EMC VNXe. Guía de configuración de seguridad. Versión 2. Nº. de referencia Rev 05

Versión 2

Guía de configuración de seguridad

Nº. de referencia 300-012-190 Rev 05

EMC Latinoamérica

Oficina central corporativa: Hopkinton, MA 01748-9103 1-508-435-1000 www.EMC.com (visite el sitio web de EMC correspondiente a su region).

EMC considera que la información de esta publicación es precisa en el momento de su publicación. La información está sujeta a cambios sin previo aviso.

LA INFORMACIÓN DE ESTA PUBLICACIÓN SE PROPORCIONA "TAL CUAL". EMC CORPORATION NO SE HACE RESPONSABLE NI OFRECE GARANTÍA DE NINGÚN TIPO CON RESPECTO A LA INFORMACIÓN DE ESTA PUBLICACIÓN Y, ESPECÍFICAMENTE, RENUNCIA A TODA GARANTÍA IMPLÍCITA DE COMERCIABILIDAD O CAPACIDAD PARA UN PROPÓSITO DETERMINADO.

El uso, la copia y la distribución de cualquier software de EMC descrito en esta publicación requieren una licencia de software correspondiente.

Para consultar el documento regulatorio más actualizado para su línea de productos, visite la sección Documentación Técnica y Asesorías en EMC Powerlink.

Para obtener una lista actualizada de nombres de productos de EMC, consulte las marcas comerciales de EMC Corporation en EMC.com (visite el sitio web de EMC correspondiente a su región).

Prefacio...5

Capítulo 1: Introducción...7

descripción general...8

Documentos relacionados...8

Capítulo 2: Control de acceso...11

Métodos de acceso...12

Cuentas de administración y de servicio de VNXe predeterminadas de fábrica...14

Administración de cuentas de VNXe...14

Unisphere para VNXe...15

Interfaz de la línea de comandos de VNXe Unisphere...16

Interfaz de servicio vía protocolo SSH de VNXe...18

Interfaz de servicio de VNXe a través de un puerto en serie...19

Capítulo 3: Registro...21

Registro...22

Opciones de registro remoto...23

Capítulo 4: Seguridad de las comunicaciones...25

Uso de los puertos...26

Puertos de red de VNXe...26

Puertos con los que se puede comunicar VNXe...30

Certificado de VNXe...32

Configuración de la interfaz de administración mediante DHCP...33

Asigne automáticamente una dirección IP a su sistema VNXe...34

Funciones, servicios e interfaces de VNXe que soportan el protocolo de

Internet versión 6...35

Acceso a la interfaz de administración de VNXe mediante IPv6...37

Ejecutar Connection Utility...38

Cifrado CIFS...38

Capítulo 5: Configuración de la seguridad de datos...41

Configuración de la seguridad de datos...42

Cifrado de datos inactivos...43

Capítulo 6: Mantenimiento de seguridad...47

Mantenimiento seguro...48

Actualización de licencias...48

Actualización de software...48

Capítulo 7: Configuración de alertas de seguridad...51

Ajustes de alertas...52

Implementación de los ajustes de alertas...53

Capítulo 8: Otras configuraciones de seguridad...55

Eliminación de datos...56

Controles de seguridad físicos...56

Como parte de un esfuerzo por aumentar y mejorar el rendimiento y las capacidades de su línea de productos, EMC lanza revisiones periódicas de sus hardware y software. En consecuencia, es posible que algunas de las funciones que se describen en este documento no se soporten en todas las versiones de las herramientas de hardware y software que se encuentran en uso actualmente. Para obtener la información más actualizada acerca de las características del producto, consulte las notas de la versión del producto correspondiente.

Si un producto no funciona correctamente o de la manera que se describe en este documento, póngase en contacto con su representante de EMC.

Convenciones para notificaciones especiales

EMC usa las siguientes convenciones para notificaciones especiales:

Nota:Pone el acento en la excepcional importancia o interés, pero no se relaciona con lesiones personales ni pérdida de negocios o datos.

Identifica contenido que advierte sobre la posibilidad de pérdida de negocios o datos. Indica una situación peligrosa que, si no se evita, podría provocar lesiones menores o moderadas.

Indica una situación peligrosa que, si no se evita, podría provocar la muerte o lesiones graves.

Indica una situación peligrosa que, si no se evita, provoca la muerte o lesiones graves.

Dónde obtener ayuda

La información sobre soporte, productos y licencias de VNXe puede obtenerse de la siguiente manera:

Información de productos: para obtener documentación, notas de versiones, actualizaciones de software o información sobre productos, licencias y servicios de EMC, visite el sitio web del servicio de soporte en línea de EMC (requiere registro) en la direcciónhttp://www.emc.com/vnxesupport.

Soporte técnico: para solicitudes de servicio y soporte técnico, vaya a Soporte en línea de EMC. En Centro de servicio, verá varias opciones, incluida una para crear una solicitud de servicio. Tenga en cuenta que para abrir una solicitud de servicio, debe contar con un acuerdo de soporte válido. Póngase en contacto con un representante de ventas de EMC para obtener detalles acerca de cómo obtener un acuerdo de soporte válido o para formular preguntas sobre su cuenta.

Nota:No solicite un representante de servicio específico a menos que ya se le haya asignado uno para su problema específico del sistema.

Sus comentarios

Sus sugerencias nos ayudarán a continuar mejorando la exactitud, organización y calidad general de la documentación para usuarios.

Envíe su opinión de este documento a:

Introducción

En este capítulo, se describen brevemente diversas funciones de seguridad implementadas en el sistema VNXe.

Se incluyen los siguientes temas: ◆ _{descripción general en la página 8} ◆ _{Documentos relacionados en la página 8}

descripción general

EMC®_VNXe™_{utiliza una gran variedad de características de seguridad para controlar el} acceso de red y del usuario, monitorear el acceso al sistema y su uso, y soportar la transmisión de datos de almacenamiento. En este documento se describen las características de seguridad de VNXe disponibles.

Está orientado a los administradores responsables de la configuración y el funcionamiento del sistema VNXe.

La guía cubre las configuraciones de seguridad incluidas en las categorías que se muestran enTabla 1 en la página 8:

Tabla 1.Categorías de ajustes de seguridad Descripción

Categoría de seguri-dad

Limitación de acceso por parte del usuario final u otras entidades para proteger el hardware, el software u otras características específicas del producto.

Control de acceso

Administración del registro de eventos. Logs

Seguridad de la comunicación de red del producto. Seguridad de la

comuni-cación

Provisión de protección de los datos del producto. Seguridad de los datos

Mantenimiento del control de las operaciones de servicio del producto por parte de EMC o sus partners de servicio.

Capacidad de servicio

Generación de notificaciones y alertas de seguridad para eventos relacionadas con la seguridad.

Sistema de alertas

Configuraciones de seguridad que no coinciden con la descripción de ninguna de las secciones anteriores, como la seguridad física y la eliminación de datos.

Otras configuraciones de seguridad

Documentos relacionados

En la documentación de VNXe disponible en el sitio web del servicio de soporte en línea de EMC,www.emc.com/vnxesupport, puede encontrar instrucciones de configuración específicas. Esta guía incluye referencias a los siguientes documentos, cuando corresponda. ◆ _{Instalación del hardware de VNXe}

◆ _{Unisphere para la ayuda en línea de VNXe} ◆ _{Uso de VNXe con carpetas compartidas de CIFS} ◆ _{Uso de VNXe con carpetas compartidas de NFS} ◆ _{Uso de VNXe con Microsoft Exchange}

◆ _{Uso de Celerra VNXe con el almacenamiento iSCSI genérico} ◆ _{Uso de VNXe con el almacenamiento de VMware}

◆ _{Guía del usuario sobre la interfaz de la línea de comandos de VNXe}

Control de acceso

En este capítulo, se describen diversas funciones de control de acceso implementadas en el sistema VNXe.

Se incluyen los siguientes temas: ◆ _{Métodos de acceso en la página 12}

◆ _{Cuentas de administración y de servicio de VNXe predeterminadas}

de fábrica en la página 14

◆ _{Administración de cuentas de VNXe en la página 14} ◆ _{Unisphere para VNXe en la página 15}

◆ _{Interfaz de la línea de comandos de VNXe Unisphere en la página}

16

◆ _{Interfaz de servicio vía protocolo SSH de VNXe en la página 18} ◆ _{Interfaz de servicio de VNXe a través de un puerto en serie en la}

página 19

Métodos de acceso

VNXe soporta los métodos de acceso que se muestran enTabla 2 en la página 12. Tabla 2.Métodos de acceso

Descripción Tipo

Estas cuentas tienen privilegios (consulte Tabla 6 en la página 16) para realizar las tareas de admin-istración y monitoreo asociadas con el sistema VNXe y sus recursos de almacenamiento. Cuentas de

ad-ministración

Las contraseñas se crean y administran por medio de las interfaces de administración de VNXe y se pueden usar para obtener acceso las siguientes interfaces de administración:

◆ _{EMC Unisphere}™_:

Interfaz gráfica web a la que se obtiene acceso por HTTPS y que proporciona herramientas para configurar, administrar y monitorear las configuraciones del sistema y el almacenamiento de VNXe.

◆ _{Interfaz de la línea de comandos de VNXe Unisphere:}

La interfaz de la línea de comandos de VNXe Unisphere proporciona un subconjunto de la fun-cionalidad disponible por medio de Unisphere.

Tabla 2.Métodos de acceso (continuación) Descripción

Tipo

Esta cuenta realiza funciones de servicio especializadas. Una sola cuenta proporciona acceso a las interfaces de servicio mediante una conexión de puerto en serie o protocolo SSH.

Cuenta de servi-cio

Las interfaces de servicio de VNXe incluyen: ◆ _{Unisphere para VNXe:}

Con una cuenta de administración, escriba la contraseña de servicio para acceder a la página de servicio de Unisphere, en la que puede realizar las siguientes acciones:

◆ _{Recopilar información de servicio del sistema:}

Puede recopilar información para el sistema y guardarla en un archivo. El personal de ser-vicio de EMC puede usar la información recopilada para analizar su sistema.

◆ _{Reinicializar el sistema:}

Puede restablecer el sistema VNXe a la configuración de fábrica original. Ambos proce-sadores de almacenamiento (SP) deben estar instalados, funcionando normalmente y en-contrarse en modo de servicio para que pueda realizar esta acción.

Nota: Modo de servicio: es un modo operacional reducido diseñado para el mantenimiento y la solución de problemas. Un sistema VNXe que se encuentre en este modo está restringido a una interfaz limitada a través de Unisphere, así como también a una interfaz de CLI es-pecífica que permite la solución aislada de problemas.

◆ _{Cambiar la contraseña de servicio del sistema:}

Cambie la contraseña de servicio para tener acceso a la página Servicio del sistema.

◆ _{Interfaz de la línea de comandos de VNXe Unisphere:}

La interfaz de la línea de comandos de VNXe Unisphere proporciona una interfaz de línea de comandos para la misma funcionalidad disponible por medio de Unisphere.

◆ _{Interfaz de script de servicio de VNXe por medio de un protocolo SSH:}

Interfaz de línea de comandos a la que se tiene acceso a través de un cliente SSH y que propor-ciona funciones específicas de servicio para diagnosticar, localizar y solupropor-cionar problemas de VNXe.

◆ _{Interfaz de servicio de VNXe por medio de un puerto en serie:}

Proporciona las mismas características de diagnóstico y de solución de problemas que la interfaz de servicio que usa un protocolo SSH, salvo que el acceso se obtiene a través de una interfaz con puerto en serie.

Cuentas de administración y de servicio de VNXe predeterminadas

de fábrica

El sistema VNXe viene con configuraciones de cuenta de usuario predeterminadas de fábrica para usar cuando se obtiene acceso y se configura el sistema VNXe inicialmente. Consulte

Tabla 3 en la página 14.

Tabla 3.Configuración predeterminada de fábrica de las cuentas de usuario Privilegios Contraseña

Nombre de usuario Tipo de cuenta

Privilegios de administrador para restablecer contraseñas predeterminadas, configurar los ajustes del sistema, crear cuentas de usuario y asignar almacenamiento.

Password123# admin

Administración (Unisphere)

Realizar operaciones de ser-vicio.

service service

servicio

Nota:Durante el proceso de configuración inicial, debe cambiar la contraseña de las cuentas predeterminadas de servicio y del administrador.

Administración de cuentas de VNXe

LaTabla 4 en la página 14muestra las formas en las que puede administrar las cuentas de VNXe.

Tabla 4.Métodos de administración de cuentas Descripción

Funciones de cuenta

Después de que el proceso de configuración del sistema inicial de VNXe está completo, puede administrar las cuentas de administración de VNXe desde Unisphere o desde la interfaz de la línea de comandos de VNXe Unisphere. Puede crear, modificar, eliminar o restablecer la configuración de contraseñas para las cuentas de VNXe locales, y asignar o cambiar fun-ciones a cuentas que determinan los privilegios en función de los usuarios que las usen. Administración

No puede crear o eliminar cuentas de servicio de VNXe. Para restablecer la contraseña de la cuenta de servicio, debe usar la función Cambiar contraseña de servicio desde la página de servicio de Unisphere.

servicio

Nota:Para cambiar las contraseñas predeterminadas de fábrica de las cuentas del sistema VNXe, debe presionar el botón de restablecimiento de contraseña que está en el chasis del sistema VNXe. La ayuda en línea de Unisphere proporciona más información.

Unisphere para VNXe

La autenticación para obtener acceso a Unisphere se realiza en función de las credenciales de la cuenta de usuario (local o LDAP). Se crean las cuentas de usuario y, luego, se

administran mediante la página de administración de Unisphere. Las autorizaciones que se aplican a Unisphere dependen de la función asociada con la cuenta de usuario.

Reglas de las sesiones

Las sesiones de Unisphere tienen las siguientes características: ◆ El plazo de vencimiento es de una hora.

◆ El tiempo de espera de sesión no es configurable.

◆ Los ID de sesión se generan durante la autenticación y se utilizan durante el lapso de cada sesión.

Uso de las contraseñas

Los nombres de usuario y las contraseñas de las cuentas de Unisphere deben cumplir con los siguientes requerimientos, según se muestra en laTabla 5 en la página 15. Tabla 5.Requerimientos de cuentas de Unisphere

Requerimiento de con-traseña

Restricción

8 Cantidad mínima de caracteres

1 Cantidad mínima de caracteres en mayúsculas

1 Cantidad mínima de caracteres en minúsculas

1 Cantidad mínima de caracteres numéricos

1 Cantidad mínima de caracteres especiales

Los caracteres especiales soportados incluyen: !,@#$%^*_~?

40 Cantidad máxima de caracteres

Nota:Para cambiar las contraseñas de las cuentas desde Unisphere, haga clic enConfiguración > Más configuraciones > Administrar. Cuando se cambia una contraseña, no es posible volver a utilizar ninguna de las últimas tres contraseñas. La ayuda en línea de Unisphere proporciona más información.

Autorización

Tabla 6 en la página 16muestra las funciones que puede asignar a los usuarios locales de VNXe y los privilegios asociados con dichas funciones. Además, puede asignar estas funciones a usuarios y grupos LDAP.

Tabla 6.Funciones y privilegios de usuarios locales

Administrador Administrador de almace-namiento Operador Tarea x x x Cambiar la contraseña de inicio de sesión local propia

x Agregar hosts x x Crear almacenamiento x x Eliminar almacenamiento x x

Agregar objetos de almacenamiento a recursos de almacenamiento (discos virtuales, recursos compartidos, grupos de almacenamiento, etc.)

x x

x Ver estado y configuración de almacenamiento

x x

Ver las cuentas de usuario de VNXe

x Agregar, eliminar o modificar las cuentas de usuario de VNXe

x x

x Ver el estado actual del software o la licencia

x Actualizar software o licencia

x Establecer la configuración inicial

x Modificar la configuración del servidor de almacenamiento

x Modificar la configuración del sistema VNXe

x Modificar la configuración de red de VNXe

x x

x Cambiar el idioma de la interfaz de administración

Nota:Para cambiar las funciones de las cuentas en Unisphere, haga clic enConfiguración > Más configuraciones > Administrar. La ayuda en línea de Unisphere proporciona más información.

Interfaz de la línea de comandos de VNXe Unisphere

La interfaz de la línea de comandos de VNXe Unisphere proporciona una interfaz de línea de comandos para la misma funcionalidad disponible por medio de Unisphere.

Para ejecutar la interfaz de la línea de comandos de Unisphere, se necesita el software de línea de comandos especial de VNXe. Puede descargar este software del sitio web de soporte en línea de EMC, en la siguiente dirección:www.emc.com/vnxesupport.

Reglas de las sesiones

La interfaz de la línea de comandos de Unisphere no soporta sesiones. Debe usar una sintaxis de línea de comandos para especificar el nombre de usuario y la contraseña de las cuentas con cada comando ejecutado.

Puede usar el comando–saveuserde Unisphere CLI para guardar las credenciales de acceso (nombre de usuario y contraseña) de una cuenta específica en un archivo local. Tras guardar las credenciales de acceso, la interfaz de la línea de comandos las aplica automáticamente al puerto y al destino de VNXe especificados cada vez que usted ejecute un comando.

Uso de las contraseñas

La autenticación de la interfaz de la línea de comandos de Unisphere se realiza de acuerdo con las cuentas de administración creadas y administradas por medio de Unisphere. Los mismos permisos que se aplican a Unisphere se aplican a comandos específicos según la función asociada con la cuenta de inicio de sesión actual.

Ajustes guardados

Puede guardar la siguiente configuración en el host en que se ejecuta la interfaz de la línea de comandos de Unisphere:

◆ Credenciales de acceso de usuario, incluidos su nombre de usuario y contraseña, para cada sistema al que accede.

◆ Certificados SSL importados del sistema.

◆ Información sobre el sistema predeterminado para obtener acceso mediante la interfaz de la línea de comandos de Unisphere, incluidos el nombre del sistema o la dirección IP y el número de puerto del sistema.

La interfaz de la línea de comandos de Unisphere guarda los ajustes en una caja de seguridad protegida que reside de forma local en el host en el que está instalada la interfaz de la línea de comandos de Unisphere. Los datos almacenados están disponibles solo en el host donde se guardaron y solo para el usuario que los guardó. La caja de seguridad reside en las siguientes ubicaciones:

◆ En Microsoft Windows XP:

C:\Documents and Settings\<nombre_de_cuenta>\Local Settings\ApplicationData\EMC\UEM CLI\

◆ En Windows 7:

C:\Users\${nombre_de_usuario}\AppData\Local\.EMC\UEM CLI\

◆ En UNIX/Linux:

<home_directory>/EMC/UEM CLI

Localice los archivos config.xml y config.key. Si desinstala la interfaz de la línea de comandos de Unisphere, estos directorios y archivos no se eliminan y se pueden conservar. No obstante, por motivos de seguridad, es recomendable eliminar estos archivos.

Interfaz de servicio vía protocolo SSH de VNXe

La interfaz de servicio vía protocolo SSH de VNXe proporciona una interfaz de la línea de comandos para realizar un subconjunto de funcionalidades disponibles desde la página de servicio de Unisphere (Configuración > Sistema de servicio).

La cuenta de servicio les permite a los usuarios realizar las siguientes funciones: ◆ _{Ejecutar comandos de servicio de VNXe especializados para controlar y solucionar}

problemas con las operaciones y la configuración del sistema VNXe.

◆ _{Operar comandos de Linux estándar como miembro de una cuenta de usuario de Linux} sin privilegios. Esta cuenta no tiene acceso a datos de usuarios o clientes, archivos de configuración o archivos de sistema registrados.

Sesiones

Las sesiones de la interfaz de servicio vía protocolo SSH de VNXe se mantienen conforme a la configuración establecida por el cliente SSH. Las características de las sesiones son determinadas por los parámetros de configuración del cliente SSH.

Uso de las contraseñas

La cuenta de servicio es una cuenta que el personal de servicio de EMC puede usar para ejecutar comandos de Linux básicos.

La contraseña predeterminada para la interfaz de servicio de VNXe es service (servicio). Al realizar la configuración inicial del sistema VNXe, debe cambiar la contraseña de servicio predeterminada. Las restricciones de contraseña son las mismas que se aplican a las cuentas de administración de Unisphere (consulteTabla 5 en la página 15). Para obtener información sobre el comando de servicio de VNXe,svc_service_password, que se utiliza para administrar la configuración de contraseñas de la cuenta de servicio de VNXe, consulte el documento Comandos de servicio de VNXe.

Autorización

Como se muestra en laTabla 7 en la página 19, la autorización de la cuenta de servicio se define de dos maneras.

Tabla 7.Definiciones de autorización de la cuenta de servicio Descripción

Tipo de autorización

Los permisos de sistema de archivos definen la mayoría de las tareas que la cuenta de servicio puede o no realizar en el sistema VNXe. Por ejemplo, la mayoría de las herramientas y las utilerías de Linux que modifican la operación del sistema de alguna manera requieren privilegios de cuenta de superusuario. Dado que la cuenta de ser-vicio no tiene tales derechos de acceso, no puede usar las herramientas y las utilerías de Linux para las que no tiene permisos de ejecución.

Permisos del sistema de archivos de Linux

El mecanismo de ACL del sistema VNXe utiliza una lista de reglas muy específicas para otorgar o denegar explícitamente el acceso a recursos del sistema por medio de la cuenta de servicio. Estas reglas especifican los permisos de la cuenta de servicio a otras áreas del sistema VNXe que no están definidos por los permisos del sistema de archivos de Linux estándar.

Listas de control de acceso (ACL)

Comandos del servicio de VNXe

El ambiente operativo de VNXe tiene instalado un conjunto de comandos de diagnóstico de problemas, configuración del sistema y recuperación del sistema. Estos comandos proporcionan información detallada y un nivel más bajo de control del sistema del disponible por medio de Unisphere. En el documento de las notas técnicas, Comandos de

servicio de VNXe, se describen estos comandos y sus casos de uso comunes.

Interfaz de servicio de VNXe a través de un puerto en serie

La interfaz de servicio de VNXe a través de un puerto en serie proporciona las mismas funciones y características que la interfaz de servicio vía protocolo SSH y también está sujeta a las mismas restricciones. La diferencia es que los usuarios obtienen acceso a la interfaz mediante una conexión con un puerto en serie en lugar de hacerlo a través de un cliente SSH. Para obtener una lista de comandos de servicio, consulte el documento Notas técnicas sobre

comandos de servicios VNXe.

Registro

En este capítulo, se describen diversas funciones de registro implementadas en el sistema VNXe.

Se incluyen los siguientes temas: ◆ _{Registro en la página 22}

◆ _{Opciones de registro remoto en la página 23}

Registro

El sistema VNXe mantiene los siguientes tipos de log para rastrear los eventos que ocurren en el sistema. ConsulteTabla 8 en la página 22.

Tabla 8.Logs Descripción Tipo de log

Información que se muestra en Unisphere para notificar a los usuarios sobre los eventos de VNXe que pueden ser operados por el usuario. El idioma de estos registros corresponderá con la configuración de idioma predeterminado especificada para el sistema. Observe que los “eventos que pueden ser operados por el usuario” incluyen eventos de auditoría. Sin embargo, no todos los eventos registrados aparecen en la GUI. El sistema registrará las entradas del log de auditoría que no cumplan con cierto umbral de gravedad, pero no aparecerán en la GUI.

Log del sis-tema

Información que usa el personal de servicio para diagnosticar y monitorear el comportamiento o el estado del sistema VNXe. Estos registros se registran en inglés solamente.

Alerta del sistema

Visualización y administración de logs

Las siguientes características de registro se encuentran disponibles para sistemas VNXe. ConsulteTabla 9 en la página 22.

Tabla 9.Funciones de registro Descripción Características

Cuando el sistema de logs de VNXe acumula dos millones de entradas de log, depura las 500,000 entradas más antiguas (según la hora de registro de los logs) para volver a 1,500,000 entradas de log.

Para archivar las entradas de log, usted puede activar el registro remoto de modo que estas se carguen en un nodo de red remoto donde se pueden archivar o respaldar. La sección Sustitución de logs

dctm://esa/37000001802cb851?DMS_OBJECT_SPEC=RELATION_ID&DMS_AN-CHOR=#R18780 brinda información adicional.

Los niveles de registro no son configurables para VNXe. Solo se pueden configurar para los archivos de log exportados, según se describe en la sección

Niveles de registro

dctm://esa/37000001802cb85d?DMS_OBJECT_SPEC=RELATION_ID&DMS_AN-CHOR=#R18780.

Tabla 9.Funciones de registro (continuación) Descripción

Características

Puede ver la información de las alertas de VNXe de las siguientes maneras: Integración de alertas

◆ Ver alertas solamente:

En Unisphere, vaya a Sistema > Alertas del sistema. ◆ Ver todos los eventos de log:.

Mediante la interfaz de la línea de comandos de VNXe Unisphere, escriba el comando de cemcli list event.

Para archivar las entradas de log, usted puede activar el registro remoto de modo que estas se carguen en un nodo de red remoto donde se pueden archivar o respaldar. Allí, puede Administración externa de

logs

usar herramientas como syslog para filtrar y analizar resultados de logs. La sección

dctm://esa/37000001802cb85e?DMS_OBJECT_SPEC=RELATION_ID&DMS_AN-CHOR=#R18780 brinda información adicional.

La hora de los logs se registra en el formato GMT y se mantiene conforme a la hora del sistema VNXe (que está sincronizada con la hora de red local mediante el servidor NTP). Sincronización horaria

Opciones de registro remoto

VNXe soporta el envío de mensajes de usuario/auditoría de registro a una dirección de red remota. En forma predeterminada, VNXe transfiere la información de los logs en el puerto 514 mediante UDP. Los siguientes parámetros de registro remoto se pueden configurar por medio de Unisphere. Inicie sesión en Unisphere y haga clic enConfiguración > Ajustes de administración y seleccione la pestañaRed.

◆ _{Nombre o dirección de red donde VNXe envía información de logs remota}

◆ _{Tipo de mensajes de log de nivel de usuario para enviar. Use el campo Instalación para} configurar el tipo de mensajes de log. EMC recomienda que seleccione las opciones de Mensajes de nivel de usuario.

◆ _{Tipo (UDP o TCP) y número de puertos destinados a la transmisión de logs} ◆ _{Configuración del idioma que se utilizará para el texto de los mensajes de log}

Configuración de un host para recibir mensajes de log de VNXe

Antes de configurar el registro remoto para un sistema VNXe, debe configurar un sistema remoto que ejecute syslog para recibir mensajes de registro desde el sistema VNXe. En muchos escenarios, una raíz o un administrador en el equipo receptor pueden configurar el servidor syslog remoto para recibir la información de los logs mediante la edición del archivo syslog-ng.conf en el sistema remoto.

Nota:Para obtener más información sobre cómo configurar y ejecutar un servidor syslog remoto, consulte la documentación del sistema operativo que se ejecuta en el sistema remoto.

Seguridad de las

comunicaciones

En este capítulo, se describen diversas funciones de seguridad de comunicación implementadas en el sistema VNXe.

Se incluyen los siguientes temas: ◆ _{Uso de los puertos en la página 26} ◆ _{Certificado de VNXe en la página 32}

◆ _{Configuración de la interfaz de administración mediante DHCP en}

la página 33

◆ _{Funciones, servicios e interfaces de VNXe que soportan el protocolo}

de Internet versión 6 en la página 35

◆ _{Acceso a la interfaz de administración de VNXe mediante IPv6 en la}

página 37

◆ _{Ejecutar Connection Utility en la página 38} ◆ _{Cifrado CIFS en la página 38}

Uso de los puertos

La comunicación con la interfaz de Unisphere y la interfaz de la línea de comandos tiene lugar a través de HTTPS en el puerto 443. Los intentos para obtener acceso a Unisphere en el puerto 80 (vía HTTP) son automáticamente redirigidos al puerto 443.

Puertos de red de VNXe

Tabla 10 en la página 30describe el conjunto de servicios de red (y sus puertos correspondientes) que puede encontrarse en el sistema VNXe.

Tabla 10.Puertos de red de VNXe

Descripción Puerto

Protocolo servicio

Permite el acceso a SSH (si está habilitado) y SFTP (FTP por medio de SSH). SFTP es un protocolo de cliente/servidor. Los usuarios pueden usar SFTP para realizar transferencias de archivos en un sistema VNXe en la subred local.

Si está cerrado, las conexiones de adminis-tración por medio de SSH no estarán disponibles.

22 TCP

SSH/SSHD/SFTP

Su utiliza para transmitir consultas de DNS al servidor DNS junto con el protocolo de control de host dinámico (DHCP). Si está cerrado, la resolución de nombres de DNS no funcionará.

53 UDP

Actualización de DNS dinámico

Permite que el sistema VNXe actúe como cliente DHCP durante el proceso de config-uración inicial y se utiliza para transmitir mensajes del cliente (VNXe) al servidor DHCP a fin de obtener información de la interfaz de administración de manera au-tomática. Además, se utiliza con el objetivo de configurar DHCP para la interfaz de ad-ministración de un sistema VNXe que ya se ha implementado.

Si está cerrado, las direcciones IP dinámi-cas no se asignarán mediante DHCP. 67

UDP Cliente de DHCP

Tabla 10.Puertos de red de VNXe (continuación)

Descripción Puerto

Protocolo servicio

Permite que el sistema VNXe actúe como cliente DHCP durante el proceso de config-uración inicial y se utiliza para recibir men-sajes del servidor DHCP al cliente (VNXe) a fin de obtener información de la interfaz de administración de manera automática. Además, se utiliza con el objetivo de config-urar DHCP para la interfaz de adminis-tración de un sistema VNXe que ya se ha implementado.

Si está cerrado, las direcciones IP dinámi-cas no se asignarán mediante DHCP. 68

UDP Cliente de DHCP

Redirige el tráfico de HTTP a Unisphere y la interfaz de la línea de comandos de VNXe Unisphere.

Si está cerrado, el tráfico de administración al puerto HTTP predeterminado no estará disponible.

80 TCP

HTTP

Lo abre el servicio portmapper o rpcbind estándar, y es un servicio de red auxiliar de VNXe.

No puede detenerse. Por definición, si un sistema cliente cuenta con conectividad de red al puerto, puede consultarlo. No se re-aliza ninguna acción de autenticación. 111

TCP/UDP rpcbind

(infraestructura de red)

Sincronización horaria de NTP.

Si está cerrado, no se sincronizará el tiem-po entre los arreglos.

123 UDP

NTP

El Servicio de sesiones de NETBIOS está asociado a servicios compartidos de archivos CIFS de VNXe y es un compo-nente principal de esa funcionalidad. Si los servicios de CIFS están habilitados, este puerto está abierto. Se requiere específica-mente para versiones anteriores del sistema operativo Windows (versiones anteriores a Windows 2000).

Los clientes con acceso legítimo a los ser-vicios de CIFS de VNXe deben contar con conectividad de red al puerto para su fun-cionamiento continuo. 139 TCP Servicio de sesiones de NETBIOS B (CIFS)

Tabla 10.Puertos de red de VNXe (continuación) Descripción Puerto Protocolo servicio Comunicaciones de SNMP.

Si está cerrado, los mecanismos de alerta de VNXe que se basan en SNMP no se enviarán.

161, 162 UDP

SNMP

Garantiza la seguridad del tráfico de HTTP a Unisphere y la interfaz de la línea de co-mandos de VNXe Unisphere.

Si está cerrado, la comunicación con el ar-reglo no estará disponible.

443 TCP

HTTPS

Puerto de conectividad de CIFS para clientes Windows 2000 o posteriores. Los clientes con acceso legítimo a los servicios de CIFS de VNXe deben contar con conectividad de red al puerto para su fun-cionamiento continuo.

445 TCP

CIFS

Su utiliza para recibir respuestas a consul-tas de DNS desde el servidor DNS junto con el protocolo de control de host dinámico (DHCP).

Si está cerrado, la resolución de nombres de DNS no funcionará.

Puerto asignado dinámi-camente (mayor que 1024)

UDP Actualización de DNS dinámico

Se utiliza para el servicio de montaje, un componente principal del servicio NFS (versiones 2 y 3).

1234 TCP

mountd (NFS)

Se utiliza para proporcionar servicios NFS. 2049

TCP NFS

PAX es un protocolo de archivos de VNXe que trabaja con formatos de cinta UNIX estándar.

Este servicio debe vincularse a varias inter-faces de red internas y, en consecuencia, también se vincula a la interfaz externa. No obstante, se rechazan las solicitudes en-trantes que llegan por medio de la red ex-terna.

La documentación de EMC correspondiente en respaldos y NDMP incluye información general sobre PAX. Existen distintos módu-los técnicas sobre este tema que ofrecen información sobre una variedad de her-ramientas de respaldo.

4658 TCP

Portable Archive Inter-change (PAX) (servicios de respaldo)

Tabla 10.Puertos de red de VNXe (continuación)

Descripción Puerto

Protocolo servicio

Un protocolo de propiedad exclusiva de EMC similar a iSCSI (y precursor de iSCSI). El servicio NBS que abre este puerto es un servicio de VNXe principal y no puede de-tenerse.

Externamente, NBS se utiliza para las fun-ciones de snapshot y control de replica-ciones.

5033 TCP

Network Block Service (NBS)

Comandos de replicación de data mover a data mover.

5081 TCP

Servicios de replicación

Asociado a los servicios de replicación. 5083

TCP Servicios de replicación

Asociado a los servicios de replicación. 5084

TCP Servicios de replicación

Asociado a los servicios de replicación. 5085

TCP Servicios de replicación

Servicio de monitoreo de estadísticas 7777

TCP Servicio de monitoreo de estadísticas

Lo utiliza el replicador (en el lado secun-dario). El replicador lo mantiene abierto tan pronto como advierte la existencia de datos que deben replicarse. Una vez que se inicia, no hay manera de detener el servicio. 8888

TCP RCP

(servicios de repli-cación)

Le permite controlar el respaldo y la recu-peración de un servidor NDMP por medio de una aplicación de respaldo de red, sin instalar software de otros fabricantes en el servidor. En un sistema VNXe, el Data Mover funciona como el servidor NDMP. El servicio NDMP puede deshabilitarse si no se utiliza el respaldo en cinta de NDMP. El servicio NDMP se autentica con un nombre de usuario y una contraseña. El nombre de usuario puede configurarse. La documentación de NDMP describe cómo configurar la contraseña para distintos am-bientes.

10000 TCP

NDMP

Tabla 10.Puertos de red de VNXe (continuación)

Descripción Puerto

Protocolo servicio

El servicio usermapper abre este puerto. Se trata de un servicio principal con los servicios CIFS de VNXe y no debe deten-erse en ambientes específicos.

Es el método que se utiliza para mapear credenciales de Windows (basadas en SID) a valores UID y GID basados en UNIX. 12345

TCP usermapper

CIFS

Demonio de configuración inicial de IWD. Si está cerrado, la inicialización del arreglo no estará disponible por medio de la red. Con asignación dinámica

UDP IWD

El demonio rquotad proporciona información de cuotas a los clientes de NFS que han montado un sistema de archivos. Con asignación dinámica

TCP rquotad

Se utiliza para el bloqueo de archivos de NFS. Procesa solicitudes de bloqueo de clientes de NFS y funciona junto con el servicio de estado.

Con asignación dinámica TCP

nlockmgr

Es el monitor del estado de bloqueo de archivos NFS y funciona junto con nlockmgr para proporcionar funciones de interrupción y recuperación para NFS (que es de man-era inherente un protocolo sin estado). Con asignación dinámica

TCP estado

Puertos con los que se puede comunicar VNXe

El sistema VNXe funciona como un cliente de red en distintas circunstancias, por ejemplo, en la comunicación con un servidor LDAP. En estas instancias, el sistema VNXe inicia la comunicación y la infraestructura de red deberá soportar estas conexiones.Tabla 10 en la página 30describe los puertos a los que el sistema VNXe debe tener acceso para que el servicio correspondiente funcione correctamente. Esto incluye la interfaz de la línea de comandos de VNXe Unisphere.

Tabla 11.Conexiones de red que pueden iniciarse mediante el sistema VNXe Descripción

Puerto Protocolo

servicio

Permite que el sistema envíe correos electrónicos. Si está cerrado, las notificaciones por correo elec-trónico no estarán disponibles.

25 TCP

Tabla 11.Conexiones de red que pueden iniciarse mediante el sistema VNXe (continuación)

Descripción Puerto

Protocolo servicio

Consultas de DNS.

Si está cerrado, la resolución de nombres de DNS no funcionará.

53 UDP

DNS

Permite que VNXe actúe como cliente DHCP. Si está cerrado, las direcciones IP dinámicas no se asignarán mediante DHCP.

67-68 UDP

DHCP

Redirige el tráfico de HTTP a Unisphere y la interfaz de la línea de comandos de VNXe Unisphere. Si está cerrado, el tráfico de administración al puerto HTTP predeterminado no estará disponible. 80

TCP HTTP

Sincronización horaria de NTP.

Si está cerrado, no se sincronizará el tiempo entre los arreglos.

123 UDP

NTP

Comunicaciones de SNMP.

Si está cerrado, los mecanismos de alerta de VNXe que se basan en SNMP no se enviarán.

161, 162* UDP

SNMP

Consultas de LDAP no seguras.

Si está cerrado, no estarán disponibles las consultas de autenticación de LDAP no seguras. El protocolo LDAP seguro es configurable como alternativa. 389*

TCP LDAP

Tráfico de HTTP a Unisphere y la interfaz de la línea de comandos de VNXe Unisphere.

Si está cerrado, la comunicación con el arreglo no estará disponible.

443 TCP

HTTPS

Todos los controladores de dominio de Windows NT.

445 TCP

CIFS

Todos los controladores de dominio de Windows. 445

TCP CIFS

Registre mensajes del sistema en un host remoto. Puede configurar el método de transmisión de log (UDP o TCP) y el puerto host que utiliza el sistema. 514*

UDP o TCP Syslog remoto

Tabla 11.Conexiones de red que pueden iniciarse mediante el sistema VNXe (continuación)

Descripción Puerto

Protocolo servicio

Consultas de LDAP seguras.

Si está cerrado, no estarán disponibles las consultas de autenticación de LDAP seguras.

639* TCP

LDAPS

Se utiliza para distintas tareas internas relacionadas con la replicación de sistema a sistema. Se requiere autenticación y autorización para todas las llamadas realizadas con CIM-XML.

5989 TCP

CIM XML

Demonio de configuración inicial de IWD. Si está cerrado, la inicialización del arreglo no estará disponible por medio de la red.

Con asignación dinámica UDP

IWD

El demonio rquotad proporciona información de cuotas a los clientes de NFS que han montado un sistema de archivos.

Con asignación dinámica TCP

rquotad

Se utiliza para el bloqueo de archivos de NFS. Procesa solicitudes de bloqueo de clientes de NFS y funciona junto con el servicio de estado. Con asignación

dinámica TCP

nlockmgr

Es el monitor del estado de bloqueo de archivos NFS y funciona junto con nlockmgr para propor-cionar funciones de interrupción y recuperación para NFS (que es de manera inherente un protocolo sin estado).

Con asignación dinámica TCP

estado

Nota:Es posible sobrescribir los números de puerto de LDAP y LDAPS desde Unisphere cuando se configuran los servicios de directorio. El número de puerto predeterminado aparece en un cuadro de entrada que el usuario puede sobrescribir. Además, desde Unisphere, se pueden sobrescribir los números de puerto del Syslog remoto y de SNMP.

Certificado de VNXe

VNXe utiliza OpenSSL durante su primera inicialización para generar automáticamente un certificado con autofirma. El certificado se conserva en NVRAM y en el LUN de back-end. Luego, VNXe lo presenta a un cliente cuando el cliente intenta conectarse a VNXe por medio del puerto de administración.

La configuración del certificado determina su vencimiento a los 3 años; no obstante, el sistema VNXe volverá a generar el certificado con un mes de anticipación a su fecha de vencimiento. Además, se puede usar el comando de serviciosvc_custom_certpara cargar

un nuevo certificado. Este comando instala un certificado SSL especificado en formato PEM para su uso con la interfaz de administración de Unisphere. Para obtener más información sobre este comando de servicio, consulte el documento Notas técnicas sobre comandos de

servicios VNXe. No se puede ver el certificado con Unisphere ni con la interfaz de la línea de

comandos de VNXe Unisphere; no obstante, se puede ver el certificado por medio de un cliente navegador o una herramienta web que intente conectarse con el puerto de administración.

Configuración de la interfaz de administración mediante DHCP

Cuando haya terminado la instalación, el cableado y el encendido del sistema, deberá asignar una dirección IP a la interfaz de administración del sistema VNXe. Si ejecuta el sistema VNXe en una red dinámica que incluye un servidor de protocolo de control de host dinámico (DHCP) y un servidor del sistema de nombre de dominio (DNS), la dirección IP de administración se puede asignar automáticamente.

Nota:Si no ejecuta el sistema VNXe en un ambiente de red dinámico, o si prefiere asignar manualmente una dirección IP estática, debe instalar y ejecutar VNXe Connection Utility (consulteEjecutar Connection Utility en la página 38).

La configuración de red correcta debe incluir el rango de direcciones IP disponibles, las máscaras de subred correctas y las direcciones del servidor de nombres y del gateway. Para obtener más información sobre cómo configurar servidores DHCP y DNS, consulte la documentación de su red específica.

DHCP es un protocolo para asignar direcciones de Protocolo de Internet dinámicas a dispositivos en una red. DHCP le permite controlar las direcciones de Protocolo de Internet (IP) desde un servidor centralizado y asignar automáticamente una nueva dirección IP única al conectar un sistema VNXe a la red de su organización. Esta asignación dinámica de direcciones simplifica la administración de redes porque el software rastrea las direcciones IP en lugar de requerir que un administrador administre la tarea.

El servidor DNS es un servidor basado en IP que traduce nombres de dominio en direcciones IP. A diferencia de las direcciones IP numéricas, los nombres de dominio son alfabéticos y suelen ser más fáciles de recordar. Dado que una red IP se basa en direcciones IP, cada vez que usted usa un nombre de dominio, el servidor DNS debe traducir el nombre y generar una dirección IP correspondiente. Por ejemplo, el nombre de dominio www.emc.com se traduce como la dirección IP 10.250.16.87.

Si bien el intercambio del protocolo DHCP no es inherentemente seguro y existe la posibilidad de comunicarse con un servidor malicioso, se espera que la red IP de administración esté protegida físicamente para controlar el acceso y ayudar a prevenir que se generen

intercambios DHCP no autorizados. Además, no se intercambia información administrativa, como nombres de usuario y contraseñas, durante la configuración de DNS dinámico o DHCP.

La configuración de los elementos de la dirección IP de administración (configuración de servidores NTP, DNS y preferencias de DHCP) se rige por el marco de trabajo de Unisphere existente relacionado con la seguridad. Los eventos de DNS y DHCP, que incluyen la

obtención de una nueva dirección IP cuando vence el arrendamiento, se registran en logs de auditoría de VNXe. Si no se utiliza DHCP para la configuración de la dirección IP de administración de VNXe, no se abrirán puertos de red adicionales.

Asigne automáticamente una dirección IP a su sistema VNXe

Antes de comenzar

Asegúrese de tener una conexión de red entre el sistema VNXe, un servidor DHCP y un servidor DNS.

Procedimiento

Cuando la red DHCP esté configurada, podrá asignar automáticamente una dirección IP a su sistema VNXe:

1. Encienda el sistema VNXe.

Se iluminará la luz de error del SP que se ubica en la parte posterior del sistema VNXe (emitirá una luz intermitente ámbar y azul cada tres segundos), lo que indica que no se ha inicializado el sistema y que aún no se ha asignado una dirección IP. El software cliente DHCP que se ejecuta en el sistema VNXe solicita una dirección IP en la red local. El servidor DHCP asignará dinámicamente una dirección IP al sistema VNXe y enviará esta información al servidor DNS. La dirección IP de administración del sistema VNXe se registrará en el dominio de red. Una vez que se haya asignado la dirección IP, se apagará la luz de error del SP y será posible iniciar sesión en Unisphere para configurar adecuadamente el sistema VNXe. Si desea configurar manualmente la IP de administración del sistema VNXe como una dirección IP estática, puede hacerlo incluso después de que se haya asignado de manera automática la dirección IP y de que se haya apagado la luz de error del SP. No obstante, debe hacerlo antes de aceptar el acuerdo de licencia de usuario final (EULA) del asistente de configuración.

2. Abra un navegador web y acceda a la interfaz de administración ejecutando la siguiente sintaxis:

serial_number.domain

Donde:

serial_number es el número de serie del sistema VNXe. Se encuentra en el embalaje original del sistema VNXe.

domain es el dominio de red en el cual está ubicado el sistema VNXe. Por ejemplo:

FM100000000017.mylab.emc.com.

3. Inicie sesión en el sistema VNXe con la contraseña y el nombre de usuario (admin) predeterminados (Password123#).

La primera vez que abra Unisphere, se ejecutará el asistente de configuración para ayudarlo con la configuración de las contraseñas, los servidores DNS y NTP, los pools de almacenamiento, el servidor de almacenamiento y las funciones ESRS y ConnectEMC.

4. Continúe con el asistente de configuración hasta que aparezca el panel Servidor de nombres de dominio.

5. En el panel Servidor de nombres de dominio (DNS), seleccione Obtener direcciones predeterminadas de servidores DNS automáticamente.

6. Continúe con el asistente y consulte la información que se describe en el póster de la guía de inicio rápido de VNXe o la ayuda en línea para obtener ayuda.

Funciones, servicios e interfaces de VNXe que soportan el protocolo

de Internet versión 6

Puede configurar las interfaces en un sistema y usar direcciones basadas en el protocolo de Internet versión 6 (IPv6) para configurar diferentes servicios y funciones. En la siguiente lista, se incluyen funciones que soportan el protocolo IPv6:

◆ _{Interfaces (SF, iSCSI): para asignar estáticamente direcciones IPv4 o IPv6 a una interfaz} ◆ _{Hosts: para escribir un nombre de red, una dirección IPv4 o una dirección IPv6 de un}

host

◆ _{Rutas: para configurar una ruta para el protocolo IPv4 o IPv6}

◆ _{Diagnóstico: para inicializar un comandopingde diagnóstico de la CLI con una dirección} de destino IPv4 o IPv6. La pantallaDestino de pingde Unisphere también soporta direcciones de destino IPv6.

Todos los componentes de VNXe soportan IPv4 y la mayoría de ellos soporta IPv6. En la siguiente tabla, se muestra la disponibilidad del soporte para IPv6 por tipo de configuración y componente:

Compatible con IPv6 Componente

Tipo de configuración

Sí Puerto de administración

Configuración de administración de Uni-sphere

Sí Servidor de nombres de dominio (DNS)

Sí Servidor NTP (protocolo de hora de red)

Sí Servidor de registro remoto

Funciones, servicios e interfaces de VNXe que soportan el protocolo de Internet 35

Compatible con IPv6 Componente

Tipo de configuración

Sí Microsoft Exchange

Configuración de host de Unisphere

Sí Almacenes de datos de VMware (NFS)

Sí Almacenes de datos de VMware (VMFS)

Sí Almacén de datos de Hyper-V

Sí Destinos trap de SNMP

Configuración de alertas de Unisphere

Sí Servidor SMTP

No Connect EMC

No Soporte remoto seguro de EMC (ESRS).

Sí Servidor iSCSI

Configuración del servidor de almacenamien-to

Sí Servidor de carpetas compartidas

Sí Servidor del sistema de información de red (NIS) (para servidores de carpetas compar-tidas NFS)

Sí Servidor Active Directory (para servidores de carpetas compartidas CIFS)

Sí Servidor de iSNS (Internet Storage Name Service) Sí Destinos de ping Otros Sí Log remoto Sí LDAP No Unisphere Remote No Replicación

Estándar de direcciones IPv6

El protocolo de Internet versión 6 (IPv6) es un estándar de direcciones de protocolo de Internet desarrollado por Internet Engineering Task Force (IETD) para complementar y, en última instancia, reemplazar el estándar de direcciones IPv4 que utiliza la mayoría de los servicios de Internet en la actualidad.

IPv4 utiliza direcciones IP de 32 bits, lo que proporciona, aproximadamente, 4,300 millones de direcciones posibles. Con el crecimiento explosivo de los usuarios de Internet y de los dispositivos con conexión a Internet, el espacio disponible de direcciones IPv4 no es suficiente. IPv6 soluciona el problema de la falta de direcciones porque utiliza direcciones de 128 bits, lo que proporciona, aproximadamente, 340 billones de direcciones. IPv6 también resuelve otros problemas de IPv4, lo que incluye problemas de movilidad, autoconfiguración y capacidad de ampliación general.

Una dirección IPv6 es un valor hexadecimal que contiene ocho campos de 16 bits separados por dos puntos:

hhhh:hhhh:hhhh:hhhh:hhhh:hhhh:hhhh:hhhh

Cada dígito de una dirección IPv6 puede ser un número del 0 al 9 o una letra de la A a la F.

Para obtener más información, consulte la información sobre el estándar IPv6 (RFC 2460) en el sitio web de IETF (http://www.ietf.org).

Acceso a la interfaz de administración de VNXe mediante IPv6

Al establecer conexiones de administración en VNXe, puede configurar el sistema para aceptar los siguientes tipos de direcciones IP:

◆ _{Direcciones estáticas del protocolo de Internet versión 6 (IPv6), direcciones IPv4 obtenidas} mediante DHCP y direcciones IPv4 estáticas

◆ _{Direcciones IPv4 únicamente}

Puede asignar estáticamente las direcciones IPv6 a la interfaz de administración. Una dirección IPv6 en la interfaz de administración se puede establecer en uno de dos modos: manual/estática o desactivada. Al desactivar IPv6, el protocolo no se desvincula de la interfaz. El comando de desactivación eliminará todas las direcciones IPv6 de unidifusión asignadas a la interfaz de administración y el sistema VNXe deja de responder las solicitudes procesadas mediante IPv6. IPv6 está desactivado de manera predeterminada.

Cuando haya terminado la instalación, el cableado y el encendido del sistema, deberá asignar una dirección IP a la interfaz de administración del sistema VNXe. Si no ejecuta el sistema VNXe en una red dinámica, o si prefiere asignar manualmente una dirección IP estática, debe descargar, instalar y ejecutar VNXe Connection Utility. Para obtener más información acerca de Connection Utility, consulteEjecutar Connection Utility en la página 38.

Con IPv6, se soportan solicitudes entrantes al sistema VNXe mediante la interfaz de administración. Puede configurar la interfaz de administración en un sistema VNXe para operar en un ambiente solo IPv4, solo IPv6 o un ambiente combinado IPv4 e IPv6, y puede administrar el sistema VNXe por medio de la interfaz de la línea de comandos (CLI) y la interfaz de usuario de Unisphere.

Los servicios salientes, como el protocolo de hora de red (NTP) y el sistema de nombres de dominio (DNS), soportan la asignación de direcciones IPv6 mediante direcciones IPv6 explícitas o mediante nombres DNS. Si un nombre DNS resuelve IPv6 e IPv4, el sistema VNXe se comunicará con el servidor mediante IPv6.

Los comandos de la CLI set y show de interfaces de redes de administración que se utilizan para administrar las interfaces de administración incluyen atributos relacionados con IPv6. Para obtener más información sobres estos atributos y comandos de interfaces de redes de administración, consulte la Guía del usuario de la interfaz de la línea de comandos de VNXe

Unisphere.

Ejecutar Connection Utility

Nota:Si ejecuta el sistema VNXe en un ambiente de red dinámico que incluye un servidor DHCP y un servidor DNS, no necesita usar VNXe Connection Utility y puede asignar automáticamente una dirección IP (IPv4 solamente) dinámica para la interfaz de administración de VNXe (consulte Configuración de la interfaz de administración mediante DHCP en la página 33). Cuando un sistema VNXe utiliza una dirección IP estática, se configura manualmente con Connection Utility para usar una dirección IP específica. Existe un problema asociado con la asignación estática, que puede derivarse de un error o de la falta de atención a un detalle, que se genera cuando dos sistemas VNXe se configuran con la misma dirección IP de administración. Esto crea un conflicto que puede ocasionar la pérdida de la conectividad de red. El uso de DHCP para asignar dinámicamente direcciones IP minimiza estos conflictos. Los sistemas VNXe configurados para usar DHCP para la asignación de direcciones IP no necesitan usar direcciones IP asignadas de manera estática.

El software se instalación de Connection Utility se encuentra disponible en elsitio web de servicio de soporte en línea de EMC. Después de descargar el software, instale el programa en un host de Windows. Cuando ejecuta Connection Utility desde un equipo de la misma subred que el sistema VNXe, Connection Utility descubre automáticamente cualquier sistema VNXe no configurado. Si ejecuta Connection Utility en una subred diferente, puede guardar la configuración en una unidad USB y, luego, transferirla al sistema VNXe.

Nota:No puede cambiar la dirección IP de administración cuando ambos procesadores de almacenamiento (SP) están en modo de servicio.

Después de ejecutar Connection Utility y transferir la configuración a su sistema VNXe, puede establecer una conexión con el sistema VNXe por medio de un navegador web con la dirección IP que asignó a la interfaz de administración de VNXe.

La primera vez que se conecta al sistema VNXe, se inicia el asistente de configuración de VNXe. El asistente de configuración le permite establecer la configuración inicial del sistema VNXe para que pueda comenzar a crear recursos de almacenamiento.

Cifrado CIFS

El soporte para SMB 3.0 y Windows 2012 en VNXe proporciona cifrado CIFS para los hosts compatibles con CIFS. El cifrado CIFS proporciona acceso seguro a los datos almacenados en recursos compartidos de archivos CIFS. Este cifrado protege los datos en redes no confiables, es decir, proporciona cifrado end-to-end de los datos de SMB enviados entre el arreglo y el host. Se protegen los datos contra ataques de espionaje o interceptación en redes no confiables.

El cifrado CIFS puede configurarse por recurso compartido. Una vez que un recurso compartido se define como cifrado, todos los clientes SMB3 deben cifrar las solicitudes relacionadas con el recurso compartido; de lo contrario, se denegará el acceso al recurso compartido.

Para activar el cifrado CIFS, debe establecer la opciónCifrado CIFSal agregar un servidor a un servidor CIFS o se debe establecer mediante la ejecución de los comandoscreateyset

para los recursos compartidos CIFS. Además, debe establecer la opciónCifrado CIFSal crear una carpeta compartida CIFS. El cliente SMB no requiere ninguna configuración.

Nota:Para obtener más información sobre la configuración del cifrado CIFS, consulte la ayuda en línea de Unisphere para VNXe y la Guía del usuario de la interfaz de la línea de comandos de VNXe Unisphere.

Configuración de la

seguridad de datos

En este capítulo, se describen las funciones de seguridad disponibles en el sistema VNXe para los tipos de almacenamiento soportados.

Se incluyen los siguientes temas:

◆ _{Configuración de la seguridad de datos en la página 42} ◆ _{Cifrado de datos inactivos en la página 43}

Configuración de la seguridad de datos

En laTabla 12 en la página 42, se muestran las funciones de seguridad disponibles para los tipos de almacenamiento de VNXe soportados.

Tabla 12.Funciones de seguridad

Configuración de seguridad Protocolo

Puerto Tipo de almace-namiento

◆ _{El control de acceso de nivel de host iSCSI (iniciador) está} disponible a través de Unisphere (lo que les permite a los clientes obtener acceso al almacenamiento primario, los snapshots o ambos).

◆ _{La autenticación CHAP se soporta para que los servidores} iSCSI de VNXe (de destino) puedan autenticar los hosts iSCSI (iniciadores) que intentan obtener acceso al almace-namiento basado en iSCSI.

◆ _{La autenticación de CHAP mutuo se soporta para que los} hosts iSCSI (iniciadores) puedan autenticar los servidores iSCSI de VNXe. TCP 3260 Almacenamiento iSCSI TCP, UDP 445 Almacenamiento CIFS

◆ _{La autenticación de acciones administrativas y de dominio} se proporciona a través de las cuentas de grupo y usuario de Active Directory.

◆ _{Se proporcionan controles de acceso a archivos y recursos} compartidos a través de los servicios de directorio de Win-dows.

◆ _{Las firmas de seguridad se soportan a través de la firma de} SMB.

◆ _{El cifrado CIFS se proporciona mediante SMB 3.0 y Windows} 2012 para los hosts capaces de usar CIFS. Consulte

dctm://esa/37000001802cb865?DMS_OBJECT_SPEC=RE-LATION_ID&DMS_ANCHOR=#R18780 para obtener infor-mación sobre el cifrado CIFS.

◆ _{Soporta servicios opcionales de retención de archivos a} través de software adicional.

◆ _{El control de acceso de recursos compartidos se proporciona} a través de Unisphere.

◆ _{Soporta los métodos de control de acceso y autenticación} de NFS identificados en las versiones 2 y 3 de NFS. ◆ _{Soporta servicios opcionales de retención de archivos a}

través de software adicional. TCP

2049 Almacenamiento NFS

Tabla 12.Funciones de seguridad (continuación) Configuración de seguridad Protocolo Puerto Tipo de almace-namiento

◆ _{La seguridad de NDMP se puede implementar en función de} las señas secretas compartidos de NDMP.

Respaldo y restauración

Cifrado de datos inactivos

El cifrado es el proceso de transformar los datos para que no sean legibles, excepto para las personas que cuenten con conocimientos especializados. Las unidades de autocifrado (SED) de un sistema VNXe usan cifrado AES de 256 bits. El cifrado se lleva a cabo dentro de cada unidad antes de escribir los datos en los medios. Esto protege los datos de la unidad contra robos, pérdida de hardware e intentos de lectura del disco directamente mediante el desmantelamiento físico de la unidad utilizando métodos como un servicio de recuperación de unidad. El cifrado también proporciona un medio de borrar información de una unidad de forma rápida y segura sin necesidad de sobrescribirla varias veces para garantizar que la información no pueda recuperarse.

La lectura de datos cifrados requiere una clave de autenticación para que la SED desbloquee la unidad. Solo los SED autenticados se desbloquearán y quedarán accesibles. Una vez que se ha desbloqueado la unidad, la SED descifra los datos cifrados y estos vuelven a su forma original.

Unidades de autocifrado

Los sistemas VNXe son compatibles con el cifrado de datos inactivos mediante unidades de autocifrado (SED). Todos los datos de las SED se cifran mediante la clave de cifrado de datos que se almacena en la unidad. El cifrado se configura en la fábrica antes del envío y no se puede revertir una vez configurado. El proceso de cifrado/descifrado de las SED es transparente y automático, sin afectar el rendimiento.

El control de acceso a la SED se implementa mediante una clave de autenticación. La clave de autenticación se utiliza para bloquear/desbloquear la unidad y cifrar/descifrar la clave de descifrado de datos que se almacena en la unidad. En el ciclo de reinicio, una SED que es parte de un pool de almacenamiento definido por el usuario queda en estado bloqueado y no permite acceso. La clave de autenticación se utiliza para desbloquear la unidad y obtener acceso a los datos del usuario.

Un administrador de claves integrado en el procesador de almacenamiento (SP) proporciona administración de claves para la clave de autenticación. Entre las responsabilidades de la administración de claves, se incluyen:

◆ Generación de claves de autenticación ◆ Almacenamiento seguro de claves

◆ Ciclo de vida autoadministrado de claves ◆ Sincronización de copias redundantes de claves

Un sistema VNXe contiene todas las SED o todas las unidades sin autocifrado. No se pueden agregar unidades que no cuenten con autocifrado a un sistema VNXe SED. En caso de que intente hacerlo, el sistema mostrará un error. De igual manera, no puede agregar una SED a un sistema VNXe con unidades que no cuenten con autocifrado.

Arreglo seguro

Un arreglo seguro es uno que solo puede tener SED instaladas en él. No pueden combinarse SED con unidades no cifradas en un VNXe. Todas las SED del VNXe están desbloqueadas de forma predeterminada y solo se bloquean una vez que se asocia un pool de almacenamiento con ellas. Se crea una clave de autorización que se aplica a todas las unidades al bloquearlas y es necesaria para todas las interacciones futuras. De igual manera, si se destruyen todos los pools de almacenamiento asociados con una unidad, todos los datos de la unidad se destruyen criptográficamente (se borra la clave de autorización, lo que hace imposible la recuperación de los datos) y se desbloquea la unidad.

Después de incluir una SED en un pool de almacenamiento, se habilita el control de acceso y se configura la clave de autenticación. La unidad puede usarse únicamente con la clave de autenticación almacenada en el arreglo. Los datos de usuario en la unidad no serán accesibles en otro arreglo o de forma externa. Con la excepción de las primeras cuatro unidades del gabinete del procesador de disco (DPE), puede replanificarse una unidad para otro arreglo destruyendo cualquier pool de almacenamiento al que pueda pertenecer. Destruir el pool de almacenamiento borrará de forma criptográfica cualquier dato de usuario que haya en la unidad, deshabilitará el control de acceso a estas unidades y restablecerá todas las contraseñas al ID seguro del fabricante. Las unidades que no pertenecen a un pool de almacenamiento no contienen datos del usuario y no tienen restricciones de acceso. Estas unidades pueden transferirse sin problemas.

Si se elimina inadvertidamente un pool de almacenamiento con una unidad faltante, esa unidad seguirá inaccesible hasta que se la revierta al estado predeterminado de fábrica. La reversión criptográfica de la unidad borra los datos de esta y deshabilita la autenticación. Para revertir una SED a su estado predeterminado de fábrica, utilice el comando de serviciosvc_key_restore. Para obtener información sobre este comando de servicio, consulte el documento de notas técnicas Comandos de servicio de VNXe. Para obtener información adicional y ayudar a revertir una SED al estado predeterminado de fábrica, comuníquese con su proveedor de servicios.

Cuando se introduce una nueva SED al sistema VNXe, ya sea como reemplazo de una unidad existente o como parte de una expansión del arreglo, se la detecta automáticamente y se la incluye en el arreglo. Si la nueva unidad reemplaza a una unidad antigua que era parte de un pool de almacenamiento, el control de acceso se habilitará y la clave de autenticación se configurará en la nueva unidad.

Nota:Quitar unidades puede afectar el rendimiento de los pools de almacenamiento y reducir su redundancia.

Con respecto a un sistema con SED, ciertos reemplazos de piezas de hardware afectan el funcionamiento de las SED:

◆ No se admite el reemplazo de los SP y del chasis al mismo tiempo. La clave de autenticación quedará inaccesible.

EMC recomienda realizar un respaldo de la clave de autenticación en una unidad externa tan pronto como se cree la clave. Si se pierde o daña la copia maestra de la clave de autenticación, es posible que no se pueda acceder a los datos almacenados en el sistema. Para obtener instrucciones para respaldar la clave de autenticación, consulte la ayuda en línea de VNXe Unisphere o la Guía del Usuario de VNXe Unisphere CLI.

◆ No se admite la conversión de arreglos, en la cual todas las unidades se quitan y se colocan en un nuevo arreglo.

Clave de autenticación

El administrador de claves genera aleatoriamente la clave de autenticación para las SED automáticamente la primera vez que se crea un pool de almacenamiento en un sistema SED de VNXe. Se aplicará la misma clave de autenticación a todas las unidades del sistema VNXe, incluidos aquellas que se agregaron al sistema posteriormente. VNXe cifra la clave de autenticación y la almacena en un área protegida de la unidad del sistema bajo un esquema de redundancia de espejeado triple. Es posible respaldar la clave de autenticación en un dispositivo externo utilizando una opción de Unisphere UI o un comando de Unisphere CLI.

EMC recomienda realizar un respaldo de la clave de autenticación en una unidad externa tan pronto como se cree la clave. Si se pierde o daña la copia maestra de la clave de autenticación, es posible que no se pueda acceder a los datos almacenados en el sistema. Para obtener instrucciones para respaldar la clave de autenticación, consulte la ayuda en línea de VNXe Unisphere o la Guía del Usuario de VNXe Unisphere CLI.

Si recibe una alerta sobre una clave de autenticación dañada, debe restaurar la clave. Coloque ambos SP de la VNXe en modo de servicio y ejecute el comando de servicio svc_key_restore en uno de los SP del sistema VNXe.

Nota:Para obtener instrucciones sobre cómo poner los SP en modo de servicio, consulte la ayuda en línea de VNXe Unisphere. Para obtener más información sobre el comando de servicio svc_key_restore, consulte las Notas técnicas sobre comandos de servicios de VNXe.

Con la siguiente excepción, si se eliminan todos los pools de almacenamiento del sistema VNXe, también se eliminará la copia maestra de la clave de autenticación. No obstante, si se reinicia un sistema que contiene pools de almacenamiento, la clave de autenticación

seguirá siendo válida cuando el sistema vuelva a operar, aunque se hayan eliminado los pools de almacenamiento.

Las claves de autenticación de respaldo dejan de funcionar después de que se eliminan todos los pools de almacenamiento del sistema VNXe (excepto si se reinicia un sistema que contiene pools de almacenamiento). Cuando el primer pool de almacenamiento nuevo se crea después de esto, se genera automáticamente una nueva copia maestra de la clave de autenticación. En este caso, todas las claves de autenticación respaldadas existentes de la clave de autenticación anterior dejan de ser válidas y debe crearse un nuevo respaldo de la clave de autenticación.

Mantenimiento de

seguridad

En este capítulo, se describen diversas funciones de mantenimiento de seguridad implementadas en el sistema VNXe.

Se incluyen los siguientes temas:

◆ _{Mantenimiento seguro en la página 48}