります。システムの電源が切断されている場合でも、Magic Packet対応のネットワー ク インタフェース カード(NIC)には電源が投入されており、トラフィックを監視しています。そのNICが NIC宛てのMagic Packetを受信すると、システムに電源が投入されます。 Internet Control Message Protocol(ICMP) ICMPは、システムの自動検出の過程で、システムに対する他の要求に先立って、システムが応答するかどう かを確認するために使用されます。ICMPエコー要求(ping)は、システムのIPアドレスに送信されます。正常 な応答を受信できれば、システムが起動しており応答していることを確認できます。 注記:[グローバル プロトコル設定]ページから、ICMPの代わりにTCPをpingとして使用するようにHP SIMを 設定できます。 Lightweight Directory Access Protocol(LDAP) LDAP 3は、ディレクトリ グループ ツールの実行中に、設定済みのディレクトリ サーバと通信して、ディレク トリ内に設定されているシステムに関する情報を収集するために使用されます。 Simple Object Access Protocol(SOAP) SOAPは、HP SIMと通信するためにパートナー アプリケーションによって使用されます。このプロトコルは、 基本的には、HTTPS上のXMLです。 通信のセキュリティ保護 Secure Sockets Layer(SSL) SSLは、インターネット経由の通信をセキュリティ保護するための業界標準プロトコルです。SSLは、盗聴を 防止するための暗号化機能と改変を防止するためのデータ整合性機能を提供します。また、SSLはパブリッ ク キー テクノロジを使用して、クライアントとサーバの両方を認証できます。ブラウザとCMS間のすべて の通信がSSLによって保護されます。HP SIMは、SSL 3とTLS(Transport Layer Security)1.0の両方をサポー トします。 Secure Shell(SSH) SSHは、通信をセキュリティ保護するための業界標準プロトコルです。SSHは、盗聴を防止するための暗号化 機能と改変を防止するためのデータ整合性機能を提供します。また、SSHはキーベースの認証など複数のメカ ニズムを使用して、クライアントとサーバの両方を認証できます。HP SIMはSSH 2をサポートします。 HTTPS HTTPS(Hyper Text Transfer Protocol Secure)は、SSL経由のHTTP通信を意味します。ブラウザとHP SIMの間の すべての通信は、HTTPSを介して行われます。またHTTPSは、CMSと管理対象システムの間の多くの通信にも 使用されます。 セキュア タスク実行とシングル ログイン セキュア タスク実行(STE)は、Webエージェントを使用して、管理対象システムに対してコマンドを安全に 実行するためのメカニズムです。STEは、1つの要求内で認証、権限、プライバシー、および整合性を提供しま す。シングル ログインは、同様の機能を提供しますが、システムにアクセスする際に実行されます。セキュ ア タスク実行とシングル ログインは、非常によく似た方法で実装されます。STEおよびシングル ログインに よるデータ交換の実行中、すべての通信でSSLが使用されます。STE要求またはシングル ログイン要求を発行 する前に、システムから1回限りの値が要求され、反射攻撃や遅延傍受攻撃を防止します。その後、HP SIMは、 デジタル署名済みセキュア タスク実行要求またはシングル ログイン要求を発行します。管理対象システムは、 デジタル署名を使用してHP SIMサーバを認証します。なお、管理対象システムは、デジタル署名の有効性を 確認するために、WebエージェントにインポートされるCMSのSSL証明書のコピーを保有する必要があり、 [証明書による信頼]に設定されていなければなりません。またHP SIMはSSLによって、システムの証明書を用 いて管理対象システムを任意に認証することができます。これにより、HP SIMが機密性の高いデータを誤っ て不明なシステムに提供しないようにすることができます。 Insightマネージャ7ユーザに対する注釈:Insightマネージャ7は自動デバイス認証設定を使用してSTEおよびシ ングル ログイン アクセス レベルを制限しましたが、新しいHP SIMの権限モデルではツールによってこのアク セス レベルが置き換えられるようになります。WebエージェントへのSTEアクセスを要求するどのツールにも、 アクセス権が暗黙のうちに含まれます。Webエージェントへのシングル ログインの場合、エージェント設定 のレプリケート ツールとソフトウェアおよびファームウェアのインストール ツールが、それぞれWebエー ジェントへの管理者レベルのアクセス権を提供します。管理者としてのSystem Management Homepage、オペ レータとしてのSystem Management Homepage、ユーザとしてのSystem Management Homepageは、それぞ れのレベルでのシングル ログイン アクセスを提供します。 分散タスク ファシリティ 分散タスク ファシリティ(DTF)は、カスタム コマンド ツールやマルチ システムおよびシングル システム対 応ツールに使用されます。コマンドは、SSHを使用して管理対象システムに安全に発行されます。各管理対象 システムは、CMSを認証できるように、CMSのSSHパブリック キーを、信頼するキー ストアに保有する必要 があります。また、管理対象システムも、そのSSHパブリック キーでCMSに対する認証を受けます。 HP Servicecontrol Managerユーザに対する注釈:HP Servicecontrol ManagerのDTFにより使用された既存 の署名済みRMI接続に代わって、SSHが使用されます。これにより、署名済みRMIをしのぐ暗号化とデータ整合 性のレベルが追加されます。このレベルは、以前はIPSecなどの安全なネットワーク プロトコルを使用する場 合のみ可能でした。 WBEM すべてのWBEMアクセスは、セキュリティ確保のためにHTTPS経由で行われます。HP SIMは、WBEMエージェ ント アクセス用にユーザ名とパスワードを使用して設定されます。HP SIMは管理対象システムを、そのSSL証 明書を用いて、任意に認証することができます。 LDAP ディレクトリ サービスを使用するように設定されている場合は、LDAPの使用時にSSLを使用するように(デ フォルト)、または使用しないようにHP SIMを設定できます。SSLを使用しない場合は、証明書が平文で送信 さ れ ま す 。 Microsoft Active Directory で SSL 経 由 の LDAP を 有 効 に す る に は 、 Microsoft 社 の Web サ イ ト http://support.microsoft.com/kb/321051/jaを参照してください。さらに、HP SIMの信頼済み証明書リストを 使用してディレクトリ サーバを認証することができます。 RMI Java RMIは、CMSのプライベート キーを使用してデジタル署名済み要求を求めることにより、セキュリティ 保護されます。これは、ローカル システムに対してのみ使用できます。すべての通信がローカルホストを使 用するため、通信内容がネットワーク上に漏洩することはありません。 証明書の管理 SSL証明書 HP SIMおよびWebエージェントによって生成される証明書は自己署名されています。内部の証明書サーバや サードパーティ認証機関(CA)が証明書に署名できるように、パブリック キー インフラストラクチャ (PKI)がサポートされます。HP SIM証明書は、ブラウザでの名前不一致の警告を緩和できるように、複数の 名前をサポートしています。 HP SIMで使用される証明書は複数存在します。上で説明した証明書は主な証明書であり、HP SIM SSL Web サーバ、パートナー アプリケーションのSOAPインタフェース、およびWBEMイベント レシーバによって使 用されます。この証明書は、ブラウザ、SOAPを介してHP SIMと通信するパートナー アプリケーション、およ びHP SIMにイベントを提供するWBEMエージェントで、必要に応じてHP SIMを認証するために使用されます。 この証明書はまた、シングル ログイン(SSO)での管理対象システムとの信頼関係を有効にするために、管 理対象システム(たとえば、SMH、OA、iLO、SE、CV)にも設定されます。HP-UX WBEM Services 2.5以降 に対してHP SIMを認証するために、HP SIMでは別の証明書が使用されます(WBEMプロトコルにこの動作が 設定されている場合)。管理対象システムからの証明書をHP SIMの信頼された証明書リストにインポートし て、HP SIMでこれらのシステムを認証できるようにすることができます。「管理対象システムの設定」の項 を参照してください。 証明書共有 HP SIMには、システムにインストールされた他のコンポーネントが同じ証明書とパブリック キーを使用する ためのメカニズムがあります。これにより、システムの認証が、個別のコンポーネントとしてではなく全体と して行えるため、プロセスが簡素化されます。このメカニズムは現在、CMS上のWebエージェントとWBEM コンポーネントで使用されます。 SSHキー SSHキーペアは、初期設定で生成されます。CMSのパブリック キーは、mxagentconfigツールを使用して管 理対象システムにコピーされます。このキーペアは、SSL用のものと同じではありません。また、新しいペア の再生成は手動で行わなければなりません。mxagentconfigについて詳しくは、manページまたはオンライ ン マニュアルを参照してください。詳しくは、HPのWebサイトhttp://h50146.www5.hp.com/products/ servers/proliant/whitepaper/wp077_0804/?jumpid=reg_R1002_JPJAにあるWhite Paper「HP SIM 5.1および 5.2のSecure Shell(SSH)」を参照してください。 パスワード HP SIMのプロトコル設定ページで設定されたパスワードはCMS上のローカル ファイルに保存され、オペレー ティング システムのファイル権限が管理者またはルートに制限されます。CLIコマンドのmxnodesecurityを 使用して、これらのパスワードをさらに管理することができます。 管理対象システムの設定 通信の管理 通信の管理ツールを使用すると、HP SIMと管理対象システムの間の通信の問題を診断して修復することがで きます。識別、イベントの受信、ツールの実行、またはバージョン管理に影響する可能性のある通信の問題が 検出されると、それらの問題がシステムごとに一覧表示されます。それにより、特定の通信の設定や証明書を 再設定したり、ターゲット システムにエージェントをインストールしたりすることができます。 エージェントのインストール Windows環境では、初期ProLiant Support Packインストール ツールを使用して、HP SIMを信頼するように事前 に設定されたSystem Management Homepage(SMH)を他の設定とともにインストールできます。さらに、 このツールでは、SSHをインストールして設定することもできます(OpenSSHのインストール ツールも使用 可能)。 エージェントの設定 エージェントの設定および修復ツールを使用すると、管理対象システムにエージェントをインストールしたり、 システムだけを設定したりすることができます。エージェント設定のレプリケート ツールは、SSH設定をある システムから別のシステムに複製します。 権限 HP SIM内の権限によって、ユーザがどのシステムに対してどのツールを操作できるかが定義されます。シス テム リストには、そのユーザが権限を持っているシステムのみが表示されます。同様に、メニューにも権限 のあるツールのみが表示されます。 HP SIM 5.2の前は、設定権限によって、ユーザがHP SIM内でどのアクションを実行できるが定義されていま した。たとえば、タスク、収集、イベント、検出、レポートなどの管理があります。これらのアクションの多 くは、[完全な権限]および[制限された権限]ツールボックスに含まれている個別のツールではありません。 ユーザ アカウント、権限、ツール ボックス、証明書、SSHキーなどのCMSセキュリティ設定を設定する機能 には、CMSセキュリティを設定する権利が必要です。 ブラウザ SSL ブラウザとCMSまたは管理対象サーバ間のすべての通信は、SSL上のHTTPS経由で行われます。HTTP(SSLを使 用しない)を使用する操作は、自動的にHTTPSにリダイレクトされます。 Cookie ログイン セッションを維持するには、Cookieが必要ですが、Cookieではセッション識別子のみが維持されま す。Cookieに秘密情報が格納されることはありません。Cookieは安全とマークされるため、SSL経由でのみ転 送されます。 パスワード HP SIMで表示されるすべてのパスワード フィールドは、パスワードを表示しません。ブラウザとCMS間では、 パスワードはSSL経由で転送されます。 ブラウザの警告 ブラウザまたはブラウザ上のJavaプラグインが表示する可能性のある警告には、いくつかの種類があります。 ほとんどの警告がSSLサーバ証明書に関係するものです。 信頼されていないシステム この警告は、証明書が信頼されていないシステムによって発行されたことを意味します。デフォルトでは証明 書は自己署名されるため、証明書をブラウザにインポートしていない場合にこの警告が表示される可能性があ ります。CAの署名済み証明書の場合は、署名入りルート証明書をインポートする必要があります。他の安全 な方法で証明書を入手した場合はアクセスする前に証明書をインポートできます。警告が表示された時点で、 証明書をインポートすることもできますが、ホスト システムが認証されていないので、スプーフィングされ る可能性があります。証明書の信頼性を個別に確認できる場合や、システムが危険な状態にないことを熟知し ている場合は、証明書をインポートしてください。 不正な証明書 証明書がまだ有効でない、期限が切れているなどのため証明書が不正な場合、日付/時刻に問題がある可能性 があります。この問題は、システムの日付/時刻を修正することにより、解決できます。証明書が他の何らか の理由で無効な場合は、再作成が必要になることがあります。 ホスト名の不一致 証明書の名前がブラウザでの名前と一致しない場合、この警告が表示されることがあります。この問題は、証 明書に表示されているシステムの名前(たとえば、marketing1.ca.hp.comまたはmarketing1)を使用し てアクセスすることによって解決できます。HP SIM証明書は、この問題を緩和できるように複数の名前をサ ポートしています。HP SIMによってリンク内に作成された名前のフォーマットの変更については、下記の 「Internet Explorerのゾーン」の項を参照してください。 署名済みアプレット 以前のバージョンのHP SIMでは、署名済みアプレットの信頼に関する他の警告を表示するJavaプラグインが使 用されています。これらの以前のバージョンのHP SIMは、証明書がVerisignにより署名されている、HewlettPackard Companyが署名したアプレットを使用します。 ブラウザ セッション デフォルトでは、ブラウザにHP SIMバナーが表示されている限り、HP SIMでユーザ セッションがタイムアウ トになることはありません。この状態は、監視モードと呼ばれ、ユーザの操作なしでも管理対象システムを継 続的に監視することができます。ブラウザを閉じたり、他のWebサイトに移動したりすると、セッションは 20分後にタイムアウトになります。 アクティブ モードもサポートされています。このモードでは、ユーザによるHP SIMの操作(メニュー項目、 リンク、またはボタンのクリック)が20分間にわたって一度も行われないと、セッションがタイムアウトに なります。アクティブ モードは、globalsettings.propsファイルを編集して、EnableSessionKeepAliveの 設定をfalseに変更すると有効になります。 セキュリティ上のベスト プラクティスには、他のWebサイトにアクセスする場合の注意が含まれます。他の Webサイトにアクセスする際は、必ず、新しいブラウザ ウィンドウを使用してください。また、HP SIMの使 用を終了する場合は、両方のブラウザでログアウトして、ブラウザ ウィンドウを閉じてください。 Internet Explorerのゾーン Internet Explorerは、それぞれ異なるセキュリティ設定を使用して設定できる複数のゾーンをサポートしていま す。HP SIMまたは管理対象システムへのアクセスに使用される名前は、Internet Explorerがシステムをどのブ ラウザ ゾーンに配置するかに影響を与える場合があります。たとえば、IPアドレスまたは完全なドメイン ネーム システム(DNS)(たとえば、hpsim.mycorp.com)でアクセスすると、ブラウザのより制限的なイン ターネット ゾーンにシステムが配置されて、誤った操作が発生する可能性があります。アクセスする場合は、 システムが正しいインターネット ゾーンに配置されていることを確認してください。Internet Explorerを設定 するか、またはアクセス時に別の名前フォーマットを使用することが必要になる場合があります。 システム リンクのフォーマット 管理対象システムへの移動を容易にするために、HP SIMには、管理対象システムへのリンクの作成方法を設 定する[システム リンク設定]オプションが用意されています。[オプション]、[セキュリティ]、[システム リ ンク設定]の順に選択して確認してください。 次の3つのオプションが使用できます。 • [システム名を使用] • [システムのIPアドレスを使用] • [システムのDNS名(フル)を使用] 完全DNS名を使用してネットワーク上のシステムの名前解決を行う必要がある場合は、システムの証明書の名 前とブラウザでの名前が一致しないと、警告が表示される場合があることに注意してください。 オペレーティング システムの依存関係 ユーザ アカウントおよび認証 HP SIMのアカウントは、CMSホストのオペレーティング システムに対して認証されます。ユーザ認証に影響 するオペレーティング システム機能はすべて、HP SIMへのサインインに影響を与えます。CMSのオペレー ティング システムでは、ロックアウト ポリシーを設定して、無効なログイン試行が指定した回数行われた後、 アカウントを無効にできます。また、Microsoft Windowsドメインでアカウントを手動で無効にできます。オ ペレーティング システムに対して認証を受けることのできないアカウントの場合、そのアカウントを使用し てHP SIMにログインしようとしても拒否されます。 注記:HP SIMにすでにサインインしているユーザは、次のサインイン試行まではオペレーティング システム に対して再認証されません。HP SIMからサインアウトするまでは、すべての権利と権限を保持したままHP SIMにサインインした状態を保ちます。 重要:HP SIMアカウント専用のオペレーティング システム アカウントを作成する場合は、ユーザには必要最 小限のオペレーティング システム権限を付与してください。rootやAdministrator等、オペレーティング システ ムの管理者アカウントは、適切に保護する必要があります。オペレーティング システムでパスワード制限、 ロックアウト ポリシーなどを設定してください。 ファイル システム HP SIMのオブジェクト コードを保護するために、ファイル システムへのアクセスを制限する必要があります。 オブジェクト コードを誤って変更すると、HP SIMの動作に悪影響を与える場合があります。悪意のある変更 により、ログイン証明書の盗み取り、管理対象システムに対するコマンドの変更など盗聴攻撃が行われる可能 性が生じます。ファイル システムへの読み取りレベルのアクセスも制限して、ファイル システム上に回復可 能な形式で保存されているプライベート キー、パスワードなどの、機密性の高いデータを保護する必要があ ります。HP SIMは、HP SIMにサインインするユーザのユーザ アカウント パスワードは保存しません。 重要:HP SIMは、アプリケーション ファイルに適切な制限を設定します。これらの制限を変更すると、HP SIMの動作に影響する可能性があり、またファイルへの意図しないアクセスが発生する可能性があるため、変 更しないでください。 バックグラウンド プロセス Windowsでは、HP SIMはWindowsサービスとしてインストールおよび実行されます。サービス アカウントに は、CMSとデータベースに対する管理者権限が必要です。サービス アカウントは、ローカルまたはドメイン アカウントのどちらでもかまいません。HP SIMへの自動サインインの場合は、ドメイン アカウントを使用す る必要があります。UNIXでは、HP SIMはルートとして動作するデーモンとしてインストールおよび実行され ます。 Windows Cygwin Windows、CMS、および管理対象システム用のSSHサーバで提供されるバージョンのCygwinは、セキュリ ティ機能強化のために修正されており、共有メモリ セグメントへのアクセスが制限されています。このため、 一般に使用できるバージョンのCygwinとの相互運用性はありません。管理ユーザのみが、修正されたSSHサー バを実行するシステムに接続できます。 HP-UX/Linux CMS上で使用できる場合、HP SIMでは、デバイス/dev/randomがランダムな数字の生成に使用されます。 データベース HP SIMのデータを保護するために、データベース サーバへのアクセスを制限する必要があります。SQL Serverのシステム管理者(sa)アカウントなど、すべてのデータベース アカウントに(空白ではない)適切な パスワードを指定してください。権限、タスク、収集情報などの動作データの変更は、HP SIMの動作に影響 を及ぼす可能性があります。システム データには、管理対象システムに関する詳細な情報が含まれ、資産情 報、設定などの情報の一部は機密情報であると考えることができます。タスク データにも、ユーザ名やパス ワードなど非常に機密性の高いデータが含まれる可能性があります。 SQL Server/MSDE HP SIMは、SQL ServerおよびMSDEではWindowsの認証のみを使用します。MSDEをインストールすると、sa アカウント用の無作為のパスワードが作成されますが、このパスワードはHP SIMでは使用されません。 リモートSQL Server SQL Serverは、サインイン中およびデータ通信中のSSL暗号化などの高度なセキュリティ機能をサポートしま す。詳しくは、SQL ServerのマニュアルおよびMicrosoft社のWebサイトを参照してください。 PostgreSQL PostgreSQLは、HP SIMのインストール時に無作為に生成されるパスワードを使用します。このパスワード は、コマンド ラインを使用して変更できます。詳しくは、mxpasswordコマンドのリファレンスを参照 してください。 Oracle Oracleデータベース管理者は、Oracleへの接続時に使用するHP SIM用のユーザ(空白以外のパスワードの使 用を推奨)を作成する必要があります。Oracleユーザには、少なくとも、接続およびDBAロールが必要です。 これによって、HP SIMテーブルへの読み取り/書き込みアクセス権とともに、HP SIMのテーブルやビューを作 成および削除するための正しい権限がHP SIMに与えられます。権限、タスク、収集情報などの動作データの 変更は、HP SIMの動作に影響を及ぼす可能性があります。システム データには、管理対象システムに関する 詳細な情報が含まれ、資産情報、設定などの情報の一部は機密情報であると考えることができます。タスク データにも、ユーザ名やパスワードなど非常に機密性の高いデータが含まれる場合があります。 監査 HP SIMの監査ログには、実行されたタスク、権限の変更、ユーザのサインインやサインアウトなど、システ ムの重要な動作のエントリが記録されます。デフォルトでは、結果が監査ログに記録されるようにツールが設 定されますが、これらのツールの定義ファイルを変更して、別の設定を行うことができます。 コマンド ライン インタフェース HP SIMの多くの機能には、コマンド ラインを介してアクセスできます。コマンド ライン インタフェースにア クセスするには、HP SIMの有効なユーザ アカウントであるオペレーティング システム アカウントを使用して CMSにログオンする必要があります。HP SIM内のそのアカウントの認証および権限は、コマンド ライン イン タフェースにも適用されます。 注記:すべてのコマンドが正しく機能するには、Windowsシステムで、オペレーティング システム アカウン トが、CMSに対する管理者レベルのアクセス権限を持つ必要があります。 方法:設定チェックリスト 全般 • ファイアウォールの設定で、使用するポート/プロトコルを使用できるようにする。 • 「ロックダウンと操作の容易さ」をよく読む。 • CMSおよび管理対象システムを設定したら、CMS上で検出を実行する。 CMSの設定 • SSLサーバ証明書を調べ、必要な場合は更新する。 • グローバル プロトコル設定でWBEMパスワードおよびSNMPコミュニティ名を設定する。下記の「管理対 象システムに関するCMSの設定」の項を参照してください。 • オペレーティング システム アカウントに基づいて、HP SIMにアクセスするユーザ アカウントを設定する。 • デフォルトが適切でない場合、ツールボックスを確認して設定する。 • ユーザの権限を確認して設定する。 • システム リンクの設定フォーマットを設定する。 • 監査ログを参照する。 強力なセキュリティ 注記:詳しくは、「方法:ロックダウンと操作の容易さ」を参照してください。 • [信頼証明書を要求する]を有効にして、目的のシステムSSL証明書またはルート署名証明書を調べてイン ポートする。 • 既知のSSHキーのみを要求するようにして、目的のシステムSSHパブリック キーを調べてインポートする。 管理対象システムの設定 • SNMPコミュニティ名を設定する。このコミュニティ名はCMSで必要。 • HP-UXおよびLinux上のWBEMの場合、WBEMパスワードを設定する。このパスワードはCMSで必要。セ キュリティを最大限に高めるには、管理対象システムごとに異なるユーザ名およびパスワードを使用する必 要がある。アクセスを有効にするには、各ユーザ名/パスワード ペアをCMSに入力しなければならない。 • CMSは、Windowsシステム上のWMIデータにアクセスするためにユーザ名とパスワードを必要とする。デ フォルトでは、このアクセスにドメイン管理者アカウントを使用できるが、WMIアクセス用の制限された 権限を持つアカウントを使用する必要がある。各Windows管理対象システムに承認されるアカウントは、 [コンピュータの管理]ツールを使用して、次の手順で設定できる。 1. 最初に、[WMIコントロール]項目を選択します。 2. [WMIコントロール]を右クリックして、[プロパティ]を選択します。 3. [セキュリティ]タブを選択し、[Root]フォルダを選択して、[セキュリティ]をクリックします。 4. WMIデータにアクセスするユーザを追加して、そのユーザのアクセス権を設定します。HP SIMが正 常に動作するには、[アカウントの有効化]と[リモートの有効化]の[許可]が選択されている必要があ ります。 5. ここで指定したユーザ名とパスワードをCMSで設定する必要があります。 • Insight Webエージェント用のユーザ アカウントをセットアップする。 • CMS上でmxagentconfigを実行して、CMSのSSHパブリック キーをシステムの信頼されているキー ストア に追加する。 • Insight Webエージェントの信頼関係オプションを設定します。[証明書による信頼]に設定する場合は、CMS SSL証明書をインポートする。 管理対象システムに関するCMSの設定 WBEMおよびWMIアクセスに使用されるユーザ名とパスワードによって、またSNMPコミュニティ名に関して、 CMSを設定する必要があります。これらのユーザ名/パスワードは、ネットワーク上のすべてのシステムで共 通のものを使用する場合は[グローバル プロトコル設定]ページ、システムごとに異なるものを使用する場合は [システム プロトコル設定]ページで設定することができます。どちらのページも、[オプション]、[プロトコル 設 定 ] メ ニ ュ ー の 順 に 選 択 し て ア ク セ ス で き ま す 。 ま た 、 CMS の 設 定 は 、 コ マ ン ド ラ イ ン ツ ー ル の mxnodesecurityを使用して設定することもできます。詳しくは、manページまたはオンライン マニュアル を参照してください。 重要:[グローバル プロトコル設定]ページで指定されたすべてのパスワードは、システムの識別の際に使用さ れます。機密パスワード(ルート パスワード、ドメイン管理者パスワードなど)は、信頼できないシステム に送信される危険性がある場合には、このページで指定しないでください。 方法:ロックダウンと操作の容易さ Moderate Insightマネジメント エージェントには、[証明書による信頼]に設定しなければなりません。このため、パブ リック キーを含むHP SIMの証明書をすべての管理対象システムに配布する必要があります。各システムがHP SIMシステムを信頼するように設定されたら、各システムは、指定されたシステムだけから安全なコマンドを 受信するようになります。 この証明書の配布には、次のいくつかの方法があります。 1. 個々のInsightマネジメント エージェントのWebベースのインタフェースを使用して、信頼するHP SIM システムを指定できます。これにより、エージェントはHP SIMシステムからただちにデジタル証明書 を取り出し、ユーザが確認できるようにします。その後、信頼関係が設定されます。この方法はわず かの脆弱性(証明書を取り出す際にHP SIMシステムがスプーフィングされる可能性があり、ユーザの 意図とは異なる信頼関係が設定される可能性があります)を含みます。ただし、ほとんどのネット ワークでは十分安全な方法です。 2. Insightマネジメント エージェントの初期インストール中に、HP SIM証明書をインポートします。この 方法は、ユーザの操作でインストールを行う際に手動で実行するか、または自動インストールで設定 ファイルを用いて実行することができます。この方法は、上記のスプーフィング攻撃の機会がほとん どないため、第1の方法より安全です。 3. Insightマネジメント エージェントがすでにデプロイメントされている場合に、OSのセキュリティ機能 を使用して、セキュリティ設定ファイルとHP SIM証明書を管理対象システムに直接配布できます。 重要:[証明書による信頼]オプションでは、CMSに対して新しいSSL証明書を生成する場合、HP SIMのSSL 証明書を再配布する必要があります。管理対象システムのSSHは、CMSからのSSHパブリック キーを必要 とするという点で、通常[証明書による信頼]と同じモードで動作します。SSHパブリック キーは、SSL証明 書 と 同 じ で は な い こ と に 注 意 し て く だ さ い 。 管 理 対 象 シ ス テ ム に キ ー を コ ピ ー す る に は 、 CMS で mxagentconfigコマンドを使用します。ルートまたは管理者のアカウントがデフォルトで使用されるた め、この操作は、管理対象システムで使用される各ユーザ アカウントに対して行われる必要があります。 重要:SSHキーペアを再生成する場合、HP SIMのSSHパブリック キーを再配布する必要があります。 Strong 強力なセキュリティ オプションにより、各セキュリティ機能をすべて利用できます。このオプションは、HP SIMのセキュリティ フレームワークで使用できる最高レベルのセキュリティ機能を提供しますが、この機能を 実現するには、ご使用のサーバを操作して追加手順を実行する必要があります。また、このオプションは、認 証機関および証明書サーバを含む独自のPKIを使用することにより可能になります。 1. まず、各管理対象システムおよびHP SIMシステム用の証明書サーバから証明書を生成する必要があり ます。この手順を実行するには、まず、各種システムで、証明書署名要求(CSR)を生成します。こ れにより、PKCS#7ファイルが生成されます。次に、このファイルを、証明書サーバに取り出し署名 します。その後、結果として生成されるファイル(通常、PKCS#10応答)を各管理対象システムとHP SIMシステムにインポートします。 重要:セキュリティを最大限に高めるには、何らかの他のメカニズムによりすべての通信が保護され ている場合を除いて、これらの手順をネットワーク経由で行わないようにしてください。 このため、Insightマネジメント エージェントの場合、管理対象システムにリムーバブル メディア (USBサム ドライブやディスケットなど)を直接挿入し、PKCS#7ファイルを保存して、証明書サー バにアクセスできる安全なシステムに持参します。次に、同様の手順で、PKCS#10応答ファイルをリ ムーバブル メディアに保存して管理対象システムに戻し、Insightマネジメント エージェントにイン ポートします。 2. 証明書サーバのルート証明書(証明書のみ。プライベート キーは不要)を取り出し、HP SIMの信頼証 明書リストにインポートします。すべての管理対象システムがこのルート証明書で署名されているた め、これにより、HP SIMはすべての管理対象システムを信頼するようになります。 3. HP SIMシステムから証明書を取り出し、各システムのInsightマネジメント エージェントにインポート する必要があります。これにより、管理対象システムは、HP SIMシステムを信頼するようになります。 この証明書は、HP SIMの証明書の配布に使用できる任意の方法で配布できます。ただし、Man-In-TheMiddleアタックの可能性があるため、HP SIMシステムからネットワーク経由で直接証明書を取り出す ことは避けてください。 重要:Moderateオプションと同様に、新しいHP SIMのSSL証明書が生成された場合はいつでも、その SSL証明書を管理対象システムに再配布する必要があります。 4. 以上の手順が完了したら、HP SIMで[信頼証明書を要求する]を有効にするオプションを設定できます。 [オプション]、[セキュリティ]、[証明書]、[信頼証明書]を選択します。このオプションで提供される 警告は、証明書サーバで署名された証明書を保有しない管理対象システムには、HP SIMシステムから 安全なコマンドが送信されないことを明らかにします。ただし、そのハードウェア ステータスは監視 されます。 5. SSHの場合は、指定されたシステムからのみSSH接続を受け入れるオプションを有効にします。[オプ ション]、[セキュリティ]、[SSHキー]を選択して、[中央管理サーバは、下記にリストされているホス ト キーのみSSH接続を受け入れます。]オプションを有効にします。その後、各管理対象システムの パブリックSSHキーをHP SIMのキーのリストに手動でインポートする必要があります。 注記:以前のバージョンのHP SIMでこのオプションを設定するには、H mx.propertiesに次の行を 追加または変更します。 MX_SSH_ADD_UNKNOWN_HOSTS=false 次に、HP SIMを再起動します。 その後、各管理対象システムのパブリックSSHキーをHP SIMのキーのリストに手動でインポートする 必要があります。 ポート リスト HP SIMソリューションでは、次のポートおよびプロトコルが使用されます。アプリケーション ファイア ウォールが存在する場合、コアのHP SIMプロセスはmxdomainmgrであり、分散タスク ファシリティ (DTF)はmxdtfです。 CMS In2 管理対象 システム Out プロトコル1 説明 ICMP1 ping Out In あり あり 22 SSH SSHサーバ(DTF用) あり あり 161 SNMP SNMPエージェント 162 SNMPトラップ トラップ リスナ あり あり ポート あり あり4 あり 80 HTTP マネジメント プロセッサおよびその他の デバイス、標準のWebサーバ あり4 あり 280 HTTP HP SIM用のWebサーバ、Webエージェントの自 動起動ポート あり4 あり 443 HTTPS マネジメント プロセッサおよびその他の デバイス、標準のWebサーバ 1443 TCP Microsoft SQL Serverデータベース 2301 HTTP WebエージェントのWebサーバ 2367 RMI HP SIM RMI接続 2381 HTTPS WebエージェントのWebサーバ あり あり あり あり3 あり あり 5432 あり ProstgreSQL Serverデータベース あり あり 5988 HTTP WBEMサービス あり あり 5989 HTTPS WBEMサービス あり 50000 HTTPS HP SIMのWebサーバ あり 50001 HTTPS HP SIM SOAP(設定可能6) あり 50002 HTTPS HP SIM SOAP、クライアント証明書認証付き (設定可能7) 50003 HTTP HP SIM SOAP(設定可能8) 50004 HTTPS/HTTP WBEMイベント レシーバ(設定可能) あり 50005 WBEM WBEMイベント あり 50006 PostgreSQL PostgreSQL あり 50008 SIM JMS JMSポート あり 50009 SIM JNDI JNDIポート 50010 DMI5 DMI 50013 RMI WebサービスのRMIローダ 50014 JRMP JRMP Invoker 50015 Pooled invoker Pooled invoker あり あり あり あり あり あり4 あり 411 HTTP IBM Directorエージェント あり4 あり 1311 HTTPS サーバ アドミニストレータ 2069 HTTP OSEM あり4 あり4 あり 3202 HTTPS StorageWorks NAS あり4 あり 3257 HTTPS ラック アンド パワー マネージャ あり4 あり 4095 HTTP CommandView ESL あり4 あり 4096 HTTP CommandView SDM あり4 あり 8000 HTTP HP Web letAdmin あり4 あり 8008 HTTP デフォルトのホーム ページ あり4 あり 8443 HTTPS HP Web JetAdmin 注記: 1 すべてのポートがTCPおよびUDP用(ICMPを除く) CMSは、CMS自体が管理対象システムのため、通常、すべての管理対象システム ポートを開いたままにし ます。他のシステムからCMSを管理しない場合は、ファイアウォールを設定してこれらのポートを閉じるよう に設定できます。 2 RMIポートは、CMS内でプロセス間通信に使用されます。CMS外部からの接続は許可しないため、ファイア ウォールでこのポートを閉じることができます。 3 4 CMSの多くの送信ポートが検出用に使用されます。 DMIにより使用される実際のUDP/TCPポートは、動的で、システムにより異なりますが、32,780前後より後 のポートになる傾向があります。 5 6 ポート番号は、mx.propertiesでMX_SOAP_PORTを使用して設定できます。 7 ポート番号は、mx.propertiesでMX_SOAP_SSO_PORTを使用して設定できます。 ポ ー ト 番 号 は 、 mx.properties で MX_SOAP_HTTP_PORT を 使 用 し て 設 定 で き ま す 。 ポ ー ト は 、 「globalsettings.props」で、HTTP_SOAP_PORT_ENABLEに「true」または「false」を指定して有効と無効を切 り替えることができます。 8 注記:SNMPやDMIなどの、管理プロトコルをファイアウォールの外側のシステムやインターネットに直接接 続されたシステムで有効にすることはおすすめできません。 Vulnerability and Patch Management Packファイアウォール ポート HP SIMサーバ HP SIMサーバでは、次のポートを開いておく必要があります。 ポート プロトコル 説明 280 TCP HP SIMのHTTPポート 50000 TCP HP SIMのHTTPSポート 5989 TCP HP SIMのWBEM(Web-Based Enterprise Management)/WMI Mapperセキュリティ ポート 22 TCP HP SIMのSSHポート 50001 TCP HP SIMのセキュリティ保護されたSOAP (Simple Object Access Protocol)ポート 161 TCP/UDP SNMP 162 TCP/UDP SNMPトラップ VPMサーバ VPMサーバでは、次のポートを開いておく必要があります。 注記:次のポートは、CMSのみに適用されます。 MSDE ポート プロトコル 説明 445 TCP MSDE名前付きパイプ通信 1434 UDP MSDE共有インスタンス サポート 変数 TCP MSDE TCP/IP通信 VPMは、ファイアウォールを介して次のWebサイトにアクセスできる必要があります。 • http://www.microsoft.com • https://ftp.hp.com • http://support.microsoft.com • http://rhn.redhat.com • http://www.cve.mitre.org • http://www.itrc.hp.com • http://www.msus.windowsupdate.com • http://download.microsoft.com/ • https://www.hp.com/(英語) • http://managementsoftware.hp.com(英語) 詳しくは、次のMicrosoft社のWebサイトを参照してください。 • http://www.microsoft.com/sql/techinfo/administration/2000/security/ • http://support.microsoft.com/default.aspx?kbid=839980 Harris STAT®スキャナ エンジン ポート プロトコル 説明 443 TCP HTTPSポート 80 TCP HTTPポート 135、 137、 138、 139、 445 TCPおよび UDP Microsoftネットワークのファイル/プリンタ 共有 Radia Patch Manager ポート プロトコル 説明 3464 TCP 設定サーバ 3466 TCP Radia Management Portal ターゲット ノード ターゲット ノードでは、次のポートを開いておく必要があります。 Scanner Access(ターゲット ノード) ポート プロトコル 説明 135、 137、 138、 139、 445 TCPおよび UDP Microsoftネットワークのファイル/プリンタ 共有 135、 137、 138、 139、 445 TCPおよび UDP リモート レジストリ サービス IPC$、 ADMIN$、 C$ デフォルト管理共有が有効になっていなければ ならない HP SIM ポート プロトコル 説明 161 TCP/UDP SNMP 162 TCP/UDP SNMPトラップ 2301、 2381、 49400 TCP HP Proliantエージェント Radia Patch Manager ポート プロトコル 説明 3465 TCP Radiaエージェント 3463 (リモー ト実行) TCP エージェントのデプロイメント Virtual Machine Management Packポート Virtual Machine Management Packでは、次のポートが使用されます。 ポート 1124 1125 1126 プロトコル 説明 TCPおよび UDP HP VMMコントロール TCPおよび UDP HP VMMエージェント TCPおよび UDP HP VMMエージェント 注記:このポートは、CMSに対してのみ適用さ れます。 注記:このポートは、CMSと管理対象システム に対して適用されます。 注記:このポートは、CMSと管理対象システム に対して適用されます。 注記: • ブラウザとVMM Webサービスの間の通信には、ポート50010経由のHTTPSが使用されます。 • VMM WebサービスとVMMサービス(どちらもHP SIM CMS上)の間の通信には、ポート1124経由のSSLが 使用されます。 • VMMサービスとVMMエージェント(仮想マシン ホスト上)の間の通信には、ポート1125および1126経由 のSSLが使用されます。 • 仮想マシンの移動またはコピー時のVMMエージェント間の通信には、ポート1126経由のSSLが使用され ます。 Integrated Lights-Out(iLO)のポート iLOでは、次のポートが使用されます。iLOの特定の機能を無効にすると、iLOによって実際に開かれるポート の リ ス ト に 影 響 を 与 え ま す 。 HP の Web サ イ ト http://h20000.www2.hp.com/bc/docs/support/ SupportManual/c00212796/c00212796.pdf(英語)にある『Integrated Lights-Out Security』のテクノロジ概 要を参照してください。 ポート プロトコル 説明 22 SSH iLOテキスト/CLI 23 Telnet リモート コンソール、仮想シリアル ポート 80 HTTP HTTPインタフェース 161 SNMP SNMP GET/SET 162 (Out) SNMP SNMPトラップ 443 HTTP/SSL HTTPSインタフェース、暗号化されたXMLアク セス 636 (Out) LDAP/SSL ディレクトリ サーバに対する安全なLDAP 3389 ターミナル サービス ターミナル サービス セッション(Windowsを 使用したソフトウェア ベースのリモート コン ソール) 17988 仮想 メディア 仮想メディア © 2004-2009 Hewlett-Packard Development Company, L.P. 本書の内容は、将 来予告なしに変更されることがあります。HP製品およびサービスに対する保 証については、当該製品およびサービスの保証規定書に記載されています。 本書のいかなる内容も、新たな保証を追加するものではありません。本書の 内容につきましては万全を期しておりますが、本書中の技術的あるいは校正 上の誤り、脱落に対して、責任を負いかねますのでご了承ください。 本製品は、日本国内で使用するための仕様になっており、日本国外で使用さ れる場合は、仕様の変更を必要とすることがあります。 本書に掲載されている製品情報には、日本国内で販売されていないものも含 まれている場合があります。 481362-193、2009年2月
© Copyright 2024 ExpyDoc