User Guide
Protezione: gestione sicura dei dati sensibili
Regole SSD
Guida all'amministrazione degli switch gestiti stackable Cisco Small Business serie 500 521
27
• L'esclusione dei dati sensibili nei canali di gestione SNMP XML protetto e non protetto comporta la
presentazione dei dati sensibili come 0 (ovvero stringa nulla o numero 0). Se l'utente vuole
visualizzare i dati sensibili, la regola deve essere cambiata in testo normale.
• Per impostazione predefinita, un utente SNMPv3 con privacy e autorizzazioni per XML su canali sicuri
è considerato un utente di livello 15.
• Gli utenti SNMP su canali XML E SNMP non protetto SNMP (SNMPv1,v2 e v3 senza privacy) vengono
considerati come tutti gli utenti.
• I nomi della comunità SNMP non sono usati come nomi utente da associare alle regole SSD.
• È possibile controllare l'accesso da parte di uno specifico utente SNMPv3 configurando una regola
SSD con nome utente che corrisponde al nome utente SNMPv3.
• Deve sempre essere presente almeno una regola con autorizzazione di lettura: Solo testo normale o
Entrambi, poiché solo gli utenti con queste autorizzazioni possono accedere alle pagine SSD.
• Le modifiche alla Modalità lettura predefinita e alle autorizzazioni di lettura di una regola entrano in
vigore e vengono applicate agli utenti interessati e al canale di tutte le sessioni di gestione attive
immediatamente, ad eccezione della sessione che apporta le modifiche, anche se la regola risulta
applicabile. Quando una regola è modificata (aggiungi, elimina, modifica), il sistema aggiorna tutte le
sessioni CLI/interfaccia grafica utente interessate.
NOTA Quando la regola SSD applicata all'accesso della sessione viene cambiata dall'interno di quella
sessione, l'utente deve disconnettersi e accedere di nuovo per vedere la modifica.
NOTA Durante il trasferimento di un file avviato da un comando XML o SNMP, il protocollo sottostante
utilizzato è TFTP. Pertanto, viene applicata la regola SSD per un canale non protetto.
Regole SSD e autenticazione utente
L'SSD concede l'autorizzazione SSD solo agli utenti autenticati e autorizzati, conformemente alle regole
SSD. Un dispositivo dipende dal proprio processo di autenticazione utente per autenticare e autorizzare
l'accesso alla gestione. Per proteggere un dispositivo e i relativi dati (tra cui i dati sensibili e le configurazioni
SSD) dall'accesso non autorizzato, si consiglia di proteggere il processo di autenticazione utente sul
dispositivo. Per proteggere il processo di autenticazione utente, è possibile utilizzare il database locale di
autenticazione, oltre a proteggere la comunicazione tramite server di autenticazione esterna, come un
server RADIUS. La configurazione della comunicazione protetta su server di autenticazione esterni è un
dato sensibile ed è protetta da SSD.
NOTA Le credenziali utente nel database locale autenticato sono già protette da un
meccanismo correlato non SSD.
Se un utente da un canale esegue un'azione che sfrutta un canale alternativo, il dispositivo applica
l'autorizzazione di lettura e la modalità lettura predefinita dalla regola SSD che corrisponde alle credenziali
utente e al canale alternativo. Ad esempio, se un utente accede tramite canale protetto e avvia una sessione di
caricamento TFTP, viene applicata l'autorizzazione di lettura SSD dell'utente sul canale non protetto (TFTP).