Hulagway TampProteksyon: Pagpirma sa RPM ug pag-verify sa pirma
para sa tanang RPM packages sa ISO ug pag-upgrade sa mga hulagway.
RPM Signing: Tanan nga RPM packages sa Cisco Enterprise NFVIS ISO
ug pag-upgrade sa mga imahe gipirmahan aron masiguro ang integridad sa cryptographic ug
pagkatinuod.

RPM Signature Verification: Ang pirma sa tanan nga RPM packages kay
gipamatud-an sa wala pa i-install o pag-upgrade.
Pag-verify sa Integridad sa Imahe: Hash sa imahe sa Cisco NFVIS ISO
ug pag-upgrade sa imahe gipatik aron masiguro ang integridad sa dugang
dili RPM files.

ENCS Secure Boot: Bahin sa UEFI standard, nagsiguro nga ang
device boots gamit lang ang kasaligang software.
Secure Unique Device Identification (SUDI): Naghatag sa device
nga adunay dili mausab nga pagkatawo aron mapamatud-an ang katinuod niini.

Pag-instalar

Aron ma-install ang NFVIS software, sunda kini nga mga lakang:

Siguruha nga ang imahe sa software wala pa tampgiubanan ni
pagmatuod sa pirma ug integridad niini.

Kung naggamit sa Cisco Enterprise NFVIS 3.7.1 ug sa ulahi, siguroha kana
ang pag-verify sa pirma moagi sa panahon sa pag-instalar. Kon kini mapakyas,
ang pag-instalar ma-abort.
Kung mag-upgrade gikan sa Cisco Enterprise NFVIS 3.6.x hangtod sa Pagpagawas
3.7.1, ang mga pirma sa RPM gipamatud-an sa panahon sa pag-upgrade. Kung ang
Ang pag-verify sa pirma napakyas, usa ka sayup ang na-log apan ang pag-upgrade mao
nahuman.

Kung ang pag-upgrade gikan sa Release 3.7.1 ngadto sa ulahi nga pagpagawas, ang RPM
ang mga pirma mapamatud-an kung ang pag-upgrade nga imahe narehistro. Kung
napakyas ang pag-verify sa pirma, gi-abort ang pag-upgrade.
I-verify ang hash sa Cisco NFVIS ISO image o upgrade image
gamit ang command: /usr/bin/sha512sum <image_filepath>. Itandi ang hash sa gipatik
hash aron masiguro ang integridad.

Luwas nga Boot

Ang Secure boot usa ka feature nga anaa sa ENCS (disabled by default)
nga nagsiguro nga ang aparato nag-boot lamang gamit ang kasaligan nga software. Sa
i-enable ang luwas nga boot:

Tan-awa ang dokumentasyon sa Secure Boot of Host alang sa dugang
impormasyon.

Sunda ang gihatag nga mga panudlo aron mahimo ang luwas nga boot sa imong
kahimanan.

Secure Unique Device Identification (SUDI)

Ang SUDI naghatag sa NFVIS og dili mausab nga pagkatawo, nga nagpamatuod niana
kini usa ka tinuod nga produkto sa Cisco ug nagsiguro sa pag-ila niini sa
sistema sa imbentaryo sa kustomer.

FAQ

Q: Unsa ang NFVIS?

A: Ang NFVIS nagpasabot sa Network Function Virtualization
Software sa Infrastruktura. Kini usa ka plataporma sa software nga gigamit sa pag-deploy
ug pagdumala sa mga gimbuhaton sa virtual network.

P: Unsaon nako pagmatuod sa integridad sa NFVIS ISO image o
pag-upgrade sa imahe?

A: Aron mapamatud-an ang integridad, gamita ang sugo
/usr/bin/sha512sum <image_filepath> ug itandi
ang hash nga adunay gipatik nga hash nga gihatag sa Cisco.

P: Ang luwas ba nga boot gipagana pinaagi sa default sa ENCS?

A: Dili, ang luwas nga boot gi-disable pinaagi sa default sa ENCS. Kini mao
girekomendar aron mahimo ang luwas nga boot alang sa dugang nga seguridad.

P: Unsa ang katuyoan sa SUDI sa NFVIS?

A: Ang SUDI naghatag sa NFVIS og talagsaon ug dili mausab nga pagkatawo,
pagsiguro sa pagkatinuod niini isip produkto sa Cisco ug pagpadali niini
pag-ila sa sistema sa imbentaryo sa kustomer.

View Fullscreen

Mga Konsiderasyon sa Seguridad
Kini nga kapitulo naghulagway sa mga bahin sa seguridad ug mga konsiderasyon sa NFVIS. Naghatag kini usa ka taas nga lebelview sa mga sangkap nga may kalabutan sa seguridad sa NFVIS aron magplano og estratehiya sa seguridad alang sa mga pagdeploy nga piho kanimo. Adunay usab kini mga rekomendasyon sa labing maayo nga mga gawi sa seguridad alang sa pagpatuman sa mga kinauyokan nga elemento sa seguridad sa network. Ang software sa NFVIS adunay seguridad nga gilakip gikan mismo sa pag-install sa tanan nga mga layer sa software. Ang sunod nga mga kapitulo nagpunting sa kini nga out-of-the-box nga mga aspeto sa seguridad sama sa pagdumala sa kredensyal, integridad ug tampproteksyon, pagdumala sa sesyon, luwas nga pag-access sa aparato ug uban pa.

· Pag-instalar, sa panid 2 · Secure Unique Device Identification, sa panid 3 · Device Access, sa panid 4

Mga Konsiderasyon sa Seguridad 1

Pag-instalar

Mga Konsiderasyon sa Seguridad

· Infrastructure Management Network, sa pahina 22 · Locally Stored Information Protection, sa pahina 23 · File Pagbalhin, sa panid 24 · Pag-log, sa panid 24 · Virtual Machine nga seguridad, sa panid 25 · VM Isolation ug Resource provisioning, sa panid 26 · Secure Development Lifecycle, sa pahina 29

Pag-instalar
Aron masiguro nga ang NFVIS software wala pa tampnga adunay , ang software image mapamatud-an sa dili pa i-install gamit ang mosunod nga mga mekanismo:

Hulagway Tamper Panalipod
Gisuportahan sa NFVIS ang pagpirma sa RPM ug pag-verify sa pirma alang sa tanan nga mga pakete sa RPM sa ISO ug pag-upgrade sa mga imahe.

Pagpirma sa RPM

Ang tanan nga RPM packages sa Cisco Enterprise NFVIS ISO ug pag-upgrade sa mga imahe gipirmahan aron masiguro ang cryptographic nga integridad ug pagkakasaligan. Kini naggarantiya nga ang RPM packages wala pa tampnaa ug ang RPM packages gikan sa NFVIS. Ang pribado nga yawe nga gigamit sa pagpirma sa mga pakete sa RPM gihimo ug luwas nga gipadayon sa Cisco.

RPM Signature Verification

Ang NFVIS software nagpamatuod sa pirma sa tanang RPM packages sa dili pa ang pag-instalar o pag-upgrade. Ang mosunod nga lamesa naghulagway sa Cisco Enterprise NFVIS kinaiya sa diha nga ang pirma verification mapakyas sa panahon sa usa ka instalar o upgrade.

Scenario

Deskripsyon

Cisco Enterprise NFVIS 3.7.1 ug sa ulahi nga mga instalasyon Kung ang pag-verify sa pirma mapakyas samtang nag-instalar sa Cisco Enterprise NFVIS, ang pag-instalar mahunong.

Ang Cisco Enterprise NFVIS upgrade gikan sa 3.6.x ngadto sa Release 3.7.1

Ang mga pirma sa RPM gipamatud-an kung ang pag-upgrade gihimo. Kung mapakyas ang pag-verify sa pirma, usa ka sayup ang natala apan ang pag-upgrade nahuman.

Ang pag-upgrade sa Cisco Enterprise NFVIS gikan sa Release 3.7.1 Ang mga pirma sa RPM gipamatud-an kung ang pag-upgrade

sa ulahi nga mga pagpagawas

narehistro ang imahe. Kung mapakyas ang pag-verify sa pirma,

gi-abort ang pag-upgrade.

Pagpamatuod sa Integridad sa Hulagway
Ang pagpirma sa RPM ug pag-verify sa pirma mahimo lamang alang sa mga pakete sa RPM nga magamit sa Cisco NFVIS ISO ug pag-upgrade sa mga imahe. Aron masiguro ang integridad sa tanan nga dugang nga dili RPM fileAnaa sa imahe sa Cisco NFVIS ISO, usa ka hash sa imahe sa Cisco NFVIS ISO ang gipatik kauban ang imahe. Sa susama, usa ka hash sa imahe sa pag-upgrade sa Cisco NFVIS gipatik kauban ang imahe. Aron mapamatud-an nga ang hash sa Cisco

Mga Konsiderasyon sa Seguridad 2

Mga Konsiderasyon sa Seguridad

ENCS Secure Boot

Ang imahe sa NFVIS ISO o pag-upgrade nga imahe motakdo sa hash nga gipatik sa Cisco, padagana ang mosunud nga mando ug itandi ang hash sa gipatik nga hash:
% /usr/bin/sha512sumFile> c2122783efc18b039246ae1bcd4eec4e5e027526967b5b809da5632d462dfa6724a9b20ec318c74548c6bd7e9b8217ce96b5ece93dcdd74fda5e01bb382ad607
<ImageFile>
ENCS Secure Boot
Ang luwas nga boot kabahin sa Unified Extensible Firmware Interface (UEFI) nga sumbanan nga nagsiguro nga ang usa ka device mag-boot gamit lamang ang software nga gisaligan sa Original Equipment Manufacturer (OEM). Kung magsugod ang NFVIS, susihon sa firmware ang pirma sa boot software ug ang operating system. Kung ang mga pirma balido, ang aparato mag-boot, ug ang firmware naghatag sa kontrol sa operating system.
Ang luwas nga boot anaa sa ENCS apan gi-disable pinaagi sa default. Girekomenda ka sa Cisco nga magamit ang luwas nga boot. Para sa dugang nga impormasyon, tan-awa ang Secure Boot of Host.
Luwas nga Talagsaong Device Identification
Ang NFVIS naggamit ug mekanismo nga nailhang Secure Unique Device Identification (SUDI), nga naghatag niini og dili mausab nga pagkatawo. Kini nga identidad gigamit aron mapamatud-an nga ang aparato usa ka tinuod nga produkto sa Cisco, ug aron masiguro nga ang aparato nahibal-an sa sistema sa imbentaryo sa kostumer.
Ang SUDI usa ka X.509v3 nga sertipiko ug usa ka kauban nga key-pair nga giprotektahan sa hardware. Ang SUDI certificate naglangkob sa product identifier ug serial number ug nakagamot sa Cisco Public Key Infrastructure. Ang yawe nga pares ug ang SUDI nga sertipiko gisulod sa hardware module sa panahon sa paggama, ug ang pribadong yawe dili gayud ma-eksport.
Ang identidad nga nakabase sa SUDI mahimong magamit sa paghimo sa gipamatud-an ug awtomatiko nga pag-configure gamit ang Zero Touch Provisioning (ZTP). Kini makahimo sa luwas, layo nga on-boarding sa mga himan, ug nagsiguro nga ang orkestrasyon server nakigsulti sa usa ka tinuod nga NFVIS device. Ang backend system mahimong mag-isyu og hagit sa NFVIS device aron ma-validate ang identity niini ug ang device motubag sa hagit gamit ang SUDI based identity niini. Gitugotan niini ang sistema sa backend nga dili lamang mapamatud-an batok sa imbentaryo niini nga ang husto nga aparato naa sa husto nga lokasyon apan naghatag usab nga naka-encrypt nga pagsumpo nga maablihan lamang sa piho nga aparato, sa ingon masiguro ang pagkakompidensyal sa pagbiyahe.
Ang mosunod nga workflow diagram nag-ilustrar kung giunsa paggamit sa NFVIS ang SUDI:

Mga Konsiderasyon sa Seguridad 3

Pag-access sa Device Figure 1: Plug and Play (PnP) Server authentication

Mga Konsiderasyon sa Seguridad

Figure 2: Pag-plug ug Play Device Authentication ug Authorization

Pag-access sa Device
Naghatag ang NFVIS og lain-laing mga mekanismo sa pag-access lakip ang console ingon man ang layo nga pag-access base sa mga protocol sama sa HTTPS ug SSH. Ang matag mekanismo sa pag-access kinahanglan nga maampingon pag-usabviewed ug gi-configure. Siguruha nga ang gikinahanglan nga mga mekanismo sa pag-access lamang ang mahimo ug nga sila gisiguro sa husto. Ang yawe nga mga lakang sa pagsiguro sa interactive ug pagdumala nga pag-access sa NFVIS mao ang pagpugong sa pag-access sa aparato, pagpugong sa mga kapabilidad sa gitugotan nga tiggamit sa kung unsa ang gikinahanglan, ug pagpugong sa gitugotan nga mga pamaagi sa pag-access. Gisiguro sa NFVIS nga ang pag-access gihatag lamang sa mga gipamatud-an nga tiggamit ug mahimo nila ang mga awtorisado nga aksyon. Ang pag-access sa aparato gi-log alang sa pag-audit ug gisiguro sa NFVIS ang pagkakompidensyal sa lokal nga gitipigan nga sensitibo nga datos. Importante ang pag-establisar sa angay nga mga kontrol aron mapugngan ang dili awtorisado nga pag-access sa NFVIS. Ang mosunod nga mga seksyon naghulagway sa labing maayo nga mga gawi ug mga configuration aron makab-ot kini:
Mga Konsiderasyon sa Seguridad 4

Mga Konsiderasyon sa Seguridad

Gipatuman nga Pagbag-o sa Password sa Unang Pag-login

Gipatuman nga Pagbag-o sa Password sa Unang Pag-login
Ang mga default nga kredensyal usa ka kanunay nga gigikanan sa mga insidente sa seguridad sa produkto. Ang mga kustomer kanunay nga nakalimot sa pag-usab sa default nga mga kredensyal sa pag-login nga gibiyaan ang ilang mga sistema nga bukas sa pag-atake. Aron mapugngan kini, ang tiggamit sa NFVIS napugos sa pag-usab sa password human sa unang pag-login gamit ang default nga mga kredensyal (username: admin ug password Admin123#). Para sa dugang nga impormasyon, tan-awa ang Pag-access sa NFVIS.
Pagpugong sa mga Kakulangan sa Pag-login
Mahimo nimong mapugngan ang pagkahuyang sa mga pag-atake sa diksyonaryo ug Denial of Service (DoS) pinaagi sa paggamit sa mosunod nga mga bahin.
Pagpatuman sa Lig-on nga password
Ang mekanismo sa pag-authenticate sama ka lig-on sa mga kredensyal niini. Tungod niini nga hinungdan, hinungdanon nga masiguro nga ang mga tiggamit adunay lig-on nga mga password. Gisusi sa NFVIS nga ang usa ka lig-on nga password gi-configure sumala sa mosunod nga mga lagda: Ang password kinahanglan adunay:
· Labing menos usa ka uppercase nga karakter · Labing menos usa ka lowercase nga karakter · Labing menos usa ka numero · Labing menos usa niining espesyal nga mga karakter: hash (#), underscore (_), hyphen (-), asterisk (*), o pangutana
markahan (?) · Pito ka mga karakter o labaw pa · Ang gitas-on sa password kinahanglang tali sa 7 ug 128 ka mga karakter.
Pag-configure sa Minimum nga Gitas-on alang sa mga Password
Ang kakulang sa pagkakomplikado sa password, ilabina ang gitas-on sa password, makapamenos sa luna sa pagpangita kon ang mga tig-atake mosulay sa pagtag-an sa mga password sa user, nga makapasayon sa mga brute-force nga pag-atake. Ang admin user mahimong ma-configure ang minimum nga gitas-on nga gikinahanglan alang sa mga password sa tanang tiggamit. Ang kinagamyang gitas-on kinahanglang tali sa 7 ug 128 ka karakter. Sa kasagaran, ang minimum nga gitas-on nga gikinahanglan alang sa mga password gitakda sa 7 ka karakter. CLI:
nfvis(config)# rbac authentication min-pwd-gitas-on 9
API:
/api/config/rbac/authentication/min-pwd-length
Pag-configure sa Password sa Kinabuhi
Ang password sa tibuok kinabuhi nagtino kung unsa kadugay ang usa ka password mahimong magamit sa wala pa ang user kinahanglan nga usbon kini.

Mga Konsiderasyon sa Seguridad 5

Limitahi ang miaging paggamit pag-usab sa password

Mga Konsiderasyon sa Seguridad

Ang admin user makahimo sa pag-configure sa minimum ug maximum nga tibuok kinabuhi nga mga bili alang sa mga password alang sa tanan nga mga tiggamit ug pagpatuman sa usa ka lagda sa pagsusi niini nga mga bili. Ang default nga minimum nga tibuok kinabuhi nga bili gitakda sa 1 ka adlaw ug ang default nga pinakataas nga tibuok kinabuhi nga bili gitakda sa 60 ka adlaw. Kung ang usa ka minimum nga kantidad sa tibuok kinabuhi na-configure, ang user dili makausab sa password hangtud nga ang piho nga gidaghanon sa mga adlaw milabay. Sa susama, kung ang usa ka labing taas nga kantidad sa tibuok kinabuhi na-configure, ang usa ka tiggamit kinahanglan nga mag-ilis sa password sa dili pa ang gitakda nga gidaghanon sa mga adlaw molabay. Kung ang usa ka user dili mag-usab sa password ug ang espesipikong gidaghanon sa mga adlaw ang milabay, usa ka pahibalo ipadala ngadto sa user.
Matikdi Ang minimum ug maximum nga tibuok kinabuhi nga mga bili ug ang lagda sa pagsusi niini nga mga bili wala magamit sa admin user.
CLI:
i-configure ang terminal rbac authentication password-lifetime ipatuman ang tinuod nga min-days 2 max-days 30 commit
API:
/api/config/rbac/authentication/password-lifetime/
Limitahi ang miaging paggamit pag-usab sa password
Kung wala’y pagpugong sa paggamit sa nangaging mga passphrase, ang pag-expire sa password sa kadaghanan wala’y kapuslanan tungod kay ang mga tiggamit mahimo’g usbon ang passphrase ug dayon usbon kini balik sa orihinal. Gisusi sa NFVIS nga ang bag-ong password dili parehas sa usa sa 5 nga gigamit kaniadto nga password. Ang usa ka eksepsiyon niini nga lagda mao nga ang admin user makausab sa password ngadto sa default password bisan kung kini usa sa 5 nga gigamit kaniadto nga password.
Limitahi ang Frequency sa mga pagsulay sa pag-login
Kung ang usa ka layo nga kauban gitugotan sa pag-login sa usa ka walay kinutuban nga gidaghanon sa mga higayon, kini mahimo nga sa katapusan makatag-an sa mga kredensyal sa pag-login pinaagi sa brute force. Tungod kay ang mga passphrase sa kasagaran sayon matag-an, kini usa ka komon nga pag-atake. Pinaagi sa paglimite sa rate sa kung diin ang kauban makasulay sa pag-login, among mapugngan kini nga pag-atake. Gilikayan usab namo ang paggasto sa mga kahinguhaan sa sistema sa dili kinahanglan nga pag-authenticate niining brute-force nga mga pagsulay sa pag-login nga makamugna og Denial of Service attack. Gipatuman sa NFVIS ang usa ka 5 minuto nga pag-lock sa user pagkahuman sa 10 nga napakyas nga pagsulay sa pag-login.
Pag-disable sa dili aktibo nga mga account sa tiggamit
Ang pagmonitor sa kalihokan sa tiggamit ug pag-disable sa wala magamit o stale nga mga account sa gumagamit makatabang sa pagsiguro sa sistema gikan sa mga pag-atake sa sulod. Ang wala magamit nga mga account kinahanglan nga sa katapusan tangtangon. Mahimong ipatuman sa admin user ang usa ka lagda aron markahan ang wala gigamit nga user account nga dili aktibo ug i-configure ang gidaghanon sa mga adlaw nga pagkahuman ang wala magamit nga user account gimarkahan nga dili aktibo. Kung gimarkahan nga dili aktibo, kana nga tiggamit dili maka-login sa sistema. Aron tugotan ang user nga maka-log in sa sistema, ang admin user mahimong ma-activate ang user account.
Timan-i Ang panahon sa pagkadili aktibo ug ang lagda sa pagsusi sa panahon sa pagkadili aktibo wala magamit sa admin nga tiggamit.

Mga Konsiderasyon sa Seguridad 6

Mga Konsiderasyon sa Seguridad

Pag-aktibo sa usa ka Dili Aktibo nga Account sa Gumagamit

Ang mosunod nga CLI ug API mahimong magamit aron ma-configure ang pagpatuman sa pagkadili aktibo sa account. CLI:
i-configure ang terminal rbac authentication account-inactivity enforce true inactivity-days 30 commit
API:
/api/config/rbac/authentication/account-inactivity/
Ang default nga kantidad alang sa dili aktibo nga mga adlaw mao ang 35.
Pag-aktibo sa usa ka Dili Aktibo nga Account sa Gumagamit Ang admin nga tiggamit mahimong ma-aktibo ang account sa usa ka dili aktibo nga tiggamit gamit ang mosunod nga CLI ug API: CLI:
i-configure ang terminal rbac authentication users user guest_user activate commit
API:
/api/operations/rbac/authentication/users/user/username/activate

Ipatuman ang Setting sa BIOS ug CIMC Passwords

Talaan 1: Talaan sa Kasaysayan sa Feature

Ngalan sa Feature

Pagpagawas sa Impormasyon

Ipatuman ang Setting sa BIOS ug CIMC NFVIS 4.7.1 Passwords

Deskripsyon
Kini nga bahin nagpatuman sa tiggamit sa pag-usab sa default nga password alang sa CIMC ug BIOS.

Mga Pagdili sa Pagpatuman sa Setting sa BIOS ug CIMC Passwords
· Kini nga bahin gisuportahan lamang sa Cisco Catalyst 8200 UCPE ug Cisco ENCS 5400 nga mga plataporma.
· Kini nga bahin gisuportahan lamang sa usa ka bag-ong pag-install sa NFVIS 4.7.1 ug sa ulahi nga gipagawas. Kung mag-upgrade ka gikan sa NFVIS 4.6.1 ngadto sa NFVIS 4.7.1, kini nga bahin dili suportado ug dili ka maaghat sa pag-reset sa BIOS ug CIMS nga mga password, bisan kung ang BIOS ug CIMC nga mga password wala ma-configure.

Impormasyon Mahitungod sa Pagpatuman sa Setting sa BIOS ug CIMC Passwords
Kini nga bahin nagtubag sa usa ka gintang sa seguridad pinaagi sa pagpatuman sa pag-reset sa BIOS ug CIMC nga mga password human sa bag-ong pag-instalar sa NFVIS 4.7.1. Ang default nga password sa CIMC mao ang password ug ang default nga password sa BIOS dili password.
Aron ayohon ang gintang sa seguridad, gipatuman ka sa pag-configure sa BIOS ug CIMC nga mga password sa ENCS 5400. Atol sa bag-ong pag-instalar sa NFVIS 4.7.1, kung ang BIOS ug CIMC nga mga password wala mausab ug aduna pa

Mga Konsiderasyon sa Seguridad 7

Configuration Examples alang sa Enforced Resetting sa BIOS ug CIMC Passwords

Mga Konsiderasyon sa Seguridad

ang default nga mga password, unya giaghat ka nga usbon ang mga password sa BIOS ug CIMC. Kung usa ra niini ang nanginahanglan pag-reset, giaghat ka nga i-reset ang password alang lamang sa kana nga sangkap. Ang Cisco Catalyst 8200 UCPE nagkinahanglan lamang sa BIOS password ug busa ang BIOS password reset lamang ang giaghat, kung kini wala pa mabutang.
Matikdi Kon mag-upgrade ka gikan sa bisan unsang miaging release ngadto sa NFVIS 4.7.1 o sa ulahi nga mga release, mahimo nimong usbon ang BIOS ug CIMC password gamit ang hostaction change-bios-password newpassword o hostaction change-cimc-password newpassword commands.
Para sa dugang nga impormasyon bahin sa BIOS ug CIMC password, tan-awa ang BIOS ug CIMC Password.
Configuration Examples alang sa Enforced Resetting sa BIOS ug CIMC Passwords
1. Kung imong gi-install ang NFVIS 4.7.1, kinahanglan nimo nga i-reset una ang default admin password.
Cisco Network Function Virtualization Infrastructure Software (NFVIS)
Bersyon sa NFVIS: 99.99.0-1009
Copyright (c) 2015-2021 sa Cisco Systems, Inc. Ang logo sa Cisco, Cisco Systems, ug Cisco Systems kay mga rehistradong marka sa pamatigayon sa Cisco Systems, Inc. ug/o mga kaubanan niini sa US ug pipila ka mga nasud.
Ang mga copyright sa pipila nga mga buhat nga naa sa kini nga software gipanag-iya sa ubang mga ikatulo nga partido ug gigamit ug giapod-apod sa ilawom sa mga kasabutan sa lisensya sa ikatulo nga partido. Ang pipila ka mga sangkap niini nga software lisensyado ubos sa GNU GPL 2.0, GPL 3.0, LGPL 2.1, LGPL 3.0 ug AGPL 3.0.
admin konektado gikan sa 10.24.109.102 gamit ang ssh sa nfvis admin nga naka-log sa default nga mga kredensyal Palihug paghatag ug password nga makatagbaw sa mosunod nga mga criteria:
1.Sa labing minos usa ka gamay nga karakter 2.Sa labing gamay usa ka uppercase nga karakter 3.Sa labing gamay usa ka numero 4.Sa labing gamay usa ka espesyal nga karakter gikan sa # _ – * ? 5. Ang gitas-on kinahanglang tali sa 7 ug 128 ka karakter Palihog i-reset ang password : Palihug isulod pag-usab ang password :
Pag-reset sa password sa admin
2. Sa Cisco Catalyst 8200 UCPE ug Cisco ENCS 5400 nga mga plataporma kung maghimo ka og bag-ong pag-instalar sa NFVIS 4.7.1 o sa ulahi nga mga pagpagawas, kinahanglan nimong usbon ang default nga BIOS ug CIMC nga mga password. Kung ang BIOS ug CIMC nga mga password wala pa ma-configure kaniadto, ang sistema mag-aghat kanimo sa pag-reset sa BIOS ug CIMC nga mga password alang sa Cisco ENCS 5400 ug ang BIOS password lamang alang sa Cisco Catalyst 8200 UCPE.
Bag-ong admin password gitakda
Palihug ihatag ang BIOS password nga makatagbaw sa mosunod nga mga criteria: 1. Labing menos usa ka lowercase nga karakter 2. Labing menos usa ka uppercase nga karakter 3. Labing menos usa ka numero 4. Labing menos usa ka espesyal nga karakter gikan sa #, @ o _ 5. Ang gitas-on kinahanglan nga tali sa 8 ug 20 ka karakter 6. Kinahanglang dili maglangkob sa bisan unsa sa mosunod nga mga string (case sensitive): bios 7. Ang unang karakter dili mahimong #

Mga Konsiderasyon sa Seguridad 8

Mga Konsiderasyon sa Seguridad

I-verify ang BIOS ug CIMC Passwords

Palihug i-reset ang BIOS password : Palihug isulod pag-usab ang BIOS password : Palihug ihatag ang CIMC password nga makatagbaw sa mosunod nga mga criteria:
1. Labing menos usa ka lowercase nga karakter 2. Labing menos usa ka uppercase nga karakter 3. Labing menos usa ka numero 4. Labing menos usa ka espesyal nga karakter gikan sa #, @ o _ 5. Ang gitas-on kinahanglan tali sa 8 ug 20 nga mga karakter 6. Kinahanglan nga dili adunay bisan unsa sa ang mosunod nga mga string (case sensitive): admin Palihug i-reset ang CIMC password : Palihug isulod pag-usab ang CIMC password :

I-verify ang BIOS ug CIMC Passwords
Aron mapamatud-an kung ang BIOS ug CIMC password malampuson nga nabag-o, gamita ang show log nfvis_config.log | iapil ang BIOS o ipakita ang log nfvis_config.log | naglakip sa mga sugo sa CIMC:

nfvis# ipakita ang log nfvis_config.log | naglakip sa BIOS

2021-11-16 15:24:40,102 INFO

[hostaction:/system/setting] [] Pag-ilis sa password sa BIOS

malampuson

Mahimo usab nimo i-download ang nfvis_config.log file ug susiha kung ang mga password malampuson nga na-reset.

Paghiusa sa mga eksternal nga AAA server
Ang mga tiggamit mag-log in sa NFVIS pinaagi sa ssh o sa Web UI. Sa bisan asa nga kaso, ang mga tiggamit kinahanglan nga mapamatud-an. Kana mao, ang usa ka tiggamit kinahanglan nga magpakita sa mga kredensyal sa password aron makakuha og access.
Kung mapamatud-an ang usa ka tiggamit, ang tanan nga mga operasyon nga gihimo sa kana nga tiggamit kinahanglan nga awtorisado. Kana mao, ang pipila ka mga tiggamit mahimong tugutan sa pagbuhat sa pipila ka mga buluhaton, samtang ang uban dili. Gitawag kini nga pagtugot.
Kini girekomendar nga ang usa ka sentralisadong AAA server ipakatap aron ipatuman ang matag user, AAA-based login authentication para sa NFVIS access. Gisuportahan sa NFVIS ang mga protocol sa RADIUS ug TACACS aron mapataliwala ang pag-access sa network. Sa AAA server, ang minimum nga mga pribilehiyo sa pag-access lamang ang kinahanglan ihatag sa mga napamatud-an nga tiggamit sumala sa ilang piho nga mga kinahanglanon sa pag-access. Gipamenos niini ang pagkaladlad sa malisyoso ug dili tinuyo nga mga insidente sa seguridad.
Para sa dugang nga impormasyon sa external authentication, tan-awa ang Pag-configure sa RADIUS ug Pag-configure sa TACACS+ Server.

Authentication Cache para sa External Authentication Server

Ngalan sa Feature

Pagpagawas sa Impormasyon

Authentication Cache para sa External NFVIS 4.5.1 Authentication Server

Deskripsyon
Kini nga feature nagsuporta sa TACACS authentication pinaagi sa OTP sa NFVIS portal.

Ang portal sa NFVIS naggamit sa parehas nga One-Time Password (OTP) alang sa tanan nga mga tawag sa API pagkahuman sa una nga pag-authenticate. Ang mga tawag sa API mapakyas sa diha nga ang OTP matapos. Kini nga feature nagsuporta sa TACACS OTP authentication sa NFVIS portal.
Human nimo malampusong ma-authenticate pinaagi sa TACACS server gamit ang OTP, ang NFVIS maghimo ug hash entry gamit ang username ug ang OTP ug tipigan kini nga hash value sa lokal. Kini nga lokal nga gitipigan nga hash nga kantidad adunay

Mga Konsiderasyon sa Seguridad 9

Pagkontrol sa Pag-access nga Gibase sa Papel

Mga Konsiderasyon sa Seguridad

usa ka expiration time stamp nakig-uban niini. Ang oras sa stamp adunay parehas nga kantidad sa SSH session idle timeout value nga 15 minutos. Ang tanan nga nagsunod nga mga hangyo sa panghimatuud nga adunay parehas nga username gipamatud-an una batok sa kini nga lokal nga kantidad sa hash. Kung mapakyas ang pag-authenticate sa lokal nga hash, ang NFVIS mag-authenticate niini nga hangyo sa TACACS server ug maghimo og bag-ong hash entry kung malampuson ang authentication. Kung adunay usa ka hash entry na, ang oras stamp gi-reset sa 15 minuto.
Kung matangtang ka sa TACACS server pagkahuman malampuson nga naka-log in sa portal, mahimo nimong ipadayon ang paggamit sa portal hangtod matapos ang hash entry sa NFVIS.
Kung klaro ka nga nag-log out gikan sa portal sa NFVIS o naka-log out tungod sa oras nga wala’y trabaho, ang portal nagtawag usa ka bag-ong API aron ipahibalo ang backend sa NFVIS aron ma-flush ang pagsulod sa hash. Ang cache sa authentication ug ang tanan nga mga entry niini matangtang pagkahuman sa pag-reboot sa NFVIS, pag-reset sa pabrika, o pag-upgrade.

Pagkontrol sa Pag-access nga Gibase sa Papel

Ang paglimite sa pag-access sa network hinungdanon sa mga organisasyon nga adunay daghang mga empleyado, nag-empleyo sa mga kontraktor o nagtugot sa pag-access sa mga ikatulo nga partido, sama sa mga kostumer ug mga tigbaligya. Sa ingon nga senaryo, lisud ang pag-monitor sa pag-access sa network nga epektibo. Hinuon, mas maayo nga kontrolon kung unsa ang ma-access, aron masiguro ang sensitibo nga datos ug kritikal nga mga aplikasyon.
Ang Role-based access control (RBAC) usa ka paagi sa pagpugong sa pag-access sa network base sa mga tahas sa indibidwal nga tiggamit sulod sa usa ka negosyo. Gitugotan sa RBAC ang mga tiggamit nga maka-access lang sa kasayuran nga ilang gikinahanglan, ug gipugngan sila sa pag-access sa kasayuran nga wala’y kalabotan kanila.
Ang papel sa usa ka empleyado sa negosyo kinahanglan gamiton aron mahibal-an ang mga pagtugot nga gihatag, aron masiguro nga ang mga empleyado nga adunay ubos nga mga pribilehiyo dili maka-access sa sensitibo nga kasayuran o makahimo sa mga kritikal nga buluhaton.
Ang mosunod nga mga tahas ug mga pribilehiyo sa user gihubit sa NFVIS

Papel sa Gumagamit

Pribilehiyo

Mga tigdumala

Mahimong i-configure ang tanan nga magamit nga mga bahin ug mahimo ang tanan nga mga buluhaton lakip ang pagbag-o sa mga tahas sa tiggamit. Ang tigdumala dili makatangtang sa batakang imprastraktura nga sukaranan sa NFVIS. Ang tahas sa Admin user dili mausab; kini kanunay nga "mga tigdumala".

Mga operator

Makasugod ug makapahunong sa usa ka VM, ug view tanang impormasyon.

Mga auditor

Sila ang pinakagamay nga pribilihiyo nga tiggamit. Sila adunay Read-only nga permiso ug busa, dili makausab sa bisan unsang configuration.

Mga Benepisyo sa RBAC
Adunay ubay-ubay nga mga benepisyo sa paggamit sa RBAC aron mapugngan ang dili kinahanglan nga pag-access sa network base sa mga tahas sa mga tawo sulod sa usa ka organisasyon, lakip ang:
· Pagpauswag sa kahusayan sa operasyon.
Ang pagbaton ug gitakda nang daan nga mga tahas sa RBAC makapasayon sa paglakip sa mga bag-ong tiggamit nga adunay hustong mga pribilehiyo o pagbalhin sa mga tahas sa mga kasamtangang tiggamit. Gipamub-an usab niini ang potensyal alang sa sayup kung ang mga pagtugot sa tiggamit gihatag.
· Pagpauswag sa pagsunod.

Mga Konsiderasyon sa Seguridad 10

Mga Konsiderasyon sa Seguridad

Pagkontrol sa Pag-access nga Gibase sa Papel

Ang matag organisasyon kinahanglang mosunod sa lokal, estado ug pederal nga mga regulasyon. Ang mga kompanya sa kasagaran gusto nga ipatuman ang mga sistema sa RBAC aron matubag ang mga kinahanglanon sa regulasyon ug statutory alang sa pagkapribado ug pagkapribado tungod kay ang mga ehekutibo ug mga departamento sa IT mahimong mas epektibo nga madumala kung giunsa ang pag-access ug paggamit sa datos. Kini labi ka hinungdanon alang sa mga institusyong pinansyal ug mga kompanya sa pag-atiman sa kahimsog nga nagdumala sa sensitibo nga datos.
· Pagpakunhod sa gasto. Pinaagi sa dili pagtugot sa user nga maka-access sa pipila nga mga proseso ug aplikasyon, ang mga kompanya mahimong magtipig o mogamit mga kapanguhaan sama sa bandwidth sa network, memorya ug pagtipig sa usa ka epektibo nga paagi.
· Pagkunhod sa risgo sa mga paglapas ug data leakage. Ang pag-implementar sa RBAC nagpasabot sa pagpugong sa pag-access sa sensitibo nga impormasyon, sa ingon mamenosan ang potensyal sa mga paglapas sa datos o data leakage.
Labing maayo nga mga gawi alang sa gibase sa papel nga mga pagpatuman sa kontrol sa pag-access · Isip usa ka administrador, tinoa ang lista sa mga tiggamit ug itudlo ang mga tiggamit sa gitakda nang daan nga mga tahas. Kay exampSa pagkakaron, ang user nga "networkadmin" mahimong mabuhat ug idugang sa user group nga "administrator".
i-configure ang terminal rbac authentication users create-user name networkadmin password Test1_pass role administrators commit
Matikdi Ang mga grupo sa tiggamit o mga tahas gihimo sa sistema. Dili ka makahimo o makausab sa usa ka grupo sa tiggamit. Para usbon ang password, gamita ang rbac authentication users user change-password command sa global configuration mode. Aron usbon ang tahas sa user, gamita ang rbac authentication users user change-role command sa global configuration mode.
· Tapuson ang mga account para sa mga tiggamit nga wala na magkinahanglan og access.
i-configure ang terminal rbac authentication users delete-user name test1
· Pagpahigayon og mga pag-audit matag karon ug unya aron masusi ang mga tahas, ang mga empleyado nga gi-assign kanila ug ang pag-access nga gitugotan sa matag tahas. Kung ang usa ka tiggamit makit-an nga adunay wala kinahanglana nga pag-access sa usa ka piho nga sistema, usba ang tahas sa tiggamit.
Alang sa dugang nga mga detalye tan-awa, Mga Gumagamit, Mga Papel, ug Pagpamatuod
Ang Granular Role-Based Access Control Sugod sa NFVIS 4.7.1, ang Granular Role-Based Access Control nga bahin gipaila. Kini nga feature nagdugang og bag-ong resource group policy nga nagdumala sa VM ug VNF ug nagtugot kanimo sa pag-assign sa mga user sa usa ka grupo aron makontrol ang VNF access, atol sa VNF deployment. Para sa dugang nga impormasyon, tan-awa ang Granular Role-Based Access Control.

Mga Konsiderasyon sa Seguridad 11

Limitahi ang Pag-access sa Device

Mga Konsiderasyon sa Seguridad

Limitahi ang Pag-access sa Device
Ang mga tiggamit balik-balik nga nasakpan nga wala mahibal-an pinaagi sa mga pag-atake batok sa mga bahin nga wala nila maprotektahan tungod kay wala nila nahibal-an nga kini nga mga bahin gipaandar. Ang wala magamit nga mga serbisyo lagmit nga ibilin sa mga default nga mga pag-configure nga dili kanunay luwas. Kini nga mga serbisyo mahimo usab nga naggamit sa mga default nga password. Ang ubang mga serbisyo makahatag sa usa ka tig-atake sa dali nga pag-access sa impormasyon kung unsa ang gipadagan sa server o kung giunsa ang pag-setup sa network. Ang mosunod nga mga seksyon naghulagway kung giunsa paglikay sa NFVIS ang maong mga risgo sa seguridad:

Pagminus sa vector sa pag-atake
Ang bisan unsang piraso sa software mahimong adunay posibilidad nga adunay mga kahuyangan sa seguridad. Ang dugang nga software nagpasabut nga daghang mga paagi sa pag-atake. Bisan kung wala'y nahibal-an sa publiko nga mga kahuyangan sa panahon sa paglakip, ang mga kahuyangan lagmit madiskobrehan o ibutyag sa umaabot. Aron malikayan ang ingon nga mga senaryo, kadto lamang mga software packages nga gikinahanglan alang sa NFVIS functionality ang gi-install. Makatabang kini nga limitahan ang mga kahuyangan sa software, makunhuran ang konsumo sa kapanguhaan, ug makunhuran ang dugang nga trabaho kung makit-an ang mga problema sa mga pakete. Ang tanan nga software sa ikatulo nga partido nga gilakip sa NFVIS narehistro sa usa ka sentro nga database sa Cisco aron ang Cisco makahimo sa usa ka lebel nga organisado nga tubag sa kompanya (Legal, Seguridad, ug uban pa). Ang mga pakete sa software kanunay nga gitambalan sa matag pagpagawas alang sa nahibal-an nga Common Vulnerabilities and Exposures (CVEs).

Pag-enable lamang sa importante nga mga pantalan pinaagi sa default

Kadto lamang nga mga serbisyo nga hingpit nga gikinahanglan sa pag-setup ug pagdumala sa NFVIS ang anaa sa default. Gikuha niini ang paningkamot sa tiggamit nga gikinahanglan aron ma-configure ang mga firewall ug ipanghimakak ang pag-access sa wala kinahanglana nga mga serbisyo. Ang mga serbisyo lamang nga gipagana pinaagi sa default gilista sa ubos kauban ang mga pantalan nga ilang giablihan.

Bukas nga Port

Serbisyo

Deskripsyon

22 / TCP

SSH

Secure Socket Shell para sa remote command-line access sa NFVIS

80 / TCP

HTTP

Hypertext Transfer Protocol para sa NFVIS portal access. Ang tanan nga trapiko sa HTTP nga nadawat sa NFVIS gi-redirect sa port 443 alang sa HTTPS

443 / TCP

HTTPS

Hypertext Transfer Protocol Secure para sa luwas nga NFVIS portal access

830 / TCP

NETCONF-ssh

Giablihan ang pantalan alang sa Network Configuration Protocol (NETCONF) sa SSH. Ang NETCONF kay usa ka protocol nga gigamit para sa automated configuration sa NFVIS ug para sa pagdawat ug asynchronous nga mga abiso sa panghitabo gikan sa NFVIS.

161/UDP

SNMP

Yano nga Network Management Protocol (SNMP). Gigamit sa NFVIS aron makigkomunikar sa mga remote network-monitoring applications. Alang sa dugang nga impormasyon tan-awa, Pasiuna bahin sa SNMP

Mga Konsiderasyon sa Seguridad 12

Mga Konsiderasyon sa Seguridad

Limitahi ang Pag-access Sa Awtorisadong mga Network Para sa Awtorisadong Serbisyo

Ang mga awtorisado nga tagmugna lang ang angayng tugutan nga mosulay sa pag-access sa pagdumala sa device, ug ang pag-access kinahanglan lamang sa mga serbisyo nga gitugotan nila sa paggamit. Ang NFVIS mahimong ma-configure sa ingon nga ang pag-access limitado sa nahibal-an, kasaligan nga mga gigikanan ug gilauman nga pagdumala sa trapikofiles. Gipamenos niini ang risgo sa dili awtorisado nga pag-access ug ang pagkaladlad sa ubang mga pag-atake, sama sa brute force, diksyonaryo, o pag-atake sa DoS.
Aron mapanalipdan ang mga interface sa pagdumala sa NFVIS gikan sa wala kinahanglana ug posible nga makadaot nga trapiko, ang usa ka admin nga tiggamit makahimo og mga Access Control Lists (ACLs) alang sa trapiko sa network nga nadawat. Kini nga mga ACL nagtino sa gigikanan nga mga adres sa IP/network diin gikan ang trapiko, ug ang klase sa trapiko nga gitugotan o gisalikway gikan sa kini nga mga gigikanan. Kini nga mga filter sa trapiko sa IP gipadapat sa matag interface sa pagdumala sa NFVIS. Ang mosunod nga mga parameter gi-configure sa usa ka IP makadawat sa Access Control List (ip-receive-acl)

Parameter

Bili

Deskripsyon

Tinubdan nga network/Netmask

Network/netmask. Kay exampug: 0.0.0.0/0
172.39.162.0/24

Kini nga field nagtino sa IP address/network diin gikan ang trapiko

Aksyon sa Serbisyo

https icmp netconf scpd snmp ssh modawat drop reject

Matang sa trapiko gikan sa piho nga gigikanan.
Ang aksyon nga himuon sa trapiko gikan sa gigikanan nga network. Uban sa pagdawat, ang bag-ong mga pagsulay sa koneksyon ihatag. Uban sa pagsalikway, ang mga pagsulay sa koneksyon dili madawat. Kung ang lagda alang sa serbisyo nga nakabase sa TCP sama sa HTTPS, NETCONF, SCP, SSH, ang tinubdan makakuha og TCP reset (RST) packet. Alang sa dili TCP nga mga lagda sama sa SNMP ug ICMP, ang packet ihulog. Sa pag-drop, ang tanan nga mga pakete ihulog dayon, wala’y kasayuran nga gipadala sa gigikanan.

Mga Konsiderasyon sa Seguridad 13

Pribilehiyo nga Debug Access

Mga Konsiderasyon sa Seguridad

Parameter Priyoridad

Bili Usa ka numeric nga bili

Deskripsyon
Ang prayoridad gigamit sa pagpatuman sa usa ka mando sa mga lagda. Ang mga lagda nga adunay mas taas nga kantidad sa numero alang sa prayoridad idugang sa ubos sa kadena. Kung gusto nimong masiguro nga ang usa ka lagda idugang pagkahuman sa lain, gamita ang usa ka ubos nga prayoridad nga numero alang sa una ug usa ka mas taas nga prayoridad nga numero alang sa mga musunod.

Ang mosunod nga sampAng mga pag-configure nag-ilustrar sa pipila ka mga senaryo nga mahimong ipahiangay alang sa piho nga mga kaso sa paggamit.
Pag-configure sa IP Receive ACL
Ang labi ka higpit nga usa ka ACL, labi nga limitado ang pagkaladlad sa dili awtorisado nga mga pagsulay sa pag-access. Bisan pa, ang usa ka labi ka higpit nga ACL mahimo’g maghimo usa ka overhead sa pagdumala, ug mahimo’g makaapekto sa pagka-access aron mahimo ang pag-troubleshoot. Tungod niini, adunay balanse nga gikonsiderar. Ang usa ka kompromiso mao ang pagpugong sa pag-access sa mga internal nga corporate IP address lamang. Ang matag kustomer kinahanglang magtimbang-timbang sa pagpatuman sa mga ACL kalabot sa ilang kaugalingong polisiya sa seguridad, mga risgo, pagkaladlad, ug pagdawat niini.
Isalikway ang trapiko sa ssh gikan sa usa ka subnet:

nfvis(config)# system settings ip-receive-acl 171.70.63.0/24 service ssh action reject priority 1

Pagtangtang sa mga ACL:
Kung ang usa ka entry matangtang gikan sa ip-receive-acl, ang tanan nga mga pag-configure sa kana nga gigikanan matangtang tungod kay ang gigikanan nga IP address mao ang yawe. Aron matangtang ang usa lang ka serbisyo, i-configure pag-usab ang ubang mga serbisyo.

nfvis(config)# walay system settings ip-receive-acl 171.70.63.0/24
Alang sa dugang nga mga detalye tan-awa, Pag-configure sa IP Receive ACL
Pribilehiyo nga Debug Access
Ang super-user nga account sa NFVIS gi-disable pinaagi sa default, aron mapugngan ang tanan nga wala’y pagpugong, mahimo’g dili maayo, mga pagbag-o sa tibuuk nga sistema ug dili ibutyag sa NFVIS ang kabhang sa sistema sa tiggamit.
Apan, alang sa pipila ka lisud nga pag-debug sa mga isyu sa NFVIS system, ang Cisco Technical Assistance Center team (TAC) o development team mahimong magkinahanglan og shell access sa NFVIS sa kustomer. Ang NFVIS adunay usa ka luwas nga imprastraktura sa pag-unlock aron masiguro nga ang pribilihiyo nga pag-access sa pag-debug sa usa ka aparato sa natad limitado sa mga awtorisado nga empleyado sa Cisco. Aron luwas nga ma-access ang Linux shell alang niining matang sa interactive debugging, usa ka challenge-response authentication mechanism ang gigamit tali sa NFVIS ug sa Interactive debugging server nga gimintinar sa Cisco. Ang password sa admin user gikinahanglan usab dugang sa challenge-response entry aron masiguro nga ang device ma-access uban sa pagtugot sa customer.
Mga lakang aron ma-access ang shell para sa Interactive Debugging:
1. Usa ka admin user ang nagsugod niini nga pamaagi gamit kining tinago nga sugo.

nfvis# system shell-access

Mga Konsiderasyon sa Seguridad 14

Mga Konsiderasyon sa Seguridad

Luwas nga mga Interface

2. Ang screen magpakita sa usa ka hagit string, alang sa example:
String sa Paghagit (Palihug kopyaha ang tanan tali sa mga linya sa asterisk nga eksklusibo):
******************************************************************************** SPH//wkAAABORlZJU0VOQ1M1NDA4L0s5AQAAABt+dcx+hB0V06r9RkdMMjEzNTgw RlHq7BxeAAA= DONE. ********************************************************************************
3. Ang membro sa Cisco mosulod sa Challenge string sa usa ka Interactive Debug server nga gimintinar sa Cisco. Gipamatud-an sa kini nga server nga ang tiggamit sa Cisco gitugotan sa pag-debug sa NFVIS gamit ang kabhang, ug dayon ibalik ang usa ka string sa pagtubag.
4. Isulod ang response string sa screen ubos niini nga prompt: I-input ang imong tubag kung andam na:
5. Kung giaghat, ang kustomer kinahanglan nga mosulod sa admin password. 6. Makuha nimo ang shell-access kung balido ang password. 7. Development o TAC team naggamit sa kabhang sa pagpadayon sa debugging. 8. Aron makagawas sa shell-access type Exit.
Luwas nga mga Interface
Gitugotan ang pag-access sa pagdumala sa NFVIS gamit ang mga interface nga gipakita sa diagram. Ang mosunod nga mga seksyon naghulagway sa labing maayo nga mga gawi sa seguridad alang niini nga mga interface sa NFVIS.

Console SSH

Ang console port usa ka asynchronous serial port nga nagtugot kanimo sa pagkonektar sa NFVIS CLI para sa inisyal nga pag-configure. Mahimong ma-access sa usa ka user ang console nga adunay pisikal nga pag-access sa NFVIS o hilit nga pag-access pinaagi sa paggamit sa usa ka terminal server. Kung gikinahanglan ang pag-access sa console port pinaagi sa terminal server, i-configure ang mga lista sa pag-access sa terminal server aron tugutan ang pag-access gikan lamang sa gikinahanglan nga mga address sa tinubdan.
Ang mga tiggamit maka-access sa NFVIS CLI pinaagi sa paggamit sa SSH isip usa ka luwas nga paagi sa remote login. Ang integridad ug pagkakompidensyal sa trapiko sa pagdumala sa NFVIS hinungdanon sa seguridad sa gidumala nga network tungod kay ang mga protocol sa administrasyon kanunay nga nagdala og impormasyon nga magamit sa pagsulod o pagsamok sa network.

Mga Konsiderasyon sa Seguridad 15

Timeout sa CLI Session

Mga Konsiderasyon sa Seguridad

Ang NFVIS naggamit sa SSH nga bersyon 2, nga mao ang Cisco ug ang de facto nga standard protocol sa Internet alang sa interactive nga mga logins ug nagsuporta sa lig-on nga encryption, hash, ug key exchange algorithm nga girekomenda sa Security and Trust Organization sulod sa Cisco.

Timeout sa CLI Session
Pinaagi sa pag-log in pinaagi sa SSH, ang usa ka tiggamit nagtukod usa ka sesyon sa NFVIS. Samtang ang user naka-log in, kung ang user mobiya sa log-in nga sesyon nga wala maatiman, mahimo kini nga ibutyag ang network sa usa ka peligro sa seguridad. Ang seguridad sa sesyon naglimite sa risgo sa internal nga mga pag-atake, sama sa usa ka user nga misulay sa paggamit sa sesyon sa laing user.
Aron maminusan kini nga peligro, ang NFVIS mag-time out sa mga sesyon sa CLI pagkahuman sa 15 minuto nga dili aktibo. Kung naabot na ang oras sa oras sa sesyon, awtomatiko nga na-log out ang tiggamit.

NETCONF

Ang Network Configuration Protocol (NETCONF) kay usa ka Network Management protocol nga gimugna ug gi-standardize sa IETF para sa automated configuration sa network devices.
Ang NETCONF protocol naggamit ug Extensible Markup Language (XML) base sa data encoding alang sa configuration data ingon man sa protocol nga mga mensahe. Ang mga mensahe sa protocol giilisan sa ibabaw sa usa ka luwas nga protocol sa transportasyon.
Gitugotan sa NETCONF ang NFVIS nga ibutyag ang usa ka XML-based nga API nga magamit sa network operator aron itakda ug makuha ang data sa pag-configure ug mga pahibalo sa panghitabo nga luwas sa SSH.
Para sa dugang nga impormasyon tan-awa, NETCONF Event Notifications.

REST API

Ang NFVIS mahimong ma-configure gamit ang RESTful API sa HTTPS. Gitugotan sa REST API ang mga naghangyo nga sistema sa pag-access ug pagmaniobra sa NFVIS configuration pinaagi sa paggamit sa usa ka uniporme ug predefined set sa stateless nga mga operasyon. Ang mga detalye sa tanang REST APIs makita sa NFVIS API Reference guide.
Kung ang user mag-isyu ug REST API, usa ka sesyon ang maestablisar sa NFVIS. Aron malimitahan ang mga risgo nga may kalabutan sa pagdumili sa mga pag-atake sa serbisyo, gilimitahan sa NFVIS ang kinatibuk-ang gidaghanon sa dungan nga mga sesyon sa REST ngadto sa 100.

NFVIS Web Portal
Ang portal sa NFVIS usa ka web-based Graphical User Interface nga nagpakita sa impormasyon bahin sa NFVIS. Gipresentar sa portal ang user sa usa ka dali nga paagi sa pag-configure ug pagmonitor sa NFVIS sa HTTPS nga dili kinahanglan mahibal-an ang NFVIS CLI ug API.

Pagdumala sa Sesyon
Ang walay estado nga kinaiya sa HTTP ug HTTPS nanginahanglan usa ka paagi sa talagsaon nga pagsubay sa mga tiggamit pinaagi sa paggamit sa talagsaon nga mga ID sa sesyon ug cookies.
Gi-encrypt sa NFVIS ang sesyon sa tiggamit. Ang AES-256-CBC cipher gigamit sa pag-encrypt sa mga sulod sa sesyon gamit ang HMAC-SHA-256 authentication tag. Usa ka random nga 128-bit Initialization Vector ang gihimo alang sa matag operasyon sa pag-encrypt.
Ang usa ka rekord sa Audit nagsugod kung ang usa ka sesyon sa portal gihimo. Ang impormasyon sa sesyon mapapas kung ang user mo-log out o kung ang sesyon mo-time out.
Ang default nga idle timeout alang sa mga sesyon sa portal mao ang 15 minuto. Bisan pa, mahimo kini nga ma-configure alang sa karon nga sesyon sa usa ka kantidad tali sa 5 ug 60 minuto sa panid sa Mga Setting. Ang auto-logout pagasugdan pagkahuman niini

Mga Konsiderasyon sa Seguridad 16

Mga Konsiderasyon sa Seguridad

HTTPS

panahon. Dili tugutan ang daghang mga sesyon sa usa ka browser. Ang Maximum nga gidaghanon sa mga dungan nga sesyon gitakda sa 30. Ang NFVIS portal naggamit og cookies aron i-associate ang datos sa user. Gigamit niini ang mosunod nga mga kabtangan sa cookie alang sa dugang nga seguridad:
· ephemeral aron masiguro nga ang cookie matapos kung ang browser sirado · httpAron lamang sa paghimo sa cookie nga dili ma-access gikan sa JavaScript · secureProxy aron masiguro nga ang cookie mahimo lamang ipadala pinaagi sa SSL.
Bisan human sa authentication, ang mga pag-atake sama sa Cross-Site Request Forgery (CSRF) posible. Niini nga senaryo, ang usa ka end user mahimong dili tinuyo nga makabuhat ug dili gusto nga mga aksyon sa usa ka web aplikasyon diin sila karon gipamatud-an. Aron mapugngan kini, ang NFVIS naggamit sa mga token sa CSRF aron ma-validate ang matag REST API nga gigamit sa matag sesyon.
URL Redirection Sa kasagaran web mga server, kung ang usa ka panid dili makit-an sa web server, ang user makadawat og 404 nga mensahe; alang sa mga panid nga naglungtad, nakakuha sila usa ka panid sa pag-login. Ang epekto sa seguridad niini mao nga ang usa ka tig-atake makahimo sa usa ka brute force scan ug dali nga makit-an kung unsang mga panid ug folder ang naglungtad. Aron mapugngan kini sa NFVIS, ang tanan wala URLs prefix sa device IP gi-redirect sa portal login page nga adunay 301 status response code. Kini nagpasabot nga sa walay pagtagad sa URL gihangyo sa usa ka tig-atake, kanunay nilang makuha ang login page aron mapamatud-an ang ilang kaugalingon. Ang tanan nga mga hangyo sa HTTP server gi-redirect sa HTTPS ug gi-configure ang mosunod nga mga ulohan:
· X-Content-Type-Options · X-XSS-Protection · Content-Security-Policy · X-Frame-Options · Strict-Transport-Security · Cache-Control
Pag-disable sa Portal Ang pag-access sa portal sa NFVIS gipalihok pinaagi sa default. Kung wala ka nagplano nga gamiton ang portal, girekomenda nga i-disable ang pag-access sa portal gamit kini nga mando:
I-configure ang terminal System portal access disabled commit
Ang tanang datos sa HTTPS paingon ug gikan sa NFVIS naggamit sa Transport Layer Security (TLS) aron makigkomunikar sa tibuok network. Ang TLS mao ang manununod sa Secure Socket Layer (SSL).

Mga Konsiderasyon sa Seguridad 17

HTTPS

Mga Konsiderasyon sa Seguridad
Ang TLS handshake naglakip sa authentication diin ang kliyente nag-verify sa SSL certificate sa server uban sa certificate authority nga nag-isyu niini. Kini nagpamatuod nga ang server mao ang giingon niini, ug nga ang kliyente nakig-uban sa tag-iya sa domain. Sa kasagaran, ang NFVIS naggamit sa usa ka sertipiko nga gipirmahan sa kaugalingon aron pamatud-an ang iyang pagkatawo sa mga kliyente niini. Kini nga sertipiko adunay 2048-bit nga publiko nga yawe aron madugangan ang seguridad sa TLS encryption, tungod kay ang kusog sa pag-encrypt direkta nga may kalabotan sa yawe nga gidak-on.
Pagdumala sa Sertipiko Ang NFVIS nagmugna og usa ka gipirmahan sa kaugalingon nga sertipiko sa SSL sa una nga na-install. Kini usa ka labing maayong praktis sa seguridad nga pulihan kini nga sertipiko sa usa ka balido nga sertipiko nga gipirmahan sa usa ka nagsunod nga Certificate Authority (CA). Gamita ang mosunod nga mga lakang aron ilisan ang default nga gipirmahan sa kaugalingon nga sertipiko: 1. Paghimo og Certificate Signing Request (CSR) sa NFVIS.
Ang hangyo sa Pagpirma sa Sertipiko (CSR) usa ka file nga adunay usa ka bloke sa gi-encode nga teksto nga gihatag sa usa ka Awtoridad sa Sertipiko kung nag-aplay alang sa usa ka Sertipiko sa SSL. Kini file adunay impormasyon nga kinahanglang iapil sa sertipiko sama sa ngalan sa organisasyon, komon nga ngalan (domain name), lokalidad, ug nasod. Ang file naglakip usab sa publikong yawe nga kinahanglang iapil sa sertipiko. Ang NFVIS naggamit ug 2048-bit nga public key tungod kay mas taas ang encryption strength nga adunay mas taas nga key size. Aron makamugna og CSR sa NFVIS, padagana ang mosunod nga sugo:
nfvis# system certificate signing-request [common-name country-code locality organization organization-unit-name state] Ang CSR file gitipigan isip /data/intdatastore/download/nfvis.csr. . 2. Pagkuha ug SSL certificate gikan sa CA gamit ang CSR. Gikan sa usa ka eksternal nga host, gamita ang scp command aron ma-download ang Certificate Signing Request.
[myhost:/tmp] > scp -P 22222 admin@ :/data/intdatastore/download/nfvis.csrfile-ngalan>
Kontaka ang usa ka awtoridad sa Sertipiko aron mag-isyu ug bag-ong sertipiko sa SSL server gamit kini nga CSR. 3. I-install ang CA Signed Certificate.
Gikan sa usa ka eksternal nga server, gamita ang scp command aron ma-upload ang sertipiko file ngadto sa NFVIS ngadto sa data/intdatastore/uploads/ direktoryo.
[myhost:/tmp] > scp -P 22222 file> admin@ :/data/intdatastore/uploads
I-install ang sertipiko sa NFVIS gamit ang mosunud nga mando.
nfvis# system certificate install-cert path file:///data/intdatastore/uploads/<certificate file>
4. Pagbalhin sa paggamit sa CA Signed Certificate. Gamita ang mosunod nga sugo aron magsugod sa paggamit sa gipirmahan nga CA nga sertipiko imbes sa default nga gipirmahan sa kaugalingon nga sertipiko.

Mga Konsiderasyon sa Seguridad 18

Mga Konsiderasyon sa Seguridad

Pag-access sa SNMP

nfvis(config)# system certificate use-cert cert-type ca-signed

Pag-access sa SNMP

Ang Simple Network Management Protocol (SNMP) usa ka Internet Standard protocol alang sa pagkolekta ug pag-organisar sa impormasyon bahin sa gidumala nga mga himan sa mga IP network, ug alang sa pag-usab sa maong impormasyon aron mausab ang kinaiya sa device.
Tulo ka mahinungdanong bersyon sa SNMP ang naugmad. Ang NFVIS nagsuporta sa SNMP version 1, version 2c ug version 3. Ang SNMP versions 1 ug 2 naggamit sa community strings para sa authentication, ug kini gipadala sa plain-text. Mao nga, kini usa ka labing maayong praktis sa seguridad nga gamiton ang SNMP v3.
Naghatag ang SNMPv3 og luwas nga pag-access sa mga aparato pinaagi sa paggamit sa tulo nga mga aspeto: - mga tiggamit, panghimatuud, ug pag-encrypt. Ang SNMPv3 naggamit sa USM (User-based Security Module) para sa pagkontrolar sa access sa impormasyon nga anaa pinaagi sa SNMP. Ang SNMP v3 user gi-configure nga adunay usa ka tipo sa pag-authenticate, usa ka tipo sa pagkapribado ingon man usa ka passphrase. Ang tanan nga mga tiggamit nga nag-ambit sa usa ka grupo naggamit sa parehas nga bersyon sa SNMP, bisan pa, ang piho nga mga setting sa lebel sa seguridad (password, tipo sa pag-encrypt, ug uban pa) gipiho matag tiggamit.
Ang mosunod nga lamesa nagsumaryo sa mga kapilian sa seguridad sulod sa SNMP

Modelo

Ang-ang

Pagpamatuod

Encryption

Resulta

walayAuthNoPriv

Komunidad String No

Naggamit ug komunidad

string match alang sa

panghimatuod.

v2c

walayAuthNoPriv

Komunidad String No

Naggamit ug community string match para sa authentication.

walayAuthNoPriv

Username

Dili

Naggamit ug username

duwa alang sa

panghimatuod.

authNoPriv

Message Digest 5 No

Naghatag

(MD5)

gibase sa authentication

sa HMAC-MD5-96 o

Luwas nga Hash

HMAC-SHA-96

Algorithm (SHA)

mga algorithm.

Mga Konsiderasyon sa Seguridad 19

Mga Banner sa Legal nga Notipikasyon

Mga Konsiderasyon sa Seguridad

Modelo v3

Level authPriv

Pagpamatuod MD5 o SHA

Encryption

Resulta

Naghatag ang Data Encryption

Standard (DES) o gibase sa authentication

Abante

Encryption Standard HMAC-MD5-96 o

(AES)

HMAC-SHA-96

mga algorithm.

Naghatag DES Cipher algorithm sa Cipher Block Chaining Mode (CBC-DES)

Ang AES encryption algorithm nga gigamit sa Cipher FeedBack Mode (CFB), nga adunay 128-bit key size (CFB128-AES-128)

Sukad sa pagsagop niini sa NIST, ang AES nahimong dominanteng encryption algorithm sa tibuok industriya. Aron masundan ang paglalin sa industriya gikan sa MD5 ug padulong sa SHA, kini usa ka labing maayo nga praktis sa seguridad aron ma-configure ang protocol sa pag-authenticate sa SNMP v3 ingon SHA ug protocol sa pagkapribado ingon AES.
Alang sa dugang nga mga detalye sa SNMP tan-awa, Pasiuna bahin sa SNMP

Mga Banner sa Legal nga Notipikasyon
Girekomenda nga ang usa ka ligal nga bandila sa pagpahibalo anaa sa tanan nga mga interactive nga sesyon aron masiguro nga ang mga tiggamit mapahibalo sa palisiya sa seguridad nga gipatuman ug kung diin sila gipailalom. Sa pipila ka mga hurisdiksyon, sibil ug/o kriminal nga pag-prosekusyon sa usa ka tig-atake nga nakasulod sa usa ka sistema mas sayon, o gikinahanglan pa, kung ang usa ka legal nga bandila sa pagpahibalo gipresentar, nga nagpahibalo sa dili awtorisado nga mga tiggamit nga ang ilang paggamit sa pagkatinuod dili awtorisado. Sa pipila ka mga hurisdiksyon, mahimo usab nga gidid-an ang pagmonitor sa kalihokan sa usa ka dili awtorisado nga tiggamit gawas kung gipahibalo sila sa katuyoan nga buhaton kini.
Ang mga kinahanglanon sa legal nga pagpahibalo komplikado ug lainlain sa matag hurisdiksyon ug sitwasyon. Bisan sa sulod sa mga hurisdiksyon, magkalainlain ang legal nga mga opinyon. Hisguti kini nga isyu uban sa imong kaugalingon nga legal nga magtatambag aron masiguro nga ang bandila sa pagpahibalo makatagbo sa kompanya, lokal, ug internasyonal nga legal nga mga kinahanglanon. Kanunay kini nga kritikal sa pagsiguro sa angay nga aksyon kung adunay usa ka paglapas sa seguridad. Sa kooperasyon sa kompanya nga ligal nga tambag, ang mga pahayag nga mahimong ilakip sa usa ka ligal nga bandila sa pagpahibalo naglakip sa:
· Pagpahibalo nga ang pag-access ug paggamit sa sistema gitugotan lamang sa espesipikong awtorisado nga mga personahe, ug tingali impormasyon bahin sa kung kinsa ang mahimong magtugot sa paggamit.
· Pagpahibalo nga ang dili awtorisado nga pag-access ug paggamit sa sistema supak sa balaod, ug mahimong ipailalom sa sibil ug/o kriminal nga mga silot.
· Pagpahibalo nga ang pag-access ug paggamit sa sistema mahimong ma-log o mamonitor nga wala’y dugang nga pahibalo, ug ang mga sangputanan nga mga troso mahimong magamit ingon ebidensya sa korte.
· Dugang nga piho nga mga pahibalo nga gikinahanglan sa piho nga lokal nga mga balaod.

Mga Konsiderasyon sa Seguridad 20

Mga Konsiderasyon sa Seguridad

Factory Default Reset

Gikan sa usa ka seguridad kay sa usa ka legal nga punto sa view, ang usa ka legal nga bandila sa pagpahibalo dili kinahanglan nga adunay bisan unsang piho nga kasayuran bahin sa aparato, sama sa ngalan niini, modelo, software, lokasyon, operator o tag-iya tungod kay kini nga matang sa kasayuran mahimong mapuslanon sa usa ka tig-atake.
Ang mosunod mao angampAng legal nga bandila sa pagpahibalo nga mahimong ipakita sa dili pa mag-login:
DILI AWIT NGA ACCESS NIINI NGA DEVICE GINADILI Kinahanglan nga adunay klaro, awtorisado nga pagtugot sa pag-access o pag-configure niini nga device. Dili awtorisado nga mga pagsulay ug mga aksyon sa pag-access o paggamit
kini nga sistema mahimong moresulta sa sibil ug/o kriminal nga mga silot. Ang tanan nga mga kalihokan nga gihimo sa kini nga aparato gi-log ug gibantayan

Mubo nga sulat Ipakita ang usa ka legal nga bandila nga pahibalo nga gi-aprobahan sa legal nga magtatambag sa kompanya.
Gitugotan sa NFVIS ang pag-configure sa usa ka bandila ug Mensahe sa Adlaw (MOTD). Ang banner gipakita sa dili pa ang user log in. Sa higayon nga ang user log in sa NFVIS, usa ka system-defined banner naghatag Copyright impormasyon mahitungod sa NFVIS, ug ang message-of-the-day (MOTD), kon configured, makita, gisundan sa ang command line prompt o portal view, depende sa pamaagi sa pag-login.
Girekomenda nga ang usa ka banner sa pag-login ipatuman aron masiguro nga ang usa ka ligal nga bandila sa pagpahibalo gipresentar sa tanan nga mga sesyon sa pag-access sa pagdumala sa aparato sa wala pa ipresentar ang usa ka prompt sa pag-login. Gamita kini nga sugo aron ma-configure ang banner ug MOTD.
nfvis(config)# banner-motd banner motd
Alang sa dugang nga impormasyon bahin sa sugo sa bandila, tan-awa ang I-configure ang Banner, Mensahe sa adlaw ug System Time.

Factory Default Reset
Ang Factory Reset nagtangtang sa tanan nga piho nga datos sa kustomer nga gidugang sa aparato sukad sa panahon sa pagpadala niini. Ang data nga napapas naglakip sa mga configuration, log files, mga hulagway sa VM, impormasyon sa koneksyon, ug mga kredensyal sa pag-login sa user.
Naghatag kini og usa ka sugo aron i-reset ang device ngadto sa orihinal nga mga setting sa pabrika, ug mapuslanon sa mosunod nga mga senaryo:
· Return Material Authorization (RMA) para sa usa ka device–Kon kinahanglan nimo nga ibalik ang device ngadto sa Cisco para sa RMA, gamita ang Factory Default reset aron matangtang ang tanang data nga espesipiko sa customer.
· Pag-recover sa nakompromiso nga device– Kon ang importante nga materyal o mga kredensyal nga gitipigan sa usa ka device makompromiso, i-reset ang device ngadto sa factory configuration ug dayon i-configure ang device.
· Kung ang parehas nga aparato kinahanglan nga gamiton pag-usab sa usa ka lahi nga site nga adunay bag-ong configuration, paghimo og Factory Default reset aron makuha ang kasamtangan nga configuration ug dad-on kini sa usa ka limpyo nga kahimtang.

Ang NFVIS naghatag sa mosunod nga mga opsyon sulod sa Factory default reset:

Opsyon sa Pag-reset sa Pabrika

Napapas ang Data

Gitipigan ang Data

tanan

Tanan nga configuration, gi-upload nga hulagway Ang admin account gipabilin ug

files, mga VM ug mga log.

ang password mausab sa

Ang pagkadugtong sa aparato mahimong default nga password sa pabrika.

nawala.

Mga Konsiderasyon sa Seguridad 21

Network sa Pagdumala sa Imprastraktura

Mga Konsiderasyon sa Seguridad

Opsyon sa Pag-reset sa Pabrika tanan-gawas sa mga imahe
tanan-gawas-mga-larawan-koneksyon
paghimo

Napapas ang Data

Gitipigan ang Data

Tanan nga configuration gawas sa image Image configuration, rehistrado

configuration, mga VM, ug gi-upload nga mga hulagway ug mga log

hulagway files.

Ang admin account gipabilin ug

Koneksyon sa device mahimong ang password nga mausab ngadto sa

nawala.

default nga password sa pabrika.

Tanan nga pag-configure gawas sa imahe, Mga imahe, network ug koneksyon

network ug koneksyon

may kalabutan nga configuration, narehistro

configuration, mga VM, ug gi-upload nga mga hulagway, ug mga log.

hulagway files.

Ang admin account gipabilin ug

Ang pagkadugtong sa aparato mao ang

ang kanhi gi-configure nga admin

anaa.

password mapreserbar.

Tanan nga pag-configure gawas sa pag-configure sa imahe, mga VM, gi-upload nga imahe files, ug log.
Mawala ang koneksyon sa aparato.

Imahe nga may kalabutan sa configuration ug rehistradong mga hulagway
Ang admin account gipabilin ug ang password mausab ngadto sa factory default password.

Kinahanglang pilion pag-ayo sa user ang angay nga kapilian base sa katuyoan sa Factory Default reset. Alang sa dugang nga kasayuran, tan-awa ang Pag-reset sa Default sa Pabrika.

Network sa Pagdumala sa Imprastraktura
Ang usa ka network sa pagdumala sa imprastraktura nagtumong sa network nga nagdala sa kontrol ug pagdumala sa trapiko sa eroplano (sama sa NTP, SSH, SNMP, syslog, ug uban pa) alang sa mga aparato sa imprastraktura. Ang pag-access sa aparato mahimong pinaagi sa console, ingon man pinaagi sa mga interface sa Ethernet. Kini nga kontrol ug pagdumala sa trapiko sa eroplano hinungdanon sa mga operasyon sa network, nga naghatag panan-aw ug pagkontrol sa network. Tungod niini, ang usa ka maayong pagkadisenyo ug luwas nga network sa pagdumala sa imprastraktura hinungdanon sa kinatibuk-ang seguridad ug operasyon sa usa ka network. Usa sa mga mahinungdanong rekomendasyon alang sa usa ka luwas nga network sa pagdumala sa imprastraktura mao ang pagbulag sa pagdumala ug trapiko sa datos aron masiguro ang layo nga pagdumala bisan sa ilawom sa taas nga karga ug taas nga kahimtang sa trapiko. Mahimo kini nga makab-ot gamit ang usa ka gipahinungod nga interface sa pagdumala.
Ang mosunud mao ang mga pamaagi sa pagpatuman sa network sa pagdumala sa Infrastruktura:
Out-of-band Management
Ang Out-of-band Management (OOB) management network naglangkob sa usa ka network nga hingpit nga independente ug pisikal nga lahi gikan sa data network nga makatabang sa pagdumala. Kini usahay gitawag usab nga Data Communications Network (DCN). Ang mga device sa network mahimong magkonektar sa OOB network sa lain-laing mga paagi: Gisuportahan sa NFVIS ang usa ka built-in nga interface sa pagdumala nga mahimong magamit sa pagkonektar sa OOB network. Gitugotan sa NFVIS ang pag-configure sa usa ka gitakda nang daan nga pisikal nga interface, ang pantalan sa MGMT sa ENCS, ingon usa ka gipahinungod nga interface sa pagdumala. Ang pagpugong sa mga pakete sa pagdumala ngadto sa gitudlo nga mga interface naghatag og mas dako nga kontrol sa pagdumala sa usa ka device, sa ingon naghatag og dugang nga seguridad alang niana nga device. Ang ubang mga benepisyo naglakip sa gipaayo nga performance alang sa mga data packet sa dili pagdumala nga mga interface, suporta alang sa network scalability,

Mga Konsiderasyon sa Seguridad 22

Mga Konsiderasyon sa Seguridad

Pseudo out-of-band Management

panginahanglan alang sa mas gamay nga access control lists (ACLs) sa pagpugong sa access sa usa ka device, ug pagpugong sa management packet baha gikan sa pagkab-ot sa CPU. Ang mga aparato sa network mahimo usab nga magkonektar sa OOB network pinaagi sa gipahinungod nga mga interface sa datos. Sa kini nga kaso, ang mga ACL kinahanglan nga i-deploy aron masiguro nga ang trapiko sa pagdumala gidumala lamang sa mga gipahinungod nga mga interface. Para sa dugang nga impormasyon, tan-awa ang Pag-configure sa IP Receive ACL ug Port 22222 ug Management Interface ACL.
Pseudo out-of-band Management
Ang usa ka pseudo out-of-band management network naggamit sa parehas nga pisikal nga imprastraktura sama sa data network apan naghatag lohikal nga pagbulag pinaagi sa virtual nga pagbulag sa trapiko, pinaagi sa paggamit sa mga VLAN. Gisuportahan sa NFVIS ang paghimo og mga VLAN ug mga virtual nga tulay aron makatabang sa pag-ila sa lainlaing mga gigikanan sa trapiko ug pagbulag sa trapiko tali sa mga VM. Ang pagbaton ug bulag nga mga tulay ug mga VLAN naglain sa trapiko sa datos sa virtual machine network ug sa network sa pagdumala, sa ingon naghatag ug pagbahin sa trapiko tali sa mga VM ug sa host. Para sa dugang nga impormasyon tan-awa ang Pag-configure sa VLAN para sa NFVIS Management Traffic.
Pagdumala sa In-band
Ang usa ka network sa pagdumala sa in-band naggamit sa parehas nga pisikal ug lohikal nga mga agianan sama sa trapiko sa datos. Sa katapusan, kini nga laraw sa network nanginahanglan usa ka pagtuki sa matag kustomer sa peligro kumpara sa mga benepisyo ug gasto. Ang pipila ka mga kinatibuk-ang konsiderasyon naglakip sa:
· Ang usa ka nahilit nga network sa pagdumala sa OOB nagpadako sa panan-aw ug pagkontrol sa network bisan sa panahon nga makasamok nga mga panghitabo.
· Ang pagpasa sa telemetry sa network sa usa ka OOB network makapamenos sa kahigayonan sa pagkabalda sa mismong impormasyon nga naghatag ug kritikal nga pagkakita sa network.
· Ang pag-access sa pagdumala sa in-band sa imprastraktura sa network, mga host, ug uban pa dali nga makompleto ang pagkawala kung adunay insidente sa network, gitangtang ang tanan nga visibility ug kontrol sa network. Ang angay nga mga kontrol sa QoS kinahanglan ibutang aron maminusan kini nga panghitabo.
· Ang NFVIS adunay mga interface nga gipahinungod sa pagdumala sa aparato, lakip ang mga serial console port ug mga interface sa pagdumala sa Ethernet.
· Ang usa ka network sa pagdumala sa OOB kasagarang ma-deploy sa usa ka makatarunganon nga gasto, tungod kay ang trapiko sa network sa pagdumala dili kasagarang nangayo ug taas nga bandwidth o taas nga performance nga mga aparato, ug nanginahanglan lamang og igo nga densidad sa pantalan aron masuportahan ang koneksyon sa matag aparato sa imprastraktura.
Proteksyon sa Impormasyon sa Lokal nga Gitipigan
Pagpanalipod sa Sensitibo nga Impormasyon
Ang NFVIS nagtipig sa pipila ka sensitibo nga impormasyon sa lokal, lakip ang mga password ug mga sekreto. Ang mga password kasagarang huptan ug kontrolahon sa usa ka sentralisadong AAA server. Bisan pa, bisan kung ang usa ka sentralisadong AAA server gi-deploy, ang pipila nga lokal nga gitipigan nga mga password gikinahanglan alang sa pipila nga mga kaso sama sa lokal nga pag-backback sa kaso sa mga AAA server nga wala magamit, mga espesyal nga gamit nga username, ug uban pa. Kini nga mga lokal nga password ug uban pang sensitibo

Mga Konsiderasyon sa Seguridad 23

File Pagbalhin

Mga Konsiderasyon sa Seguridad

Ang impormasyon gitipigan sa NFVIS isip mga hash aron dili na mabawi ang orihinal nga mga kredensyal gikan sa sistema. Ang pag-hash usa ka kaylap nga gidawat nga pamatasan sa industriya.

File Pagbalhin
Files nga mahimong kinahanglan nga ibalhin sa mga aparato sa NFVIS naglakip sa imahe sa VM ug pag-upgrade sa NFVIS files. Ang luwas nga pagbalhin sa files kritikal alang sa seguridad sa imprastraktura sa network. Gisuportahan sa NFVIS ang Secure Copy (SCP) aron masiguro ang seguridad sa file pagbalhin. Ang SCP nagsalig sa SSH alang sa luwas nga pag-authenticate ug transportasyon, nga makapahimo sa luwas ug authenticated nga pagkopya sa files.
Ang luwas nga kopya gikan sa NFVIS gisugdan pinaagi sa scp command. Ang luwas nga kopya (scp) nga sugo nagtugot lamang sa admin user sa luwas nga pagkopya filegikan sa NFVIS ngadto sa eksternal nga sistema, o gikan sa eksternal nga sistema ngadto sa NFVIS.
Ang syntax alang sa scp command mao ang:
scp
Gigamit namo ang port 22222 para sa NFVIS SCP server. Sa kasagaran, kini nga pantalan sirado ug ang mga tiggamit dili makakuha og kopya files ngadto sa NFVIS gikan sa usa ka eksternal nga kliyente. Kung adunay panginahanglan sa SCP a file gikan sa usa ka eksternal nga kliyente, ang user makaabli sa pantalan gamit ang:
system settings ip-receive-acl (address)/(mask lenth) service scpd priority (numero) aksyon dawaton
pasalig
Aron mapugngan ang mga tiggamit sa pag-access sa mga direktoryo sa sistema, ang luwas nga kopya mahimo lamang sa o gikan sa intdatastore:, extdatastore1:, extdatastore2:, usb: ug nfs:, kung anaa. Ang luwas nga kopya mahimo usab nga himuon gikan sa mga troso: ug techsupport:

Pag-log

Ang pag-access sa NFVIS ug mga pagbag-o sa pag-configure gi-log ingon mga log sa pag-audit aron irekord ang mosunod nga kasayuran: · Kinsa ang naka-access sa aparato · Kanus-a naka-log in ang usa ka user · Unsa ang gibuhat sa usa ka tiggamit sa mga termino sa configuration sa host ug ang siklo sa kinabuhi sa VM · Kanus-a nag-log ang usa ka tiggamit off · Napakyas nga mga pagsulay sa pag-access · Napakyas nga mga hangyo sa pag-authenticate · Napakyas nga mga hangyo sa pagtugot
Kini nga impormasyon bililhon alang sa forensic analysis sa kaso sa dili awtorisadong mga pagsulay o pag-access, ingon man alang sa mga isyu sa pagbag-o sa configuration ug sa pagtabang sa pagplano sa mga kausaban sa administrasyon sa grupo. Mahimo usab kini gamiton sa tinuud nga oras aron mahibal-an ang mga anomaliya nga kalihokan nga mahimong magpakita nga adunay usa ka pag-atake nga nahitabo. Kini nga pag-analisa mahimong madugtong sa impormasyon gikan sa dugang nga mga tinubdan sa gawas, sama sa mga IDS ug firewall logs.

Mga Konsiderasyon sa Seguridad 24

Mga Konsiderasyon sa Seguridad

Seguridad sa Virtual Machine

Ang tanan nga importante nga mga panghitabo sa NFVIS gipadala isip mga abiso sa panghitabo ngadto sa mga subscriber sa NETCONF ug isip mga syslog sa gi-configure nga sentral nga logging server. Para sa dugang nga impormasyon sa mga mensahe sa syslog ug mga pahibalo sa panghitabo, tan-awa ang Apendise.
Seguridad sa Virtual Machine
Kini nga seksyon naghulagway sa mga bahin sa seguridad nga may kalabutan sa pagrehistro, pag-deploy ug operasyon sa Virtual Machines sa NFVIS.
VNF luwas nga boot
Gisuportahan sa NFVIS ang Open Virtual Machine Firmware (OVMF) aron mahimo ang secure nga boot sa UEFI alang sa Virtual Machines nga nagsuporta sa luwas nga boot. Ang VNF Secure boot nagpamatuod nga ang matag layer sa VM boot software gipirmahan, lakip ang bootloader, operating system kernel, ug operating system drivers.

Para sa dugang nga impormasyon tan-awa, Secure Boot of VNFs.
Proteksyon sa Pag-access sa VNC Console
Gitugotan sa NFVIS ang tiggamit nga maghimo usa ka sesyon sa Virtual Network Computing (VNC) aron ma-access ang gi-deploy nga remote desktop sa VM. Aron mahimo kini, ang NFVIS dinamikong nagbukas sa usa ka pantalan diin ang user makakonektar gamit ang ilang web browser. Gibiyaan lang nga bukas kini nga pantalan sulod sa 60 segundos alang sa usa ka eksternal nga server nga magsugod sa usa ka sesyon sa VM. Kung walay kalihokan nga makita sulod niining panahona, ang pantalan sirado. Ang numero sa pantalan gi-assign nga dinamiko ug sa ingon nagtugot lamang sa usa ka higayon nga pag-access sa VNC console.
nfvis# vncconsole magsugod sa deployment-ngalan 1510614035 vm-name ROUTER vncconsole-url :6005/vnc_auto.html
Pagtudlo sa imong browser sa https:// :6005/vnc_auto.html magkonektar sa VNC console sa ROUTER VM.
Mga Konsiderasyon sa Seguridad 25

Na-encrypt nga VM config data variables

Mga Konsiderasyon sa Seguridad

Na-encrypt nga VM config data variables
Atol sa VM deployment, ang user naghatag ug day-0 nga configuration file para sa VM. Kini file mahimong adunay sensitibo nga impormasyon sama sa mga password ug mga yawe. Kung kini nga kasayuran gipasa ingon tin-aw nga teksto, kini makita sa log files ug internal nga mga rekord sa database sa tin-aw nga teksto. Kini nga feature nagtugot sa user sa pag-flag sa usa ka config data variable isip sensitibo aron ang bili niini ma-encrypt gamit ang AES-CFB-128 encryption sa dili pa kini itago o ipasa ngadto sa internal nga mga subsystem.
Para sa dugang nga impormasyon tan-awa, VM Deployment Parameters.
Checksum verification alang sa Remote Image Registration
Aron marehistro ang usa ka layo nga nahimutang nga VNF nga imahe, ang user nagtino sa lokasyon niini. Kinahanglang i-download ang hulagway gikan sa gawas nga tinubdan, sama sa NFS server o remote HTTPS server.
Aron mahibal-an kung ang usa ka na-download file luwas nga i-install, hinungdanon nga itandi ang filechecksum sa wala pa kini gamiton. Ang pag-verify sa checksum makatabang sa pagsiguro nga ang file wala madaot sa panahon sa pagpasa sa network, o giusab sa usa ka malisyosong ikatulo nga partido sa wala pa nimo kini i-download.
Gisuportahan sa NFVIS ang checksum ug checksum_algorithm nga mga kapilian alang sa user aron mahatagan ang gipaabot nga checksum ug checksum algorithm (SHA256 o SHA512) nga gamiton aron mapamatud-an ang checksum sa na-download nga imahe. Mapakyas ang paghimo og imahe kung ang checksum dili motakdo.
Pagpamatuod sa Sertipikasyon alang sa Pagrehistro sa Hilit nga Larawan
Aron marehistro ang usa ka VNF nga imahe nga nahimutang sa usa ka HTTPS server, ang imahe kinahanglan nga ma-download gikan sa hilit nga HTTPS server. Aron luwas nga ma-download kini nga imahe, gipamatud-an sa NFVIS ang sertipiko sa SSL sa server. Kinahanglang ipiho sa user ang dalan paingon sa sertipiko file o ang sulud sa sertipiko sa format sa PEM aron mahimo kining luwas nga pag-download.
Dugang nga mga detalye makita sa Seksyon sa pag-validate sa sertipiko alang sa pagrehistro sa imahe
VM Isolation ug Resource provisioning
Ang Network Function Virtualization (NFV) nga arkitektura naglangkob sa:
· Virtualized network functions (VNFs), nga mao ang Virtual Machines nga nagpadagan sa software applications nga naghatod sa network functionality sama sa router, firewall, load balancer, ug uban pa.
· Ang network naglihok sa virtualization nga imprastraktura, nga naglangkob sa mga sangkap sa imprastraktura-compute, memorya, pagtipig, ug networking, sa usa ka plataporma nga nagsuporta sa gikinahanglan nga software ug hypervisor.
Uban sa NFV, ang mga gimbuhaton sa network gi-virtualize aron daghang mga gimbuhaton ang mahimo sa usa ka server. Ingon nga resulta, dili kaayo pisikal nga hardware ang gikinahanglan, nga nagtugot alang sa pagkonsolida sa kahinguhaan. Niini nga palibot, importante nga i-simulate ang gipahinungod nga mga kapanguhaan alang sa daghang mga VNF gikan sa usa, pisikal nga sistema sa hardware. Gamit ang NFVIS, ang mga VM mahimong ma-deploy sa kontroladong paagi nga ang matag VM makadawat sa mga kahinguhaan nga gikinahanglan niini. Ang mga kapanguhaan gibahin kung gikinahanglan gikan sa pisikal nga palibot ngadto sa daghang mga virtual nga palibot. Ang indibidwal nga mga domain sa VM gilain aron sila lahi, lahi, ug luwas nga mga palibot, nga wala mag-away sa usag usa alang sa gipaambit nga mga kapanguhaan.
Ang mga VM dili makagamit ug daghang mga kahinguhaan kay sa gihatag. Gilikayan niini ang kondisyon sa Denial of Service gikan sa usa ka VM nga naggamit sa mga kahinguhaan. Ingon usa ka sangputanan, ang CPU, memorya, network ug pagtipig gipanalipdan.

Mga Konsiderasyon sa Seguridad 26

Mga Konsiderasyon sa Seguridad
Pagbulag sa CPU

Pagbulag sa CPU

Ang sistema sa NFVIS nagreserba sa mga cores alang sa software sa imprastraktura nga nagdagan sa host. Ang nahabilin nga mga core magamit alang sa pag-deploy sa VM. Gigarantiya niini nga ang pasundayag sa VM dili makaapekto sa pasundayag sa host sa NFVIS. Ang mga low-latency nga VMs NFVIS klaro nga nag-assign sa mga dedikado nga mga core sa mga low latency nga VM nga gi-deploy niini. Kung ang VM nanginahanglan 2 vCPUs, gi-assign kini nga 2 nga gipahinungod nga mga core. Gipugngan niini ang pagpaambit ug sobra nga pag-subscribe sa mga cores ug gigarantiyahan ang paghimo sa mga low-latency nga VM. Kung ang gidaghanon sa magamit nga mga core mas gamay kaysa sa gidaghanon sa mga vCPU nga gihangyo sa lain nga low-latency nga VM, ang pag-deploy gipugngan tungod kay wala kami igong mga kapanguhaan. Non low-latency VMs Ang NFVIS nag-assign sa sharable nga mga CPU sa dili low latency nga VMs. Kung ang VM nanginahanglan 2 vCPUs, gi-assign kini nga 2 CPU. Kini nga 2 nga mga CPU mapaambit sa uban pang mga dili ubos nga latency VMs. Kung ang gidaghanon sa magamit nga mga CPU mas gamay kaysa sa gidaghanon sa mga vCPU nga gihangyo sa lain nga dili ubos nga latency nga VM, ang pag-deploy gitugutan gihapon tungod kay kini nga VM mopaambit sa CPU sa mga kasamtangan nga dili ubos nga latency nga mga VM.
Alokasyon sa Memorya
Ang NFVIS Infrastructure nanginahanglan usa ka piho nga kantidad sa memorya. Kung ang usa ka VM gi-deploy, adunay usa ka tseke aron masiguro nga ang panumduman nga magamit pagkahuman sa pagreserba sa panumduman nga gikinahanglan alang sa imprastraktura ug kaniadto gi-deploy nga mga VM, igo na alang sa bag-ong VM. Dili namo tugotan ang memory oversubscription alang sa mga VM.
Mga Konsiderasyon sa Seguridad 27

Pag-inusara sa Pagtipig
Ang mga VM dili gitugotan nga direktang maka-access sa host file sistema ug pagtipig.
Pag-inusara sa Pagtipig

Mga Konsiderasyon sa Seguridad

Ang plataporma sa ENCS nagsuporta sa usa ka internal nga datastore (M2 SSD) ug mga eksternal nga disk. Ang NFVIS gi-install sa internal nga datastore. Ang mga VNF mahimo usab nga i-deploy sa kini nga internal nga datastore. Kini usa ka labing maayong praktis sa seguridad sa pagtipig sa datos sa kustomer ug pag-deploy sa aplikasyon sa kostumer nga Virtual Machines sa mga eksternal nga disk. Pagbaton ug pisikal nga bulag nga mga disk para sa sistema files batok sa aplikasyon files makatabang sa pagpanalipod sa data sa sistema gikan sa korapsyon ug mga isyu sa seguridad.
·
Pagbulag sa Interface
Ang Single Root I/O Virtualization o SR-IOV usa ka espesipikasyon nga nagtugot sa pag-inusara sa PCI Express (PCIe) nga mga kapanguhaan sama sa Ethernet port. Gamit ang SR-IOV ang usa ka Ethernet port mahimo nga makita nga daghang, bulag, pisikal nga mga aparato nga nailhan nga Virtual Functions. Ang tanan nga VF nga mga aparato sa kana nga adapter adunay parehas nga pisikal nga pantalan sa network. Ang usa ka bisita mahimong mogamit sa usa o daghan pa niini nga mga Virtual Function. Ang Virtual Function makita sa bisita isip network card, sa samang paagi nga ang normal nga network card makita sa usa ka operating system. Ang Virtual Functions adunay duol sa lumad nga performance ug naghatag ug mas maayo nga performance kaysa para-virtualized nga mga drayber ug gisundog nga pag-access. Ang Virtual Functions naghatag proteksyon sa datos tali sa mga bisita sa parehas nga pisikal nga server samtang ang datos gidumala ug gikontrol sa hardware. Ang mga NFVIS VNF mahimong mogamit sa mga network sa SR-IOV aron makonektar sa mga pantalan sa WAN ug LAN Backplane.
Mga Konsiderasyon sa Seguridad 28

Mga Konsiderasyon sa Seguridad

Secure Development Lifecycle

Ang matag ingon nga VM adunay usa ka virtual nga interface ug ang mga may kalabutan nga mga kapanguhaan nga nakakab-ot sa proteksyon sa datos taliwala sa mga VM.
Secure Development Lifecycle
Ang NFVIS nagsunod sa usa ka Secure Development Lifecycle (SDL) alang sa software. Kini usa ka balikbalik, masukod nga proseso nga gilaraw aron makunhuran ang mga kahuyangan ug mapauswag ang seguridad ug kalig-on sa mga solusyon sa Cisco. Gipadapat sa Cisco SDL ang mga pamaagi ug teknolohiya nga nanguna sa industriya aron makatukod ug kasaligan nga mga solusyon nga adunay gamay nga insidente sa seguridad sa produkto nga nadiskobrehan sa uma. Ang matag pagpagawas sa NFVIS moagi sa mosunod nga mga proseso.
· Pagsunod sa Cisco-internal ug market-based Product Security Requirements · Pagparehistro sa 3rd party nga software nga adunay sentro nga repository sa Cisco alang sa vulnerability tracking · Matag karon ug unya nga pag-patching sa software nga adunay nahibal-an nga mga pag-ayo para sa mga CVE. · Pagdesinyo sa software nga naa sa hunahuna ang Seguridad · Pagsunod sa luwas nga mga gawi sa coding sama sa paggamit sa gisusi nga sagad nga mga module sa seguridad sama sa CiscoSSL, pagdagan
Static Analysis ug pagpatuman sa input validation alang sa Paglikay sa command injection, ug uban pa · Paggamit sa Application Security nga mga himan sama sa IBM AppScan, Nessus, ug uban pang Cisco internal nga mga himan.

Mga Konsiderasyon sa Seguridad 29

Secure Development Lifecycle

Mga Konsiderasyon sa Seguridad

Mga Konsiderasyon sa Seguridad 30

Mga Dokumento / Mga Kapanguhaan

Ang CISCO Enterprise Network Function Virtualization Infrastructure Software [pdf] Giya sa Gumagamit
Enterprise Network Function Virtualization Infrastructure Software, Enterprise, Network Function Virtualization Infrastructure Software, Virtualization Infrastructure Software, Infrastructure Software

Mga pakisayran

Manwal sa Gumagamit

Enterprise Network Function Virtualization Infrastructure Software

Impormasyon sa Produkto

Mga detalye

Mga Konsiderasyon sa Seguridad

Pag-instalar

Luwas nga Boot

Secure Unique Device Identification (SUDI)

FAQ

Q: Unsa ang NFVIS?

P: Unsaon nako pagmatuod sa integridad sa NFVIS ISO image o
pag-upgrade sa imahe?

P: Ang luwas ba nga boot gipagana pinaagi sa default sa ENCS?

P: Unsa ang katuyoan sa SUDI sa NFVIS?

Mga Dokumento / Mga Kapanguhaan

Mga pakisayran

Pagbilin ug komento

Cancel reply

Enterprise Network Function Virtualization Infrastructure Software

Impormasyon sa Produkto

Mga detalye

Mga Konsiderasyon sa Seguridad

Pag-instalar

Luwas nga Boot

Secure Unique Device Identification (SUDI)

FAQ

Q: Unsa ang NFVIS?

P: Unsaon nako pagmatuod sa integridad sa NFVIS ISO image o pag-upgrade sa imahe?

P: Ang luwas ba nga boot gipagana pinaagi sa default sa ENCS?

P: Unsa ang katuyoan sa SUDI sa NFVIS?

Mga Dokumento / Mga Kapanguhaan

Mga pakisayran

May Kalabutan nga mga Post

Pagbilin ug komento

Cancel reply

P: Unsaon nako pagmatuod sa integridad sa NFVIS ISO image o
pag-upgrade sa imahe?