mcafee enterprise security manager 10.2.0 … · hardware- und softwareanforderungen für die...

McAfee Enterprise Security Manager 10.2.0 –Hardwarehandbuch

COPYRIGHTCopyright © 2018 McAfee LLC

MARKENZUORDNUNGENMcAfee und das McAfee Logo, McAfee Active Protection, ePolicy Orchestrator, McAfee ePO, Foundstone, McAfee LiveSafe, McAfee QuickClean, McAfee SECURE,SecureOS, McAfee Shredder, SiteAdvisor, McAfee Stinger, TrustedSource, VirusScan sind Marken der McAfee LLC oder seiner Tochtergesellschaften in den USA undanderen Ländern. Andere Marken sind Eigentum der jeweiligen Inhaber.

LIZENZINFORMATIONEN

LizenzvertragHINWEIS AN ALLE BENUTZER: LESEN SIE SORGFÄLTIG DEN ZU DER VON IHNEN ERWORBENEN LIZENZ JEWEILS ZUGEHÖRIGEN RECHTSGÜLTIGEN VERTRAG, IN DEMDIE ALLGEMEINEN GESCHÄFTSBEDINGUNGEN FÜR DIE NUTZUNG DER LIZENZIERTEN SOFTWARE DARGELEGT SIND. DIE ART VON LIZENZ, DIE SIE ERWORBEN HABEN,ENTNEHMEN SIE DER VERKAUFSLIZENZGEWÄHRUNG SOWIE SONSTIGEN DAMIT ZUSAMMENHÄNGENDEN LIZENZGEWÄHRUNGEN ODER DEN BESTELLUNGEN, DIE SIEZUSAMMEN MIT IHREM SOFTWAREPAKET ODER SEPARAT ALS TEIL IHRES KAUFES ERHALTEN HABEN (IN FORM EINER BROSCHÜRE, EINER DATEI AUF DER PRODUKT-CDODER EINER DATEI AUF DER WEBSITE, VON DER SIE DAS SOFTWAREPAKET HERUNTERGELADEN HABEN). WENN SIE DEN IM VERTRAG DARGELEGTEN BESTIMMUNGENNICHT ZUSTIMMEN, DÜRFEN SIE DIE SOFTWARE NICHT INSTALLIEREN. SOFERN DIES ERFORDERLICH IST, DÜRFEN SIE DAS PRODUKT AN MCAFEE ODER DIEVERKAUFSSTELLE ZURÜCKGEBEN UND ERHALTEN EINE VOLLE RÜCKERSTATTUNG.

2 McAfee Enterprise Security Manager 10.2.0 – Hardwarehandbuch Hardwarehandbuch

Inhaltsverzeichnis

1 Installieren der McAfee ESM-Geräte 5Hardware- und Softwareanforderungen für die ESM-Konsole . . . . . . . . . . . . . . . . . . . 5Wählen eines Installationsorts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5

2 Einrichtung der Hardware 7Überprüfen der Verpackung und des Geräts . . . . . . . . . . . . . . . . . . . . . . . . . 7Einbau der AXXVRAIL-Schienen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8Entfernen des Chassis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11Verbinden mit dem Netzwerk und Starten der Geräte . . . . . . . . . . . . . . . . . . . . . 11

Konnektor- und Gerätetypen . . . . . . . . . . . . . . . . . . . . . . . . . . . 12Netzwerkkabel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12Hardware der fünften Generation . . . . . . . . . . . . . . . . . . . . . . . . . 13Hardware der vierten Generation . . . . . . . . . . . . . . . . . . . . . . . . . 17Anschließen an die Stromversorgung und Starten der Geräte . . . . . . . . . . . . . . . 21

3 Einrichten der McAfee ESM-Geräte 23Konfigurieren der Netzwerkschnittstelle für ESM . . . . . . . . . . . . . . . . . . . . . . . 23Konfigurieren der Netzwerkschnittstelle für ERC, ELM, ELS oder ACE . . . . . . . . . . . . . . . . 24Konfigurieren der Netzwerkschnittstelle für DEM oder ADM . . . . . . . . . . . . . . . . . . . 25

4 Alternative Installationsszenarien 27Installieren des SAN-Adapters qLogic 2460 oder 2562 . . . . . . . . . . . . . . . . . . . . . 27Installieren des DAS-Geräts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28Zertifizierte Common Criteria-Konfiguration . . . . . . . . . . . . . . . . . . . . . . . . 29Hinweise zu rechtlichen Vorgaben . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30

Index 33

McAfee Enterprise Security Manager 10.2.0 – Hardwarehandbuch Hardwarehandbuch 3

Inhaltsverzeichnis


1 Installieren der McAfee ESM-Geräte

Inhalt Hardware- und Softwareanforderungen für die ESM-Konsole Wählen eines Installationsorts

Hardware- und Softwareanforderungen für die ESM-KonsoleDas für die McAfee ESM-Konsole verwendete System muss den folgenden Mindestanforderungen für Hardwareund Software entsprechen.

• Prozessor: Pentium 4-Klasse (nicht Celeron) oder höher (Mobile, Xeon, Core 2, Core i3, Core i5, Core i7) oderAMD AM2-Klasse oder höher (Turion 64, Athlon 64, Opteron 64, A4, A6, A8)

• RAM: 1,5 GB

• Windows-Betriebssystem: Windows 2000, Windows XP, Windows Server 2003, Windows Vista, WindowsServer 2008, Windows Server 2012, Windows 7, Windows 8, Windows 8.1 und Windows 10

• Browser: Internet Explorer 11 oder höher, Mozilla Firefox 42 oder höher, Google Chrome 48 oder höher

• Flash Player: Version 11.2.x.x oder höher

Für ESM-Funktionen werden beim Hoch- bzw. Herunterladen von Dateien Pop-Up-Fenster verwendet.Deaktivieren Sie den Pop-Up-Blocker für die IP-Adresse oder den Hostnamen Ihres ESM-Geräts.

Siehe auch Wählen eines Installationsorts auf Seite 5

Wählen eines InstallationsortsAnalysieren Sie das vorhandene Netzwerk, und wählen Sie einen Netzwerkspeicherort und einen physischenStandort für die Geräte aus. Der richtige Standort ist für die effektive Nutzung Ihrer Geräte sehr wichtig.

Beachten Sie bei der Wahl des Standorts für die Geräte Folgendes:

1


• Installieren Sie das ESM-Gerät an einem Netzwerkspeicherort, an dem Geräte verwaltet werden können undder Zugriff für alle Systeme möglich ist, von denen auf das Gerät zugegriffen wird. Wenn die direkteKommunikation zwischen den von ESM verwalteten Geräten und den Systemen, auf denen ESM ausgeführtwird, eingeschränkt ist, konfigurieren Sie das Netzwerk so, dass der Netzwerkverkehr zwischen ihnenweitergeleitet wird.

• Installieren Sie das ESM-Gerät an einem sicheren Standort, zu dem nur für die Netzwerksicherheitzuständige Mitarbeiter Zugang haben.

• Von den überwachten Geräten muss auf den Empfänger zugegriffen werden können. Wenn die direkteKommunikation nicht möglich ist, müssen Sie Ihr Netzwerk so konfigurieren, dass der Netzwerkverkehrproblemlos zwischen den Geräten passieren kann.

Siehe auch Hardware- und Softwareanforderungen für die ESM-Konsole auf Seite 5

1 Installieren der McAfee ESM-GeräteWählen eines Installationsorts


2 Einrichtung der Hardware

Inhalt Überprüfen der Verpackung und des Geräts Einbau der AXXVRAIL-Schienen Entfernen des Chassis Verbinden mit dem Netzwerk und Starten der Geräte

Überprüfen der Verpackung und des GerätsÜberprüfen Sie Ihr Gerät vor der Installation auf Beschädigungen oder Manipulationen.

Vorgehensweise

1 Überprüfen Sie das Gerät sofort nach dem Erhalt. Achten Sie dabei auf Hinweise darauf, dass dieVerpackung oder das Gerät beschädigt oder falsch gehandhabt wurde. Überprüfen Sie unter anderem dasSicherheitspackband, das den Transportbehälter verschließt.

Wenden Sie sich bei Hinweisen auf Beschädigung, falsche Handhabung oder Manipulation sofort an denMcAfee-Support, um Informationen zur weiteren Vorgehensweise zu erhalten. Bauen Sie das Produkt nichtauf.

2 Überprüfen Sie, ob alle auf dem Packzettel genannten Artikel im Paket enthalten sind.

3 Wenn Sie im Rahmen von FIPS arbeiten, entnehmen Sie das im Zubehörpaket mitgelieferteOriginalitätssiegel. Bringen Sie das Siegel so an, dass die USB-Anschlüsse vollständig blockiert sind und nichtverwendet werden können, ohne Spuren zu hinterlassen.

Abbildung 2-1 USB-Originalitätssiegel

Wenden Sie sich sofort an den technischen Support, wenn Sie bei der Überprüfung Probleme feststellen.

Siehe auch Einbau der AXXVRAIL-Schienen auf Seite 8Entfernen des Chassis auf Seite 11

2


Einbau der AXXVRAIL-SchienenDie AXXVRAIL-Schienen sind im Lieferumfang jedes Geräts enthalten, damit Sie das Gerät in einem Rackeinbauen können.

Die im Lieferumfang enthaltenen Standardschienen eignen sich für die meisten Racksysteme. Wenn dasSchienensystem nicht geeignet ist, müssen Sie möglicherweise ein für Ihren Serverschrank vorgesehenesSchienensystem kaufen.

Vorgehensweise1 Bauen Sie die Schienen in das Rack ein.

a Lösen Sie die Taste (F), um das Innenprofil (D) der Schienen zu entfernen.

KomponentenA – vordere Halterung

B – Außenprofil

C – hintere Halterung

D – Innenprofil

E – Sicherheitssperrstift

F – Lösetaste

2 Einrichtung der HardwareEinbau der AXXVRAIL-Schienen


b Richten Sie die Halterungen vertikal an der Position des Racks aus, und stecken Sie dann dieBefestigungen ein.

c Schieben Sie den Kugelkäfig zum vorderen Teil der Schienen.

Einrichtung der HardwareEinbau der AXXVRAIL-Schienen 2


2 Setzen Sie das Chassis ein.

a Richten Sie die Löcher der Innenprofile an den dafür vorgesehenen Stellen am Chassis aus.

b Verschieben Sie das Innenprofil in der in der Abbildung gezeigten Richtung.

c Setzen Sie das Gehäuse in die fixierten Schienen ein, indem Sie die Lösetaste am Innenprofil drücken,um die Sperre zu lösen und das Schließen des Chassis zu ermöglichen.

Siehe auch Überprüfen der Verpackung und des Geräts auf Seite 7Entfernen des Chassis auf Seite 11

2 Einrichtung der HardwareEinbau der AXXVRAIL-Schienen


Entfernen des ChassisSie können das Chassis aus den Schienen entfernen, um das Gerät zu ersetzen oder umzupositionieren.

Vorgehensweise1 Ziehen Sie die Schienen vollständig heraus, bis die Schienen blockieren.

2 Drücken Sie die Lösetaste, um die Sperre zu lösen und das Innenprofil von den Schienen zu entfernen.

3 Drücken Sie den Sicherheitssperrstift, um das Innenprofil vom Chassis zu lösen.

Siehe auch Überprüfen der Verpackung und des Geräts auf Seite 7Einbau der AXXVRAIL-Schienen auf Seite 8

Verbinden mit dem Netzwerk und Starten der Geräte

Inhalt Konnektor- und Gerätetypen Netzwerkkabel Hardware der fünften Generation Hardware der vierten Generation Anschließen an die Stromversorgung und Starten der Geräte

Einrichtung der HardwareEntfernen des Chassis 2


Konnektor- und GerätetypenSie können Ihre ESM-Geräte über standardmäßige Ethernet-Kupferkabel mit dem Netzwerk verbinden.

Verbinden Sie Ihre ESM-, Empfänger-, ADM- und DEM-Geräte über Kupfer-Konnektoren mit dem Netzwerk. DieCAT5-Kupferkabel verfügen über RJ-45-Konnektoren. Verwenden Sie für den Anschluss von Kupferkabeln CAT5oder höher. Verwenden Sie für Gigabit-Verbindungen CAT5e.

Für ADM und DEM ist im Netzwerk eine SPAN- (Switch Port Analyzer) oder TAP-Verbindung (Test Access Point)zum Überwachen des Netzwerkverkehrs erforderlich. Dies bedeutet, dass durch den angeschlossenen Switch derDatenverkehr von anderen Switch-Ports gespiegelt werden muss (normalerweise im angeschlossenen Switch).

Sie können DCE- (Data Circuit-Terminating Equipment) und DTE-Geräte (Data Terminal Equipment) an IhreESM-Geräte anschließen.

• Firewall und Router gehören zu DTE-Geräten, während es sich bei Switches um DCE-Geräte handelt.

• ESM-Geräte zählen zur Kategorie DTE.

Siehe auch Netzwerkkabel auf Seite 12Anschließen an die Stromversorgung und Starten der Geräte auf Seite 21Hardware der fünften Generation: Netzwerkports auf Seite 13Hardware der vierten Generation: Netzwerkports auf Seite 17

NetzwerkkabelFür alle ESM-Geräte werden Kupferkabelverbindungen verwendet. Sie können nicht gekreuzte oder gekreuztemännliche RJ-45-Kupferkabel verwenden.

• Verwenden Sie zum Anschließen des RJ-45-Ports des ESM-Geräts an ein DCE-Gerät ein nicht gekreuztesKabel.

• Für den Anschluss an ein DTE verwenden Sie ein gekreuztes Kabel.

Den Unterschied zwischen einem nicht gekreuzten und einem gekreuzten Kabel erkennen Sie, wenn Sie sich dieKabelenden wie in der Abbildung gezeigt ansehen:

• Bei einem nicht gekreuzten Kabel ist die Reihenfolge der farbigen Leitungen an beiden Enden gleich.

• Bei einem gekreuzten Kabel hat die erste (ganz linke) farbige Leitung an einem Ende die gleiche Farbe wiedie dritte Leitung am anderen Ende des Kabels.

2 Einrichtung der HardwareVerbinden mit dem Netzwerk und Starten der Geräte


Siehe auch Konnektor- und Gerätetypen auf Seite 12Anschließen an die Stromversorgung und Starten der Geräte auf Seite 21Hardware der fünften Generation: Netzwerkports auf Seite 13Hardware der vierten Generation: Netzwerkports auf Seite 17

Hardware der fünften Generation

Hardware der fünften Generation: NetzwerkportsIdentifizieren Sie die Ports an der Hardware der fünften Generation, und schließen Sie die Kabel an.

Hardware der fünften Generation verfügt über Verwaltungsports, damit sie über McAfee ESM verwaltet werdenkann. In den folgenden Abbildungen werden die Verwaltungs- und Erfassungsports gezeigt.

1U ERC

1 Monitoranschluss

2 Eth0: Beschriftung VERWALTUNG 1, mit eindeutiger IP-Adresse konfiguriert

3 Eth1, Beschriftung VERWALTUNG 2

• Für Nicht-HA-Konfiguration: zusätzlicher Verwaltungsport

• Für HA-ERC, freigegebene IP-Adresse

4 Beschriftung IPMI

• Für Nicht-HA-Konfiguration: Remote-Verwaltungszugriff

• Für HA-ERC: HA-Konfigurationsverbindung mit Eth5 am sekundären Empfänger

5 Eth2, Beschriftung A: kann als zusätzlicher Verwaltungsport verwendet werden

6 Eth3, Beschriftung B: kann als zusätzlicher Verwaltungsport verwendet werden

7 Eth4, Beschriftung C


• Für HA-ERC: HA-Konfigurationsverbindung mit Eth4 am sekundären Empfänger, Heartbeat

8 Eth5, Beschriftung D

• Für Nicht-HA-Konfiguration: nicht verwendet

• Für HA-ERC: HA-Konfigurationsverbindung mit IPMI am sekundären Empfänger

1U ERC-HA-Verbindungen

Einrichtung der HardwareVerbinden mit dem Netzwerk und Starten der Geräte 2


1 Monitoranschluss

2 Eth0: VERWALTUNG 1 mit eindeutiger IP-Adresse konfiguriert

3 Eth1: VERWALTUNG 2 (Datenport) mit einer freigegebenen IP-Adresse konfiguriert

4 Beschriftung IPMI











2U ERC






• Für HA-ERC: freigegebene IP-Adresse

3 Serielle Verbindung, Beschriftung |O|O|

4 Beschriftung IPMI














1 Monitoranschluss




• Für HA-ERC: freigegebene IP-Adresse

4 Beschriftung IPMI













Siehe auch Konnektor- und Gerätetypen auf Seite 12Netzwerkkabel auf Seite 12Anschließen an die Stromversorgung und Starten der Geräte auf Seite 21Hardware der vierten Generation: Netzwerkports auf Seite 17

Hardware der vierten Generation

Hardware der vierten Generation: NetzwerkportsIdentifizieren Sie die Ports an den McAfee-Geräten, und schließen Sie die Kabel an.

Die Geräte verfügen über Verwaltungsports, damit sie über McAfee ESM verwaltet werden können. In denfolgenden Abbildungen werden die Verwaltungs- und Erfassungsports gezeigt.

1U ERC

1 IPMI-Port

2 Eth0: Die Verbindung hängt vom Gerät ab:

• ERC: VERWALTUNG 1

• ADM: VERWALTUNG 2


• ERC: VERWALTUNG 2

• ADM: VERWALTUNG 1


• ERC: nicht verwendet

• ADM: Erfassungsports (Sniffer)


• ERC: zusätzlicher Verwaltungsport










8 Monitoranschluss


1 Für HA:

• Primär: IPMI-Port mit dem sekundären Eth5-Port, ein Port der Netzwerkkarte mit vier Ports

• Sekundär: IPMI-Port mit dem primären Eth5-Port, ein Port der Netzwerkkarte mit vier Ports


3 Eth1: VERWALTUNG 2 (Datenport) mit einer freigegebenen IP-Adresse konfiguriert

4 Eth5: Für HA:

• Primär: Port 1 der Netzwerkkarte mit vier Ports mit dem sekundären IPMI-Port

• Sekundär: Port 1 der Netzwerkkarte mit vier Ports mit dem primären IPMI-Port

5 Eth4: Heartbeat-Verbindung zwischen HA-Geräten

6 Eth3: nicht verwendet


8 Monitoranschluss

2U ERC-Verbindungen



1 Eth7: HA reserviert für IPMI-Verbindung

2 Eth6: HA reserviert für Heartbeat


4 Eth4: zusätzlicher Verwaltungsport

Anzeige auf der grafischen Benutzeroberfläche als "Schnittstelle 5"

5 Eth0: VERWALTUNG 1








9 Monitoranschluss

10 IPMI-Port




1 Eth7: Für HA:


• Sekundär: Port 1 der Netzwerkkarte mit vier Ports mit dem primären IPMI-Port

2 Eth6: Heartbeat-Verbindung




6 Eth1: VERWALTUNG 2 (Datenport) mit freigegebener IP-Adresse konfiguriert



9 Für HA:


• Sekundär: IPMI-Port mit dem primären Port 1 der Netzwerkkarte mit vier Ports



Siehe auch Netzwerkkabel auf Seite 12Anschließen an die Stromversorgung und Starten der Geräte auf Seite 21Hardware der fünften Generation: Netzwerkports auf Seite 13Konnektor- und Gerätetypen auf Seite 12

Anschließen an die Stromversorgung und Starten der GeräteDas Verfahren zum Anschließen an die Stromversorgung und Starten ist für alle ESM-Hardwarekomponentenähnlich.

Vorgehensweise1 Schließen Sie das Netzkabel an die Stromversorgung an. Installieren und erden Sie das Gerät

ordnungsgemäß, um die geltenden nationalen oder regionalen Bestimmungen zu erfüllen.

Schließen Sie jedes ESM-Gerät an eine eigene USV (unterbrechungsfreie Stromversorgung) an. DasAnschließen von redundanten Netzkabeln und Netzteilen bewirkt im Normalbetrieb aufgrund derParallelausführung einen Lastausgleich, sodass die Stromversorgung äußerst zuverlässig ist.

2 Schalten Sie das Gerät ein.

Siehe auch Konnektor- und Gerätetypen auf Seite 12Netzwerkkabel auf Seite 12Hardware der fünften Generation: Netzwerkports auf Seite 13Hardware der vierten Generation: Netzwerkports auf Seite 17



3 Einrichten der McAfee ESM-Geräte

Inhalt Konfigurieren der Netzwerkschnittstelle für ESM Konfigurieren der Netzwerkschnittstelle für ERC, ELM, ELS oder ACE Konfigurieren der Netzwerkschnittstelle für DEM oder ADM

Konfigurieren der Netzwerkschnittstelle für ESM Konfigurieren Sie die Netzwerkschnittstelle für ein ESM-Gerät.

Vorgehensweise1 Schließen Sie einen Monitor und eine Tastatur an das Gerät an, und schalten Sie es ein.

Der Startvorgang dauert etwa zwei Minuten. Anschließend wird diese virtuelle LCD-Seite (Liquid CrystalDisplay) angezeigt.

2 Drücken Sie Alt+F1, um zu dem Menü links oben auf dem Bildschirm zu wechseln, und drücken Sie zwei Maldie Esc-Taste. Scrollen Sie dann nach unten zu MGT IP Conf (Verwaltungs-IP konfigurieren), und drücken Siedie Eingabetaste.

3 Wählen Sie Mgt 1 (Verwaltung 1) aus, drücken Sie die Eingabetaste, wählen Sie IP Address (IP-Adresse) aus,und drücken Sie dann erneut die Eingabetaste.

4 Legen Sie den Wert fest, und drücken Sie dann die Eingabetaste.

5 Führen Sie einen Bildlauf zu Netmask (Netzwerkmaske) durch, und legen Sie den Wert fest.

6 Scrollen Sie nach unten zu Done (Fertig), und drücken Sie dann die Eingabetaste.

7 Scrollen Sie nach unten zu Gateway (Gateway), und drücken Sie dann die Eingabetaste.

8 Legen Sie die Gateway-Adresse fest, scrollen Sie nach unten zu Done (Fertig), und drücken Sie dann dieEingabetaste.

9 Scrollen Sie nach unten zu DNS 1, drücken Sie die Eingabetaste, und legen Sie den Wert fest.

3



11 Scrollen Sie nach unten zu Save Changes (Änderungen speichern), und drücken Sie dann die Eingabetaste.

12 Melden Sie sich bei der McAfee ESM-Konsole an, um mit dem Konfigurieren der Systeme undGeräteeinstellungen zu beginnen.

Siehe auch Konfigurieren der Netzwerkschnittstelle für ERC, ELM, ELS oder ACE auf Seite 24Konfigurieren der Netzwerkschnittstelle für DEM oder ADM auf Seite 25

Konfigurieren der Netzwerkschnittstelle für ERC, ELM, ELS oder ACEKonfigurieren Sie die Netzwerkschnittstelle für ein ERC-, ELM-, ELS- oder ACE-Gerät.



2 Drücken Sie Alt+F1, um zu dem Menü links oben auf dem Bildschirm zu wechseln, und drücken Sie zwei Maldie Esc-Taste. Scrollen Sie dann nach unten zu MGT IP Conf (Verwaltungs-IP konfigurieren), und drücken Siedie Eingabetaste.

3 Wählen Sie Mgt 1 (Verwaltung 1) aus, drücken Sie die Eingabetaste, wählen Sie IP Address (IP-Adresse) aus,und drücken Sie dann erneut die Eingabetaste.

Zum Konfigurieren einer IPv6-Adresse scrollen Sie nach unten zu IPv6 Config (IPv6 konfigurieren).






9 Scrollen Sie nach unten zu DNS 1, drücken Sie die Eingabetaste, und legen Sie den Wert fest.


3 Einrichten der McAfee ESM-GeräteKonfigurieren der Netzwerkschnittstelle für ERC, ELM, ELS oder ACE


11 Wenn das Gerät im FIPS-Modus betrieben wird, scrollen Sie nach unten zu Port Number (Portnummer), ändernSie den Wert bei Bedarf, und drücken Sie dann die Eingabetaste.

Notieren Sie sich die neue Portnummer. Sie benötigen sie beim Festlegen des Schlüssels für das Gerät.Ändern Sie nicht den Port für die TCP-Kommunikation.


Siehe auch Konfigurieren der Netzwerkschnittstelle für ESM auf Seite 23Konfigurieren der Netzwerkschnittstelle für DEM oder ADM auf Seite 25

Konfigurieren der Netzwerkschnittstelle für DEM oder ADMKonfigurieren Sie die Netzwerkschnittstelle für ein DEM- oder ADM-Gerät.



2 Drücken Sie Alt+F1, um zu dem Menü links oben auf dem Bildschirm zu wechseln, und drücken Sie dannzwei Mal die Esc-Taste.

3 Scrollen Sie nach unten zu MGT IP Conf (Verwaltungs-IP konfigurieren), und drücken Sie dann dieEingabetaste.

4 Wählen Sie Mgt 1 (Verwaltung 1) aus, und drücken Sie dann die Eingabetaste.

5 Wählen Sie im Menü Active (Aktiv) den Eintrag IP Address (IP-Adresse) aus, drücken Sie dann dieEingabetaste.

Zum Konfigurieren einer IPv6-Adresse scrollen Sie nach unten zu IPv6 Config (IPv6 konfigurieren).






Einrichten der McAfee ESM-GeräteKonfigurieren der Netzwerkschnittstelle für DEM oder ADM 3


11 Wenn das Gerät im FIPS-Modus betrieben wird, scrollen Sie nach unten zu Port Number (Portnummer), ändernSie den Wert bei Bedarf, und drücken Sie dann die Eingabetaste.

Notieren Sie sich die neue Portnummer. Sie benötigen sie beim Festlegen des Schlüssels für das Gerät.Ändern Sie nicht den Port für die TCP-Kommunikation.


Siehe auch Konfigurieren der Netzwerkschnittstelle für ESM auf Seite 23Konfigurieren der Netzwerkschnittstelle für ERC, ELM, ELS oder ACE auf Seite 24

3 Einrichten der McAfee ESM-GeräteKonfigurieren der Netzwerkschnittstelle für DEM oder ADM


4 Alternative Installationsszenarien

Inhalt Installieren des SAN-Adapters qLogic 2460 oder 2562 Installieren des DAS-Geräts Zertifizierte Common Criteria-Konfiguration Hinweise zu rechtlichen Vorgaben

Installieren des SAN-Adapters qLogic 2460 oder 2562Bei qLogic QLE2460 handelt es sich um einen einzelnen Fibre Channel PCIe x4-Adapter mit einerÜbertragungsrate von 4 GB. Bei QLE2562 handelt es sich um einen einzelnen Fibre Channel PCIe x8-Adapter (8GB). Sie können die Adapter direkt am SAN-Gerät oder über einen SAN-Switch anschließen.

Bevor Sie beginnen• Vergewissern Sie sich, dass das angeschlossene SAN-Gerät bzw. der angeschlossene SAN-Switch

die automatische Aushandlung unterstützt.

• Vergewissern Sie sich, dass der SAN-Administrator Platz im SAN zuweist sowie erstellt und dasGerät dem angeschlossenen qLogic-Adapter zuweist. Verwenden Sie den World Wide Port Name(WWPN) für den Adapter. Den WWPN finden Sie auf der Produktkarte, der antistatischen Hüllesowie auf der Verpackung des Adapters.

Vorgehensweise1 Schalten Sie das Gerät ab, auf dem Sie den SAN-Adapter installieren.

2 Stecken Sie den Adapter ein, und setzen Sie das Gerät wieder in das Rack ein. Schließen Sie anschließend dieKabel an.

Setzen Sie bei einem 3U-Gerät den Adapter in den Slot ein, der der Speicherabdeckung am nächsten liegt.

Der BIOS-Boot-Meldung des Adapters können Sie entnehmen, dass der Adapter installiert undfunktionsbereit ist. Wenn diese Meldung nicht angezeigt wird oder auf der Karte keine roten, gelben odergrünen Anzeigen leuchten, wurde die Karte nicht erkannt. Überprüfen Sie in diesem Fall, ob die Karte richtigeingesteckt ist, oder setzen Sie sie in einen anderen PCI-Slot ein.

3 Starten Sie das Gerät.

Die Karte wird von der Betriebsumgebung erkannt, und der QLAXXX-Treiber wird geladen.

4 Legen Sie mit McAfee ESM den Authentifizierungsschlüssel für das Gerät fest.

4


Siehe auch Installieren des DAS-Geräts auf Seite 28Zertifizierte Common Criteria-Konfiguration auf Seite 29Hinweise zu rechtlichen Vorgaben auf Seite 30

Installieren des DAS-GerätsDer DAS-Adapter (Direct Attached Storage) ist ein Zusatzgerät.Sie können ein DAS-Gerät (50 TB oder 100 TB) hinzufügen, um zusätzlichen Speicher bereitzustellen. DieseAnweisungen gelten für McAfee ESM-, ELM- oder ELS-Chassis gleichermaßen.

Vorgehensweise1 Schalten Sie das Gerät mit der üblichen Vorgehensweise aus.

2 Ziehen Sie das Gerät aus dem Rack, und öffnen Sie die obere Abdeckung. Möglicherweise müssen Sie an dervorderen oder hinteren Seite der oberen Abdeckung eine kleine Schraube lösen.

3 Setzen Sie je nach Chassis die DAS-Karte in einen dieser Slots ein.

• Für 1U oder 3U setzen Sie die LSI 9280-4e RAID-Karte in Slot 4 ein.

• Für 2U setzen Sie die LSI 9280-4e RAID-Karte in Slot 1 ein.

4 Schließen Sie je nach Chassis die DAS-Kabel an einen dieser Slots an:

• Für McAfee ESM, ELM oder ELS schließen Sie die Kabel an die Slots 1 und 2 der Karte an.

• Für DAS schließen Sie die Kabel an die Slots 1 und 3 der Karte an.

5 Setzen Sie die LSI 9280-8e RAID-Karte in Slot 4 des McAfee ESM-Geräts ein.

• Wenn sich für Geräte mit einer orangefarbenen Frontseite die Areca- oder 3Ware-RAID-Karte in Slot 4befindet, stecken Sie die RAID-Karte in Slot 6 ein. Wenn das McAfee ESM-Gerät über eine Areca- oder3Ware-RAID-Karte sowie eine SSD-Karte verfügt, stecken Sie die LSI 9280-8e RAID-Karte in Slot 5 ein.

• Für Geräte mit einer schwarzen Frontseite installieren Sie die Karte in einem offenen Slot.

6 Stecken Sie die Netzkabel ein, und schalten Sie dann das Gerät ein.

7 Rufen Sie das BIOS-Dienstprogramm auf, und suchen Sie nach dem BIOS-Dienstprogramm für dieLSI 9280-8e RAID-Karte.

8 Beenden Sie das BIOS-Dienstprogramm, und überprüfen Sie mit dem folgenden Befehl denDAS-Speicherplatz: df –h

Siehe auch Installieren des SAN-Adapters qLogic 2460 oder 2562 auf Seite 27Zertifizierte Common Criteria-Konfiguration auf Seite 29Hinweise zu rechtlichen Vorgaben auf Seite 30

4 Alternative InstallationsszenarienInstallieren des DAS-Geräts


Zertifizierte Common Criteria-KonfigurationSie müssen das McAfee-Gerät auf eine bestimmte Weise installieren, konfigurieren und verwenden, umCompliance mit der zertifizierten Common Criteria-Konfiguration zu erzielen. Berücksichtigen Sie dieseAnforderungen beim Einrichten des Systems.

Typ Anforderungen

PhysischerComputer undvirtuelleMaschine

Das McAfee-Gerät muss die folgenden Anforderungen erfüllen:• Sie muss vor nicht autorisierten physischen Änderungen geschützt sein.

• Es muss sich in einer Einrichtung mit Zugriffssteuerung befinden, in der kein nichtautorisierter physischer Zugriff möglich ist.

BeabsichtigteVerwendung

Das McAfee-Gerät muss die folgenden Anforderungen erfüllen:• Es muss Zugriff auf den gesamten Netzwerkverkehr haben, damit seine Funktionen

ausgeführt werden können.

• Sie muss so verwaltet werden, dass Adressenänderungen in dem vom Target of Evaluation(TOE) überwachten Netzwerkverkehr möglich sind.

• Sie muss für den überwachten Netzwerkverkehr skaliert werden.

Personal • Für die Verwaltung des McAfee-Geräts und der Sicherheit der darin enthaltenenInformationen muss mindestens eine fachkundige Person zugewiesen sein.Vor-Ort-Unterstützung bei der Installation und Konfiguration sowie Vor-Ort-Schulung fürdie Verwendung des Geräts wird von McAfee-Technikern für alle McAfee-Kundenbereitgestellt.

• Die autorisierten Administratoren verhalten sich nicht nachlässig, vorsätzlich fahrlässigoder ablehnend und halten sich an die Anweisungen in der Dokumentation für dasMcAfee-Gerät.

• Nur autorisierte Benutzer können auf das McAfee-Gerät zugreifen.

• Die für das McAfee-Gerät zuständigen Personen müssen sicherstellen, dass alleAnmeldeinformationen für den Zugriff von den Benutzern im Hinblick auf die IT-Sicherheitgeschützt werden.

Sonstige • Wenden Sie keine Software-Aktualisierungen auf das McAfee-Gerät an, da sich dadurcheine von der zertifizierten Common Criteria-Konfiguration abweichende Konfigurationergibt. Zertifizierte Aktualisierungen erhalten Sie vom technischen Support.

• Wenn Sie die Funktion Anmeldesicherheit mit einem RADIUS-Server aktivieren, ergibt sichsichere Kommunikation. Die IT-Umgebung ermöglicht die sichere Übertragung von Datenzwischen dem TOE und externen Entitäten und Quellen. Externe Authentifizierungsdienstewerden von einem RADIUS-Server bereitgestellt.

• Die Verwendung der Smart Dashboard-Funktionalität der Check Point-Firewall-Konsole istnicht Bestandteil des TOE.

• Die Verwendung von Snort Barnyard ist nicht Bestandteil des TOE.

• Die Verwendung des MEF-Clients ist nicht Bestandteil des TOE.

• Die Verwendung des Remedy-Ticket-Systems ist nicht Bestandteil des TOE.

Siehe auch Installieren des SAN-Adapters qLogic 2460 oder 2562 auf Seite 27Installieren des DAS-Geräts auf Seite 28Hinweise zu rechtlichen Vorgaben auf Seite 30

Alternative InstallationsszenarienZertifizierte Common Criteria-Konfiguration 4


Hinweise zu rechtlichen VorgabenHier finden Sie behördlich relevante Informationen zu den verschiedenen Plattformen, die Sie möglicherweiseverwenden.

Tabelle 4-1 SuperMicro-basierte Plattformen

McAfee 1U McAfee 2U oder 3U

Elektromagnetische Strahlung FCC Klasse B, EN 55022 Klasse B,

EN 61000-3-2/-3-3

CISPR 22 Klasse B

FCC Klasse B, EN 55022 Klasse B,

EN 61000-3-2/-3-3

CISPR 22 Klasse B

Elektromagnetische Störfestigkeit EN 55024/CISPR 24,

(EN 61000-4-2, EN 61000-4-3,

EN 61000-4-4, EN 61000-4-5,

EN 61000-4-6, EN 61000-4-8,

EN 61000-4-11) 55024

EN 55024/CISPR 24,

(EN 61000-4-2, EN 61000-4-3,

EN 61000-4-4, EN 61000-4-5,

EN 61000-4-6, EN 61000-4-8,

EN 61000-4-11) 55024

Sicherheit Konform mit EN 60950/CISPR 60950,

UL-gelistet (USA)

CUL-gelistet (Kanada)

TÜV-zertifiziert (Deutschland)

CE-Zeichen (Europa)

Konform mit EN 60950/CISPR 60950,

UL-gelistet (USA)

CUL-gelistet (Kanada)

TÜV-zertifiziert (Deutschland)

CE-Zeichen (Europa)

Tabelle 4-2 DAS-basierte Plattformen

DAS-50, DAS-100

Eingangsspannung 100/240 V Wechselspannung

Eingangsfrequenz 50/60 Hz

Stromversorgung 1400 W X3

Leistungsaufnahme 472 W bei 120 V Wechselspannung

461 W bei 240 V Wechselspannung

Stromstärke (maximal) 9,4 A

Einsatzhöhe (maximal) –13,7 bis 2.895 m

Temperatur (maximal) 10 – 35 ºC (in Betrieb)

–40 °C bis 70 °C (außer Betrieb)

Höhe –13,7 bis 2.895 m (in Betrieb) –13,7 bis 7.620 m (außer Betrieb)

Kühlung 1.690 BTU pro Stunde

Luftfeuchtigkeit In Betrieb: 10 – 85 %

(ohne Kondensation)

außer Betrieb: 10 – 90 %

4 Alternative InstallationsszenarienHinweise zu rechtlichen Vorgaben


Tabelle 4-3 Intel-basierte Plattform 1U

Parameter Höchstwerte

Temperatur bei eingeschaltetem Gerät +10 – +35 °C bei maximaler Temperaturveränderung von 10 °C proStunde

Temperatur bei ausgeschaltetem Gerät –40 °C bis 70 °C

Luftfeuchtigkeit bei ausgeschaltetemGerät

90 %, ohne Kondensation bei 35 °C

Geräuschpegel Schallpegel: 7,0 BA im Leerlauf bei typischerBüroumgebungstemperatur (23 ± 2 °C)

Erschütterungen (bei eingeschaltetemGerät)

Sinushalbwelle, max. 2 g, 11 ms

Erschütterungen (bei ausgepacktemGerät)

Trapezförmig, 25 g, Geschwindigkeitswechsel von 3,5 m/s (≧ 18,1 kg> 36,3 kg)

Erschütterungen (bei eingepacktemGerät)

Freier Fall bei nicht palettiertem Produkt aus einer Höhe von60,9 cm (≧ 18,1 kg > 36,3 kg)

Erschütterungen (bei eingeschaltetemGerät)

Sinushalbwelle, max. 2 g, 11 ms

Vibrationen (bei ausgepacktem Gerät) 5 – 500 Hz, 2,20 g RMS (zufallsbedingt)

Elektrostatische Entladung ±12 kV über die Luft und 8 K bei Kontakt

Erforderliche Systemkühlung in BTU proStunde

1.660 BTU pro Stunde

Tabelle 4-4 Intel-basierte Plattform 2U


Temperatur Betrieb • ASHRAE Klasse A2: bei dauerhaftem Betrieb 10 – 35 °Cbei maximalen Temperaturveränderungen von 10 °C proStunde

• ASHRAE Klasse A3: Betrieb bei bis zu 40 °C und maximal900 Stunden pro Jahr

• ASHRAE Klasse A4: Betrieb bei bis zu 45 °C und maximal90 Stunden pro Jahr

Versand –40 °C bis 70 °C

Höhe (in Betrieb) Bei Beschränkung auf ASHRAE-Klasse wird der Betrieb bis3.050 m unterstützt.

Luftfeuchtigkeit (Versand) 50 – 90%, ohne Kondensation bei maximalerFeuchttemperatur von 28 °C (Temperaturbereich 25 –35 °C)

Erschütterungen in Betrieb Sinushalbwelle, 2 g, 11 ms

bei ausgepacktem Gerät Trapezförmig, 25 g, Geschwindigkeitswechsel je nachGewicht inkl. Verpackung

Bei eingepacktem Gerät Produktgewicht: ≥ 18,1 kg > 36,3 kg

Freier Fall bei nicht palettiertem Produkt: aus einer Höhevon 45,7 cm

Freier Fall bei palettiertem (einzelnen) Produkt: Nichtangegeben

Alternative InstallationsszenarienHinweise zu rechtlichen Vorgaben 4


Tabelle 4-4 Intel-basierte Plattform 2U (Fortsetzung)


Vibrationen 5 bis 500 Hz2,20 g RMS (Zufall)

Bei eingepacktem Gerät 5 bis 500 Hz1,09 g RMS (Zufall)

Gleich- undWechselstrom

Spannung 90 V bis 132 V bzw. 180 V – 264 V

Frequenz 47 – 63 Hz

Ausfall derStromversorgung

Kein Datenverlust bei Unterbrechungen derStromversorgung von 12 ms

Spannungsspitzen im undaußerhalb des Betriebs

Unidirektional

Siehe auch Installieren des SAN-Adapters qLogic 2460 oder 2562 auf Seite 27Installieren des DAS-Geräts auf Seite 28Zertifizierte Common Criteria-Konfiguration auf Seite 29

4 Alternative InstallationsszenarienHinweise zu rechtlichen Vorgaben


Index

AAnschlüsse, Netzwerk für jedes Gerät wählen 13

AXXVRAIL-SchienenEntfernen des Chassis 11

Installation 8

CCommon Criteria-Konfiguration 29

DDAS, installieren 28

EEmpfänger-HA

Kabel 13, 17

ESMKonfigurieren der Netzwerkschnittstelle 23

GGeräte

Entfernen aus Rack 11

Identifizieren von Netzwerkports 13, 17

Starten 21

Überprüfen 7Verbinden 21

Gerätetyp, wählen 12

HHardware, Mindestanforderungen 5

IInstallieren des Geräts

Auswählen des Standorts 5Rackmontage 8

KKabel, Netzwerk wählen 12

Konnektortyp, wählen 12

MMindestanforderungen für Hardware und Software 5

NNetzwerkanschlüsse, für jedes Gerät wählen 13

NetzwerkkabelBestimmen des Typs 12

Verbinden 13, 17

Netzwerkkabel, wählen 12

Netzwerkports, Identifizieren für jedes Gerät 17

NetzwerkschnittstelleKonfigurieren von ESM 23

PPlattformen, rechtliche Hinweise für 30

PortsIdentifizieren im Netzwerk für jedes Gerät 13, 17

Ports, Identifizieren im Netzwerk für jedes Gerät 17

QqLogic 2460 SAN-Adapter, installieren 27

Rrechtliche Hinweise für Plattformen 30

SSAN-Adapter, installieren 27

SoftwareMindestanforderungen 5

Standort für die Installation 5Starten des Geräts 21

UÜberprüfen der Verpackung und des Geräts 7USV, Siehe Unterbrechungsfreie Stromversorgung

VVerbindung mit unterbrechungsfreier Stromversorgung 21

Verpackung, überprüfen 7


mcafee enterprise security manager 10.2.0 … · hardware- und softwareanforderungen für die...

Documents