বিষয়বস্তু লুকান
1 এন্টারপ্রাইজ নেটওয়ার্ক ফাংশন ভার্চুয়ালাইজেশন ইনফ্রাস্ট্রাকচার সফ্টওয়্যার
2 পণ্য তথ্য
2.1 স্পেসিফিকেশন
2.2 নিরাপত্তা বিবেচনা
2.3 ইনস্টলেশন
2.4 নিরাপদ বুট
2.5 সিকিউর ইউনিক ডিভাইস আইডেন্টিফিকেশন (SUDI)
2.6 FAQ
2.6.1 প্রশ্নঃ NFVIS কি?
2.6.2 প্রশ্ন: আমি কিভাবে NFVIS ISO ইমেজ বা আপগ্রেড ইমেজের অখণ্ডতা যাচাই করতে পারি?
2.6.3 প্রশ্ন: ENCS এ কি ডিফল্টরূপে সুরক্ষিত বুট সক্ষম করা আছে?
2.6.4 প্রশ্ন: NFVIS-এ SUDI-এর উদ্দেশ্য কী?
2.6.5 দলিল/সম্পদ
2.6.5.1 তথ্যসূত্র
2.6.6 সম্পর্কিত পোস্ট

এন্টারপ্রাইজ নেটওয়ার্ক ফাংশন ভার্চুয়ালাইজেশন ইনফ্রাস্ট্রাকচার সফ্টওয়্যার

পণ্য তথ্য

স্পেসিফিকেশন

  • NFVIS সফ্টওয়্যার সংস্করণ: 3.7.1 এবং পরবর্তী
  • RPM স্বাক্ষর এবং স্বাক্ষর যাচাই সমর্থিত
  • নিরাপদ বুট উপলব্ধ (ডিফল্টরূপে নিষ্ক্রিয়)
  • সিকিউর ইউনিক ডিভাইস আইডেন্টিফিকেশন (SUDI) মেকানিজম ব্যবহার করা হয়েছে

নিরাপত্তা বিবেচনা

NFVIS সফটওয়্যার বিভিন্ন মাধ্যমে নিরাপত্তা নিশ্চিত করে
প্রক্রিয়া:

  • ইমেজ টিamper সুরক্ষা: RPM স্বাক্ষর এবং স্বাক্ষর যাচাইকরণ
    ISO এবং আপগ্রেড ইমেজের সমস্ত RPM প্যাকেজের জন্য।
  • RPM স্বাক্ষর: Cisco Enterprise NFVIS ISO-তে সমস্ত RPM প্যাকেজ
    এবং আপগ্রেড চিত্রগুলি ক্রিপ্টোগ্রাফিক অখণ্ডতা নিশ্চিত করতে স্বাক্ষরিত হয় এবং
    সত্যতা
  • RPM স্বাক্ষর যাচাইকরণ: সমস্ত RPM প্যাকেজের স্বাক্ষর
    ইনস্টলেশন বা আপগ্রেড করার আগে যাচাই করা হয়েছে।
  • ইমেজ ইন্টিগ্রিটি ভেরিফিকেশন: সিসকো এনএফভিআইএস আইএসও ইমেজের হ্যাশ
    এবং আপগ্রেড ইমেজ প্রকাশ করা হয় অতিরিক্ত অখণ্ডতা নিশ্চিত করতে
    অ-RPM files.
  • ENCS সিকিউর বুট: UEFI স্ট্যান্ডার্ডের অংশ, নিশ্চিত করে যে
    ডিভাইস বুট শুধুমাত্র বিশ্বস্ত সফ্টওয়্যার ব্যবহার করে.
  • সিকিউর ইউনিক ডিভাইস আইডেন্টিফিকেশন (SUDI): ডিভাইস প্রদান করে
    এর সত্যতা যাচাই করার জন্য একটি অপরিবর্তনীয় পরিচয় সহ।

ইনস্টলেশন

NFVIS সফ্টওয়্যার ইনস্টল করতে, এই পদক্ষেপগুলি অনুসরণ করুন:

  1. সফ্টওয়্যার ইমেজ টি করা হয়েছে তা নিশ্চিত করুনampদ্বারা ered
    এর স্বাক্ষর এবং সততা যাচাই করা।
  2. সিসকো এন্টারপ্রাইজ NFVIS 3.7.1 এবং পরবর্তী ব্যবহার করলে, নিশ্চিত করুন
    ইনস্টলেশনের সময় স্বাক্ষর যাচাইকরণ পাস হয়। যদি এটি ব্যর্থ হয়,
    ইনস্টলেশন বাতিল করা হবে।
  3. যদি Cisco Enterprise NFVIS 3.6.x থেকে রিলিজে আপগ্রেড করা হয়
    3.7.1, আপগ্রেড করার সময় RPM স্বাক্ষর যাচাই করা হয়। যদি
    স্বাক্ষর যাচাইকরণ ব্যর্থ হয়েছে, একটি ত্রুটি লগ করা হয়েছে কিন্তু আপগ্রেড হয়েছে৷
    সম্পন্ন
  4. রিলিজ 3.7.1 থেকে পরবর্তী রিলিজে আপগ্রেড করা হলে, RPM
    আপগ্রেড ছবি নিবন্ধিত হলে স্বাক্ষর যাচাই করা হয়। যদি
    স্বাক্ষর যাচাই ব্যর্থ হয়েছে, আপগ্রেড বাতিল করা হয়েছে।
  5. Cisco NFVIS ISO ইমেজ বা আপগ্রেড ইমেজের হ্যাশ যাচাই করুন
    কমান্ড ব্যবহার করে: /usr/bin/sha512sum
    <image_filepath>    . প্রকাশিত সঙ্গে হ্যাশ তুলনা
    অখণ্ডতা নিশ্চিত করতে হ্যাশ।

নিরাপদ বুট

সুরক্ষিত বুট হল ENCS-এ উপলব্ধ একটি বৈশিষ্ট্য (ডিফল্টরূপে নিষ্ক্রিয়)
এটি নিশ্চিত করে যে ডিভাইসটি শুধুমাত্র বিশ্বস্ত সফ্টওয়্যার ব্যবহার করে বুট হয়। প্রতি
নিরাপদ বুট সক্ষম করুন:

  1. আরও তথ্যের জন্য হোস্টের সিকিউর বুট-এর ডকুমেন্টেশন পড়ুন
    তথ্য
  2. আপনার নিরাপদ বুট সক্ষম করতে প্রদত্ত নির্দেশাবলী অনুসরণ করুন
    ডিভাইস

সিকিউর ইউনিক ডিভাইস আইডেন্টিফিকেশন (SUDI)

SUDI NFVIS-কে একটি অপরিবর্তনীয় পরিচয় প্রদান করে, সেটি যাচাই করে
এটি একটি প্রকৃত Cisco পণ্য এবং এর স্বীকৃতি নিশ্চিত করে
গ্রাহকের জায় সিস্টেম।

FAQ

প্রশ্নঃ NFVIS কি?

A: NFVIS মানে নেটওয়ার্ক ফাংশন ভার্চুয়ালাইজেশন
অবকাঠামো সফটওয়্যার। এটি একটি সফ্টওয়্যার প্ল্যাটফর্ম যা স্থাপন করতে ব্যবহৃত হয়
এবং ভার্চুয়াল নেটওয়ার্ক ফাংশন পরিচালনা করুন।

প্রশ্ন: আমি কিভাবে NFVIS ISO ইমেজের অখণ্ডতা যাচাই করতে পারি বা
ইমেজ আপগ্রেড?

উত্তর: অখণ্ডতা যাচাই করতে, কমান্ডটি ব্যবহার করুন
/usr/bin/sha512sum <image_filepath> এবং তুলনা করুন
সিসকো দ্বারা প্রদত্ত প্রকাশিত হ্যাশ সহ হ্যাশ।

প্রশ্ন: ENCS এ কি ডিফল্টরূপে সুরক্ষিত বুট সক্ষম করা আছে?

উত্তর: না, সুরক্ষিত বুট ENCS-এ ডিফল্টরূপে অক্ষম করা আছে। এইটা
উন্নত নিরাপত্তার জন্য সুরক্ষিত বুট সক্ষম করার সুপারিশ করা হয়েছে।

প্রশ্ন: NFVIS-এ SUDI-এর উদ্দেশ্য কী?

উত্তর: SUDI NFVIS কে একটি অনন্য এবং অপরিবর্তনীয় পরিচয় প্রদান করে,
একটি Cisco পণ্য হিসাবে এর সত্যতা নিশ্চিত করা এবং এর সুবিধা প্রদান করা
গ্রাহকের ইনভেন্টরি সিস্টেমে স্বীকৃতি।

View Fullscreen

নিরাপত্তা বিবেচনা
এই অধ্যায়ে NFVIS-এর নিরাপত্তা বৈশিষ্ট্য এবং বিবেচনার বর্ণনা দেওয়া হয়েছে। এটি একটি উচ্চ স্তরের ওভার দেয়view আপনার জন্য নির্দিষ্ট স্থাপনার জন্য একটি নিরাপত্তা কৌশল পরিকল্পনা করার জন্য NFVIS-এ নিরাপত্তা সম্পর্কিত উপাদান। নেটওয়ার্ক সুরক্ষার মূল উপাদানগুলি প্রয়োগ করার জন্য এটিতে সুরক্ষার সর্বোত্তম অনুশীলনের সুপারিশও রয়েছে৷ এনএফভিআইএস সফ্টওয়্যারটিতে সমস্ত সফ্টওয়্যার স্তরগুলির মাধ্যমে ইনস্টলেশনের সময় থেকে সুরক্ষা এমবেড করা আছে। পরবর্তী অধ্যায়গুলি এই সমস্ত বাইরের-দ্যা-বক্স সুরক্ষা দিকগুলির উপর ফোকাস করে যেমন শংসাপত্র ব্যবস্থাপনা, সততা এবং টিampএর সুরক্ষা, সেশন পরিচালনা, সুরক্ষিত ডিভাইস অ্যাক্সেস এবং আরও অনেক কিছু।

· ইনস্টলেশন, পৃষ্ঠা 2 এ · সুরক্ষিত অনন্য ডিভাইস সনাক্তকরণ, 3 পৃষ্ঠায় · ডিভাইস অ্যাক্সেস, 4 পৃষ্ঠায়

নিরাপত্তা বিবেচনা 1

ইনস্টলেশন

নিরাপত্তা বিবেচনা

· ইনফ্রাস্ট্রাকচার ম্যানেজমেন্ট নেটওয়ার্ক, 22 পৃষ্ঠায় · স্থানীয়ভাবে সংরক্ষিত তথ্য সুরক্ষা, 23 পৃষ্ঠায় · File স্থানান্তর, 24 পৃষ্ঠায় · লগিং, 24 পৃষ্ঠায় · ভার্চুয়াল মেশিন নিরাপত্তা, 25 পৃষ্ঠায় · VM বিচ্ছিন্নতা এবং সংস্থান ব্যবস্থা, 26 পৃষ্ঠায় · নিরাপদ উন্নয়ন জীবনচক্র, 29 পৃষ্ঠায়

ইনস্টলেশন
এনএফভিআইএস সফ্টওয়্যারটি নিশ্চিত করার জন্য টিampএর সাথে ered, সফ্টওয়্যার ইমেজ নিম্নলিখিত প্রক্রিয়া ব্যবহার করে ইনস্টলেশনের আগে যাচাই করা হয়:

ইমেজ টিamper সুরক্ষা
NFVIS ISO এবং আপগ্রেড ইমেজের সমস্ত RPM প্যাকেজের জন্য RPM স্বাক্ষর এবং স্বাক্ষর যাচাই সমর্থন করে।

RPM স্বাক্ষর

সিসকো এন্টারপ্রাইজ এনএফভিআইএস আইএসও এবং আপগ্রেড ইমেজের সমস্ত RPM প্যাকেজগুলি ক্রিপ্টোগ্রাফিক অখণ্ডতা এবং সত্যতা নিশ্চিত করার জন্য স্বাক্ষরিত। এটি নিশ্চিত করে যে RPM প্যাকেজগুলি টি করা হয়নিampএর সাথে ered এবং RPM প্যাকেজগুলি NFVIS থেকে। RPM প্যাকেজ স্বাক্ষর করার জন্য ব্যবহৃত প্রাইভেট কী সিসকো দ্বারা তৈরি এবং সুরক্ষিতভাবে রক্ষণাবেক্ষণ করা হয়।

RPM স্বাক্ষর যাচাইকরণ

NFVIS সফ্টওয়্যার ইনস্টলেশন বা আপগ্রেড করার আগে সমস্ত RPM প্যাকেজের স্বাক্ষর যাচাই করে। নিম্নলিখিত সারণী Cisco Enterprise NFVIS আচরণ বর্ণনা করে যখন একটি ইনস্টলেশন বা আপগ্রেডের সময় স্বাক্ষর যাচাইকরণ ব্যর্থ হয়।

দৃশ্যকল্প

বর্ণনা

Cisco Enterprise NFVIS 3.7.1 এবং পরবর্তী ইনস্টলেশন সিসকো এন্টারপ্রাইজ NFVIS ইনস্টল করার সময় স্বাক্ষর যাচাইকরণ ব্যর্থ হলে, ইনস্টলেশন বাতিল করা হয়।

Cisco Enterprise NFVIS আপগ্রেড 3.6.x থেকে রিলিজ 3.7.1 এ

আপগ্রেড করার সময় RPM স্বাক্ষর যাচাই করা হয়। স্বাক্ষর যাচাইকরণ ব্যর্থ হলে, একটি ত্রুটি লগ করা হয় কিন্তু আপগ্রেড সম্পন্ন হয়।

রিলিজ 3.7.1 থেকে Cisco Enterprise NFVIS আপগ্রেড যখন আপগ্রেড হয় তখন RPM স্বাক্ষর যাচাই করা হয়

পরবর্তী রিলিজের জন্য

ছবি নিবন্ধিত। স্বাক্ষর যাচাই ব্যর্থ হলে,

আপগ্রেড বাতিল করা হয়েছে।

ইমেজ ইন্টিগ্রিটি ভেরিফিকেশন
RPM স্বাক্ষর এবং স্বাক্ষর যাচাইকরণ শুধুমাত্র Cisco NFVIS ISO এবং আপগ্রেড চিত্রগুলিতে উপলব্ধ RPM প্যাকেজগুলির জন্য করা যেতে পারে। সমস্ত অতিরিক্ত নন-RPM-এর অখণ্ডতা নিশ্চিত করা fileসিসকো এনএফভিআইএস আইএসও ইমেজে উপলব্ধ, সিসকো এনএফভিআইএস আইএসও ইমেজের একটি হ্যাশ ইমেজের সাথে প্রকাশিত হয়েছে। একইভাবে, সিসকো এনএফভিআইএস আপগ্রেড ইমেজের একটি হ্যাশ ছবিটির সাথে প্রকাশিত হয়েছে। সিসকোর হ্যাশ যাচাই করতে

নিরাপত্তা বিবেচনা 2

নিরাপত্তা বিবেচনা

ENCS সিকিউর বুট

NFVIS ISO ইমেজ বা আপগ্রেড ইমেজ Cisco দ্বারা প্রকাশিত হ্যাশের সাথে মেলে, নিম্নলিখিত কমান্ডটি চালান এবং প্রকাশিত হ্যাশের সাথে হ্যাশের তুলনা করুন:
% /usr/bin/sha512sumFile> c2122783efc18b039246ae1bcd4eec4e5e027526967b5b809da5632d462dfa6724a9b20ec318c74548c6bd7e9b8217ce96b5ece93dcdd74fda5e01bb382ad607
<ImageFile>
ENCS সিকিউর বুট
সিকিউর বুট হল ইউনিফাইড এক্সটেনসিবল ফার্মওয়্যার ইন্টারফেস (UEFI) স্ট্যান্ডার্ডের অংশ যা নিশ্চিত করে যে একটি ডিভাইস শুধুমাত্র একটি সফ্টওয়্যার ব্যবহার করে বুট হয় যা অরিজিনাল ইকুইপমেন্ট ম্যানুফ্যাকচারার (OEM) দ্বারা বিশ্বস্ত। NFVIS শুরু হলে, ফার্মওয়্যার বুট সফ্টওয়্যার এবং অপারেটিং সিস্টেমের স্বাক্ষর পরীক্ষা করে। স্বাক্ষরগুলি বৈধ হলে, ডিভাইস বুট হয় এবং ফার্মওয়্যার অপারেটিং সিস্টেমে নিয়ন্ত্রণ দেয়।
সুরক্ষিত বুট ENCS-এ উপলব্ধ কিন্তু ডিফল্টরূপে নিষ্ক্রিয়। Cisco আপনাকে সুরক্ষিত বুট সক্ষম করার পরামর্শ দেয়। আরও তথ্যের জন্য, হোস্টের নিরাপদ বুট দেখুন।
নিরাপদ অনন্য ডিভাইস সনাক্তকরণ
NFVIS সিকিউর ইউনিক ডিভাইস আইডেন্টিফিকেশন (SUDI) নামে পরিচিত একটি প্রক্রিয়া ব্যবহার করে, যা এটিকে একটি অপরিবর্তনীয় পরিচয় প্রদান করে। ডিভাইসটি একটি আসল Cisco পণ্য কিনা তা যাচাই করতে এবং গ্রাহকের ইনভেন্টরি সিস্টেমের কাছে ডিভাইসটি সুপরিচিত কিনা তা নিশ্চিত করতে এই পরিচয়টি ব্যবহার করা হয়।
SUDI হল একটি X.509v3 শংসাপত্র এবং একটি সংশ্লিষ্ট কী-জোড়া যা হার্ডওয়্যারে সুরক্ষিত। SUDI শংসাপত্রে পণ্য শনাক্তকারী এবং ক্রমিক নম্বর রয়েছে এবং এটি Cisco পাবলিক কী অবকাঠামোতে রয়েছে। কী জোড়া এবং SUDI শংসাপত্র উত্পাদনের সময় হার্ডওয়্যার মডিউলে ঢোকানো হয় এবং ব্যক্তিগত কী কখনই রপ্তানি করা যায় না।
SUDI-ভিত্তিক পরিচয় জিরো টাচ প্রভিশনিং (ZTP) ব্যবহার করে প্রমাণীকৃত এবং স্বয়ংক্রিয় কনফিগারেশন সম্পাদন করতে ব্যবহার করা যেতে পারে। এটি ডিভাইসগুলির সুরক্ষিত, দূরবর্তী অন-বোর্ডিং সক্ষম করে এবং নিশ্চিত করে যে অর্কেস্ট্রেশন সার্ভার একটি আসল NFVIS ডিভাইসের সাথে কথা বলছে। একটি ব্যাকএন্ড সিস্টেম NFVIS ডিভাইসটিকে তার পরিচয় যাচাই করার জন্য একটি চ্যালেঞ্জ জারি করতে পারে এবং ডিভাইসটি তার SUDI ভিত্তিক পরিচয় ব্যবহার করে চ্যালেঞ্জের প্রতিক্রিয়া জানাবে। এটি ব্যাকএন্ড সিস্টেমকে শুধুমাত্র তার ইনভেন্টরির বিরুদ্ধে যাচাই করতে দেয় না যে সঠিক ডিভাইসটি সঠিক অবস্থানে রয়েছে তবে এনক্রিপ্ট করা কনফিগারেশনও প্রদান করে যা শুধুমাত্র নির্দিষ্ট ডিভাইস দ্বারা খোলা যেতে পারে, যার ফলে ট্রানজিটের গোপনীয়তা নিশ্চিত করা যায়।
নিম্নলিখিত ওয়ার্কফ্লো ডায়াগ্রামগুলি ব্যাখ্যা করে যে কীভাবে NFVIS SUDI ব্যবহার করে:

নিরাপত্তা বিবেচনা 3

ডিভাইস অ্যাক্সেস চিত্র 1: প্লাগ অ্যান্ড প্লে (PnP) সার্ভার প্রমাণীকরণ

নিরাপত্তা বিবেচনা

চিত্র 2: প্লাগ এবং প্লে ডিভাইস প্রমাণীকরণ এবং অনুমোদন

ডিভাইস অ্যাক্সেস
এনএফভিআইএস কনসোল সহ HTTPS এবং SSH এর মতো প্রোটোকলের উপর ভিত্তি করে দূরবর্তী অ্যাক্সেস সহ বিভিন্ন অ্যাক্সেস ব্যবস্থা সরবরাহ করে। প্রতিটি অ্যাক্সেস প্রক্রিয়া সাবধানে পুনরায় করা উচিতviewed এবং কনফিগার করা। নিশ্চিত করুন যে শুধুমাত্র প্রয়োজনীয় অ্যাক্সেস মেকানিজমগুলি সক্রিয় করা হয়েছে এবং সেগুলি সঠিকভাবে সুরক্ষিত। NFVIS-এ ইন্টারেক্টিভ এবং ম্যানেজমেন্ট উভয় অ্যাক্সেস সুরক্ষিত করার মূল পদক্ষেপগুলি হল ডিভাইস অ্যাক্সেসযোগ্যতা সীমিত করা, অনুমোদিত ব্যবহারকারীদের সক্ষমতাগুলি যা প্রয়োজন তা সীমাবদ্ধ করা এবং অ্যাক্সেসের অনুমোদিত পদ্ধতিগুলিকে সীমাবদ্ধ করা। NFVIS নিশ্চিত করে যে অ্যাক্সেস শুধুমাত্র প্রমাণীকৃত ব্যবহারকারীদের মঞ্জুর করা হয়েছে এবং তারা শুধুমাত্র অনুমোদিত ক্রিয়া সম্পাদন করতে পারে। ডিভাইস অ্যাক্সেস অডিট করার জন্য লগ করা হয়েছে এবং NFVIS স্থানীয়ভাবে সংরক্ষিত সংবেদনশীল ডেটার গোপনীয়তা নিশ্চিত করে। NFVIS-এ অননুমোদিত অ্যাক্সেস রোধ করার জন্য উপযুক্ত নিয়ন্ত্রণ স্থাপন করা গুরুত্বপূর্ণ। নিম্নলিখিত বিভাগগুলি এটি অর্জনের জন্য সর্বোত্তম অনুশীলন এবং কনফিগারেশনগুলি বর্ণনা করে:
নিরাপত্তা বিবেচনা 4

নিরাপত্তা বিবেচনা

প্রথম লগইনে পাসওয়ার্ড পরিবর্তন করা হয়েছে

প্রথম লগইনে পাসওয়ার্ড পরিবর্তন করা হয়েছে
ডিফল্ট শংসাপত্রগুলি পণ্য নিরাপত্তা ঘটনার একটি ঘন ঘন উৎস। গ্রাহকরা প্রায়ই তাদের সিস্টেম আক্রমণের জন্য উন্মুক্ত রেখে ডিফল্ট লগইন শংসাপত্র পরিবর্তন করতে ভুলে যান। এটি প্রতিরোধ করার জন্য, NFVIS ব্যবহারকারীকে ডিফল্ট শংসাপত্র (ব্যবহারকারীর নাম: অ্যাডমিন এবং পাসওয়ার্ড অ্যাডমিন123#) ব্যবহার করে প্রথম লগইন করার পরে পাসওয়ার্ড পরিবর্তন করতে বাধ্য করা হয়। আরও তথ্যের জন্য, NFVIS অ্যাক্সেস করা দেখুন।
লগইন দুর্বলতা সীমাবদ্ধ করা
আপনি নিম্নলিখিত বৈশিষ্ট্যগুলি ব্যবহার করে অভিধান এবং পরিষেবা অস্বীকার (DoS) আক্রমণগুলির দুর্বলতা প্রতিরোধ করতে পারেন৷
শক্তিশালী পাসওয়ার্ড প্রয়োগ
একটি প্রমাণীকরণ প্রক্রিয়া কেবল তার প্রমাণপত্রের মতো শক্তিশালী। এই কারণে, ব্যবহারকারীদের শক্তিশালী পাসওয়ার্ড আছে তা নিশ্চিত করা গুরুত্বপূর্ণ। NFVIS চেক করে যে একটি শক্তিশালী পাসওয়ার্ড নিম্নলিখিত নিয়ম অনুসারে কনফিগার করা হয়েছে: পাসওয়ার্ডে থাকতে হবে:
· কমপক্ষে একটি বড় হাতের অক্ষর · কমপক্ষে একটি ছোট হাতের অক্ষর · কমপক্ষে একটি সংখ্যা · কমপক্ষে একটি বিশেষ অক্ষর: হ্যাশ (#), আন্ডারস্কোর (_), হাইফেন (-), তারকাচিহ্ন (*), বা প্রশ্ন
চিহ্ন (?) · সাতটি অক্ষর বা তার বেশি · পাসওয়ার্ডের দৈর্ঘ্য 7 থেকে 128 অক্ষরের মধ্যে হওয়া উচিত।
পাসওয়ার্ডের জন্য সর্বনিম্ন দৈর্ঘ্য কনফিগার করা হচ্ছে
পাসওয়ার্ড জটিলতার অভাব, বিশেষ করে পাসওয়ার্ডের দৈর্ঘ্য, আক্রমণকারীরা ব্যবহারকারীর পাসওয়ার্ড অনুমান করার চেষ্টা করলে অনুসন্ধানের স্থান উল্লেখযোগ্যভাবে হ্রাস করে, যা পাশবিক আক্রমণগুলিকে আরও সহজ করে তোলে। অ্যাডমিন ব্যবহারকারী সমস্ত ব্যবহারকারীর পাসওয়ার্ডের জন্য প্রয়োজনীয় ন্যূনতম দৈর্ঘ্য কনফিগার করতে পারেন। ন্যূনতম দৈর্ঘ্য 7 থেকে 128 অক্ষরের মধ্যে হতে হবে। ডিফল্টরূপে, পাসওয়ার্ডের জন্য প্রয়োজনীয় ন্যূনতম দৈর্ঘ্য 7 অক্ষরে সেট করা আছে। CLI:
nfvis(config)# rbac প্রমাণীকরণ মিন-pwd-দৈর্ঘ্য 9
API:
/api/config/rbac/authentication/min-pwd-length
পাসওয়ার্ড লাইফটাইম কনফিগার করা হচ্ছে
পাসওয়ার্ড লাইফটাইম নির্ধারণ করে যে কতক্ষণ পাসওয়ার্ড ব্যবহার করা যাবে তার আগে ব্যবহারকারীকে এটি পরিবর্তন করতে হবে।

নিরাপত্তা বিবেচনা 5

পূর্ববর্তী পাসওয়ার্ড পুনরায় ব্যবহার সীমিত করুন

নিরাপত্তা বিবেচনা

অ্যাডমিন ব্যবহারকারী সমস্ত ব্যবহারকারীর জন্য পাসওয়ার্ডের জন্য সর্বনিম্ন এবং সর্বোচ্চ জীবনকালের মানগুলি কনফিগার করতে পারে এবং এই মানগুলি পরীক্ষা করার জন্য একটি নিয়ম প্রয়োগ করতে পারে৷ ডিফল্ট সর্বনিম্ন জীবনকালের মান 1 দিনে সেট করা হয় এবং ডিফল্ট সর্বোচ্চ জীবনকালের মান 60 দিনে সেট করা হয়৷ যখন একটি ন্যূনতম জীবনকালের মান কনফিগার করা হয়, নির্দিষ্ট সংখ্যক দিন অতিবাহিত না হওয়া পর্যন্ত ব্যবহারকারী পাসওয়ার্ড পরিবর্তন করতে পারবেন না। একইভাবে, যখন একটি সর্বোচ্চ জীবনকালের মান কনফিগার করা হয়, একজন ব্যবহারকারীকে নির্দিষ্ট সংখ্যক দিন পার হওয়ার আগে পাসওয়ার্ড পরিবর্তন করতে হবে। যদি কোনও ব্যবহারকারী পাসওয়ার্ড পরিবর্তন না করে এবং নির্দিষ্ট সংখ্যক দিন অতিবাহিত হয়, তবে ব্যবহারকারীকে একটি বিজ্ঞপ্তি পাঠানো হয়।
দ্রষ্টব্য সর্বনিম্ন এবং সর্বোচ্চ জীবনকালের মান এবং এই মানগুলি পরীক্ষা করার নিয়ম প্রশাসক ব্যবহারকারীর জন্য প্রয়োগ করা হয় না।
CLI:
কনফিগার টার্মিনাল rbac প্রমাণীকরণ পাসওয়ার্ড-লাইফটাইম এনফোর্স ট্রু মিন-ডেস 2 সর্বোচ্চ-দিন 30 কমিট
API:
/api/config/rbac/authentication/password-lifetime/
পূর্ববর্তী পাসওয়ার্ড পুনরায় ব্যবহার সীমিত করুন
পূর্ববর্তী পাসফ্রেজের ব্যবহার রোধ না করে, পাসওয়ার্ডের মেয়াদ অনেকাংশে অকেজো কারণ ব্যবহারকারীরা কেবল পাসফ্রেজ পরিবর্তন করতে পারেন এবং তারপরে এটিকে মূলে পরিবর্তন করতে পারেন। NFVIS পরীক্ষা করে যে নতুন পাসওয়ার্ডটি পূর্বে ব্যবহৃত 5টি পাসওয়ার্ডের একটির মতো নয়। এই নিয়মের একটি ব্যতিক্রম হল যে প্রশাসক ব্যবহারকারী পাসওয়ার্ডটিকে ডিফল্ট পাসওয়ার্ডে পরিবর্তন করতে পারেন যদিও এটি পূর্বে ব্যবহৃত 5টি পাসওয়ার্ডের মধ্যে একটি ছিল।
লগইন প্রচেষ্টার ফ্রিকোয়েন্সি সীমাবদ্ধ করুন
যদি একটি দূরবর্তী সমকক্ষকে সীমাহীন সংখ্যক বার লগইন করার অনুমতি দেওয়া হয়, তবে এটি অবশেষে পাশবিক শক্তি দ্বারা লগইন শংসাপত্রগুলি অনুমান করতে সক্ষম হতে পারে। যেহেতু পাসফ্রেজ প্রায়ই অনুমান করা সহজ, এটি একটি সাধারণ আক্রমণ। পিয়ার যে হারে লগইন করার চেষ্টা করতে পারে তা সীমিত করে, আমরা এই আক্রমণ প্রতিরোধ করি। আমরা অপ্রয়োজনীয়ভাবে এই ব্রুট-ফোর্স লগইন প্রচেষ্টাগুলিকে প্রমাণীকরণের জন্য সিস্টেম সংস্থানগুলি ব্যয় করা এড়াই যা পরিষেবা আক্রমণ অস্বীকার করতে পারে। 5টি ব্যর্থ লগইন প্রচেষ্টার পরে NFVIS একটি 10 মিনিটের ব্যবহারকারী লকডাউন প্রয়োগ করে৷
নিষ্ক্রিয় ব্যবহারকারী অ্যাকাউন্ট নিষ্ক্রিয়
ব্যবহারকারীর ক্রিয়াকলাপ নিরীক্ষণ করা এবং অব্যবহৃত বা বাসি ব্যবহারকারীর অ্যাকাউন্টগুলি অক্ষম করা সিস্টেমটিকে অভ্যন্তরীণ আক্রমণ থেকে সুরক্ষিত করতে সহায়তা করে। অব্যবহৃত অ্যাকাউন্টগুলি অবশেষে সরানো উচিত। প্রশাসক ব্যবহারকারী অব্যবহৃত ব্যবহারকারীর অ্যাকাউন্টগুলিকে নিষ্ক্রিয় হিসাবে চিহ্নিত করার জন্য একটি নিয়ম প্রয়োগ করতে পারেন এবং একটি অব্যবহৃত ব্যবহারকারীর অ্যাকাউন্ট নিষ্ক্রিয় হিসাবে চিহ্নিত করার দিনগুলির সংখ্যা কনফিগার করতে পারেন৷ একবার নিষ্ক্রিয় হিসাবে চিহ্নিত হলে, সেই ব্যবহারকারী সিস্টেমে লগইন করতে পারবে না। ব্যবহারকারীকে সিস্টেমে লগইন করার অনুমতি দেওয়ার জন্য, অ্যাডমিন ব্যবহারকারী ব্যবহারকারীর অ্যাকাউন্ট সক্রিয় করতে পারেন।
দ্রষ্টব্য নিষ্ক্রিয়তার সময়কাল এবং নিষ্ক্রিয়তার সময়কাল পরীক্ষা করার নিয়ম প্রশাসক ব্যবহারকারীর জন্য প্রয়োগ করা হয় না।

নিরাপত্তা বিবেচনা 6

নিরাপত্তা বিবেচনা

একটি নিষ্ক্রিয় ব্যবহারকারী অ্যাকাউন্ট সক্রিয় করা হচ্ছে

নিম্নলিখিত CLI এবং API অ্যাকাউন্ট নিষ্ক্রিয়তার প্রয়োগ কনফিগার করতে ব্যবহার করা যেতে পারে। CLI:
কনফিগার টার্মিনাল rbac প্রমাণীকরণ অ্যাকাউন্ট-নিষ্ক্রিয়তা সত্য নিষ্ক্রিয়তা-দিন 30 প্রতিশ্রুতি প্রয়োগ করুন
API:
/api/config/rbac/authentication/account-inactivity/
নিষ্ক্রিয়-দিনের ডিফল্ট মান হল 35।
একটি নিষ্ক্রিয় ব্যবহারকারী অ্যাকাউন্ট সক্রিয় করা প্রশাসক ব্যবহারকারী নিম্নলিখিত CLI এবং API ব্যবহার করে একটি নিষ্ক্রিয় ব্যবহারকারীর অ্যাকাউন্ট সক্রিয় করতে পারেন: CLI:
কনফিগার টার্মিনাল rbac প্রমাণীকরণ ব্যবহারকারী ব্যবহারকারী guest_user activate কমিট
API:
/api/operations/rbac/authentication/users/user/username/activate

BIOS এবং CIMC পাসওয়ার্ডের সেটিং প্রয়োগ করুন

সারণী 1: বৈশিষ্ট্য ইতিহাস সারণী

বৈশিষ্ট্যের নাম

রিলিজ তথ্য

BIOS এবং CIMC NFVIS 4.7.1 পাসওয়ার্ডের সেটিং প্রয়োগ করুন

বর্ণনা
এই বৈশিষ্ট্যটি ব্যবহারকারীকে CIMC এবং BIOS-এর ডিফল্ট পাসওয়ার্ড পরিবর্তন করতে বাধ্য করে।

BIOS এবং CIMC পাসওয়ার্ডের সেটিং কার্যকর করার জন্য বিধিনিষেধ
· এই বৈশিষ্ট্যটি শুধুমাত্র Cisco Catalyst 8200 UCPE এবং Cisco ENCS 5400 প্ল্যাটফর্মে সমর্থিত।
এই বৈশিষ্ট্যটি শুধুমাত্র NFVIS 4.7.1 এবং পরবর্তী রিলিজের নতুন ইনস্টলে সমর্থিত। আপনি যদি NFVIS 4.6.1 থেকে NFVIS 4.7.1 তে আপগ্রেড করেন তবে এই বৈশিষ্ট্যটি সমর্থিত নয় এবং BIOS এবং CIMC পাসওয়ার্ডগুলি কনফিগার করা না থাকলেও আপনাকে BIOS এবং CIMS পাসওয়ার্ডগুলি পুনরায় সেট করার জন্য অনুরোধ করা হবে না।

BIOS এবং CIMC পাসওয়ার্ডের সেটিং প্রয়োগ করার বিষয়ে তথ্য
এই বৈশিষ্ট্যটি NFVIS 4.7.1-এর নতুন ইন্সটল করার পরে BIOS এবং CIMC পাসওয়ার্ড পুনরায় সেট করার জন্য একটি নিরাপত্তা ব্যবধান পূরণ করে। ডিফল্ট CIMC পাসওয়ার্ড হল পাসওয়ার্ড এবং ডিফল্ট BIOS পাসওয়ার্ড কোনো পাসওয়ার্ড নয়।
নিরাপত্তা ব্যবধান ঠিক করার জন্য, আপনাকে ENCS 5400-এ BIOS এবং CIMC পাসওয়ার্ড কনফিগার করতে বাধ্য করা হয়েছে। NFVIS 4.7.1-এর নতুন ইনস্টলের সময়, যদি BIOS এবং CIMC পাসওয়ার্ড পরিবর্তন করা না হয় এবং এখনও থাকে

নিরাপত্তা বিবেচনা 7

কনফিগারেশন ExampBIOS এবং CIMC পাসওয়ার্ডের এনফোর্সড রিসেট করার জন্য

নিরাপত্তা বিবেচনা

ডিফল্ট পাসওয়ার্ড, তারপর আপনাকে BIOS এবং CIMC উভয় পাসওয়ার্ড পরিবর্তন করতে বলা হবে। যদি তাদের মধ্যে শুধুমাত্র একটির জন্য পুনরায় সেট করার প্রয়োজন হয় তবে আপনাকে শুধুমাত্র সেই উপাদানটির জন্য পাসওয়ার্ড পুনরায় সেট করতে বলা হবে। Cisco Catalyst 8200 UCPE-এর জন্য শুধুমাত্র BIOS পাসওয়ার্ড প্রয়োজন এবং তাই শুধুমাত্র BIOS পাসওয়ার্ড রিসেট করার জন্য অনুরোধ করা হয়, যদি এটি ইতিমধ্যে সেট করা না থাকে।
দ্রষ্টব্য আপনি যদি পূর্ববর্তী কোনো রিলিজ থেকে NFVIS 4.7.1 বা পরবর্তী রিলিজে আপগ্রেড করেন, আপনি হোস্ট্যাকশন চেঞ্জ-বায়োস-পাসওয়ার্ড newpassword বা Hostaction change-cimc-password newpassword কমান্ড ব্যবহার করে BIOS এবং CIMC পাসওয়ার্ড পরিবর্তন করতে পারেন।
BIOS এবং CIMC পাসওয়ার্ড সম্পর্কে আরও তথ্যের জন্য, BIOS এবং CIMC পাসওয়ার্ড দেখুন।
কনফিগারেশন ExampBIOS এবং CIMC পাসওয়ার্ডের এনফোর্সড রিসেট করার জন্য
1. যখন আপনি NFVIS 4.7.1 ইনস্টল করবেন, আপনাকে প্রথমে ডিফল্ট অ্যাডমিন পাসওয়ার্ড রিসেট করতে হবে।
সিসকো নেটওয়ার্ক ফাংশন ভার্চুয়ালাইজেশন ইনফ্রাস্ট্রাকচার সফটওয়্যার (NFVIS)
NFVIS সংস্করণ: 99.99.0-1009
কপিরাইট (c) 2015-2021 Cisco Systems, Inc. Cisco, Cisco Systems, এবং Cisco Systems লোগো হল Cisco Systems, Inc. এবং/অথবা মার্কিন যুক্তরাষ্ট্রে এবং অন্যান্য কিছু দেশে এর সহযোগীদের নিবন্ধিত ট্রেডমার্ক৷
এই সফ্টওয়্যারটিতে থাকা কিছু কাজের কপিরাইটগুলি অন্যান্য তৃতীয় পক্ষের মালিকানাধীন এবং তৃতীয় পক্ষের লাইসেন্স চুক্তির অধীনে ব্যবহৃত এবং বিতরণ করা হয়। এই সফ্টওয়্যারের কিছু উপাদান GNU GPL 2.0, GPL 3.0, LGPL 2.1, LGPL 3.0 এবং AGPL 3.0-এর অধীনে লাইসেন্সপ্রাপ্ত।
প্রশাসক 10.24.109.102 থেকে nfvis-এ ssh ব্যবহার করে সংযুক্ত অ্যাডমিন ডিফল্ট শংসাপত্রের সাথে লগ করেছেন অনুগ্রহ করে একটি পাসওয়ার্ড প্রদান করুন যা নিম্নলিখিত মানদণ্ডগুলি পূরণ করে:
1.অন্তত একটি ছোট হাতের অক্ষর 2.অন্তত একটি বড় হাতের অক্ষর 3.অন্তত একটি সংখ্যা 4.# _ – * থেকে অন্তত একটি বিশেষ অক্ষর? 5. দৈর্ঘ্য 7 থেকে 128 অক্ষরের মধ্যে হওয়া উচিত অনুগ্রহ করে পাসওয়ার্ড পুনরায় সেট করুন : অনুগ্রহ করে পাসওয়ার্ডটি পুনরায় লিখুন:
অ্যাডমিন পাসওয়ার্ড রিসেট করা হচ্ছে
2. Cisco Catalyst 8200 UCPE এবং Cisco ENCS 5400 প্ল্যাটফর্মে যখন আপনি NFVIS 4.7.1 বা পরবর্তী রিলিজগুলির একটি নতুন ইনস্টল করেন, তখন আপনাকে অবশ্যই ডিফল্ট BIOS এবং CIMC পাসওয়ার্ড পরিবর্তন করতে হবে। যদি BIOS এবং CIMC পাসওয়ার্ডগুলি পূর্বে কনফিগার করা না থাকে, তাহলে সিস্টেম আপনাকে Cisco ENCS 5400-এর জন্য BIOS এবং CIMC পাসওয়ার্ড এবং Cisco Catalyst 8200 UCPE-এর জন্য শুধুমাত্র BIOS পাসওয়ার্ড পুনরায় সেট করতে অনুরোধ করে৷
নতুন অ্যাডমিন পাসওয়ার্ড সেট করা হয়েছে
অনুগ্রহ করে BIOS পাসওয়ার্ড প্রদান করুন যা নিম্নলিখিত মানদণ্ডগুলি পূরণ করে: 1. কমপক্ষে একটি ছোট হাতের অক্ষর 2. কমপক্ষে একটি বড় হাতের অক্ষর 3. কমপক্ষে একটি সংখ্যা 4. কমপক্ষে #, @ বা _ 5 থেকে একটি বিশেষ অক্ষর। দৈর্ঘ্যের মধ্যে হওয়া উচিত 8 এবং 20 অক্ষর 6. নিম্নলিখিত স্ট্রিংগুলির মধ্যে কোনটি থাকা উচিত নয় (কেস সংবেদনশীল): bios 7. প্রথম অক্ষর একটি # হতে পারে না

নিরাপত্তা বিবেচনা 8

নিরাপত্তা বিবেচনা

BIOS এবং CIMC পাসওয়ার্ড যাচাই করুন

অনুগ্রহ করে BIOS পাসওয়ার্ড পুনরায় সেট করুন : অনুগ্রহ করে BIOS পাসওয়ার্ডটি পুনরায় প্রবেশ করান : অনুগ্রহ করে CIMC পাসওয়ার্ড প্রদান করুন যা নিম্নলিখিত মানদণ্ডগুলি পূরণ করে:
1. কমপক্ষে একটি ছোট হাতের অক্ষর 2. কমপক্ষে একটি বড় হাতের অক্ষর 3. কমপক্ষে একটি সংখ্যা 4. কমপক্ষে #, @ বা _ 5 থেকে একটি বিশেষ অক্ষর। দৈর্ঘ্য 8 থেকে 20 অক্ষরের মধ্যে হওয়া উচিত 6. কোনটি থাকা উচিত নয় নিম্নলিখিত স্ট্রিংগুলি (কেস সংবেদনশীল): প্রশাসক অনুগ্রহ করে CIMC পাসওয়ার্ড পুনরায় সেট করুন : অনুগ্রহ করে CIMC পাসওয়ার্ডটি পুনরায় লিখুন:

BIOS এবং CIMC পাসওয়ার্ড যাচাই করুন
BIOS এবং CIMC পাসওয়ার্ড সফলভাবে পরিবর্তন করা হয়েছে কিনা তা যাচাই করতে, শো লগ ব্যবহার করুন nfvis_config.log | BIOS অন্তর্ভুক্ত করুন বা লগ দেখান nfvis_config.log | CIMC কমান্ড অন্তর্ভুক্ত করুন:

nfvis# লগ দেখান nfvis_config.log | BIOS অন্তর্ভুক্ত

2021-11-16 15:24:40,102 INFO

[হোস্ট্যাকশন:/সিস্টেম/সেটিংস] [] BIOS পাসওয়ার্ড পরিবর্তন

সফল হলো

আপনি nfvis_config.log ডাউনলোড করতে পারেন file এবং পাসওয়ার্ডগুলি সফলভাবে পুনরায় সেট করা হয়েছে কিনা তা যাচাই করুন।

বাহ্যিক AAA সার্ভারের সাথে ইন্টিগ্রেশন
ব্যবহারকারীরা ssh বা এর মাধ্যমে NFVIS-এ লগইন করে Web UI উভয় ক্ষেত্রেই, ব্যবহারকারীদের প্রমাণীকরণ করতে হবে। অর্থাৎ, অ্যাক্সেস পাওয়ার জন্য একজন ব্যবহারকারীকে পাসওয়ার্ড শংসাপত্র উপস্থাপন করতে হবে।
একবার একজন ব্যবহারকারীকে প্রমাণীকরণ করা হলে, সেই ব্যবহারকারীর দ্বারা সম্পাদিত সমস্ত ক্রিয়াকলাপ অনুমোদিত হতে হবে। অর্থাৎ, নির্দিষ্ট কিছু ব্যবহারকারীকে নির্দিষ্ট কাজ করার অনুমতি দেওয়া হতে পারে, যেখানে অন্যরা তা নয়। একে অনুমোদন বলে।
এটি সুপারিশ করা হয় যে NFVIS অ্যাক্সেসের জন্য প্রতি-ব্যবহারকারী, AAA-ভিত্তিক লগইন প্রমাণীকরণ কার্যকর করতে একটি কেন্দ্রীভূত AAA সার্ভার স্থাপন করা হবে। NFVIS নেটওয়ার্ক অ্যাক্সেসের মধ্যস্থতা করতে RADIUS এবং TACACS প্রোটোকল সমর্থন করে। AAA সার্ভারে, প্রমাণীকৃত ব্যবহারকারীদের নির্দিষ্ট অ্যাক্সেসের প্রয়োজনীয়তা অনুযায়ী শুধুমাত্র ন্যূনতম অ্যাক্সেসের সুবিধা দেওয়া উচিত। এটি দূষিত এবং অনিচ্ছাকৃত নিরাপত্তা ঘটনা উভয়ের এক্সপোজার হ্রাস করে।
বাহ্যিক প্রমাণীকরণ সম্পর্কে আরও তথ্যের জন্য, RADIUS কনফিগার করা এবং TACACS+ সার্ভার কনফিগার করা দেখুন।

বহিরাগত প্রমাণীকরণ সার্ভারের জন্য প্রমাণীকরণ ক্যাশে

বৈশিষ্ট্যের নাম

রিলিজ তথ্য

বহিরাগত NFVIS 4.5.1 প্রমাণীকরণ সার্ভারের জন্য প্রমাণীকরণ ক্যাশে

বর্ণনা
এই বৈশিষ্ট্যটি NFVIS পোর্টালে OTP এর মাধ্যমে TACACS প্রমাণীকরণ সমর্থন করে।

NFVIS পোর্টাল প্রাথমিক প্রমাণীকরণের পরে সমস্ত API কলের জন্য একই ওয়ান-টাইম পাসওয়ার্ড (OTP) ব্যবহার করে। OTP মেয়াদ শেষ হওয়ার সাথে সাথে API কলগুলি ব্যর্থ হয়। এই বৈশিষ্ট্যটি NFVIS পোর্টালের সাথে TACACS OTP প্রমাণীকরণ সমর্থন করে।
আপনি সফলভাবে একটি OTP ব্যবহার করে TACACS সার্ভারের মাধ্যমে প্রমাণীকরণ করার পরে, NFVIS ব্যবহারকারীর নাম এবং OTP ব্যবহার করে একটি হ্যাশ এন্ট্রি তৈরি করে এবং স্থানীয়ভাবে এই হ্যাশ মান সংরক্ষণ করে। এই স্থানীয়ভাবে সংরক্ষিত হ্যাশ মান আছে

নিরাপত্তা বিবেচনা 9

ভূমিকা ভিত্তিক অ্যাক্সেস নিয়ন্ত্রণ

নিরাপত্তা বিবেচনা

একটি মেয়াদ শেষ হওয়ার সময় সেন্টamp এর সাথে যুক্ত। সময় সেন্টamp SSH অধিবেশন নিষ্ক্রিয় টাইমআউট মানের সমান যা 15 মিনিট। একই ব্যবহারকারীর নামের সাথে পরবর্তী সমস্ত প্রমাণীকরণ অনুরোধগুলি প্রথমে এই স্থানীয় হ্যাশ মানের বিরুদ্ধে প্রমাণীকৃত হয়। স্থানীয় হ্যাশের সাথে প্রমাণীকরণ ব্যর্থ হলে, NFVIS এই অনুরোধটি TACACS সার্ভারের সাথে প্রমাণীকরণ করে এবং প্রমাণীকরণ সফল হলে একটি নতুন হ্যাশ এন্ট্রি তৈরি করে। যদি একটি হ্যাশ এন্ট্রি ইতিমধ্যেই বিদ্যমান থাকে, তার সময় সেন্টamp 15 মিনিটে রিসেট করা হয়।
পোর্টালে সফলভাবে লগ ইন করার পর যদি আপনাকে TACACS সার্ভার থেকে সরিয়ে দেওয়া হয়, NFVIS-এ হ্যাশ এন্ট্রির মেয়াদ শেষ না হওয়া পর্যন্ত আপনি পোর্টালটি ব্যবহার করা চালিয়ে যেতে পারেন।
আপনি যখন NFVIS পোর্টাল থেকে স্পষ্টভাবে লগ আউট করেন বা নিষ্ক্রিয় সময়ের কারণে লগ আউট করেন, তখন পোর্টালটি একটি নতুন API কল করে যাতে হ্যাশ এন্ট্রি ফ্লাশ করার জন্য NFVIS ব্যাকএন্ডকে অবহিত করা হয়। NFVIS রিবুট, ফ্যাক্টরি রিসেট বা আপগ্রেড করার পরে প্রমাণীকরণ ক্যাশে এবং এর সমস্ত এন্ট্রি সাফ করা হয়।

ভূমিকা ভিত্তিক অ্যাক্সেস নিয়ন্ত্রণ

নেটওয়ার্ক অ্যাক্সেস সীমিত করা এমন সংস্থাগুলির জন্য গুরুত্বপূর্ণ যেগুলির অনেক কর্মী আছে, ঠিকাদার নিয়োগ করে বা তৃতীয় পক্ষের অ্যাক্সেসের অনুমতি দেয়, যেমন গ্রাহক এবং বিক্রেতা৷ এই ধরনের পরিস্থিতিতে, কার্যকরভাবে নেটওয়ার্ক অ্যাক্সেস নিরীক্ষণ করা কঠিন। পরিবর্তে, সংবেদনশীল ডেটা এবং সমালোচনামূলক অ্যাপ্লিকেশনগুলি সুরক্ষিত করার জন্য যা অ্যাক্সেসযোগ্য তা নিয়ন্ত্রণ করা ভাল।
ভূমিকা-ভিত্তিক অ্যাক্সেস নিয়ন্ত্রণ (RBAC) হল একটি এন্টারপ্রাইজের মধ্যে পৃথক ব্যবহারকারীদের ভূমিকার উপর ভিত্তি করে নেটওয়ার্ক অ্যাক্সেস সীমাবদ্ধ করার একটি পদ্ধতি। RBAC ব্যবহারকারীদের শুধুমাত্র তাদের প্রয়োজনীয় তথ্য অ্যাক্সেস করতে দেয় এবং তাদের সাথে সম্পর্কিত নয় এমন তথ্য অ্যাক্সেস করতে বাধা দেয়।
এন্টারপ্রাইজে একজন কর্মচারীর ভূমিকা মঞ্জুর করা অনুমতিগুলি নির্ধারণ করতে ব্যবহার করা উচিত, যাতে কম সুবিধাযুক্ত কর্মচারীরা সংবেদনশীল তথ্য অ্যাক্সেস করতে না পারে বা গুরুত্বপূর্ণ কাজগুলি করতে না পারে তা নিশ্চিত করতে।
নিম্নলিখিত ব্যবহারকারীর ভূমিকা এবং সুবিধাগুলি NFVIS-এ সংজ্ঞায়িত করা হয়েছে

ব্যবহারকারীর ভূমিকা

বিশেষাধিকার

প্রশাসক

সমস্ত উপলব্ধ বৈশিষ্ট্য কনফিগার করতে পারে এবং ব্যবহারকারীর ভূমিকা পরিবর্তন সহ সমস্ত কাজ সম্পাদন করতে পারে। প্রশাসক মৌলিক পরিকাঠামো মুছে ফেলতে পারবেন না যা NFVIS-এর জন্য মৌলিক। অ্যাডমিন ব্যবহারকারীর ভূমিকা পরিবর্তন করা যাবে না; এটি সর্বদা "প্রশাসক"।

অপারেটর

একটি VM শুরু এবং বন্ধ করতে পারে, এবং view সমস্ত তথ্য।

নিরীক্ষক

তারা সবচেয়ে কম সুবিধাপ্রাপ্ত ব্যবহারকারী। তাদের শুধুমাত্র পঠন-পাঠনের অনুমতি রয়েছে এবং তাই, কোনো কনফিগারেশন পরিবর্তন করতে পারে না।

RBAC এর সুবিধা
একটি সংস্থার মধ্যে লোকেদের ভূমিকার উপর ভিত্তি করে অপ্রয়োজনীয় নেটওয়ার্ক অ্যাক্সেস সীমাবদ্ধ করতে RBAC ব্যবহার করার অনেকগুলি সুবিধা রয়েছে, যার মধ্যে রয়েছে:
· অপারেশনাল দক্ষতা উন্নত করা।
RBAC-তে পূর্বনির্ধারিত ভূমিকা থাকার ফলে সঠিক সুযোগ-সুবিধা সহ নতুন ব্যবহারকারীদের অন্তর্ভুক্ত করা বা বিদ্যমান ব্যবহারকারীদের ভূমিকা পরিবর্তন করা সহজ হয়। এটি ব্যবহারকারীর অনুমতিগুলি বরাদ্দ করার সময় ত্রুটির সম্ভাবনাও হ্রাস করে।
· সম্মতি বাড়ানো।

নিরাপত্তা বিবেচনা 10

নিরাপত্তা বিবেচনা

ভূমিকা ভিত্তিক অ্যাক্সেস নিয়ন্ত্রণ

প্রতিটি সংস্থাকে অবশ্যই স্থানীয়, রাজ্য এবং ফেডারেল প্রবিধান মেনে চলতে হবে। কোম্পানিগুলি সাধারণত গোপনীয়তা এবং গোপনীয়তার জন্য নিয়ন্ত্রক এবং বিধিবদ্ধ প্রয়োজনীয়তাগুলি পূরণ করার জন্য RBAC সিস্টেমগুলি প্রয়োগ করতে পছন্দ করে কারণ এক্সিকিউটিভ এবং আইটি বিভাগগুলি কীভাবে ডেটা অ্যাক্সেস এবং ব্যবহার করা হয় তা আরও কার্যকরভাবে পরিচালনা করতে পারে। সংবেদনশীল ডেটা পরিচালনা করে এমন আর্থিক প্রতিষ্ঠান এবং স্বাস্থ্যসেবা সংস্থাগুলির জন্য এটি বিশেষভাবে গুরুত্বপূর্ণ।
· খরচ কমানো। নির্দিষ্ট প্রক্রিয়া এবং অ্যাপ্লিকেশনগুলিতে ব্যবহারকারীর অ্যাক্সেসের অনুমতি না দিয়ে, কোম্পানিগুলি সাশ্রয়ী উপায়ে নেটওয়ার্ক ব্যান্ডউইথ, মেমরি এবং স্টোরেজের মতো সংস্থানগুলি সংরক্ষণ বা ব্যবহার করতে পারে।
· লঙ্ঘন এবং তথ্য ফাঁসের ঝুঁকি হ্রাস। RBAC প্রয়োগ করার অর্থ হল সংবেদনশীল তথ্যের অ্যাক্সেস সীমাবদ্ধ করা, এইভাবে ডেটা লঙ্ঘন বা ডেটা ফাঁসের সম্ভাবনা হ্রাস করা।
ভূমিকা-ভিত্তিক অ্যাক্সেস নিয়ন্ত্রণ বাস্তবায়নের জন্য সর্বোত্তম অনুশীলনগুলি · একজন প্রশাসক হিসাবে, ব্যবহারকারীদের তালিকা নির্ধারণ করুন এবং ব্যবহারকারীদের পূর্বনির্ধারিত ভূমিকাগুলিতে নিয়োগ করুন। প্রাক্তন জন্যample, ব্যবহারকারী "networkadmin" তৈরি করা যেতে পারে এবং ব্যবহারকারী গ্রুপ "প্রশাসকদের" এ যোগ করা যেতে পারে।
কনফিগার টার্মিনাল rbac প্রমাণীকরণ ব্যবহারকারীরা তৈরি-ব্যবহারকারীর নাম networkadmin পাসওয়ার্ড Test1_pass ভূমিকা প্রশাসকদের প্রতিশ্রুতি
উল্লেখ্য ব্যবহারকারী গ্রুপ বা ভূমিকা সিস্টেম দ্বারা তৈরি করা হয়। আপনি একটি ব্যবহারকারী গ্রুপ তৈরি বা পরিবর্তন করতে পারবেন না. পাসওয়ার্ড পরিবর্তন করতে, গ্লোবাল কনফিগারেশন মোডে rbac প্রমাণীকরণ ব্যবহারকারী user change-password কমান্ডটি ব্যবহার করুন। ব্যবহারকারীর ভূমিকা পরিবর্তন করতে, গ্লোবাল কনফিগারেশন মোডে rbac প্রমাণীকরণ ব্যবহারকারী user change-role কমান্ডটি ব্যবহার করুন।
যেসব ব্যবহারকারীদের আর অ্যাক্সেসের প্রয়োজন নেই তাদের অ্যাকাউন্ট বন্ধ করুন।
কনফিগার টার্মিনাল rbac প্রমাণীকরণ ব্যবহারকারীদের মুছে ফেলুন-ব্যবহারকারীর নাম test1
· ভূমিকা মূল্যায়ন করার জন্য পর্যায়ক্রমে অডিট পরিচালনা করুন, তাদের জন্য নির্ধারিত কর্মচারী এবং প্রতিটি ভূমিকার জন্য অনুমোদিত অ্যাক্সেস। যদি একজন ব্যবহারকারীর একটি নির্দিষ্ট সিস্টেমে অপ্রয়োজনীয় অ্যাক্সেস পাওয়া যায় তবে ব্যবহারকারীর ভূমিকা পরিবর্তন করুন।
আরও বিশদ বিবরণের জন্য দেখুন, ব্যবহারকারী, ভূমিকা এবং প্রমাণীকরণ
দানাদার ভূমিকা-ভিত্তিক অ্যাক্সেস কন্ট্রোল NFVIS 4.7.1 থেকে শুরু করে, গ্রানুলার রোল-ভিত্তিক অ্যাক্সেস কন্ট্রোল বৈশিষ্ট্যটি চালু করা হয়েছে। এই বৈশিষ্ট্যটি একটি নতুন সংস্থান গোষ্ঠী নীতি যোগ করে যা VM এবং VNF পরিচালনা করে এবং VNF স্থাপনের সময় VNF অ্যাক্সেস নিয়ন্ত্রণ করার জন্য ব্যবহারকারীদের একটি গোষ্ঠীতে নিয়োগ করার অনুমতি দেয়। আরও তথ্যের জন্য, গ্রানুলার রোল-ভিত্তিক অ্যাক্সেস কন্ট্রোল দেখুন।

নিরাপত্তা বিবেচনা 11

ডিভাইস অ্যাক্সেসিবিলিটি সীমাবদ্ধ করুন

নিরাপত্তা বিবেচনা

ডিভাইস অ্যাক্সেসিবিলিটি সীমাবদ্ধ করুন
ব্যবহারকারীরা বারবার অজান্তেই এমন বৈশিষ্ট্যগুলির বিরুদ্ধে আক্রমণের শিকার হয়েছেন যা তারা সুরক্ষিত করেনি কারণ তারা জানত না যে এই বৈশিষ্ট্যগুলি সক্ষম করা হয়েছে৷ অব্যবহৃত পরিষেবাগুলি ডিফল্ট কনফিগারেশনের সাথে রেখে দেওয়া হয় যা সবসময় সুরক্ষিত নয়। এই পরিষেবাগুলিও ডিফল্ট পাসওয়ার্ড ব্যবহার করতে পারে৷ কিছু পরিষেবা আক্রমণকারীকে সার্ভার কী চলছে বা কীভাবে নেটওয়ার্ক সেটআপ করছে সে সম্পর্কে তথ্যে সহজে অ্যাক্সেস দিতে পারে। নিম্নলিখিত বিভাগগুলি বর্ণনা করে যে কীভাবে NFVIS এই ধরনের নিরাপত্তা ঝুঁকি এড়ায়:

আক্রমণ ভেক্টর হ্রাস
সফ্টওয়্যারের যেকোনো অংশে সম্ভাব্য নিরাপত্তা দুর্বলতা থাকতে পারে। আরও সফ্টওয়্যার মানে আক্রমণের আরও উপায়। এমনকি যদি অন্তর্ভুক্তির সময় কোনো সর্বজনীনভাবে পরিচিত দুর্বলতা না থাকে, তবে দুর্বলতাগুলি সম্ভবত ভবিষ্যতে আবিষ্কৃত বা প্রকাশ করা হবে। এই ধরনের পরিস্থিতি এড়াতে, শুধুমাত্র সেই সফ্টওয়্যার প্যাকেজগুলি ইনস্টল করা হয় যা NFVIS কার্যকারিতার জন্য প্রয়োজনীয়। এটি সফ্টওয়্যার দুর্বলতা সীমিত করতে, সম্পদ খরচ কমাতে এবং প্যাকেজগুলির সাথে সমস্যাগুলি পাওয়া গেলে অতিরিক্ত কাজ কমাতে সহায়তা করে৷ NFVIS-এ অন্তর্ভুক্ত সমস্ত তৃতীয় পক্ষের সফ্টওয়্যার সিস্কোর একটি কেন্দ্রীয় ডাটাবেসে নিবন্ধিত হয় যাতে সিসকো একটি কোম্পানি স্তরের সংগঠিত প্রতিক্রিয়া (আইনি, নিরাপত্তা, ইত্যাদি) সম্পাদন করতে সক্ষম হয়। পরিচিত কমন ভালনারেবিলিটিস এবং এক্সপোজার (CVE) এর জন্য সফ্টওয়্যার প্যাকেজগুলি পর্যায়ক্রমে প্রতিটি রিলিজে প্যাচ করা হয়।

ডিফল্টরূপে শুধুমাত্র অপরিহার্য পোর্ট সক্রিয় করা হচ্ছে

শুধুমাত্র সেই পরিষেবাগুলি যা NFVIS সেটআপ এবং পরিচালনা করার জন্য একেবারে প্রয়োজনীয় ডিফল্টরূপে উপলব্ধ। এটি ফায়ারওয়াল কনফিগার করতে এবং অপ্রয়োজনীয় পরিষেবাগুলিতে অ্যাক্সেস অস্বীকার করার জন্য প্রয়োজনীয় ব্যবহারকারীর প্রচেষ্টাকে সরিয়ে দেয়। ডিফল্টরূপে সক্রিয় করা একমাত্র পরিষেবাগুলি নীচে তালিকাভুক্ত করা হয়েছে যেগুলি পোর্টগুলি খুলবে।

ওপেন পোর্ট

সেবা

বর্ণনা

22 / টিসিপি

এসএসএইচ

NFVIS-এ দূরবর্তী কমান্ড-লাইন অ্যাক্সেসের জন্য সুরক্ষিত সকেট শেল

80 / টিসিপি

HTTP

NFVIS পোর্টাল অ্যাক্সেসের জন্য হাইপারটেক্সট ট্রান্সফার প্রোটোকল। NFVIS দ্বারা প্রাপ্ত সমস্ত HTTP ট্র্যাফিক HTTPS-এর জন্য পোর্ট 443-এ পুনঃনির্দেশিত হয়

443 / টিসিপি

HTTPS

নিরাপদ NFVIS পোর্টাল অ্যাক্সেসের জন্য হাইপারটেক্সট ট্রান্সফার প্রোটোকল সিকিউর

830 / টিসিপি

NETCONF-ssh

SSH এর উপর নেটওয়ার্ক কনফিগারেশন প্রোটোকল (NETCONF) এর জন্য পোর্ট খোলা হয়েছে। NETCONF হল একটি প্রোটোকল যা NFVIS-এর স্বয়ংক্রিয় কনফিগারেশনের জন্য এবং NFVIS থেকে অ্যাসিঙ্ক্রোনাস ইভেন্ট বিজ্ঞপ্তিগুলি পাওয়ার জন্য ব্যবহৃত হয়।

161/ইউডিপি

এসএনএমপি

সাধারণ নেটওয়ার্ক ম্যানেজমেন্ট প্রোটোকল (SNMP)। দূরবর্তী নেটওয়ার্ক-মনিটরিং অ্যাপ্লিকেশনগুলির সাথে যোগাযোগ করতে NFVIS দ্বারা ব্যবহৃত হয়। আরও তথ্যের জন্য, SNMP সম্পর্কে ভূমিকা দেখুন

নিরাপত্তা বিবেচনা 12

নিরাপত্তা বিবেচনা

অনুমোদিত পরিষেবার জন্য অনুমোদিত নেটওয়ার্কগুলিতে অ্যাক্সেস সীমাবদ্ধ করুন

অনুমোদিত পরিষেবার জন্য অনুমোদিত নেটওয়ার্কগুলিতে অ্যাক্সেস সীমাবদ্ধ করুন

শুধুমাত্র অনুমোদিত উদ্যোক্তাদের এমনকি ডিভাইস ম্যানেজমেন্ট অ্যাক্সেসের চেষ্টা করার অনুমতি দেওয়া উচিত এবং অ্যাক্সেস শুধুমাত্র তাদের ব্যবহার করার জন্য অনুমোদিত পরিষেবাগুলিতে হওয়া উচিত। এনএফভিআইএস এমনভাবে কনফিগার করা যেতে পারে যাতে অ্যাক্সেস পরিচিত, বিশ্বস্ত উত্স এবং প্রত্যাশিত ব্যবস্থাপনা ট্রাফিক প্রো-এর মধ্যে সীমাবদ্ধ থাকেfiles এটি অননুমোদিত অ্যাক্সেসের ঝুঁকি এবং অন্যান্য আক্রমণের এক্সপোজার যেমন ব্রুট ফোর্স, ডিকশনারি বা DoS আক্রমণের ঝুঁকি হ্রাস করে।
NFVIS ব্যবস্থাপনা ইন্টারফেসগুলিকে অপ্রয়োজনীয় এবং সম্ভাব্য ক্ষতিকারক ট্র্যাফিক থেকে রক্ষা করতে, একজন প্রশাসক ব্যবহারকারী প্রাপ্ত নেটওয়ার্ক ট্র্যাফিকের জন্য অ্যাক্সেস কন্ট্রোল লিস্ট (ACLs) তৈরি করতে পারেন। এই ACLগুলি উৎস IP ঠিকানা/নেটওয়ার্কগুলি নির্দিষ্ট করে যেখান থেকে ট্র্যাফিকের উৎপত্তি হয় এবং এই উত্সগুলি থেকে অনুমোদিত বা প্রত্যাখ্যান করা ট্র্যাফিকের ধরন। এই আইপি ট্র্যাফিক ফিল্টারগুলি NFVIS-এর প্রতিটি ম্যানেজমেন্ট ইন্টারফেসে প্রয়োগ করা হয়। নিম্নলিখিত পরামিতিগুলি একটি আইপি প্রাপ্তি অ্যাক্সেস কন্ট্রোল লিস্টে কনফিগার করা হয়েছে (ip-receive-acl)

প্যারামিটার

মান

বর্ণনা

সোর্স নেটওয়ার্ক/নেটমাস্ক

নেটওয়ার্ক/নেটমাস্ক। প্রাক্তন জন্যampলে: 0.0.0.0/0
172.39.162.0/24

এই ক্ষেত্রটি IP ঠিকানা/নেটওয়ার্ক নির্দিষ্ট করে যেখান থেকে ট্র্যাফিক উৎপন্ন হয়

সার্ভিস অ্যাকশন

https icmp netconf scpd snmp ssh ড্রপ প্রত্যাখ্যান স্বীকার করুন

নির্দিষ্ট উৎস থেকে ট্রাফিকের ধরন।
সোর্স নেটওয়ার্ক থেকে ট্র্যাফিকের উপর ব্যবস্থা নেওয়া হবে। গ্রহণের সাথে, নতুন সংযোগের প্রচেষ্টা মঞ্জুর করা হবে। প্রত্যাখ্যানের সাথে, সংযোগ প্রচেষ্টা গ্রহণ করা হবে না। যদি নিয়মটি একটি TCP ভিত্তিক পরিষেবা যেমন HTTPS, NETCONF, SCP, SSH এর জন্য হয়, তাহলে উৎসটি একটি TCP রিসেট (RST) প্যাকেট পাবে। নন-টিসিপি নিয়মের জন্য যেমন SNMP এবং ICMP, প্যাকেটটি বাদ দেওয়া হবে। ড্রপ দিয়ে, সমস্ত প্যাকেট অবিলম্বে ড্রপ করা হবে, উৎসে পাঠানো কোন তথ্য নেই।

নিরাপত্তা বিবেচনা 13

বিশেষাধিকারপ্রাপ্ত ডিবাগ অ্যাক্সেস

নিরাপত্তা বিবেচনা

প্যারামিটার অগ্রাধিকার

মান একটি সাংখ্যিক মান

বর্ণনা
অগ্রাধিকারটি নিয়মের উপর একটি আদেশ কার্যকর করতে ব্যবহৃত হয়। অগ্রাধিকারের জন্য উচ্চতর সাংখ্যিক মান সহ নিয়মগুলি আরও নীচে চেইনে যুক্ত করা হবে৷ আপনি যদি নিশ্চিত করতে চান যে অন্য একটি নিয়মের পরে একটি নিয়ম যোগ করা হবে, তাহলে প্রথমটির জন্য একটি কম অগ্রাধিকার নম্বর এবং নিম্নলিখিতগুলির জন্য একটি উচ্চ অগ্রাধিকার নম্বর ব্যবহার করুন৷

নিম্নলিখিত এসampলে কনফিগারেশনগুলি এমন কিছু পরিস্থিতিকে চিত্রিত করে যা নির্দিষ্ট ব্যবহারের ক্ষেত্রে অভিযোজিত হতে পারে।
আইপি রিসিভ ACL কনফিগার করা হচ্ছে
ACL যত বেশি সীমাবদ্ধ, অননুমোদিত অ্যাক্সেস প্রচেষ্টার এক্সপোজার তত সীমিত। যাইহোক, একটি আরও সীমাবদ্ধ ACL একটি ব্যবস্থাপনা ওভারহেড তৈরি করতে পারে এবং সমস্যা সমাধানের জন্য অ্যাক্সেসযোগ্যতাকে প্রভাবিত করতে পারে। ফলস্বরূপ, একটি ভারসাম্য বিবেচনা করা আছে. একটি আপস হল শুধুমাত্র অভ্যন্তরীণ কর্পোরেট আইপি ঠিকানাগুলিতে অ্যাক্সেস সীমাবদ্ধ করা। প্রতিটি গ্রাহককে অবশ্যই তাদের নিজস্ব নিরাপত্তা নীতি, ঝুঁকি, এক্সপোজার এবং এর গ্রহণযোগ্যতার ক্ষেত্রে ACL এর বাস্তবায়ন মূল্যায়ন করতে হবে।
একটি সাবনেট থেকে ssh ট্র্যাফিক প্রত্যাখ্যান করুন:

nfvis(config)# সিস্টেম সেটিংস ip-receive-acl 171.70.63.0/24 পরিষেবা ssh অ্যাকশন অগ্রাধিকার 1 প্রত্যাখ্যান করুন

ACL অপসারণ:
যখন ip-receive-acl থেকে একটি এন্ট্রি মুছে ফেলা হয়, তখন সেই উৎসের সমস্ত কনফিগারেশন মুছে ফেলা হয় কারণ উৎস আইপি ঠিকানাই হল মূল৷ শুধুমাত্র একটি পরিষেবা মুছতে, অন্য পরিষেবাগুলি আবার কনফিগার করুন৷

nfvis(config)# কোন সিস্টেম সেটিংস নেই ip-receive-acl 171.70.63.0/24
আরও বিশদ বিবরণের জন্য দেখুন, আইপি প্রাপ্তি ACL কনফিগার করা
বিশেষাধিকারপ্রাপ্ত ডিবাগ অ্যাক্সেস
সমস্ত অনিয়ন্ত্রিত, সম্ভাব্য প্রতিকূল, সিস্টেম-ব্যাপী পরিবর্তনগুলি প্রতিরোধ করতে এবং NFVIS ব্যবহারকারীর কাছে সিস্টেম শেলটি প্রকাশ করে না।
যাইহোক, NFVIS সিস্টেমে ডিবাগ করা কঠিন কিছু সমস্যার জন্য, Cisco Technical Assistance Center Team (TAC) বা ডেভেলপমেন্ট টিমের গ্রাহকের NFVIS-এ শেল অ্যাক্সেসের প্রয়োজন হতে পারে। NFVIS-এর একটি নিরাপদ আনলক অবকাঠামো রয়েছে যাতে নিশ্চিত করা যায় যে ক্ষেত্রের একটি ডিভাইসে বিশেষাধিকারপ্রাপ্ত ডিবাগ অ্যাক্সেস অনুমোদিত Cisco কর্মীদের জন্য সীমাবদ্ধ। এই ধরনের ইন্টারেক্টিভ ডিবাগিংয়ের জন্য নিরাপদে Linux শেল অ্যাক্সেস করতে, NFVIS এবং Cisco দ্বারা পরিচালিত ইন্টারেক্টিভ ডিবাগিং সার্ভারের মধ্যে একটি চ্যালেঞ্জ-প্রতিক্রিয়া প্রমাণীকরণ পদ্ধতি ব্যবহার করা হয়। গ্রাহকের সম্মতিতে ডিভাইসটি অ্যাক্সেস করা হয়েছে তা নিশ্চিত করতে চ্যালেঞ্জ-রিসপন্স এন্ট্রি ছাড়াও অ্যাডমিন ব্যবহারকারীর পাসওয়ার্ড প্রয়োজন।
ইন্টারেক্টিভ ডিবাগিংয়ের জন্য শেল অ্যাক্সেস করার পদক্ষেপ:
1. একজন প্রশাসক ব্যবহারকারী এই লুকানো কমান্ড ব্যবহার করে এই পদ্ধতিটি শুরু করেন।

nfvis# সিস্টেম শেল-অ্যাক্সেস

নিরাপত্তা বিবেচনা 14

নিরাপত্তা বিবেচনা

সুরক্ষিত ইন্টারফেস

2. পর্দা একটি চ্যালেঞ্জ স্ট্রিং দেখাবে, প্রাক্তন জন্যampLe:
চ্যালেঞ্জ স্ট্রিং (একচেটিয়াভাবে তারকাচিহ্ন লাইনের মধ্যে সবকিছু অনুগ্রহ করে অনুলিপি করুন):
******************************************************************************** SPH//wkAAABORlZJU0VOQ1M1NDA4L0s5AQAAABt+dcx+hB0V06r9RkdMMjEzNTgw RlHq7BxeAAA= DONE. ********************************************************************************
3. Cisco সদস্য Cisco দ্বারা পরিচালিত একটি ইন্টারেক্টিভ ডিবাগ সার্ভারে চ্যালেঞ্জ স্ট্রিং এ প্রবেশ করে। এই সার্ভারটি যাচাই করে যে Cisco ব্যবহারকারী শেল ব্যবহার করে NFVIS ডিবাগ করার জন্য অনুমোদিত, এবং তারপর একটি প্রতিক্রিয়া স্ট্রিং প্রদান করে।
4. এই প্রম্পটের নীচে স্ক্রীনে প্রতিক্রিয়া স্ট্রিং লিখুন: প্রস্তুত হলে আপনার প্রতিক্রিয়া ইনপুট করুন:
5. অনুরোধ করা হলে, গ্রাহককে অ্যাডমিন পাসওয়ার্ড লিখতে হবে। 6. পাসওয়ার্ড বৈধ হলে আপনি শেল-অ্যাক্সেস পাবেন। 7. ডেভেলপমেন্ট বা TAC টিম ডিবাগিংয়ের সাথে এগিয়ে যাওয়ার জন্য শেল ব্যবহার করে। 8. শেল-অ্যাক্সেস থেকে প্রস্থান করতে Exit টাইপ করুন।
সুরক্ষিত ইন্টারফেস
চিত্রে দেখানো ইন্টারফেসগুলি ব্যবহার করে NFVIS পরিচালনার অ্যাক্সেস অনুমোদিত। নিম্নলিখিত বিভাগগুলি NFVIS-এ এই ইন্টারফেসের জন্য নিরাপত্তার সর্বোত্তম অনুশীলনগুলি বর্ণনা করে।

কনসোল SSH

কনসোল পোর্ট হল একটি অ্যাসিঙ্ক্রোনাস সিরিয়াল পোর্ট যা আপনাকে প্রাথমিক কনফিগারেশনের জন্য NFVIS CLI এর সাথে সংযোগ করতে দেয়। একজন ব্যবহারকারী এনএফভিআইএস-এ শারীরিক অ্যাক্সেস বা টার্মিনাল সার্ভার ব্যবহারের মাধ্যমে দূরবর্তী অ্যাক্সেস সহ কনসোল অ্যাক্সেস করতে পারে। যদি একটি টার্মিনাল সার্ভারের মাধ্যমে কনসোল পোর্ট অ্যাক্সেসের প্রয়োজন হয়, তবে শুধুমাত্র প্রয়োজনীয় উত্স ঠিকানাগুলি থেকে অ্যাক্সেসের অনুমতি দেওয়ার জন্য টার্মিনাল সার্ভারে অ্যাক্সেস তালিকাগুলি কনফিগার করুন৷
ব্যবহারকারীরা দূরবর্তী লগইনের একটি নিরাপদ উপায় হিসাবে SSH ব্যবহার করে NFVIS CLI অ্যাক্সেস করতে পারে। NFVIS ম্যানেজমেন্ট ট্র্যাফিকের অখণ্ডতা এবং গোপনীয়তা প্রশাসিত নেটওয়ার্কের নিরাপত্তার জন্য অপরিহার্য কারণ প্রশাসনের প্রোটোকলগুলি প্রায়শই এমন তথ্য বহন করে যা নেটওয়ার্কে প্রবেশ করতে বা ব্যাহত করতে ব্যবহার করা যেতে পারে।

নিরাপত্তা বিবেচনা 15

CLI সেশনের সময়সীমা

নিরাপত্তা বিবেচনা

NFVIS SSH সংস্করণ 2 ব্যবহার করে, যা ইন্টারেক্টিভ লগইনের জন্য Cisco এবং ইন্টারনেটের ডি ফ্যাক্টো স্ট্যান্ডার্ড প্রোটোকল এবং Cisco-এর মধ্যে সিকিউরিটি অ্যান্ড ট্রাস্ট অর্গানাইজেশন দ্বারা সুপারিশকৃত শক্তিশালী এনক্রিপশন, হ্যাশ এবং কী এক্সচেঞ্জ অ্যালগরিদম সমর্থন করে।

CLI সেশনের সময়সীমা
SSH এর মাধ্যমে লগ ইন করার মাধ্যমে, একজন ব্যবহারকারী NFVIS-এর সাথে একটি সেশন প্রতিষ্ঠা করে। ব্যবহারকারী লগ ইন করার সময়, ব্যবহারকারী যদি লগ-ইন সেশনটি অযৌক্তিকভাবে ছেড়ে দেয়, তাহলে এটি নেটওয়ার্কটিকে নিরাপত্তা ঝুঁকিতে ফেলতে পারে। সেশন নিরাপত্তা অভ্যন্তরীণ আক্রমণের ঝুঁকি সীমিত করে, যেমন একজন ব্যবহারকারী অন্য ব্যবহারকারীর সেশন ব্যবহার করার চেষ্টা করছেন।
এই ঝুঁকি কমাতে, NFVIS 15 মিনিটের নিষ্ক্রিয়তার পরে CLI সেশনের সময় শেষ করে দেয়। সেশন টাইমআউট হয়ে গেলে, ব্যবহারকারী স্বয়ংক্রিয়ভাবে লগ আউট হয়ে যায়।

NETCONF

নেটওয়ার্ক কনফিগারেশন প্রোটোকল (NETCONF) হল একটি নেটওয়ার্ক ম্যানেজমেন্ট প্রোটোকল যা নেটওয়ার্ক ডিভাইসগুলির স্বয়ংক্রিয় কনফিগারেশনের জন্য IETF দ্বারা বিকাশিত এবং প্রমিত।
NETCONF প্রোটোকল কনফিগারেশন ডেটার পাশাপাশি প্রোটোকল বার্তাগুলির জন্য একটি এক্সটেনসিবল মার্কআপ ল্যাঙ্গুয়েজ (XML) ভিত্তিক ডেটা এনকোডিং ব্যবহার করে। প্রোটোকল বার্তাগুলি একটি নিরাপদ পরিবহন প্রোটোকলের উপরে বিনিময় করা হয়।
NETCONF NFVIS-কে একটি XML-ভিত্তিক API প্রকাশ করার অনুমতি দেয় যা নেটওয়ার্ক অপারেটর SSH-এর মাধ্যমে নিরাপদে কনফিগারেশন ডেটা এবং ইভেন্ট বিজ্ঞপ্তিগুলি সেট করতে এবং পেতে ব্যবহার করতে পারে।
আরও তথ্যের জন্য, NETCONF ইভেন্ট বিজ্ঞপ্তি দেখুন।

REST API

NFVIS কে HTTPS এর উপর RESTful API ব্যবহার করে কনফিগার করা যেতে পারে। REST API অনুরোধকারী সিস্টেমগুলিকে একটি অভিন্ন এবং পূর্বনির্ধারিত স্টেটলেস অপারেশনের সেট ব্যবহার করে NFVIS কনফিগারেশন অ্যাক্সেস এবং ম্যানিপুলেট করার অনুমতি দেয়। সমস্ত REST API-এর বিশদ বিবরণ NFVIS API রেফারেন্স গাইডে পাওয়া যাবে।
যখন ব্যবহারকারী একটি REST API ইস্যু করে, NFVIS এর সাথে একটি সেশন প্রতিষ্ঠিত হয়। পরিষেবা আক্রমণ অস্বীকার সংক্রান্ত ঝুঁকি সীমিত করার জন্য, NFVIS সমকালীন REST সেশনের মোট সংখ্যা 100-এ সীমাবদ্ধ করে।

এনএফভিআইএস Web পোর্টাল
NFVIS পোর্টাল হল a web-ভিত্তিক গ্রাফিক্যাল ইউজার ইন্টারফেস যা NFVIS সম্পর্কে তথ্য প্রদর্শন করে। পোর্টালটি ব্যবহারকারীকে NFVIS CLI এবং API না জেনেই HTTPS-এর মাধ্যমে NFVIS কনফিগার ও নিরীক্ষণ করার সহজ উপায় উপস্থাপন করে।

সেশন ম্যানেজমেন্ট
HTTP এবং HTTPS-এর রাষ্ট্রহীন প্রকৃতির জন্য অনন্য সেশন আইডি এবং কুকিজ ব্যবহারের মাধ্যমে ব্যবহারকারীদের অনন্যভাবে ট্র্যাক করার একটি পদ্ধতি প্রয়োজন।
NFVIS ব্যবহারকারীর সেশন এনক্রিপ্ট করে। AES-256-CBC সাইফার একটি HMAC-SHA-256 প্রমাণীকরণ সহ সেশন বিষয়বস্তু এনক্রিপ্ট করতে ব্যবহৃত হয় tag. প্রতিটি এনক্রিপশন অপারেশনের জন্য একটি র্যান্ডম 128-বিট ইনিশিয়ালাইজেশন ভেক্টর তৈরি করা হয়।
একটি অডিট রেকর্ড শুরু হয় যখন একটি পোর্টাল সেশন তৈরি করা হয়। ব্যবহারকারী লগ আউট হলে বা সেশনের সময় শেষ হলে সেশনের তথ্য মুছে ফেলা হয়।
পোর্টাল সেশনের জন্য ডিফল্ট নিষ্ক্রিয় সময়সীমা হল 15 মিনিট। যাইহোক, এটি বর্তমান সেশনের জন্য সেটিংস পৃষ্ঠায় 5 থেকে 60 মিনিটের মধ্যে একটি মান কনফিগার করা যেতে পারে। এর পরে স্বয়ংক্রিয় লগআউট শুরু হবে

নিরাপত্তা বিবেচনা 16

নিরাপত্তা বিবেচনা

HTTPS

HTTPS

সময়কাল একক ব্রাউজারে একাধিক সেশনের অনুমতি নেই। একযোগে সেশনের সর্বাধিক সংখ্যা 30 এ সেট করা হয়েছে। NFVIS পোর্টাল ব্যবহারকারীর সাথে ডেটা সংযুক্ত করতে কুকিজ ব্যবহার করে। এটি উন্নত নিরাপত্তার জন্য নিম্নলিখিত কুকি বৈশিষ্ট্য ব্যবহার করে:
· ব্রাউজার বন্ধ হয়ে গেলে কুকির মেয়াদ শেষ হয় তা নিশ্চিত করার জন্য ক্ষণস্থায়ী · http শুধুমাত্র জাভাস্ক্রিপ্ট থেকে কুকি অ্যাক্সেসযোগ্য না করার জন্য · নিরাপদ প্রক্সি নিশ্চিত করতে কুকি শুধুমাত্র SSL এর মাধ্যমে পাঠানো যেতে পারে।
এমনকি প্রমাণীকরণের পরেও, ক্রস-সাইট রিকোয়েস্ট ফোরজি (CSRF) এর মতো আক্রমণ সম্ভব। এই পরিস্থিতিতে, একটি শেষ ব্যবহারকারী অসাবধানতাবশত একটি উপর অবাঞ্ছিত ক্রিয়া সম্পাদন করতে পারে web যে অ্যাপ্লিকেশনে তারা বর্তমানে প্রমাণীকৃত। এটি প্রতিরোধ করার জন্য, NFVIS CSRF টোকেন ব্যবহার করে প্রতিটি REST API যাচাই করার জন্য যা প্রতিটি সেশনের সময় আহ্বান করা হয়।
URL সাধারণত পুনঃনির্দেশ web সার্ভার, যখন একটি পৃষ্ঠা পাওয়া যায় না web সার্ভার, ব্যবহারকারী একটি 404 বার্তা পায়; বিদ্যমান পৃষ্ঠাগুলির জন্য, তারা একটি লগইন পৃষ্ঠা পায়। এর নিরাপত্তা প্রভাব হল যে একজন আক্রমণকারী একটি ব্রুট ফোর্স স্ক্যান করতে পারে এবং সহজেই সনাক্ত করতে পারে কোন পৃষ্ঠা এবং ফোল্ডার রয়েছে। NFVIS-এ এটি প্রতিরোধ করার জন্য, সমস্ত অস্তিত্বহীন URLডিভাইস আইপির সাথে s উপসর্গ 301 স্থিতি প্রতিক্রিয়া কোড সহ পোর্টাল লগইন পৃষ্ঠায় পুনঃনির্দেশিত হয়। এর মানে নির্বিশেষে URL আক্রমণকারীর দ্বারা অনুরোধ করা হলে, তারা সর্বদা নিজেদের প্রমাণীকরণের জন্য লগইন পৃষ্ঠা পাবে। সমস্ত HTTP সার্ভার অনুরোধগুলি HTTPS-এ পুনঃনির্দেশিত হয় এবং নিম্নলিখিত শিরোনামগুলি কনফিগার করা আছে:
· এক্স-কন্টেন্ট-টাইপ-বিকল্প · X-XSS-সুরক্ষা · বিষয়বস্তু-নিরাপত্তা-নীতি · এক্স-ফ্রেম-বিকল্প · কঠোর-পরিবহন-নিরাপত্তা · ক্যাশে-নিয়ন্ত্রণ
পোর্টাল নিষ্ক্রিয় করা হচ্ছে NFVIS পোর্টাল অ্যাক্সেস ডিফল্টরূপে সক্রিয় করা হয়। আপনি যদি পোর্টালটি ব্যবহার করার পরিকল্পনা না করেন তবে এই কমান্ডটি ব্যবহার করে পোর্টাল অ্যাক্সেস অক্ষম করার পরামর্শ দেওয়া হচ্ছে:
টার্মিনাল সিস্টেম পোর্টাল অ্যাক্সেস নিষ্ক্রিয় প্রতিশ্রুতি কনফিগার করুন
NFVIS-এ এবং থেকে সমস্ত HTTPS ডেটা নেটওয়ার্ক জুড়ে যোগাযোগ করতে ট্রান্সপোর্ট লেয়ার সিকিউরিটি (TLS) ব্যবহার করে। TLS হল সিকিউর সকেট লেয়ার (SSL) এর উত্তরসূরী।

নিরাপত্তা বিবেচনা 17

HTTPS

নিরাপত্তা বিবেচনা
TLS হ্যান্ডশেক প্রমাণীকরণ জড়িত যার সময় ক্লায়েন্ট সার্ভারের SSL সার্টিফিকেট যাচাই করে যে সার্টিফিকেট কর্তৃপক্ষ এটি জারি করেছে। এটি নিশ্চিত করে যে সার্ভারটি কে বলেছে এবং ক্লায়েন্ট ডোমেনের মালিকের সাথে ইন্টারঅ্যাক্ট করছে৷ ডিফল্টরূপে, NFVIS তার ক্লায়েন্টদের কাছে তার পরিচয় প্রমাণ করার জন্য একটি স্ব-স্বাক্ষরিত শংসাপত্র ব্যবহার করে। TLS এনক্রিপশনের নিরাপত্তা বাড়াতে এই শংসাপত্রটিতে একটি 2048-বিট পাবলিক কী রয়েছে, যেহেতু এনক্রিপশন শক্তি সরাসরি কী আকারের সাথে সম্পর্কিত।
শংসাপত্র ব্যবস্থাপনা NFVIS প্রথম ইনস্টল করার সময় একটি স্ব-স্বাক্ষরিত SSL শংসাপত্র তৈরি করে। একটি কমপ্লায়েন্ট সার্টিফিকেট অথরিটি (CA) দ্বারা স্বাক্ষরিত একটি বৈধ শংসাপত্র দিয়ে এই শংসাপত্রটি প্রতিস্থাপন করা একটি নিরাপত্তা সর্বোত্তম অনুশীলন৷ ডিফল্ট স্ব-স্বাক্ষরিত শংসাপত্র প্রতিস্থাপন করতে নিম্নলিখিত পদক্ষেপগুলি ব্যবহার করুন: 1. NFVIS-এ একটি শংসাপত্র স্বাক্ষর করার অনুরোধ (CSR) তৈরি করুন৷
একটি শংসাপত্র স্বাক্ষর অনুরোধ (CSR) হল একটি file একটি SSL শংসাপত্রের জন্য আবেদন করার সময় একটি শংসাপত্র কর্তৃপক্ষকে দেওয়া এনকোড করা পাঠ্যের একটি ব্লক সহ। এই file প্রতিষ্ঠানের নাম, সাধারণ নাম (ডোমেন নাম), স্থানীয়তা এবং দেশের মতো সার্টিফিকেটের মধ্যে থাকা তথ্য রয়েছে। দ্য file এছাড়াও সার্টিফিকেট অন্তর্ভুক্ত করা উচিত যে পাবলিক কী রয়েছে. NFVIS একটি 2048-বিট পাবলিক কী ব্যবহার করে যেহেতু উচ্চতর কী আকারের সাথে এনক্রিপশন শক্তি বেশি। NFVIS-এ একটি CSR তৈরি করতে, নিম্নলিখিত কমান্ডটি চালান:
nfvis# সিস্টেম শংসাপত্র স্বাক্ষর-অনুরোধ [সাধারণ-নাম-দেশ-কোড স্থানীয় সংস্থা সংস্থা-ইউনিট-নাম রাজ্য] CSR file /data/intdatastore/download/nfvis.csr হিসাবে সংরক্ষিত হয়। . 2. CSR ব্যবহার করে একটি CA থেকে একটি SSL শংসাপত্র পান৷ একটি বহিরাগত হোস্ট থেকে, সার্টিফিকেট স্বাক্ষরের অনুরোধ ডাউনলোড করতে scp কমান্ডটি ব্যবহার করুন।
[myhost:/tmp] > scp -P 22222 admin@ :/data/intdatastore/download/nfvis.csrfile-নাম>
এই CSR ব্যবহার করে একটি নতুন SSL সার্ভার সার্টিফিকেট ইস্যু করতে একটি শংসাপত্র কর্তৃপক্ষের সাথে যোগাযোগ করুন৷ 3. CA স্বাক্ষরিত শংসাপত্র ইনস্টল করুন৷
একটি বহিরাগত সার্ভার থেকে, সার্টিফিকেট আপলোড করতে scp কমান্ড ব্যবহার করুন file ডেটা/ইনডাটাস্টোরে NFVIS-এ/uploads/ ডিরেক্টরি
[myhost:/tmp] > scp -P 22222 file> admin@ :/data/intdatastore/uploads
নিম্নলিখিত কমান্ডটি ব্যবহার করে NFVIS-এ শংসাপত্রটি ইনস্টল করুন।
nfvis# সিস্টেম শংসাপত্র ইনস্টল-সার্ট পাথ file:///data/intdatastore/uploads/<সার্টিফিকেট file>
4. CA স্বাক্ষরিত শংসাপত্র ব্যবহার করে স্যুইচ করুন৷ ডিফল্ট স্ব-স্বাক্ষরিত শংসাপত্রের পরিবর্তে CA স্বাক্ষরিত শংসাপত্র ব্যবহার শুরু করতে নিম্নলিখিত কমান্ডটি ব্যবহার করুন।

নিরাপত্তা বিবেচনা 18

নিরাপত্তা বিবেচনা

SNMP অ্যাক্সেস

nfvis(config)# সিস্টেম শংসাপত্র ব্যবহার-শংসাপত্র শংসাপত্র-টাইপ ca- স্বাক্ষরিত

SNMP অ্যাক্সেস

সিম্পল নেটওয়ার্ক ম্যানেজমেন্ট প্রোটোকল (SNMP) হল একটি ইন্টারনেট স্ট্যান্ডার্ড প্রোটোকল যা আইপি নেটওয়ার্কে পরিচালিত ডিভাইস সম্পর্কে তথ্য সংগ্রহ এবং সংগঠিত করার জন্য এবং ডিভাইসের আচরণ পরিবর্তন করতে সেই তথ্য পরিবর্তন করার জন্য।
SNMP এর তিনটি উল্লেখযোগ্য সংস্করণ তৈরি করা হয়েছে। এনএফভিআইএস এসএনএমপি সংস্করণ 1, সংস্করণ 2সি এবং সংস্করণ 3 সমর্থন করে। সুতরাং, এর পরিবর্তে SNMP v1 ব্যবহার করা একটি নিরাপত্তা সর্বোত্তম অনুশীলন।
SNMPv3 তিনটি দিক ব্যবহার করে ডিভাইসগুলিতে নিরাপদ অ্যাক্সেস প্রদান করে: - ব্যবহারকারী, প্রমাণীকরণ এবং এনক্রিপশন। SNMPv3 ইউএসএম (ব্যবহারকারী-ভিত্তিক নিরাপত্তা মডিউল) ব্যবহার করে এসএনএমপির মাধ্যমে উপলব্ধ তথ্যের অ্যাক্সেস নিয়ন্ত্রণ করার জন্য। SNMP v3 ব্যবহারকারী একটি প্রমাণীকরণ প্রকার, একটি গোপনীয়তা প্রকারের পাশাপাশি একটি পাসফ্রেজ সহ কনফিগার করা হয়েছে৷ একটি গোষ্ঠী ভাগ করে নেওয়া সমস্ত ব্যবহারকারী একই SNMP সংস্করণ ব্যবহার করে, তবে, নির্দিষ্ট নিরাপত্তা স্তরের সেটিংস (পাসওয়ার্ড, এনক্রিপশন প্রকার, ইত্যাদি) প্রতি ব্যবহারকারীর জন্য নির্দিষ্ট করা হয়।
নিম্নলিখিত সারণীটি SNMP-এর মধ্যে নিরাপত্তা বিকল্পগুলির সংক্ষিপ্ত বিবরণ দেয়৷

মডেল

স্তর

প্রমাণীকরণ

এনসিপশন

ফলাফল

v1

noAuthNoPriv

কমিউনিটি স্ট্রিং নং

একটি সম্প্রদায় ব্যবহার করে

জন্য স্ট্রিং ম্যাচ

প্রমাণীকরণ

v2c

noAuthNoPriv

কমিউনিটি স্ট্রিং নং

প্রমাণীকরণের জন্য একটি সম্প্রদায় স্ট্রিং ম্যাচ ব্যবহার করে।

v3

noAuthNoPriv

ব্যবহারকারীর নাম

না

একটি ব্যবহারকারীর নাম ব্যবহার করে

জন্য ম্যাচ

প্রমাণীকরণ

v3

authNoPriv

বার্তা ডাইজেস্ট 5 নম্বর

প্রদান করে

(MD5)

প্রমাণীকরণ ভিত্তিক

or

HMAC-MD5-96 বা

নিরাপদ হ্যাশ

HMAC-SHA-96

অ্যালগরিদম (SHA)

অ্যালগরিদম

নিরাপত্তা বিবেচনা 19

আইনি বিজ্ঞপ্তি ব্যানার

নিরাপত্তা বিবেচনা

মডেল v3

লেভেল অনুমোদনপ্রিভ

প্রমাণীকরণ MD5 বা SHA

এনসিপশন

ফলাফল

ডেটা এনক্রিপশন প্রদান করে

স্ট্যান্ডার্ড (DES) বা প্রমাণীকরণ ভিত্তিক

উন্নত

উপর

এনক্রিপশন স্ট্যান্ডার্ড HMAC-MD5-96 বা

(AES)

HMAC-SHA-96

অ্যালগরিদম

সাইফার ব্লক চেইনিং মোডে DES সাইফার অ্যালগরিদম প্রদান করে (CBC-DES)

or

128-বিট কী আকারের (CFB128-AES-128) সহ সাইফার ফিডব্যাক মোড (CFB) এ ব্যবহৃত AES এনক্রিপশন অ্যালগরিদম

NIST দ্বারা এটি গ্রহণ করার পর থেকে, AES সমগ্র শিল্প জুড়ে প্রভাবশালী এনক্রিপশন অ্যালগরিদম হয়ে উঠেছে। MD5 থেকে দূরে এবং SHA-এর দিকে শিল্পের স্থানান্তর অনুসরণ করতে, SNMP v3 প্রমাণীকরণ প্রোটোকলকে SHA হিসাবে এবং গোপনীয়তা প্রোটোকলকে AES হিসাবে কনফিগার করা একটি নিরাপত্তা সর্বোত্তম অনুশীলন।
এসএনএমপি সম্পর্কে আরও বিস্তারিত জানার জন্য, এসএনএমপি সম্পর্কে ভূমিকা দেখুন

আইনি বিজ্ঞপ্তি ব্যানার
এটি সুপারিশ করা হয় যে সমস্ত ইন্টারেক্টিভ সেশনে একটি আইনি নোটিফিকেশন ব্যানার উপস্থিত থাকে তা নিশ্চিত করার জন্য ব্যবহারকারীদের নিরাপত্তা নীতি প্রয়োগ করা হচ্ছে এবং তারা যে বিষয়টির অধীন তা সম্পর্কে অবহিত করা হয়েছে। কিছু বিচারব্যবস্থায়, একটি সিস্টেমে প্রবেশকারী আক্রমণকারীর দেওয়ানী এবং/অথবা ফৌজদারি বিচার করা সহজ, বা এমনকি প্রয়োজন, যদি একটি আইনি বিজ্ঞপ্তি ব্যানার উপস্থাপন করা হয়, যা অননুমোদিত ব্যবহারকারীদের জানিয়ে দেয় যে তাদের ব্যবহার আসলে অননুমোদিত। কিছু বিচারব্যবস্থায়, এটি একটি অননুমোদিত ব্যবহারকারীর কার্যকলাপ নিরীক্ষণ করা নিষিদ্ধ করা যেতে পারে যদি না তাদের এটি করার অভিপ্রায় সম্পর্কে অবহিত করা হয়।
আইনি বিজ্ঞপ্তির প্রয়োজনীয়তা জটিল এবং প্রতিটি এখতিয়ার এবং পরিস্থিতিতে পরিবর্তিত হয়। এমনকি এখতিয়ারের মধ্যেও, আইনি মতামত পরিবর্তিত হয়। বিজ্ঞপ্তি ব্যানার কোম্পানি, স্থানীয় এবং আন্তর্জাতিক আইনি প্রয়োজনীয়তা পূরণ করে তা নিশ্চিত করতে আপনার নিজের আইনি পরামর্শকের সাথে এই সমস্যাটি নিয়ে আলোচনা করুন। নিরাপত্তা লঙ্ঘনের ক্ষেত্রে যথাযথ ব্যবস্থা নেওয়ার জন্য এটি প্রায়ই গুরুত্বপূর্ণ। কোম্পানির আইনি পরামর্শের সাথে সহযোগিতায়, আইনি বিজ্ঞপ্তি ব্যানারে অন্তর্ভুক্ত করা যেতে পারে এমন বিবৃতিগুলির মধ্যে রয়েছে:
· বিজ্ঞপ্তি যে সিস্টেম অ্যাক্সেস এবং ব্যবহার শুধুমাত্র বিশেষভাবে অনুমোদিত কর্মীদের দ্বারা অনুমোদিত, এবং সম্ভবত কে ব্যবহার অনুমোদন করতে পারে সে সম্পর্কে তথ্য।
· বিজ্ঞপ্তি যে সিস্টেমের অননুমোদিত অ্যাক্সেস এবং ব্যবহার বেআইনি, এবং দেওয়ানী এবং/অথবা ফৌজদারি দণ্ডের সাপেক্ষে হতে পারে৷
· বিজ্ঞপ্তি যে সিস্টেমের অ্যাক্সেস এবং ব্যবহার পরবর্তী বিজ্ঞপ্তি ছাড়াই লগ করা বা নিরীক্ষণ করা যেতে পারে এবং ফলস্বরূপ লগগুলি আদালতে প্রমাণ হিসাবে ব্যবহার করা যেতে পারে।
· নির্দিষ্ট স্থানীয় আইন দ্বারা প্রয়োজনীয় অতিরিক্ত নির্দিষ্ট নোটিশ।

নিরাপত্তা বিবেচনা 20

নিরাপত্তা বিবেচনা

ফ্যাক্টরি ডিফল্ট রিসেট

একটি আইনি বিন্দু থেকে বরং একটি নিরাপত্তা থেকে view, একটি আইনি বিজ্ঞপ্তি ব্যানারে ডিভাইসের নাম, মডেল, সফ্টওয়্যার, অবস্থান, অপারেটর বা মালিকের মতো কোনও নির্দিষ্ট তথ্য থাকা উচিত নয় কারণ এই ধরনের তথ্য আক্রমণকারীর জন্য উপযোগী হতে পারে৷
নিম্নলিখিত হিসাবেample আইনি বিজ্ঞপ্তি ব্যানার যা লগইন করার আগে প্রদর্শিত হতে পারে:
এই ডিভাইসটিতে অননুমোদিত অ্যাক্সেস নিষিদ্ধ এই ডিভাইসটি অ্যাক্সেস বা কনফিগার করার জন্য আপনার অবশ্যই স্পষ্ট, অনুমোদিত অনুমতি থাকতে হবে। অ্যাক্সেস বা ব্যবহার করার জন্য অননুমোদিত প্রচেষ্টা এবং কর্ম
এই সিস্টেমের ফলে দেওয়ানী এবং/অথবা ফৌজদারি দণ্ড হতে পারে। এই ডিভাইসে সঞ্চালিত সমস্ত ক্রিয়াকলাপ লগ করা হয় এবং নিরীক্ষণ করা হয়

দ্রষ্টব্য কোম্পানির আইনি পরামর্শক দ্বারা অনুমোদিত একটি আইনি বিজ্ঞপ্তি ব্যানার উপস্থাপন করুন।
NFVIS একটি ব্যানার এবং মেসেজ অফ দ্য ডে (MOTD) কনফিগারেশনের অনুমতি দেয়। ব্যানারটি ব্যবহারকারীর লগ ইন করার আগে প্রদর্শিত হয়৷ একবার ব্যবহারকারী NFVIS-এ লগ ইন করলে, একটি সিস্টেম-সংজ্ঞায়িত ব্যানার NFVIS সম্পর্কে কপিরাইট তথ্য প্রদান করে এবং কনফিগার করা হলে বার্তা-অব-দ্য-ডে (MOTD) প্রদর্শিত হবে, তারপরে কমান্ড লাইন প্রম্পট বা পোর্টাল viewলগইন পদ্ধতির উপর নির্ভর করে।
একটি লগইন প্রম্পট উপস্থাপিত হওয়ার আগে সমস্ত ডিভাইস ম্যানেজমেন্ট অ্যাক্সেস সেশনে একটি আইনি বিজ্ঞপ্তি ব্যানার উপস্থাপন করা হয়েছে তা নিশ্চিত করার জন্য একটি লগইন ব্যানার প্রয়োগ করা বাঞ্ছনীয়। ব্যানার এবং MOTD কনফিগার করতে এই কমান্ডটি ব্যবহার করুন।
nfvis(config)# ব্যানার-মোটড ব্যানার motd
ব্যানার কমান্ড সম্পর্কে আরও তথ্যের জন্য, ব্যানার কনফিগার করুন, দিনের বার্তা এবং সিস্টেম সময় দেখুন।

ফ্যাক্টরি ডিফল্ট রিসেট
ফ্যাক্টরি রিসেট তার শিপিংয়ের সময় থেকে ডিভাইসে যোগ করা সমস্ত গ্রাহক নির্দিষ্ট ডেটা সরিয়ে দেয়। মুছে ফেলা ডেটা কনফিগারেশন, লগ অন্তর্ভুক্ত করে files, VM ছবি, সংযোগ তথ্য, এবং ব্যবহারকারী লগইন শংসাপত্র।
এটি ডিভাইসটিকে ফ্যাক্টরি-অরিজিনাল সেটিংসে রিসেট করার জন্য একটি কমান্ড প্রদান করে এবং নিম্নলিখিত পরিস্থিতিতে এটি কার্যকর:
একটি ডিভাইসের জন্য রিটার্ন ম্যাটেরিয়াল অথরাইজেশন (RMA) - যদি আপনাকে RMA-এর জন্য Cisco-এ একটি ডিভাইস ফেরত দিতে হয়, তাহলে সমস্ত গ্রাহক-নির্দিষ্ট ডেটা সরাতে ফ্যাক্টরি ডিফল্ট রিসেট ব্যবহার করুন।
· একটি আপস করা ডিভাইস পুনরুদ্ধার করা- যদি একটি ডিভাইসে সংরক্ষিত মূল উপাদান বা শংসাপত্রগুলি আপোস করা হয়, তাহলে ডিভাইসটিকে ফ্যাক্টরি কনফিগারেশনে পুনরায় সেট করুন এবং তারপরে ডিভাইসটি পুনরায় কনফিগার করুন।
· যদি একই ডিভাইসটিকে একটি নতুন কনফিগারেশন সহ একটি ভিন্ন সাইটে পুনরায় ব্যবহার করার প্রয়োজন হয়, বিদ্যমান কনফিগারেশনটি সরাতে এবং এটিকে একটি পরিষ্কার অবস্থায় আনতে একটি ফ্যাক্টরি ডিফল্ট রিসেট করুন৷

NFVIS ফ্যাক্টরি ডিফল্ট রিসেটের মধ্যে নিম্নলিখিত বিকল্পগুলি প্রদান করে:

ফ্যাক্টরি রিসেট অপশন

ডেটা মুছে ফেলা হয়েছে

ডেটা রাখা হয়েছে

সব

সমস্ত কনফিগারেশন, আপলোড করা ছবি অ্যাডমিন অ্যাকাউন্ট বজায় রাখা হয় এবং

files, VM এবং লগ।

পাসওয়ার্ড পরিবর্তন করা হবে

ডিভাইসের সাথে সংযোগ ফ্যাক্টরি ডিফল্ট পাসওয়ার্ড হবে।

হারিয়ে গেছে

নিরাপত্তা বিবেচনা 21

অবকাঠামো ব্যবস্থাপনা নেটওয়ার্ক

নিরাপত্তা বিবেচনা

ফ্যাক্টরি রিসেট বিকল্প সমস্ত-ছবি-ব্যতীত
সব-ব্যতীত-ছবি-সংযোগ
উত্পাদন

ডেটা মুছে ফেলা হয়েছে

ডেটা রাখা হয়েছে

ইমেজ ইমেজ কনফিগারেশন ছাড়া সব কনফিগারেশন, নিবন্ধিত

কনফিগারেশন, ভিএম, এবং আপলোড করা ছবি এবং লগ

ইমেজ files.

অ্যাডমিন অ্যাকাউন্ট রাখা হয় এবং

ডিভাইসের সাথে কানেক্টিভিটির পাসওয়ার্ড পরিবর্তন হয়ে যাবে

হারিয়ে গেছে

কারখানার ডিফল্ট পাসওয়ার্ড।

ইমেজ, ছবি, নেটওয়ার্ক এবং সংযোগ ছাড়া সমস্ত কনফিগারেশন

নেটওয়ার্ক এবং সংযোগ

সম্পর্কিত কনফিগারেশন, নিবন্ধিত

কনফিগারেশন, ভিএম, এবং আপলোড করা ছবি এবং লগ।

ইমেজ files.

অ্যাডমিন অ্যাকাউন্ট রাখা হয় এবং

ডিভাইসটির সাথে কানেক্টিভিটি রয়েছে

পূর্বে কনফিগার করা অ্যাডমিন

উপলব্ধ

পাসওয়ার্ড সংরক্ষণ করা হবে।

ইমেজ কনফিগারেশন, ভিএম, আপলোড করা ছবি ছাড়া সব কনফিগারেশন files, এবং লগ।
ডিভাইসের সাথে সংযোগ হারিয়ে যাবে।

ছবি সম্পর্কিত কনফিগারেশন এবং নিবন্ধিত ছবি
অ্যাডমিন অ্যাকাউন্টটি রাখা হয়েছে এবং পাসওয়ার্ড ফ্যাক্টরি ডিফল্ট পাসওয়ার্ডে পরিবর্তন করা হবে।

ফ্যাক্টরি ডিফল্ট রিসেটের উদ্দেশ্যের উপর ভিত্তি করে ব্যবহারকারীকে অবশ্যই যথাযথ বিকল্পটি সাবধানে বেছে নিতে হবে। আরও তথ্যের জন্য, ফ্যাক্টরি ডিফল্টে পুনরায় সেট করা দেখুন।

অবকাঠামো ব্যবস্থাপনা নেটওয়ার্ক
একটি অবকাঠামো ব্যবস্থাপনা নেটওয়ার্ক পরিকাঠামো ডিভাইসগুলির জন্য নিয়ন্ত্রণ এবং পরিচালনা সমতল ট্রাফিক (যেমন NTP, SSH, SNMP, syslog, ইত্যাদি) বহনকারী নেটওয়ার্ককে বোঝায়। ডিভাইস অ্যাক্সেস কনসোলের মাধ্যমে, সেইসাথে ইথারনেট ইন্টারফেসের মাধ্যমেও হতে পারে। এই নিয়ন্ত্রণ এবং পরিচালনা প্লেন ট্র্যাফিক নেটওয়ার্ক অপারেশনের জন্য গুরুত্বপূর্ণ, নেটওয়ার্কের মধ্যে দৃশ্যমানতা এবং নিয়ন্ত্রণ প্রদান করে। ফলস্বরূপ, একটি ভাল-পরিকল্পিত এবং সুরক্ষিত অবকাঠামো পরিচালনা নেটওয়ার্ক একটি নেটওয়ার্কের সামগ্রিক নিরাপত্তা এবং অপারেশনের জন্য গুরুত্বপূর্ণ। একটি নিরাপদ অবকাঠামো ব্যবস্থাপনা নেটওয়ার্কের মূল সুপারিশগুলির মধ্যে একটি হল ব্যবস্থাপনা এবং ডেটা ট্র্যাফিকের পৃথকীকরণ যাতে উচ্চ লোড এবং উচ্চ ট্রাফিক অবস্থার মধ্যেও দূরবর্তী ব্যবস্থাপনা নিশ্চিত করা যায়। এটি একটি ডেডিকেটেড ম্যানেজমেন্ট ইন্টারফেস ব্যবহার করে অর্জন করা যেতে পারে।
নিম্নলিখিত অবকাঠামো ব্যবস্থাপনা নেটওয়ার্ক বাস্তবায়ন পদ্ধতি:
আউট অফ ব্যান্ড ব্যবস্থাপনা
একটি আউট-অফ-ব্যান্ড ম্যানেজমেন্ট (OOB) ম্যানেজমেন্ট নেটওয়ার্ক এমন একটি নেটওয়ার্ক নিয়ে গঠিত যা সম্পূর্ণ স্বাধীন এবং শারীরিকভাবে ডেটা নেটওয়ার্ক থেকে আলাদা যা এটি পরিচালনা করতে সহায়তা করে। এটিকে কখনও কখনও ডেটা কমিউনিকেশন নেটওয়ার্ক (DCN) হিসাবেও উল্লেখ করা হয়। নেটওয়ার্ক ডিভাইসগুলি বিভিন্ন উপায়ে OOB নেটওয়ার্কের সাথে সংযোগ করতে পারে: NFVIS একটি অন্তর্নির্মিত ব্যবস্থাপনা ইন্টারফেস সমর্থন করে যা OOB নেটওয়ার্কের সাথে সংযোগ করতে ব্যবহার করা যেতে পারে। NFVIS একটি ডেডিকেটেড ম্যানেজমেন্ট ইন্টারফেস হিসাবে ENCS-এ MGMT পোর্ট, একটি পূর্বনির্ধারিত শারীরিক ইন্টারফেস কনফিগারেশনের অনুমতি দেয়। ম্যানেজমেন্ট প্যাকেটগুলিকে নির্দিষ্ট ইন্টারফেসে সীমাবদ্ধ করা একটি ডিভাইসের পরিচালনার উপর বৃহত্তর নিয়ন্ত্রণ প্রদান করে, যার ফলে সেই ডিভাইসের জন্য আরও নিরাপত্তা প্রদান করা হয়। অন্যান্য সুবিধার মধ্যে রয়েছে অ-ব্যবস্থাপনা ইন্টারফেসে ডেটা প্যাকেটগুলির জন্য উন্নত কর্মক্ষমতা, নেটওয়ার্ক স্কেলেবিলিটির জন্য সমর্থন,

নিরাপত্তা বিবেচনা 22

নিরাপত্তা বিবেচনা

ছদ্ম আউট অফ ব্যান্ড ব্যবস্থাপনা

একটি ডিভাইসে অ্যাক্সেস সীমিত করার জন্য কম অ্যাক্সেস কন্ট্রোল লিস্ট (ACLs) এবং CPU-তে পৌঁছানো থেকে ম্যানেজমেন্ট প্যাকেট বন্যা প্রতিরোধের প্রয়োজন। নেটওয়ার্ক ডিভাইসগুলিও ডেডিকেটেড ডেটা ইন্টারফেসের মাধ্যমে OOB নেটওয়ার্কের সাথে সংযোগ করতে পারে। এই ক্ষেত্রে, এসিএলগুলিকে নিযুক্ত করা উচিত যাতে নিশ্চিত করা যায় যে ম্যানেজমেন্ট ট্র্যাফিক শুধুমাত্র ডেডিকেটেড ইন্টারফেস দ্বারা পরিচালিত হয়। আরও তথ্যের জন্য, আইপি রিসিভ ACL এবং পোর্ট 22222 এবং ম্যানেজমেন্ট ইন্টারফেস ACL কনফিগার করা দেখুন।
ছদ্ম আউট অফ ব্যান্ড ব্যবস্থাপনা
একটি ছদ্ম আউট-অফ-ব্যান্ড ম্যানেজমেন্ট নেটওয়ার্ক ডেটা নেটওয়ার্কের মতো একই ভৌত অবকাঠামো ব্যবহার করে কিন্তু VLAN ব্যবহার করে ট্র্যাফিকের ভার্চুয়াল বিভাজনের মাধ্যমে যৌক্তিক বিচ্ছেদ প্রদান করে। NFVIS VLAN এবং ভার্চুয়াল ব্রিজ তৈরি করতে সহায়তা করে যাতে ট্রাফিকের বিভিন্ন উত্স সনাক্ত করা যায় এবং VM-এর মধ্যে আলাদা ট্র্যাফিক। আলাদা ব্রিজ এবং VLAN থাকা ভার্চুয়াল মেশিন নেটওয়ার্কের ডেটা ট্রাফিক এবং ম্যানেজমেন্ট নেটওয়ার্ককে বিচ্ছিন্ন করে, এইভাবে VM এবং হোস্টের মধ্যে ট্রাফিক বিভাজন প্রদান করে। আরও তথ্যের জন্য NFVIS ম্যানেজমেন্ট ট্রাফিকের জন্য VLAN কনফিগার করা দেখুন।
ইন-ব্যান্ড ব্যবস্থাপনা
একটি ইন-ব্যান্ড ম্যানেজমেন্ট নেটওয়ার্ক ডেটা ট্র্যাফিকের মতো একই শারীরিক এবং যৌক্তিক পথ ব্যবহার করে। শেষ পর্যন্ত, এই নেটওয়ার্ক ডিজাইনের জন্য ঝুঁকি বনাম সুবিধা এবং খরচের প্রতি-গ্রাহক বিশ্লেষণ প্রয়োজন। কিছু সাধারণ বিবেচনার মধ্যে রয়েছে:
· একটি বিচ্ছিন্ন OOB ম্যানেজমেন্ট নেটওয়ার্ক বিঘ্নিত ঘটনার সময়ও নেটওয়ার্কের উপর দৃশ্যমানতা এবং নিয়ন্ত্রণ সর্বাধিক করে।
· একটি OOB নেটওয়ার্কের মাধ্যমে নেটওয়ার্ক টেলিমেট্রি প্রেরণ করা সেই তথ্যের বিঘ্ন ঘটার সুযোগ কমিয়ে দেয় যা গুরুত্বপূর্ণ নেটওয়ার্ক দৃশ্যমানতা প্রদান করে।
· নেটওয়ার্ক অবকাঠামো, হোস্ট, ইত্যাদিতে ইন-ব্যান্ড ম্যানেজমেন্ট অ্যাক্সেস একটি নেটওয়ার্ক ঘটনার ক্ষেত্রে সম্পূর্ণ ক্ষতির ঝুঁকিপূর্ণ, সমস্ত নেটওয়ার্ক দৃশ্যমানতা এবং নিয়ন্ত্রণকে সরিয়ে দেয়। এই ঘটনা প্রশমিত করার জন্য উপযুক্ত QoS নিয়ন্ত্রণ স্থাপন করা উচিত।
· এনএফভিআইএস-এ এমন ইন্টারফেস রয়েছে যা ডিভাইস পরিচালনার জন্য নিবেদিত, সিরিয়াল কনসোল পোর্ট এবং ইথারনেট ম্যানেজমেন্ট ইন্টারফেস সহ।
· একটি OOB ম্যানেজমেন্ট নেটওয়ার্ক সাধারণত যুক্তিসঙ্গত খরচে মোতায়েন করা যেতে পারে, যেহেতু ম্যানেজমেন্ট নেটওয়ার্ক ট্র্যাফিক সাধারণত উচ্চ ব্যান্ডউইথ বা উচ্চ কর্মক্ষমতা ডিভাইসের দাবি করে না এবং প্রতিটি অবকাঠামো ডিভাইসের সাথে সংযোগ সমর্থন করার জন্য শুধুমাত্র পর্যাপ্ত পোর্ট ঘনত্বের প্রয়োজন হয়।
স্থানীয়ভাবে সংরক্ষিত তথ্য সুরক্ষা
সংবেদনশীল তথ্য রক্ষা
NFVIS পাসওয়ার্ড এবং গোপনীয়তা সহ স্থানীয়ভাবে কিছু সংবেদনশীল তথ্য সঞ্চয় করে। পাসওয়ার্ড সাধারণত একটি কেন্দ্রীভূত AAA সার্ভার দ্বারা রক্ষণাবেক্ষণ এবং নিয়ন্ত্রণ করা উচিত। যাইহোক, এমনকি যদি একটি কেন্দ্রীভূত AAA সার্ভার স্থাপন করা হয়, কিছু কিছু ক্ষেত্রে স্থানীয়ভাবে সংরক্ষিত পাসওয়ার্ডের প্রয়োজন হয় যেমন AAA সার্ভার উপলব্ধ না থাকার ক্ষেত্রে স্থানীয় ফলব্যাক, বিশেষ-ব্যবহারের ব্যবহারকারীর নাম ইত্যাদি। এই স্থানীয় পাসওয়ার্ড এবং অন্যান্য সংবেদনশীল

নিরাপত্তা বিবেচনা 23

File স্থানান্তর

নিরাপত্তা বিবেচনা

তথ্য এনএফভিআইএস-এ হ্যাশ হিসাবে সংরক্ষণ করা হয় যাতে সিস্টেম থেকে মূল শংসাপত্রগুলি পুনরুদ্ধার করা সম্ভব না হয়। হ্যাশিং একটি ব্যাপকভাবে স্বীকৃত শিল্প আদর্শ।

File স্থানান্তর
Fileযেগুলিকে NFVIS ডিভাইসে স্থানান্তর করতে হতে পারে তার মধ্যে VM ইমেজ এবং NFVIS আপগ্রেড অন্তর্ভুক্ত files এর নিরাপদ স্থানান্তর files নেটওয়ার্ক অবকাঠামো নিরাপত্তার জন্য গুরুত্বপূর্ণ। নিরাপত্তা নিশ্চিত করতে NFVIS Secure Copy (SCP) সমর্থন করে file স্থানান্তর SCP নিরাপদ প্রমাণীকরণ এবং পরিবহনের জন্য SSH-এর উপর নির্ভর করে, এর নিরাপদ এবং প্রমাণীকৃত অনুলিপি সক্ষম করে files.
NFVIS থেকে একটি সুরক্ষিত কপি scp কমান্ডের মাধ্যমে শুরু করা হয়। নিরাপদ অনুলিপি (scp) কমান্ড শুধুমাত্র অ্যাডমিন ব্যবহারকারীকে নিরাপদে অনুলিপি করার অনুমতি দেয় files NFVIS থেকে একটি বাহ্যিক সিস্টেম, অথবা একটি বহিরাগত সিস্টেম থেকে NFVIS.
scp কমান্ডের সিনট্যাক্স হল:
scp
আমরা NFVIS SCP সার্ভারের জন্য পোর্ট 22222 ব্যবহার করি। ডিফল্টরূপে, এই পোর্টটি বন্ধ থাকে এবং ব্যবহারকারীরা কপি সুরক্ষিত করতে পারে না fileএকটি বহিরাগত ক্লায়েন্ট থেকে NFVIS-এ প্রবেশ করুন। SCP করার প্রয়োজন হলে ক file একটি বহিরাগত ক্লায়েন্ট থেকে, ব্যবহারকারী ব্যবহার করে পোর্ট খুলতে পারেন:
সিস্টেম সেটিংস ip-receive-acl (ঠিকানা)/(মাস্ক লেন্থ) পরিষেবা scpd অগ্রাধিকার (সংখ্যা) অ্যাকশন গ্রহণ করুন
কমিট
ব্যবহারকারীদের সিস্টেম ডিরেক্টরি অ্যাক্সেস করতে বাধা দেওয়ার জন্য, নিরাপদ অনুলিপি শুধুমাত্র intdatastore:, extdatastore1:, extdatastore2:, usb: এবং nfs: থেকে বা উপলব্ধ হলেই করা যেতে পারে। নিরাপদ অনুলিপি লগ থেকেও সঞ্চালিত হতে পারে: এবং প্রযুক্তি সহায়তা:

লগিং

NFVIS অ্যাক্সেস এবং কনফিগারেশন পরিবর্তনগুলি নিম্নলিখিত তথ্য রেকর্ড করার জন্য অডিট লগ হিসাবে লগ করা হয়: · কে ডিভাইসটি অ্যাক্সেস করেছে · কখন একজন ব্যবহারকারী লগ ইন করেছে · হোস্ট কনফিগারেশন এবং VM লাইফসাইকেলের পরিপ্রেক্ষিতে একজন ব্যবহারকারী কী করেছে · কখন একজন ব্যবহারকারী লগ ইন করেছে বন্ধ · ব্যর্থ অ্যাক্সেস প্রচেষ্টা · ব্যর্থ প্রমাণীকরণ অনুরোধ · ব্যর্থ অনুমোদন অনুরোধ
এই তথ্যটি অননুমোদিত প্রচেষ্টা বা অ্যাক্সেসের ক্ষেত্রে ফরেনসিক বিশ্লেষণের জন্য, সেইসাথে কনফিগারেশন পরিবর্তনের সমস্যাগুলির জন্য এবং গ্রুপ প্রশাসনের পরিবর্তনের পরিকল্পনায় সহায়তা করার জন্য অমূল্য। এটি অস্বাভাবিক ক্রিয়াকলাপগুলি সনাক্ত করতে বাস্তব সময়ও ব্যবহার করা যেতে পারে যা ইঙ্গিত করতে পারে যে একটি আক্রমণ হচ্ছে। এই বিশ্লেষণটি অতিরিক্ত বাহ্যিক উত্স থেকে তথ্যের সাথে সম্পর্কিত হতে পারে, যেমন IDS এবং ফায়ারওয়াল লগ।

নিরাপত্তা বিবেচনা 24

নিরাপত্তা বিবেচনা

ভার্চুয়াল মেশিন নিরাপত্তা

NFVIS-এর সমস্ত মূল ঘটনাগুলি NETCONF গ্রাহকদের ইভেন্ট বিজ্ঞপ্তি হিসাবে এবং কনফিগার করা কেন্দ্রীয় লগিং সার্ভারগুলিতে syslogs হিসাবে পাঠানো হয়। syslog বার্তা এবং ইভেন্ট বিজ্ঞপ্তি সম্পর্কে আরও তথ্যের জন্য, পরিশিষ্ট দেখুন।
ভার্চুয়াল মেশিন নিরাপত্তা
এই বিভাগে NFVIS-এ ভার্চুয়াল মেশিনের নিবন্ধন, স্থাপনা এবং অপারেশন সম্পর্কিত নিরাপত্তা বৈশিষ্ট্যগুলি বর্ণনা করা হয়েছে।
VNF সুরক্ষিত বুট
NFVIS ওপেন ভার্চুয়াল মেশিন ফার্মওয়্যার (OVMF) সমর্থন করে ভার্চুয়াল মেশিনগুলির জন্য UEFI সুরক্ষিত বুট সক্ষম করতে যা সুরক্ষিত বুট সমর্থন করে। VNF সিকিউর বুট যাচাই করে যে বুটলোডার, অপারেটিং সিস্টেম কার্নেল এবং অপারেটিং সিস্টেম ড্রাইভার সহ VM বুট সফ্টওয়্যারের প্রতিটি স্তর স্বাক্ষরিত।

আরও তথ্যের জন্য দেখুন, VNF-এর সুরক্ষিত বুট।
VNC কনসোল অ্যাক্সেস সুরক্ষা
NFVIS ব্যবহারকারীকে একটি ভার্চুয়াল নেটওয়ার্ক কম্পিউটিং (VNC) সেশন তৈরি করার অনুমতি দেয় একটি স্থাপন করা VM এর দূরবর্তী ডেস্কটপ অ্যাক্সেস করতে। এটি সক্ষম করতে, NFVIS গতিশীলভাবে একটি পোর্ট খোলে যেখানে ব্যবহারকারী তাদের ব্যবহার করে সংযোগ করতে পারে web ব্রাউজার VM-এ একটি সেশন শুরু করার জন্য একটি বহিরাগত সার্ভারের জন্য এই পোর্টটি শুধুমাত্র 60 সেকেন্ডের জন্য খোলা থাকে। এই সময়ের মধ্যে কোনো তৎপরতা দেখা না গেলে বন্দরটি বন্ধ করে দেওয়া হয়। পোর্ট নম্বরটি গতিশীলভাবে বরাদ্দ করা হয় এবং এর ফলে VNC কনসোলে শুধুমাত্র একবারের জন্য অ্যাক্সেস করা যায়।
nfvis# vncconsole শুরু স্থাপনা-নাম 1510614035 vm-নাম রাউটার vncconsole-url :6005/vnc_auto.html
আপনার ব্রাউজারকে https:// এ নির্দেশ করা হচ্ছে :6005/vnc_auto.html রাউটার VM-এর VNC কনসোলের সাথে সংযোগ করবে।
নিরাপত্তা বিবেচনা 25

এনক্রিপ্ট করা VM কনফিগার ডেটা ভেরিয়েবল

নিরাপত্তা বিবেচনা

এনক্রিপ্ট করা VM কনফিগার ডেটা ভেরিয়েবল
VM স্থাপনার সময়, ব্যবহারকারী একটি দিন-0 কনফিগারেশন প্রদান করে file VM এর জন্য। এই file পাসওয়ার্ড এবং কীগুলির মতো সংবেদনশীল তথ্য থাকতে পারে। যদি এই তথ্যটি পরিষ্কার পাঠ্য হিসাবে পাস করা হয় তবে এটি লগে প্রদর্শিত হবে files এবং স্পষ্ট পাঠ্যে অভ্যন্তরীণ ডাটাবেস রেকর্ড। এই বৈশিষ্ট্যটি ব্যবহারকারীকে একটি কনফিগার ডেটা ভেরিয়েবলকে সংবেদনশীল হিসাবে ফ্ল্যাগ করার অনুমতি দেয় যাতে এটি অভ্যন্তরীণ সাবসিস্টেমগুলিতে সংরক্ষণ বা পাস করার আগে এটির মান AES-CFB-128 এনক্রিপশন ব্যবহার করে এনক্রিপ্ট করা হয়।
আরও তথ্যের জন্য দেখুন, ভিএম স্থাপনার পরামিতি।
রিমোট ইমেজ রেজিস্ট্রেশনের জন্য চেকসাম যাচাইকরণ
একটি দূরবর্তী অবস্থানে অবস্থিত VNF চিত্র নিবন্ধন করতে, ব্যবহারকারী তার অবস্থান নির্দিষ্ট করে। ছবিটি একটি বাহ্যিক উত্স থেকে ডাউনলোড করতে হবে, যেমন একটি NFS সার্ভার বা একটি দূরবর্তী HTTPS সার্ভার।
ডাউনলোড হয়েছে কিনা জানতে file ইনস্টল করা নিরাপদ, এটি তুলনা করা অপরিহার্য fileচেকসাম ব্যবহার করার আগে। চেকসাম যাচাই করা নিশ্চিত করতে সাহায্য করে যে file নেটওয়ার্ক ট্রান্সমিশনের সময় দূষিত হয়নি, অথবা আপনি এটি ডাউনলোড করার আগে কোনো দূষিত তৃতীয় পক্ষ দ্বারা সংশোধন করা হয়নি।
NFVIS চেকসাম এবং চেকসাম_অ্যালগরিদম বিকল্পগুলিকে সমর্থন করে যাতে ব্যবহারকারীর প্রত্যাশিত চেকসাম এবং চেকসাম অ্যালগরিদম (SHA256 বা SHA512) ডাউনলোড করা ছবির চেকসাম যাচাই করার জন্য ব্যবহার করা হয়। চেকসাম মেলে না হলে ইমেজ তৈরি ব্যর্থ হয়।
রিমোট ইমেজ রেজিস্ট্রেশনের জন্য সার্টিফিকেশন বৈধতা
একটি HTTPS সার্ভারে অবস্থিত একটি VNF চিত্র নিবন্ধন করতে, ছবিটিকে দূরবর্তী HTTPS সার্ভার থেকে ডাউনলোড করতে হবে। এই ছবিটি নিরাপদে ডাউনলোড করতে, NFVIS সার্ভারের SSL শংসাপত্র যাচাই করে। ব্যবহারকারীকে শংসাপত্রের পথটি নির্দিষ্ট করতে হবে file অথবা এই নিরাপদ ডাউনলোড সক্ষম করতে PEM বিন্যাস শংসাপত্রের বিষয়বস্তু।
চিত্র নিবন্ধনের জন্য শংসাপত্রের বৈধতা সংক্রান্ত বিভাগে আরও বিশদ পাওয়া যাবে
ভিএম আইসোলেশন এবং রিসোর্স প্রভিশনিং
নেটওয়ার্ক ফাংশন ভার্চুয়ালাইজেশন (NFV) আর্কিটেকচারের মধ্যে রয়েছে:
· ভার্চুয়ালাইজড নেটওয়ার্ক ফাংশন (ভিএনএফ), যা ভার্চুয়াল মেশিন যা সফ্টওয়্যার অ্যাপ্লিকেশন চালায় যা নেটওয়ার্ক কার্যকারিতা প্রদান করে যেমন রাউটার, ফায়ারওয়াল, লোড ব্যালেন্সার ইত্যাদি।
· নেটওয়ার্ক ফাংশন ভার্চুয়ালাইজেশন অবকাঠামো, যা প্রয়োজনীয় সফ্টওয়্যার এবং হাইপারভাইজারকে সমর্থন করে এমন একটি প্ল্যাটফর্মে অবকাঠামো উপাদানগুলি- গণনা, মেমরি, স্টোরেজ এবং নেটওয়ার্কিং নিয়ে গঠিত।
NFV এর সাথে, নেটওয়ার্ক ফাংশনগুলি ভার্চুয়ালাইজ করা হয় যাতে একাধিক ফাংশন একক সার্ভারে চালানো যায়। ফলস্বরূপ, কম শারীরিক হার্ডওয়্যার প্রয়োজন, যা সম্পদ একত্রীকরণের অনুমতি দেয়। এই পরিবেশে, একক, শারীরিক হার্ডওয়্যার সিস্টেম থেকে একাধিক VNF-এর জন্য উৎসর্গীকৃত সংস্থানগুলি অনুকরণ করা অপরিহার্য। NFVIS ব্যবহার করে, VM গুলি নিয়ন্ত্রিত পদ্ধতিতে স্থাপন করা যেতে পারে যাতে প্রতিটি VM তার প্রয়োজনীয় সংস্থানগুলি গ্রহণ করে। সম্পদগুলি ভৌত ​​পরিবেশ থেকে অনেকগুলি ভার্চুয়াল পরিবেশে প্রয়োজন অনুসারে বিভক্ত করা হয়। পৃথক VM ডোমেনগুলি আলাদা করা হয় তাই সেগুলি আলাদা, স্বতন্ত্র এবং সুরক্ষিত পরিবেশ, যা ভাগ করা সংস্থানগুলির জন্য একে অপরের সাথে প্রতিদ্বন্দ্বিতা করে না।
VM বিধানের চেয়ে বেশি সম্পদ ব্যবহার করতে পারে না। এটি সম্পদ গ্রহণকারী একটি VM থেকে পরিষেবার শর্ত অস্বীকার করে। ফলে সিপিইউ, মেমরি, নেটওয়ার্ক এবং স্টোরেজ সুরক্ষিত থাকে।

নিরাপত্তা বিবেচনা 26

নিরাপত্তা বিবেচনা
CPU বিচ্ছিন্নতা

CPU বিচ্ছিন্নতা

NFVIS সিস্টেম হোস্টে চলমান অবকাঠামো সফ্টওয়্যারের জন্য কোর সংরক্ষণ করে। বাকি কোর VM স্থাপনার জন্য উপলব্ধ। এটি গ্যারান্টি দেয় যে VM-এর কর্মক্ষমতা NFVIS হোস্টের কর্মক্ষমতাকে প্রভাবিত করে না। লো-লেটেন্সি VMs NFVIS স্পষ্টভাবে কম লেটেন্সি VM-কে ডেডিকেটেড কোর বরাদ্দ করে যা এতে স্থাপন করা হয়। যদি VM-এর জন্য 2টি vCPU-এর প্রয়োজন হয়, তাহলে এটিকে 2টি ডেডিকেটেড কোর বরাদ্দ করা হয়। এটি কোরের শেয়ারিং এবং ওভারসাবস্ক্রিপশনকে বাধা দেয় এবং কম লেটেন্সি VM-এর কর্মক্ষমতা নিশ্চিত করে। যদি উপলব্ধ কোরের সংখ্যা অন্য কম-বিলম্বিত VM দ্বারা অনুরোধ করা vCPU-গুলির সংখ্যার চেয়ে কম হয়, তাহলে মোতায়েন প্রতিরোধ করা হয় কারণ আমাদের কাছে পর্যাপ্ত সংস্থান নেই৷ নন-লো-ল্যাটেন্সি VMs NFVIS কম লেটেন্সি VM-এ শেয়ারযোগ্য CPU গুলি বরাদ্দ করে৷ যদি VM-এর জন্য 2টি vCPU-এর প্রয়োজন হয়, তাহলে এটিকে 2টি CPU বরাদ্দ করা হয়। এই 2টি সিপিইউ অন্যান্য নন-লো লেটেন্সি VM-এর মধ্যে শেয়ার করা যায়। উপলব্ধ সিপিইউ-এর সংখ্যা অন্য একটি নন-লো-ল্যাটেন্সি VM দ্বারা অনুরোধ করা ভিসিপিইউ-এর সংখ্যার চেয়ে কম হলে, ডিপ্লোয়মেন্ট এখনও অনুমোদিত কারণ এই VM বিদ্যমান নন-লো লেটেন্সি VM-এর সাথে CPU-কে শেয়ার করবে।
মেমরি বরাদ্দ
NFVIS পরিকাঠামোর জন্য একটি নির্দিষ্ট পরিমাণ মেমরির প্রয়োজন। যখন একটি VM স্থাপন করা হয়, তখন পরিকাঠামোর জন্য প্রয়োজনীয় মেমরি সংরক্ষণ করার পরে উপলব্ধ মেমরি এবং পূর্বে স্থাপন করা VM, নতুন VM-এর জন্য যথেষ্ট কিনা তা নিশ্চিত করার জন্য একটি পরীক্ষা করা হয়। আমরা VM-এর জন্য মেমরি ওভারসাবস্ক্রিপশনের অনুমতি দিই না।
নিরাপত্তা বিবেচনা 27

স্টোরেজ আইসোলেশন
VM-কে সরাসরি হোস্ট অ্যাক্সেস করার অনুমতি দেওয়া হয় না file সিস্টেম এবং স্টোরেজ।
স্টোরেজ আইসোলেশন

নিরাপত্তা বিবেচনা

ENCS প্ল্যাটফর্ম একটি অভ্যন্তরীণ ডেটাস্টোর (M2 SSD) এবং বাহ্যিক ডিস্ক সমর্থন করে। NFVIS অভ্যন্তরীণ ডেটাস্টোরে ইনস্টল করা আছে। এই অভ্যন্তরীণ ডেটাস্টোরে ভিএনএফগুলিও স্থাপন করা যেতে পারে। গ্রাহকের ডেটা সঞ্চয় করা এবং বহিরাগত ডিস্কে গ্রাহক অ্যাপ্লিকেশন ভার্চুয়াল মেশিন স্থাপন করা একটি নিরাপত্তার সর্বোত্তম অনুশীলন। সিস্টেমের জন্য শারীরিকভাবে পৃথক ডিস্ক থাকা files বনাম অ্যাপ্লিকেশন files দুর্নীতি এবং নিরাপত্তা সমস্যা থেকে সিস্টেম ডেটা রক্ষা করতে সাহায্য করে।
·
ইন্টারফেস বিচ্ছিন্নতা
একক রুট I/O ভার্চুয়ালাইজেশন বা SR-IOV হল একটি স্পেসিফিকেশন যা PCI Express (PCIe) রিসোর্স যেমন একটি ইথারনেট পোর্টকে বিচ্ছিন্ন করার অনুমতি দেয়। SR-IOV ব্যবহার করে একটি একক ইথারনেট পোর্ট ভার্চুয়াল ফাংশন নামে পরিচিত একাধিক, পৃথক, ভৌত যন্ত্র হিসাবে প্রদর্শিত হতে পারে। সেই অ্যাডাপ্টারের সমস্ত VF ডিভাইস একই শারীরিক নেটওয়ার্ক পোর্ট ভাগ করে। একজন অতিথি এই ভার্চুয়াল ফাংশনগুলির এক বা একাধিক ব্যবহার করতে পারেন। একটি ভার্চুয়াল ফাংশন গেস্টের কাছে একটি নেটওয়ার্ক কার্ড হিসাবে উপস্থিত হয়, যেভাবে একটি সাধারণ নেটওয়ার্ক কার্ড একটি অপারেটিং সিস্টেমে প্রদর্শিত হয়। ভার্চুয়াল ফাংশনগুলির কাছাকাছি-নেটিভ পারফরম্যান্স রয়েছে এবং প্যারা-ভার্চুয়ালাইজড ড্রাইভার এবং এমুলেটেড অ্যাক্সেসের চেয়ে ভাল পারফরম্যান্স প্রদান করে। ভার্চুয়াল ফাংশন একই ভৌত সার্ভারে গেস্টদের মধ্যে ডেটা সুরক্ষা প্রদান করে যেমন ডেটা হার্ডওয়্যার দ্বারা পরিচালিত এবং নিয়ন্ত্রিত হয়। NFVIS VNFs WAN এবং LAN ব্যাকপ্লেন পোর্টের সাথে সংযোগ করতে SR-IOV নেটওয়ার্ক ব্যবহার করতে পারে।
নিরাপত্তা বিবেচনা 28

নিরাপত্তা বিবেচনা

নিরাপদ উন্নয়ন জীবনচক্র

এই জাতীয় প্রতিটি VM একটি ভার্চুয়াল ইন্টারফেসের মালিক এবং এর সাথে সম্পর্কিত সংস্থানগুলি ভিএমগুলির মধ্যে ডেটা সুরক্ষা অর্জন করে।
নিরাপদ উন্নয়ন জীবনচক্র
NFVIS সফ্টওয়্যারের জন্য একটি সিকিউর ডেভেলপমেন্ট লাইফসাইকেল (SDL) অনুসরণ করে। এটি একটি পুনরাবৃত্তিযোগ্য, পরিমাপযোগ্য প্রক্রিয়া যা দুর্বলতা কমাতে এবং সিস্কো সমাধানগুলির নিরাপত্তা এবং স্থিতিস্থাপকতা বাড়াতে ডিজাইন করা হয়েছে। Cisco SDL বিশ্বস্ত সমাধান তৈরি করার জন্য শিল্প-নেতৃস্থানীয় অনুশীলন এবং প্রযুক্তি প্রয়োগ করে যাতে ক্ষেত্র-আবিষ্কৃত পণ্য নিরাপত্তার ঘটনা কম থাকে। প্রতিটি NFVIS রিলিজ নিম্নলিখিত প্রক্রিয়ার মধ্য দিয়ে যায়।
· সিসকো-অভ্যন্তরীণ এবং বাজার-ভিত্তিক পণ্য সুরক্ষা প্রয়োজনীয়তাগুলি অনুসরণ করা · দুর্বলতা ট্র্যাকিংয়ের জন্য সিস্কোতে একটি কেন্দ্রীয় সংগ্রহস্থলের সাথে 3য় পক্ষের সফ্টওয়্যার নিবন্ধন করা · CVE-গুলির জন্য পরিচিত সংশোধন সহ পর্যায়ক্রমে প্যাচিং সফ্টওয়্যার। · নিরাপত্তার কথা মাথায় রেখে সফ্টওয়্যার ডিজাইন করা · নিরাপদ কোডিং অনুশীলন অনুসরণ করা যেমন সিসকোএসএসএল-এর মতো পরীক্ষিত সাধারণ সুরক্ষা মডিউল ব্যবহার করা, চলমান
স্ট্যাটিক বিশ্লেষণ এবং কমান্ড ইনজেকশন প্রতিরোধের জন্য ইনপুট বৈধতা বাস্তবায়ন, ইত্যাদি।

নিরাপত্তা বিবেচনা 29

নিরাপদ উন্নয়ন জীবনচক্র

নিরাপত্তা বিবেচনা

নিরাপত্তা বিবেচনা 30

দলিল/সম্পদ

CISCO এন্টারপ্রাইজ নেটওয়ার্ক ফাংশন ভার্চুয়ালাইজেশন ইনফ্রাস্ট্রাকচার সফ্টওয়্যার [পিডিএফ] ব্যবহারকারীর নির্দেশিকা
এন্টারপ্রাইজ নেটওয়ার্ক ফাংশন ভার্চুয়ালাইজেশন ইনফ্রাস্ট্রাকচার সফটওয়্যার, এন্টারপ্রাইজ, নেটওয়ার্ক ফাংশন ভার্চুয়ালাইজেশন ইনফ্রাস্ট্রাকচার সফটওয়্যার, ভার্চুয়ালাইজেশন ইনফ্রাস্ট্রাকচার সফটওয়্যার, ইনফ্রাস্ট্রাকচার সফটওয়্যার

তথ্যসূত্র

সম্পর্কিত পোস্ট

একটি মন্তব্য করুন

আপনার ইমেল ঠিকানা প্রকাশ করা হবে না. প্রয়োজনীয় ক্ষেত্রগুলি চিহ্নিত করা হয়েছে *