Suporte
Pesquisar perguntas frequentes
FAQ000279512
Como podemos ajudar você hoje?

Dúvidas a respeito da desativação do Open SSH em Automation Servers

Questão:

É recomendado desativar o OpenSSH (porta 22) nos Automation Servers do EcoStruxure Building Operation (EBO)? Quais os impactos e considerações sobre vulnerabilidades?

Linha de Produto:

EcoStruxure Building Operation (EBO)

Ambiente:

Automation Servers (AS) com foco em hardening de segurança e gerenciamento de vulnerabilidades em OpenSSH.

Causa:

O OpenSSH é um componente de terceiros integrado ao EcoStruxure Building Operation (EBO). Em cada versão de lançamento do EBO, é incorporada a versão estável mais recente disponível do OpenSSH no momento do desenvolvimento. No entanto, vulnerabilidades novas podem ser descobertas posteriormente ao lançamento do produto.

Exceto em casos de vulnerabilidades classificadas como críticas, a Schneider Electric não realiza atualizações isoladas do OpenSSH. Em vez disso, adota-se a versão fornecida pelo sistema operacional embarcado, o qual aplica correções diretas às vulnerabilidades conhecidas sem necessariamente alterar o número de versão do pacote SSH. Atualizações de versão mais seguras do OpenSSH são geralmente incorporadas apenas em novos lançamentos do EBO.

Resolução:

Como medida alternativa de mitigação, recomenda-se a desativação do serviço SSH no Automation Server. A desativação do SSH, está linhada às diretrizes de segurança da Schneider Electric, mitigando riscos associados a vulnerabilidades históricas, atuais e futuras do OpenSSH.

A porta 22 (OpenSSH) é utilizada principalmente para comunicação com o Device Administrator (ferramenta para configuração e licensiamento do AS), sendo assim, caso o Device Administrator não for utilizado para atualizar/licenciar o AS (provavlemente pois este procedimento já foi realizado), a desativação não impactará a operação e não deve afetar desempenho do Automation Server.

Imagem da aba de "Network" e opção de desativação do OpenSSH dentro da ferramenta EBO

No entanto, é importante ressaltar que, caso precise realizar algum procedimento através do Device Administrator futuramente, será preciso reativar a porta no AS primeiramente e somente depois acessá-lo através do Device Administrator. Também é possível adicionar uma porta SSH adicional (não padrão) antes de desativar a 22, para manter o acesso sem expor a porta comum. Segue o artigo com mais informações:

Disabling TLS and SSH (disponível na Schneider Electric Community).

Para consultar outras documentações do EcoStruxure Building Operation: Manuais, catálogo, software, download de arquivos do EcoStruxure Building Operation (EBO)
Caso sua dúvida persista, nos contate! -> https://www.se.com/br/chat

Publicado para: Schneider Electric Brasil
  • Documentação de produtos
  • Downloads de softwares
  • Seletor de Produto
  • Substituição e troca de produtos
  • Centro de Ajuda e de Contacto
  • Encontre nossos escritórios
  • Faça um orçamento
  • Onde comprar
  • Comunidade Schneider Electric
  • Carreiras
  • Perfil da empresa
  • Denunciar uma violação de conduta
  • Acessibilidade
  • Sala de imprensa
  • Investidores
  • EcoStruxure
  • Vagas de emprego
  • Blog
  • Política de privacidade
  • Aviso de Cookies
  • Termos de uso
  • Change your cookie settings