Regresar a la página de contenido

Seguridad de Dell OpenManage™

Guía del usuario de instalación y seguridad de Dell OpenManage™ versión 5.1

  Características de seguridad

  Funciones integradas de seguridad

  Administración de seguridad



Características de seguridad

Los componentes del software Dell OpenManage Systems Management proporcionan las siguientes funciones de seguridad:

NOTA: Telnet no es compatible con la codificación SSL.

Funciones integradas de seguridad

Puertos

La tabla 2-1 muestra una lista de los puertos utilizados por el software Dell OpenManage Systems Management, otros servicios estándares de sistema operativo y otras aplicaciones de agente. Es necesario configurar correctamente los puertos para permitir que el software Dell OpenManage Systems Management se conecte con un dispositivo remoto a través de los servidores de seguridad. Si falla el intento de comunicarse con un dispositivo remoto, es posible que se haya especificado un número de puerto incorrecto.

NOTA: En la tabla 2-1, "Versión" se refiere a la versión mínima del producto que utiliza el puerto (o a la versión explícita, si se especifica).

Tabla 2-1. Ubicaciones predeterminadas de los puertos UDP/TCP de Dell OpenManage 

N° de puerto

Protocolo

Tipo de puerto

Versión

Nivel de cifrado máximo

Dirección

Uso

Configurable

Controlador de administración de la placa base de Dell OpenManage: sistemas PowerEdge™ x8xx

623

RMCP

UDP

Sólo sistemas PowerEdge x800

Ninguna

Entrada/salida

Acceso a IPMI por medio de LAN

No

Utilidad de administración de la placa base de Dell OpenManage

623

Telnet

TCP

1.x

Ninguna

Entrada/salida

Acepta conexiones entrantes de Telnet

623

RMCP

UDP

1.x

Ninguna

Entrada/salida

Comandos BMC básicos: estado de servidor, encender y apagar, etc.

No

623

RMCP

UDP

1.x

Ninguna

Entrada/salida

Comandos BMC básicos y redirección de consola

No

Dell OpenManage Client Connector

135

RPC

TCP/UDP

2.0

Ninguna

Entrada/salida

Consulta de datos de administración de cliente

No

389

LDAP

TCP

2.0

128 bits

Entrada/salida

Autentificación de dominio

No

4995

HTTPS

TCP

2.0

SSL de 128 bits

Entrada/salida

Interfaz gráfica de usuario de web

1024 - 65535
(asignado de manera dinámica)

DCOM

TCP/UDP

2.0

Ninguna

Entrada/salida

Consulta de datos de administración de cliente

El rango de puertos puede ser restringido.

Dell OpenManage Client Instrumentation

20

HTTP y FTP

TCP

6.x, 7.x

Ninguna

Entrada/salida

Comunicación de BIOS flash

No

21

HTTP y FTP

TCP

6.x, 7.x

Ninguna

Entrada/salida

Comunicación de BIOS flash

No

80

HTTP y FTP

TCP

6.x, 7.x

Ninguna

Entrada/salida

Comunicación de BIOS flash

No

135

DCOM

TCP/UDP

6.x, 7.x

Ninguna

Entrada/salida

Supervisión y configuración por medio de WMI

No

135

DCOM

TCP

7.x

Ninguna

Salida

Transmisión de sucesos por medio de WMI

No

162

SNMP

UDP

6.x

Ninguna

Salida

Transmisión de sucesos por medio de SNMP

No

1024-65535
(asignado de manera dinámica)

DCOM

TCP/UDP

6.x, 7.x

Ninguna

Entrada/salida

Supervisión y configuración por medio de WMI

 

> 32780
(asignado de manera dinámica)

DMI

TCP/UDP

6.x

Ninguna

Entrada/salida

Supervisión y configuración por medio de DMI

Varía de un sistema a otro.

Dell OpenManage IT Assistant

20

FTP

TCP

6.x

Ninguna

Entrada/salida

BIOS flash

No

22

SSH

TCP

7.x

128 bits

Entrada/salida

Inicio de aplicación contextual de IT Assistant: cliente de SSH

Actualizaciones remotas de software para Server Administrator: para sistemas compatibles con Linux

23

Telnet

TCP

7.x

Ninguna

Entrada/salida

Inicio de aplicación contextual de IT Assistant: conexión Telnet a dispositivo de Linux

No

25

SMTP

TCP

7.x

Ninguna

Entrada/salida

Acción de alerta de correo electrónico opcional de IT Assistant

No

68

UDP

UDP

6.x, 7.x

Ninguna

Salida

Encendido en LAN

80

HTTP

TCP

6.x

Ninguna

Entrada/salida

BIOS flash

No

80

HTTP

TCP

7.x

Ninguna

Entrada/salida

Inicio de aplicación contextual de IT Assistant: consola PowerConnect™

No

135

RPC

TCP

6.x, 7.x

Ninguna

Entrada/salida

Recepción de sucesos por medio de CIM de Server Administrator: para sistemas que admiten Windows®

No

135

RPC

TCP/UDP

6.x

Ninguna

Entrada/salida

Descubrimiento DMI de sistemas remotos

No

135

RPC

TCP/UDP

7.x

Ninguna

Entrada/salida

Transferencia de actualización remota de software para Server Administrator: para sistemas que admiten Windows

Línea de comandos remota: para sistemas que admiten Windows

No

161

SNMP

UDP

6.x, 7.x

Ninguna

Entrada/salida

Administración de consultas de SNMP

No

162

SNMP

UDP

6.x, 7.x

Ninguna

Entrada

Recepción de sucesos por medio de SNMP

No

162

SNMP

UDP

7.x

Ninguna

Salida

Acción de reenvío de capturas SNMP a partir de IT Assistant

No

389

LDAP

TCP

7.x

128 bits

Entrada/salida

Autentificación de dominio para inicio de sesión en IT Assistant

No

1433

Patentado

TCP

7.x

Ninguna

Entrada/salida

Acceso remoto opcional al servidor SQL

2606

Patentado

TCP

6.x, 7.x

Ninguna

Entrada/salida

Puerto de comunicación del servicio de supervisión de red

2607

HTTPS

TCP

7.x

SSL de 128 bits

Entrada/salida

Interfaz gráfica de usuario de web de IT Assistant

3389

RDP

TCP

7.x

SSL de 128 bits

Entrada/salida

Inicio de aplicación contextual de IT Assistant: escritorio remoto para los servicios de Terminal Server de Windows

11487/11489

Patentado

TCP/UDP

6.x

Ninguna

Salida

BIOS flash

No

443

Patentado

TCP

8.0

Ninguna

Entrada/salida

Inventario y descubrimiento de almacenamiento de EMC

No

623

RMCP

UDP

8.0

Ninguna

Entrada/salida

Acceso a IPMI por medio de LAN

No

6389

Patentado

TCP

8.0

Ninguna

Entrada/salida

Hace posible la comunicación entre un sistema host (por medio de NaviCLI/NaviSecCLI o Navisphere Host Agent) y un agente de arreglo de Navisphere en un sistema de almacenamiento.

No

Dell OpenManage Server Administrator

22

SSH

TCP

2.0

128 bits

Entrada/salida

Línea de comandos remota de Server Administrator (para IT Assistant). Función de actualización remota de software (para Linux).

25

SMTP

TCP

2.0

Ninguna

Entrada/salida

Mensajes de alerta de correo electrónico opcionales de Server Administrator

No

135

RPC

TCP/UDP

2.0

Ninguna

Entrada/salida

Consultas de administración de CIM

No

135

RPC

TCP/UDP

2.0

Ninguna

Entrada/salida

Línea de comandos remota de Server Administrator (para IT Assistant). Función de actualización remota de software (para Windows).

No

139

NetBIOS

TCP

2.0

Ninguna

Entrada/salida

Línea de comandos remota de Server Administrator (para IT Assistant). Actualización remota de software (para Windows).

No

161

SNMP

UDP

1.x, 2.0

Ninguna

Entrada/salida

Administración de consultas de SNMP

No

162

SNMP

UDP

1.x, 2.0

Ninguna

Salida

Suceso de captura SNMP

No

445

NetBIOS

TCP

2.0

Ninguna

Entrada/salida

Actualizaciones remotas de software para Server Administrator (para Windows)

No

1311

HTTPS

TCP

1.x

SSL de 128 bits

Entrada/salida

Interfaz gráfica de usuario de web

11487

Patentado

UDP

1.x

Ninguna

Entrada

Inicio de actualizaciones remotas de BIOS flash a partir de IT Assistant

11489

Patentado

TCP

1.x

Ninguna

Entrada

Transferencia de archivos de actualización remota de BIOS flash a partir de IT Assistant

1024 -65535

DCOM

TCP/UDP

2.0

Ninguna

Entrada/salida

Administración de consultas de CIM/WMI

Dell Remote Access Controller (DRAC): DRAC III, DRAC III/XT, ERA y ERA/O

21

FTP

TCP

1.0

Ninguna

Entrada/salida

Actualización del firmware a través de FTP y descarga y carga de certificados

No

23

Telnet

TCP

1.0

Ninguna

Entrada/salida

Administración opcional de la CLI por medio de Telnet

No

25

SMTP

TCP

1.0

Ninguna

Entrada/salida

Mensajes de alerta de correo electrónico opcionales

No

68

DHCP

UDP

1.2

Ninguna

Entrada/salida

Dirección IP asignada por DHCP

No

69

TFTP

UDP

1.0

Ninguna

Entrada/salida

Actualización del firmware por medio de TFTP.
Inicio remoto por disco a través de TFTP

No

80

HTTP

TCP

1.0

Ninguna

Entrada/salida

Interfaz gráfica de usuario de web redirigida a HTTPS

No

162

SNMP

UDP

1.0

Ninguna

Salida

Suceso de captura SNMP

No

443

HTTPS

TCP

1.0

SSL de 128 bits

Entrada/salida

Interfaz gráfica de usuario para administración de web

No

443

HTTPS

TCP

3.2

SSL de 128 bits

Entrada/salida

Utilidad de CLI de racadm remota

No

5869

Patentado

TCP

1.0

Ninguna

Entrada/salida

Utilidad de CLI de racadm remota

No

5900

VNC

TCP

1.0

DES de 56 bits

Entrada/salida

Redirección de vídeo

5900

VNC

TCP

3.2

RC de 128 bits

Entrada/salida

Redirección de vídeo

5981

VNC

TCP

1.0

Ninguna

Entrada/salida

Redirección de vídeo

aleatorio y > 32768

Patentado

TCP

1.0

Ninguna

Entrada/salida

Actualización del firmware a partir de la interfaz gráfica de usuario de web

No

DRAC 4

22

SSHv2

TCP

1.30

128 bits

Entrada/salida

Administración de CLI opcional de Secure Shell (SSH)

23

Telnet

TCP

1.0

Ninguna

Entrada/salida

Administración de CLI opcional de Telnet

25

SMTP

TCP

1.0

Ninguna

Entrada/salida

Mensajes de alerta de correo electrónico opcionales

No

53

DNS

UDP

1.20

Ninguna

Entrada/salida

Registro de Servidor de nombre de dominio dinámico (DNS) del nombre de host asignado en el DRAC

No

68

DHCP

UDP

1.0

Ninguna

Entrada/salida

Dirección IP asignada por DHCP

No

69

TFTP

UDP

1.0

Ninguna

Entrada/salida

Actualización del firmware por medio de TFTP

No

80

HTTP

TCP

1.0

Ninguna

Entrada/salida

Interfaz gráfica de usuario de web redirigida a HTTPS

161

SNMP

UDP

1.0

Ninguna

Entrada/salida

Administración de consultas de SNMP

No

162

SNMP

UDP

1.0

Ninguna

Salida

Suceso de captura SNMP

No

443

HTTPS

TCP

1.0

SSL de 128 bits

Entrada/salida

Interfaz gráfica de usuario de web y utilidad CLI de racadm remota

636

LDAPS

TCP

1.0

SSL de 128 bits

Entrada/salida

Autentificación opcional de los servicios de Active Directory (ADS)

No

3269

LDAPS

TCP

1.0

SSL de 128 bits

Entrada/salida

Autentificación opcional de los servicios de Active Directory (ADS)

No

3668

Patentado

TCP

1.0

Ninguna

Entrada/salida

Servicio de medios virtuales de CD/disco

5869

Patentado

TCP

1.0

Ninguna

Entrada/salida

Racadm remoto

No

5900

Patentado

TCP

1.0

RC4 de 128 bits, únicamente tráfico de teclado y mouse

Entrada/salida

Redirección de vídeo

DRAC/MC

23

Telnet

TCP

1.0

Ninguna

Entrada/salida

Administración de CLI opcional de Telnet

25

SMTP

TCP

1.0

Ninguna

Entrada/salida

Mensajes de alerta de correo electrónico opcionales

No

53

DNS

UDP

1.0

Ninguna

Entrada/salida

Registro dinámico de DNS de nombre de host asignado en el DRAC

No

68

DHCP

UDP

1.0

Ninguna

Entrada/salida

Dirección IP asignada por DHCP

No

69

TFTP

UDP

1.0

Ninguna

Entrada/salida

Actualización del firmware por medio de TFTP

No

80

HTTP

TCP

1.0

Ninguna

Entrada/salida

Interfaz gráfica de usuario de web redirigida a HTTPS

161

SNMP

UDP

1.0

Ninguna

Entrada/salida

Administración de consultas de SNMP

No

162

SNMP

UDP

1.0

Ninguna

Salida

Suceso de captura SNMP

No

389

LDAP

TCP

1.0

Ninguna

Entrada/salida

Autentificación opcional de los servicios de Active Directory (ADS)

No

443

HTTPS

TCP

1.0

SSL de 128 bits

Entrada/salida

Interfaz gráfica de usuario de web y utilidad CLI de racadm remota

No

636

LDAPS

TCP

1.0

SSL de 128 bits

Entrada/salida

Autentificación opcional de los servicios de Active Directory (ADS)

No

3269

LDAPS

TCP

1.0

SSL de 128 bits

Entrada/salida

Autentificación opcional de los servicios de Active Directory (ADS)

No

KVM digital

2068

Patentado

TCP

1.0

SSL de 128 bits

Entrada/salida

Redirección de vídeo; teclado y mouse

No

3668

Patentado

TCP

1.0

Ninguna

Entrada/salida

Medios virtuales

No

8192

Patentado

TCP

1.0

Ninguna

Entrada/salida

Redirección de vídeo al visor del cliente

No

NOTA: Los puertos de CIM son dinámicos. Consulte la base de conocimientos de Microsoft en support.microsoft.com para obtener información acerca del uso del puerto CIM.
NOTA: Si está usando un servidor de seguridad, debe abrir todos los puertos que aparecen en la lista de la tabla 2-1 para asegurarse de que IT Assistant y las demás aplicaciones de Dell OpenManage funcionen correctamente.

Administración de seguridad

Dell proporciona administración de la seguridad y del acceso mediante el control de acceso basado en funciones (RBAC), autentificación y codificación, o mediante Active Directory tanto para las interfaces basadas en la web como para las interfaces de línea de comandos.

Control de acceso en base a funciones (RBAC)

El RBAC administra la seguridad determinando las operaciones que los usuarios con funciones específicas pueden ejecutar. A cada usuario se le asigna una o varias funciones y a cada función se le asigna uno o varios privilegios de usuario permitidos a los usuarios con esa función. Con el RBAC, la administración de la seguridad puede corresponder muy estrechamente con la estructura de una organización. Para la información sobre como configurar usuarios de Dell OpenManage, consulte "Asignación de privilegios de usuario".

Privilegios de usuario

Server Administrator otorga distintos derechos de acceso dependiendo de los privilegios del grupo asignado al usuario. Los tres niveles de usuarios son Usuario, Usuario avanzado y Administrador.

Los usuarios pueden ver la mayor parte de la información.

Los usuarios avanzados pueden establecer valores para el umbral de advertencia, ejecutar pruebas de diagnóstico y configurar cuáles acciones de alerta se realizarán cuando ocurra un suceso de falla o de advertencia.

Los administradores pueden configurar y realizar acciones de apagado, configurar acciones de recuperación automática en caso de que un sistema tenga el sistema operativo bloqueado y borrar registros de hardware, de sucesos y de comandos. Los administradores también pueden enviar correo electrónico.

Server Administrator otorga acceso de sólo lectura a los usuarios que se conectan con privilegios de usuario; acceso de lectura y escritura a los usuarios que se conectan con privilegios de usuario avanzado y acceso de lectura,escritura y de administrador a usuarios que se conectan con privilegios de administrador. Consulte la tabla 2-2.

Tabla 2-2. Privilegios de usuario 

Privilegios de usuario

Tipo de acceso

  

Administrador

Escritura

Lectura

Usuario

 

 

X

Usuario avanzado

 

X

X

Administrador

X

X

X

El acceso de Admin le permite apagar el sistema administrado.

El acceso de Escritura permite modificar o establecer los valores en el sistema administrado.

El acceso de Lectura le permite ver los datos reportados por el Server Administrator. Este acceso no permite cambiar ni establecer valores en el sistema administrado.

Niveles de privilegios para acceder a los servicios de Server Administrator

La tabla 2-3 resume los niveles de usuario que tienen privilegios para acceder y administrar los servicios de Server Administrator.

Tabla 2-3. Niveles de privilegios del usuario de Server Administrator 

Servicio

Nivel requerido de privilegios de usuario

  

Ver

Administrar

Instrumentación

U, P, A

P, A

Acceso remoto

U, P, A

A

Actualización

U, P, A

A

Administración de almacenamiento

U, P, A

A

La tabla 2-4 define las abreviaturas de los niveles de privilegios del usuario que se usan en la tabla 2-3.

Tabla 2-4. Leyenda para los niveles de privilegios de usuario de Server Administrator 

U

Usuario

P

Usuario avanzado

A

Administrador

Autentificación

El esquema de autentificación de Server Administrator garantiza la asignación de los tipos de acceso correctos a los privilegios de usuario correctos. Además, al invocar la interfaz de línea de comando CLI, el esquema de autentificación de Server Administrator valida el contexto en el que se ejecuta el proceso actual. Este esquema de autentificación garantiza que se autentiquen adecuadamente todas las funciones del Server Administrator, tanto si se accede a ellas desde la página de inicio de Server Administrator, como desde CLI.

Autentificación en Microsoft Windows

Para sistemas operativos Windows admitidos, la autentificación de Server Administrator usa la autentificación integrada de Windows (antes denominada NTLM) para autentificar. Este sistema de autentificación permite incorporar la seguridad de Server Administrator a un esquema de seguridad global para la red.

Autentificación en Red Hat® Enterprise Linux y SUSE® Linux Enterprise Server

Para los sistemas operativos Red Hat Enterprise Linux y SUSE Linux Enterprise Server admitidos, la autentificación de Server Administrator se basa en la biblioteca de Módulos de autentificación conectables (PAM). Esta biblioteca documentada de funciones permite a los administradores determinar cómo las aplicaciones individuales autentican a los usuarios.

Cifrado

Se accede a Server Administrator mediante una conexión HTTPS segura que usa tecnología de capa de conexión segura (SSL) para garantizar y proteger la identidad del sistema que se está administrando. Los sistemas operativos compatibles de Windows, Red Hat Enterprise Linux y SUSE Linux Enterprise Server utilizan la extensión de conexión de zócalo segura de Java (JSSE) para proteger las credenciales de usuario y otros datos importantes que se transmiten por la conexión de zócalo cuando un usuario accede a la página de inicio de Server Administrator.

Microsoft Active Directory

El software del servicio Active Directory actúa como la autoridad central para la seguridad de la red, permitiendo que el sistema operativo verifique rápidamente la identidad de un usuario y que controle el acceso que ese usuario tiene a los recursos de la red para las aplicaciones de Dell OpenManage que se ejecutan en plataformas de Windows admitidas. Dell proporciona extensiones de esquema para que los clientes modifiquen su base de datos de Active Directory para admitir la autentificación y autorización de administración remota. IT Assistant, Server Administrator y los controladores de acceso remoto de Dell pueden ahora realizar una interfaz con Active Directory para agregar y controlar los usuarios y privilegios desde una base de datos central. Para obtener información sobre la utilización del Active Directory, consulte "Utilización de Microsoft® Active Directory®".


Regresar a la página de contenido