Inhalt verstecken
1 Infrastruktursoftware für die Virtualisierung von Unternehmensnetzwerkfunktionen
2 Produktinformationen
2.1 Technische Daten
2.2 Sicherheitsüberlegungen
2.3 Installation
2.4 Sicherer Start
2.5 Sichere eindeutige Geräteidentifikation (SUDI)
2.6 Häufig gestellte Fragen
2.6.1 F: Was ist NFVIS?
2.6.2 F: Wie kann ich die Integrität des NFVIS-ISO-Images oder Upgrade-Images überprüfen?
2.6.3 F: Ist der sichere Start bei ENCS standardmäßig aktiviert?
2.6.4 F: Was ist der Zweck von SUDI in NFVIS?
2.6.5 Dokumente / Ressourcen
2.6.5.1 Verweise
2.6.6 Verwandte Artikel

Infrastruktursoftware für die Virtualisierung von Unternehmensnetzwerkfunktionen

Produktinformationen

Technische Daten

  • NFVIS-Softwareversion: 3.7.1 und höher
  • RPM-Signierung und Signaturüberprüfung werden unterstützt
  • Sicherer Start verfügbar (standardmäßig deaktiviert)
  • Verwendeter Mechanismus zur sicheren eindeutigen Geräteidentifizierung (SUDI)

Sicherheitsüberlegungen

Die NFVIS-Software gewährleistet Sicherheit durch verschiedene
Mechanismen:

  • Bild Tamper-Schutz: RPM-Signatur und Signaturüberprüfung
    für alle RPM-Pakete in den ISO- und Upgrade-Images.
  • RPM-Signierung: Alle RPM-Pakete im Cisco Enterprise NFVIS ISO
    und Upgrade-Images sind signiert, um kryptographische Integrität zu gewährleisten und
    Authentizität.
  • RPM-Signaturüberprüfung: Die Signatur aller RPM-Pakete ist
    vor der Installation oder Aktualisierung überprüft.
  • Überprüfung der Bildintegrität: Hash des Cisco NFVIS ISO-Image
    und Upgrade-Image wird veröffentlicht, um die Integrität zusätzlicher
    nicht RPM files.
  • ENCS Secure Boot: Teil des UEFI-Standards, sorgt dafür, dass die
    Das Gerät startet nur mit vertrauenswürdiger Software.
  • Secure Unique Device Identification (SUDI): Bietet dem Gerät
    mit einer unveränderlichen Identität, um seine Echtheit zu überprüfen.

Installation

Um die NFVIS-Software zu installieren, gehen Sie folgendermaßen vor:

  1. Stellen Sie sicher, dass das Software-Image nichtampered mit by
    Überprüfung seiner Signatur und Integrität.
  2. Wenn Sie Cisco Enterprise NFVIS 3.7.1 und höher verwenden, stellen Sie sicher, dass
    die Signaturüberprüfung wird während der Installation erfolgreich durchgeführt. Wenn sie fehlschlägt,
    die Installation wird abgebrochen.
  3. Beim Upgrade von Cisco Enterprise NFVIS 3.6.x auf Release
    3.7.1 werden die RPM-Signaturen während des Upgrades überprüft. Wenn die
    Die Signaturüberprüfung schlägt fehl, ein Fehler wird protokolliert, aber das Upgrade ist
    vollendet.
  4. Beim Upgrade von Release 3.7.1 auf spätere Releases wird das RPM
    Signaturen werden überprüft, wenn das Upgrade-Image registriert wird. Wenn
    Die Signaturüberprüfung schlägt fehl, das Upgrade wird abgebrochen.
  5. Überprüfen Sie den Hash des Cisco NFVIS ISO-Images oder Upgrade-Images
    mit dem Befehl: /usr/bin/sha512sum
    <image_filepath>    . Vergleichen Sie den Hash mit dem veröffentlichten
    Hash, um die Integrität sicherzustellen.

Sicherer Start

Secure Boot ist eine auf ENCS verfügbare Funktion (standardmäßig deaktiviert).
Dadurch wird sichergestellt, dass das Gerät nur mit vertrauenswürdiger Software bootet.
Sicheren Start aktivieren:

  1. Weitere Informationen finden Sie in der Dokumentation zum sicheren Booten des Hosts.
    Information.
  2. Befolgen Sie die Anweisungen, um den sicheren Start auf Ihrem
    Gerät.

Sichere eindeutige Geräteidentifikation (SUDI)

SUDI verleiht NFVIS eine unveränderliche Identität und stellt sicher, dass
Es handelt sich um ein Originalprodukt von Cisco und gewährleistet seine Anerkennung in der
Inventarsystem des Kunden.

Häufig gestellte Fragen

F: Was ist NFVIS?

A: NFVIS steht für Network Function Virtualization
Infrastruktursoftware. Es handelt sich um eine Softwareplattform zur Bereitstellung
und virtuelle Netzwerkfunktionen verwalten.

F: Wie kann ich die Integrität des NFVIS ISO-Images überprüfen oder
Bild aktualisieren?

A: Um die Integrität zu überprüfen, verwenden Sie den Befehl
/usr/bin/sha512sum <image_filepath> und vergleichen
der Hash durch den veröffentlichten Hash, der von Cisco bereitgestellt wird.

F: Ist der sichere Start bei ENCS standardmäßig aktiviert?

A: Nein, Secure Boot ist bei ENCS standardmäßig deaktiviert. Es ist
Zur Erhöhung der Sicherheit wird empfohlen, den sicheren Start zu aktivieren.

F: Was ist der Zweck von SUDI in NFVIS?

A: SUDI verleiht NFVIS eine einzigartige und unveränderliche Identität,
Sicherstellung der Echtheit als Cisco-Produkt und Erleichterung der
Erfassung im Warenwirtschaftssystem des Kunden.

View Fullscreen

Sicherheitsüberlegungen
In diesem Kapitel werden die Sicherheitsfunktionen und -überlegungen in NFVIS beschrieben. Es bietet einen Überblick überview von sicherheitsrelevanten Komponenten in NFVIS, um eine Sicherheitsstrategie für Ihre spezifischen Bereitstellungen zu planen. Es enthält auch Empfehlungen zu bewährten Sicherheitsmethoden zur Durchsetzung der Kernelemente der Netzwerksicherheit. Die NFVIS-Software bietet Sicherheit von der Installation an durch alle Softwareschichten hindurch. Die folgenden Kapitel konzentrieren sich auf diese sofort einsatzbereiten Sicherheitsaspekte wie Anmeldeinformationsverwaltung, Integrität und tampBenutzerschutz, Sitzungsverwaltung, sicherer Gerätezugriff und mehr.

· Installation, auf Seite 2 · Sichere eindeutige Geräteidentifikation, auf Seite 3 · Gerätezugriff, auf Seite 4

Sicherheitsüberlegungen 1

Installation

Sicherheitsüberlegungen

· Infrastruktur-Management-Netzwerk, auf Seite 22 · Schutz lokal gespeicherter Informationen, auf Seite 23 · File Übertragung, auf Seite 24 · Protokollierung, auf Seite 24 · Sicherheit virtueller Maschinen, auf Seite 25 · VM-Isolierung und Ressourcenbereitstellung, auf Seite 26 · Sicherer Entwicklungslebenszyklus, auf Seite 29

Installation
Um sicherzustellen, dass die NFVIS-Software nichtampBei Verwendung von wird das Software-Image vor der Installation mithilfe der folgenden Mechanismen überprüft:

Bild Tamper Schutz
NFVIS unterstützt RPM-Signierung und Signaturüberprüfung für alle RPM-Pakete in den ISO- und Upgrade-Images.

RPM-Signierung

Alle RPM-Pakete in den Cisco Enterprise NFVIS ISO- und Upgrade-Images sind signiert, um kryptografische Integrität und Authentizität sicherzustellen. Dies garantiert, dass die RPM-Pakete nichtampund die RPM-Pakete stammen von NFVIS. Der private Schlüssel, der zum Signieren der RPM-Pakete verwendet wird, wird von Cisco erstellt und sicher verwaltet.

RPM-Signaturüberprüfung

Die NFVIS-Software überprüft vor einer Installation oder einem Upgrade die Signatur aller RPM-Pakete. Die folgende Tabelle beschreibt das Verhalten von Cisco Enterprise NFVIS, wenn die Signaturüberprüfung während einer Installation oder eines Upgrades fehlschlägt.

Szenario

Beschreibung

Cisco Enterprise NFVIS 3.7.1 und spätere Installationen: Wenn die Signaturüberprüfung während der Installation von Cisco Enterprise NFVIS fehlschlägt, wird die Installation abgebrochen.

Cisco Enterprise NFVIS-Upgrade von 3.6.x auf Version 3.7.1

Die RPM-Signaturen werden beim Upgrade überprüft. Wenn die Signaturüberprüfung fehlschlägt, wird ein Fehler protokolliert, das Upgrade wird jedoch abgeschlossen.

Cisco Enterprise NFVIS-Upgrade von Version 3.7.1 Die RPM-Signaturen werden beim Upgrade überprüft

zu späteren Versionen

Bild ist registriert. Wenn die Signaturüberprüfung fehlschlägt,

das Upgrade wird abgebrochen.

Überprüfung der Bildintegrität
RPM-Signatur und Signaturüberprüfung können nur für die RPM-Pakete durchgeführt werden, die in den Cisco NFVIS ISO- und Upgrade-Images verfügbar sind. Um die Integrität aller zusätzlichen Nicht-RPM-Pakete sicherzustellen, files im Cisco NFVIS ISO-Image verfügbar sind, wird ein Hash des Cisco NFVIS ISO-Images zusammen mit dem Image veröffentlicht. Ebenso wird ein Hash des Cisco NFVIS-Upgrade-Images zusammen mit dem Image veröffentlicht. Um zu überprüfen, ob der Hash von Cisco

Sicherheitsüberlegungen 2

Sicherheitsüberlegungen

Sicherer ENCS-Boot

Das NFVIS-ISO-Image oder Upgrade-Image stimmt mit dem von Cisco veröffentlichten Hash überein. Führen Sie den folgenden Befehl aus und vergleichen Sie den Hash mit dem veröffentlichten Hash:
% /usr/bin/sha512sumFile> c2122783efc18b039246ae1bcd4eec4e5e027526967b5b809da5632d462dfa6724a9b20ec318c74548c6bd7e9b8217ce96b5ece93dcdd74fda5e01bb382ad607
<ImageFile>
Sicherer ENCS-Boot
Der sichere Start ist Teil des UEFI-Standards (Unified Extensible Firmware Interface), der sicherstellt, dass ein Gerät nur mit einer Software gestartet wird, die vom Original Equipment Manufacturer (OEM) als vertrauenswürdig eingestuft wird. Beim Start von NFVIS überprüft die Firmware die Signatur der Startsoftware und des Betriebssystems. Wenn die Signaturen gültig sind, wird das Gerät gestartet und die Firmware übergibt die Kontrolle an das Betriebssystem.
Der sichere Start ist auf dem ENCS verfügbar, aber standardmäßig deaktiviert. Cisco empfiehlt, den sicheren Start zu aktivieren. Weitere Informationen finden Sie unter Sicherer Start des Hosts.
Sichere eindeutige Geräteidentifikation
NFVIS verwendet einen Mechanismus namens Secure Unique Device Identification (SUDI), der ihm eine unveränderliche Identität verleiht. Diese Identität wird verwendet, um zu überprüfen, ob es sich bei dem Gerät um ein echtes Cisco-Produkt handelt, und um sicherzustellen, dass das Gerät im Inventarsystem des Kunden gut bekannt ist.
Das SUDI ist ein X.509v3-Zertifikat und ein zugehöriges Schlüsselpaar, die in der Hardware geschützt sind. Das SUDI-Zertifikat enthält die Produktkennung und Seriennummer und basiert auf der Cisco Public Key Infrastructure. Das Schlüsselpaar und das SUDI-Zertifikat werden während der Herstellung in das Hardwaremodul eingefügt und der private Schlüssel kann niemals exportiert werden.
Die SUDI-basierte Identität kann verwendet werden, um eine authentifizierte und automatisierte Konfiguration mithilfe von Zero Touch Provisioning (ZTP) durchzuführen. Dies ermöglicht eine sichere Remote-Onboarding von Geräten und stellt sicher, dass der Orchestrierungsserver mit einem echten NFVIS-Gerät kommuniziert. Ein Backend-System kann eine Herausforderung an das NFVIS-Gerät stellen, um dessen Identität zu bestätigen, und das Gerät antwortet auf die Herausforderung mit seiner SUDI-basierten Identität. Dadurch kann das Backend-System nicht nur anhand seines Inventars überprüfen, ob sich das richtige Gerät am richtigen Ort befindet, sondern auch eine verschlüsselte Konfiguration bereitstellen, die nur von dem jeweiligen Gerät geöffnet werden kann, wodurch die Vertraulichkeit während der Übertragung gewährleistet wird.
Die folgenden Workflow-Diagramme veranschaulichen, wie NFVIS SUDI verwendet:

Sicherheitsüberlegungen 3

Gerätezugriff Abbildung 1: Plug and Play (PnP) Serverauthentifizierung

Sicherheitsüberlegungen

Abbildung 2: Plug-and-Play-Geräteauthentifizierung und -autorisierung

Gerätezugriff
NFVIS bietet verschiedene Zugriffsmechanismen, darunter Konsolen- und Fernzugriff auf Basis von Protokollen wie HTTPS und SSH. Jeder Zugriffsmechanismus sollte sorgfältig geprüft werden.viewed und konfiguriert. Stellen Sie sicher, dass nur die erforderlichen Zugriffsmechanismen aktiviert und ordnungsgemäß gesichert sind. Die wichtigsten Schritte zum Sichern des interaktiven und Verwaltungszugriffs auf NFVIS bestehen darin, die Gerätezugänglichkeit einzuschränken, die Fähigkeiten der zugelassenen Benutzer auf das Erforderliche zu beschränken und die zulässigen Zugriffsmethoden einzuschränken. NFVIS stellt sicher, dass der Zugriff nur authentifizierten Benutzern gewährt wird und diese nur die autorisierten Aktionen ausführen können. Der Gerätezugriff wird zur Überprüfung protokolliert und NFVIS stellt die Vertraulichkeit lokal gespeicherter vertraulicher Daten sicher. Es ist wichtig, die entsprechenden Kontrollen einzurichten, um unbefugten Zugriff auf NFVIS zu verhindern. In den folgenden Abschnitten werden die Best Practices und Konfigurationen beschrieben, um dies zu erreichen:
Sicherheitsüberlegungen 4

Sicherheitsüberlegungen

Erzwungene Passwortänderung bei der ersten Anmeldung

Erzwungene Passwortänderung bei der ersten Anmeldung
Standardanmeldeinformationen sind eine häufige Quelle von Produktsicherheitsvorfällen. Kunden vergessen oft, die Standardanmeldeinformationen zu ändern, wodurch ihre Systeme Angriffen ausgesetzt sind. Um dies zu verhindern, muss der NFVIS-Benutzer das Kennwort nach der ersten Anmeldung mit den Standardanmeldeinformationen (Benutzername: admin und Kennwort Admin123#) ändern. Weitere Informationen finden Sie unter Zugriff auf NFVIS.
Einschränken von Anmeldeschwachstellen
Sie können die Anfälligkeit für Wörterbuch- und Denial-of-Service-Angriffe (DoS) verhindern, indem Sie die folgenden Funktionen verwenden.
Durchsetzung eines starken Passworts
Ein Authentifizierungsmechanismus ist nur so stark wie seine Anmeldeinformationen. Aus diesem Grund ist es wichtig, sicherzustellen, dass Benutzer sichere Passwörter haben. NFVIS überprüft, ob ein sicheres Passwort gemäß den folgenden Regeln konfiguriert ist: Das Passwort muss Folgendes enthalten:
· Mindestens ein Großbuchstabe · Mindestens ein Kleinbuchstabe · Mindestens eine Zahl · Mindestens eines dieser Sonderzeichen: Raute (#), Unterstrich (_), Bindestrich (-), Sternchen (*) oder Frage
Zeichen (?) · Sieben Zeichen oder mehr · Die Passwortlänge sollte zwischen 7 und 128 Zeichen liegen.
Konfigurieren der Mindestlänge für Passwörter
Die geringe Komplexität der Passwörter, insbesondere die Passwortlänge, reduziert den Suchraum erheblich, wenn Angreifer versuchen, Benutzerpasswörter zu erraten, und macht Brute-Force-Angriffe viel einfacher. Der Administrator kann die erforderliche Mindestlänge für Passwörter aller Benutzer konfigurieren. Die Mindestlänge muss zwischen 7 und 128 Zeichen liegen. Standardmäßig ist die erforderliche Mindestlänge für Passwörter auf 7 Zeichen eingestellt. CLI:
nfvis(config)# rbac-Authentifizierung Mindestkennwortlänge 9
API:
/api/config/rbac/authentication/min-pwd-length
Konfigurieren der Kennwortlebensdauer
Die Kennwortlebensdauer legt fest, wie lange ein Kennwort verwendet werden kann, bevor der Benutzer es ändern muss.

Sicherheitsüberlegungen 5

Beschränken Sie die Wiederverwendung vorheriger Passwörter

Sicherheitsüberlegungen

Der Administrator kann für alle Benutzer Mindest- und Höchstlebensdauerwerte für Passwörter konfigurieren und eine Regel zur Überprüfung dieser Werte erzwingen. Der standardmäßige Mindestlebensdauerwert ist auf 1 Tag und der standardmäßige Höchstlebensdauerwert auf 60 Tage eingestellt. Wenn ein Mindestlebensdauerwert konfiguriert ist, kann der Benutzer das Passwort erst ändern, wenn die angegebene Anzahl von Tagen verstrichen ist. Wenn ein Höchstlebensdauerwert konfiguriert ist, muss ein Benutzer das Passwort ändern, bevor die angegebene Anzahl von Tagen verstrichen ist. Wenn ein Benutzer das Passwort nicht ändert und die angegebene Anzahl von Tagen verstrichen ist, wird dem Benutzer eine Benachrichtigung gesendet.
Hinweis: Die minimalen und maximalen Lebensdauerwerte und die Regel zur Überprüfung dieser Werte gelten nicht für den Administratorbenutzer.
CLI:
Terminal konfigurieren RBAC-Authentifizierung Kennwortlebensdauer erzwingen True min. Tage 2 max. Tage 30 Commit
API:
/api/config/rbac/authentication/password-lifetime/
Beschränken Sie die Wiederverwendung vorheriger Passwörter
Ohne die Verwendung vorheriger Passphrasen zu verhindern, ist das Ablaufen von Passwörtern weitgehend nutzlos, da Benutzer die Passphrase einfach ändern und dann wieder auf die ursprüngliche zurücksetzen können. NFVIS überprüft, ob das neue Passwort nicht mit einem der 5 zuvor verwendeten Passwörter identisch ist. Eine Ausnahme von dieser Regel besteht darin, dass der Administratorbenutzer das Passwort in das Standardpasswort ändern kann, selbst wenn es eines der 5 zuvor verwendeten Passwörter war.
Beschränken Sie die Häufigkeit der Anmeldeversuche
Wenn sich ein Remote-Peer unbegrenzt oft anmelden darf, kann er die Anmeldeinformationen möglicherweise irgendwann mit Brute-Force-Angriffen erraten. Da Passphrasen oft leicht zu erraten sind, ist dies ein häufiger Angriff. Indem wir die Häufigkeit begrenzen, mit der der Peer Anmeldeversuche unternehmen kann, verhindern wir diesen Angriff. Außerdem vermeiden wir, Systemressourcen für die unnötige Authentifizierung dieser Brute-Force-Anmeldeversuche aufzuwenden, was zu einem Denial-of-Service-Angriff führen könnte. NFVIS erzwingt nach 5 fehlgeschlagenen Anmeldeversuchen eine 10-minütige Benutzersperre.
Inaktive Benutzerkonten deaktivieren
Durch die Überwachung der Benutzeraktivität und die Deaktivierung ungenutzter oder veralteter Benutzerkonten wird das System vor Insider-Angriffen geschützt. Die ungenutzten Konten sollten schließlich entfernt werden. Der Administrator kann eine Regel erzwingen, um ungenutzte Benutzerkonten als inaktiv zu markieren, und die Anzahl der Tage konfigurieren, nach denen ein ungenutztes Benutzerkonto als inaktiv markiert wird. Sobald ein Benutzer als inaktiv markiert wurde, kann er sich nicht mehr beim System anmelden. Um dem Benutzer die Anmeldung beim System zu ermöglichen, kann der Administrator das Benutzerkonto aktivieren.
Hinweis: Der Inaktivitätszeitraum und die Regel zur Überprüfung des Inaktivitätszeitraums gelten nicht für den Administratorbenutzer.

Sicherheitsüberlegungen 6

Sicherheitsüberlegungen

Aktivieren eines inaktiven Benutzerkontos

Die folgende CLI und API können zum Konfigurieren der Durchsetzung der Kontoinaktivität verwendet werden. CLI:
Terminal konfigurieren RBAC-Authentifizierung Konto-Inaktivität erzwingen echte Inaktivitätstage 30 Commit
API:
/api/config/rbac/authentication/account-inactivity/
Der Standardwert für Inaktivitätstage beträgt 35.
Aktivieren eines inaktiven Benutzerkontos Der Administratorbenutzer kann das Konto eines inaktiven Benutzers mithilfe der folgenden CLI und API aktivieren: CLI:
konfigurieren Terminal RBAC Authentifizierung Benutzer Benutzer Gastbenutzer aktivieren Commit
API:
/api/operations/rbac/authentication/users/user/benutzername/aktivieren

Erzwingen der Festlegung von BIOS- und CIMC-Passwörtern

Tabelle 1: Funktionsverlaufstabelle

Funktionsname

Release-Informationen

Erzwingen der Festlegung von BIOS- und CIMC NFVIS 4.7.1-Passwörtern

Beschreibung
Diese Funktion zwingt den Benutzer, das Standardkennwort für CIMC und BIOS zu ändern.

Einschränkungen für die Durchsetzung der Festlegung von BIOS- und CIMC-Passwörtern
· Diese Funktion wird nur auf den Plattformen Cisco Catalyst 8200 UCPE und Cisco ENCS 5400 unterstützt.
· Diese Funktion wird nur bei einer Neuinstallation von NFVIS 4.7.1 und späteren Versionen unterstützt. Wenn Sie von NFVIS 4.6.1 auf NFVIS 4.7.1 aktualisieren, wird diese Funktion nicht unterstützt und Sie werden nicht aufgefordert, die BIOS- und CIMS-Passwörter zurückzusetzen, selbst wenn die BIOS- und CIMC-Passwörter nicht konfiguriert sind.

Informationen zum Erzwingen der Festlegung von BIOS- und CIMC-Passwörtern
Diese Funktion schließt eine Sicherheitslücke, indem sie das Zurücksetzen der BIOS- und CIMC-Passwörter nach einer Neuinstallation von NFVIS 4.7.1 erzwingt. Das Standard-CIMC-Passwort lautet „Passwort“ und das Standard-BIOS-Passwort lautet „Kein Passwort“.
Um die Sicherheitslücke zu schließen, müssen Sie die BIOS- und CIMC-Passwörter in ENCS 5400 konfigurieren. Bei einer Neuinstallation von NFVIS 4.7.1, wenn die BIOS- und CIMC-Passwörter nicht geändert wurden und immer noch

Sicherheitsüberlegungen 7

Konfiguration ExampDateien zum erzwungenen Zurücksetzen von BIOS- und CIMC-Passwörtern

Sicherheitsüberlegungen

die Standardkennwörter, dann werden Sie aufgefordert, sowohl das BIOS- als auch das CIMC-Kennwort zu ändern. Wenn nur eines davon zurückgesetzt werden muss, werden Sie aufgefordert, das Kennwort nur für diese Komponente zurückzusetzen. Cisco Catalyst 8200 UCPE erfordert nur das BIOS-Kennwort und daher wird nur zum Zurücksetzen des BIOS-Kennworts aufgefordert, wenn es nicht bereits festgelegt wurde.
Hinweis: Wenn Sie von einer früheren Version auf NFVIS 4.7.1 oder spätere Versionen aktualisieren, können Sie die BIOS- und CIMC-Kennwörter mit den Befehlen „hostaction change-bios-password newpassword“ oder „hostaction change-cimc-password newpassword“ ändern.
Weitere Informationen zu BIOS- und CIMC-Kennwörtern finden Sie unter BIOS- und CIMC-Kennwort.
Konfiguration ExampDateien zum erzwungenen Zurücksetzen von BIOS- und CIMC-Passwörtern
1. Wenn Sie NFVIS 4.7.1 installieren, müssen Sie zuerst das Standardadministratorkennwort zurücksetzen.
Cisco Network Function Virtualization Infrastructure Software (NFVIS)
NFVIS-Version: 99.99.0-1009
Copyright (c) 2015–2021 Cisco Systems, Inc. Cisco, Cisco Systems und das Cisco Systems-Logo sind eingetragene Marken von Cisco Systems, Inc. und/oder seinen Tochtergesellschaften in den USA und bestimmten anderen Ländern.
Die Urheberrechte an bestimmten in dieser Software enthaltenen Werken liegen bei anderen Dritten und werden unter Lizenzvereinbarungen Dritter verwendet und vertrieben. Bestimmte Komponenten dieser Software sind unter GNU GPL 2.0, GPL 3.0, LGPL 2.1, LGPL 3.0 und AGPL 3.0 lizenziert.
Der Administrator hat sich von 10.24.109.102 per SSH auf NFVIS verbunden. Der Administrator hat sich mit den Standardanmeldeinformationen angemeldet. Bitte geben Sie ein Kennwort ein, das die folgenden Kriterien erfüllt:
1. Mindestens ein Kleinbuchstabe 2. Mindestens ein Großbuchstabe 3. Mindestens eine Zahl 4. Mindestens ein Sonderzeichen von # _ – * ? 5. Die Länge sollte zwischen 7 und 128 Zeichen liegen Bitte setzen Sie das Passwort zurück: Bitte geben Sie das Passwort erneut ein:
Zurücksetzen des Administratorkennworts
2. Wenn Sie auf den Plattformen Cisco Catalyst 8200 UCPE und Cisco ENCS 5400 eine Neuinstallation von NFVIS 4.7.1 oder höher durchführen, müssen Sie die Standardkennwörter für BIOS und CIMC ändern. Wenn die BIOS- und CIMC-Kennwörter nicht zuvor konfiguriert wurden, fordert Sie das System auf, die BIOS- und CIMC-Kennwörter für Cisco ENCS 5400 und nur das BIOS-Kennwort für Cisco Catalyst 8200 UCPE zurückzusetzen.
Neues Administratorkennwort wurde festgelegt
Bitte geben Sie das BIOS-Passwort ein, das die folgenden Kriterien erfüllt: 1. Mindestens ein Kleinbuchstabe 2. Mindestens ein Großbuchstabe 3. Mindestens eine Zahl 4. Mindestens ein Sonderzeichen aus #, @ oder _ 5. Die Länge sollte zwischen 8 und 20 Zeichen liegen 6. Sollte keine der folgenden Zeichenfolgen enthalten (Groß-/Kleinschreibung beachten): bios 7. Das erste Zeichen darf kein # sein

Sicherheitsüberlegungen 8

Sicherheitsüberlegungen

BIOS- und CIMC-Passwörter überprüfen

Bitte setzen Sie das BIOS-Passwort zurück: Bitte geben Sie das BIOS-Passwort erneut ein: Bitte geben Sie das CIMC-Passwort ein, das die folgenden Kriterien erfüllt:
1. Mindestens ein Kleinbuchstabe 2. Mindestens ein Großbuchstabe 3. Mindestens eine Zahl 4. Mindestens ein Sonderzeichen aus #, @ oder _ 5. Die Länge sollte zwischen 8 und 20 Zeichen liegen 6. Sollte keine der folgenden Zeichenfolgen enthalten (Groß-/Kleinschreibung beachten): admin Bitte setzen Sie das CIMC-Passwort zurück: Bitte geben Sie das CIMC-Passwort erneut ein:

BIOS- und CIMC-Passwörter überprüfen
Um zu überprüfen, ob die BIOS- und CIMC-Kennwörter erfolgreich geändert wurden, verwenden Sie die Befehle „show log nfvis_config.log | include BIOS“ oder „show log nfvis_config.log | include CIMC“:

nfvis# Protokoll anzeigen nfvis_config.log | BIOS einschließen

2021-11-16 15:24:40,102 INFO

[hostaction:/system/settings] [] BIOS-Passwort ändern

ist erfolgreich

Sie können auch die Datei nfvis_config.log herunterladen. file und überprüfen Sie, ob die Passwörter erfolgreich zurückgesetzt wurden.

Integration mit externen AAA-Servern
Benutzer melden sich bei NFVIS über SSH an oder über Web Benutzeroberfläche. In beiden Fällen müssen Benutzer authentifiziert werden. Das heißt, ein Benutzer muss seine Kennwortanmeldeinformationen angeben, um Zugriff zu erhalten.
Sobald ein Benutzer authentifiziert ist, müssen alle von diesem Benutzer ausgeführten Vorgänge autorisiert werden. Das heißt, dass bestimmte Benutzer bestimmte Aufgaben ausführen dürfen, während dies anderen nicht gestattet ist. Dies wird als Autorisierung bezeichnet.
Es wird empfohlen, einen zentralen AAA-Server einzusetzen, um eine benutzerspezifische, AAA-basierte Anmeldeauthentifizierung für den NFVIS-Zugriff durchzusetzen. NFVIS unterstützt RADIUS- und TACACS-Protokolle zur Vermittlung des Netzwerkzugriffs. Auf dem AAA-Server sollten authentifizierten Benutzern entsprechend ihren spezifischen Zugriffsanforderungen nur minimale Zugriffsrechte gewährt werden. Dies verringert das Risiko böswilliger und unbeabsichtigter Sicherheitsvorfälle.
Weitere Informationen zur externen Authentifizierung finden Sie unter „Konfigurieren von RADIUS“ und „Konfigurieren eines TACACS+-Servers“.

Authentifizierungscache für externen Authentifizierungsserver

Funktionsname

Release-Informationen

Authentifizierungscache für externen NFVIS 4.5.1-Authentifizierungsserver

Beschreibung
Diese Funktion unterstützt die TACACS-Authentifizierung über OTP auf dem NFVIS-Portal.

Das NFVIS-Portal verwendet nach der ersten Authentifizierung für alle API-Aufrufe dasselbe Einmalkennwort (OTP). Die API-Aufrufe schlagen fehl, sobald das OTP abläuft. Diese Funktion unterstützt die TACACS-OTP-Authentifizierung mit dem NFVIS-Portal.
Nachdem Sie sich erfolgreich über den TACACS-Server mit einem OTP authentifiziert haben, erstellt NFVIS einen Hash-Eintrag mit dem Benutzernamen und dem OTP und speichert diesen Hash-Wert lokal. Dieser lokal gespeicherte Hash-Wert hat

Sicherheitsüberlegungen 9

Rollenbasierte Zugriffskontrolle

Sicherheitsüberlegungen

eine Ablaufzeit stamp damit verbunden. Die Zeit stamp hat denselben Wert wie der Leerlauf-Timeout-Wert der SSH-Sitzung, der 15 Minuten beträgt. Alle nachfolgenden Authentifizierungsanforderungen mit demselben Benutzernamen werden zuerst anhand dieses lokalen Hash-Werts authentifiziert. Wenn die Authentifizierung mit dem lokalen Hash fehlschlägt, authentifiziert NFVIS diese Anforderung mit dem TACACS-Server und erstellt einen neuen Hash-Eintrag, wenn die Authentifizierung erfolgreich ist. Wenn bereits ein Hash-Eintrag vorhanden ist, wird seine Zeit angegeben.amp wird auf 15 Minuten zurückgesetzt.
Wenn Sie nach erfolgreicher Anmeldung am Portal vom TACACS-Server entfernt werden, können Sie das Portal weiterhin verwenden, bis der Hash-Eintrag in NFVIS abläuft.
Wenn Sie sich explizit vom NFVIS-Portal abmelden oder aufgrund von Leerlaufzeit abgemeldet werden, ruft das Portal eine neue API auf, um das NFVIS-Backend zu benachrichtigen, den Hash-Eintrag zu löschen. Der Authentifizierungscache und alle seine Einträge werden nach einem NFVIS-Neustart, Zurücksetzen auf Werkseinstellungen oder Upgrade gelöscht.

Rollenbasierte Zugriffskontrolle

Die Beschränkung des Netzwerkzugriffs ist für Organisationen wichtig, die viele Mitarbeiter haben, Vertragspartner beschäftigen oder Dritten wie Kunden und Lieferanten Zugriff gewähren. In einem solchen Szenario ist es schwierig, den Netzwerkzugriff effektiv zu überwachen. Stattdessen ist es besser, zu kontrollieren, was zugänglich ist, um die sensiblen Daten und kritischen Anwendungen zu schützen.
Die rollenbasierte Zugriffskontrolle (RBAC) ist eine Methode zur Einschränkung des Netzwerkzugriffs basierend auf den Rollen einzelner Benutzer innerhalb eines Unternehmens. RBAC ermöglicht Benutzern den Zugriff nur auf die Informationen, die sie benötigen, und verhindert den Zugriff auf Informationen, die für sie nicht relevant sind.
Die Rolle eines Mitarbeiters im Unternehmen sollte zum Bestimmen der erteilten Berechtigungen verwendet werden, um sicherzustellen, dass Mitarbeiter mit geringeren Berechtigungen nicht auf vertrauliche Informationen zugreifen oder kritische Aufgaben ausführen können.
Die folgenden Benutzerrollen und Berechtigungen sind in NFVIS definiert

Benutzerrolle

Privileg

Administratoren

Kann alle verfügbaren Funktionen konfigurieren und alle Aufgaben ausführen, einschließlich der Änderung von Benutzerrollen. Der Administrator kann die für NFVIS grundlegende Infrastruktur nicht löschen. Die Rolle des Administratorbenutzers kann nicht geändert werden; sie lautet immer „Administratoren“.

Betreiber

Kann eine VM starten und stoppen und view alle Informationen.

Wirtschaftsprüfer

Dies sind die Benutzer mit den geringsten Berechtigungen. Sie verfügen nur über Leseberechtigung und können daher keine Konfiguration ändern.

Vorteile von RBAC
Die Verwendung von RBAC zur Einschränkung unnötiger Netzwerkzugriffe auf Grundlage der Rollen der Benutzer innerhalb einer Organisation bietet eine Reihe von Vorteilen, darunter:
· Verbesserung der betrieblichen Effizienz.
Durch vordefinierte Rollen in RBAC ist es einfach, neue Benutzer mit den richtigen Berechtigungen hinzuzufügen oder die Rollen vorhandener Benutzer zu ändern. Außerdem wird dadurch das Fehlerpotenzial bei der Zuweisung von Benutzerberechtigungen verringert.
· Verbesserung der Compliance.

Sicherheitsüberlegungen 10

Sicherheitsüberlegungen

Rollenbasierte Zugriffskontrolle

Jede Organisation muss lokale, staatliche und bundesstaatliche Vorschriften einhalten. Unternehmen bevorzugen im Allgemeinen die Implementierung von RBAC-Systemen, um die regulatorischen und gesetzlichen Anforderungen an Vertraulichkeit und Datenschutz zu erfüllen, da Führungskräfte und IT-Abteilungen den Zugriff auf die Daten und deren Verwendung effektiver verwalten können. Dies ist insbesondere für Finanzinstitute und Gesundheitsunternehmen wichtig, die vertrauliche Daten verwalten.
· Kostensenkung. Indem sie Benutzern den Zugriff auf bestimmte Prozesse und Anwendungen verwehren, können Unternehmen Ressourcen wie Netzwerkbandbreite, Arbeitsspeicher und Speicherplatz kostengünstig einsparen oder nutzen.
· Verringerung des Risikos von Datenschutzverletzungen und Datenlecks. Die Implementierung von RBAC bedeutet, den Zugriff auf vertrauliche Informationen einzuschränken und so das Risiko von Datenschutzverletzungen oder Datenlecks zu verringern.
Best Practices für rollenbasierte Zugriffssteuerungsimplementierungen · Legen Sie als Administrator die Liste der Benutzer fest und weisen Sie die Benutzer den vordefinierten Rollen zu. Zum Beispielample kann der Benutzer „networkadmin“ erstellt und der Benutzergruppe „Administratoren“ hinzugefügt werden.
Terminal konfigurieren RBAC-Authentifizierung Benutzer Benutzername erstellen Netzwerkadministrator Passwort Test1_pass Rolle Administratoren Commit
Hinweis: Die Benutzergruppen oder Rollen werden vom System erstellt. Sie können keine Benutzergruppen erstellen oder ändern. Um das Kennwort zu ändern, verwenden Sie den Befehl rbac authentication users user change-password im globalen Konfigurationsmodus. Um die Benutzerrolle zu ändern, verwenden Sie den Befehl rbac authentication users user change-role im globalen Konfigurationsmodus.
· Kündigen Sie die Konten von Benutzern, die keinen Zugriff mehr benötigen.
Terminal konfigurieren RBAC Authentifizierung Benutzer löschen-Benutzername test1
· Führen Sie regelmäßig Audits durch, um die Rollen, die ihnen zugewiesenen Mitarbeiter und den für jede Rolle zulässigen Zugriff zu bewerten. Wenn festgestellt wird, dass ein Benutzer unnötigen Zugriff auf ein bestimmtes System hat, ändern Sie die Rolle des Benutzers.
Weitere Einzelheiten finden Sie unter Benutzer, Rollen und Authentifizierung
Granulare rollenbasierte Zugriffskontrolle Ab NFVIS 4.7.1 wird die Funktion „Granulare rollenbasierte Zugriffskontrolle“ eingeführt. Diese Funktion fügt eine neue Ressourcengruppenrichtlinie hinzu, die die VM und VNF verwaltet und es Ihnen ermöglicht, Benutzer einer Gruppe zuzuweisen, um den VNF-Zugriff während der VNF-Bereitstellung zu steuern. Weitere Informationen finden Sie unter Granulare rollenbasierte Zugriffskontrolle.

Sicherheitsüberlegungen 11

Gerätezugriff einschränken

Sicherheitsüberlegungen

Gerätezugriff einschränken
Benutzer wurden wiederholt von Angriffen auf Funktionen überrascht, die sie nicht geschützt hatten, weil sie nicht wussten, dass diese Funktionen aktiviert waren. Nicht verwendete Dienste werden häufig mit Standardkonfigurationen belassen, die nicht immer sicher sind. Diese Dienste verwenden möglicherweise auch Standardkennwörter. Einige Dienste können einem Angreifer einfachen Zugriff auf Informationen darüber gewähren, was auf dem Server ausgeführt wird oder wie das Netzwerk eingerichtet ist. In den folgenden Abschnitten wird beschrieben, wie NFVIS solche Sicherheitsrisiken vermeidet:

Reduzierung des Angriffsvektors
Jede Software kann potenziell Sicherheitslücken enthalten. Mehr Software bedeutet mehr Angriffsmöglichkeiten. Selbst wenn zum Zeitpunkt der Aufnahme keine öffentlich bekannten Schwachstellen vorhanden sind, werden Schwachstellen wahrscheinlich in Zukunft entdeckt oder offengelegt. Um solche Szenarien zu vermeiden, werden nur die Softwarepakete installiert, die für die NFVIS-Funktionalität unerlässlich sind. Dies hilft, Softwareschwachstellen zu begrenzen, den Ressourcenverbrauch zu senken und zusätzlichen Arbeitsaufwand zu reduzieren, wenn Probleme mit diesen Paketen festgestellt werden. Alle in NFVIS enthaltene Drittanbietersoftware wird in einer zentralen Datenbank bei Cisco registriert, sodass Cisco eine organisierte Reaktion auf Unternehmensebene (Recht, Sicherheit usw.) durchführen kann. Softwarepakete werden in jeder Version regelmäßig auf bekannte Common Vulnerabilities and Exposures (CVEs) gepatcht.

Standardmäßig nur die wichtigsten Ports aktivieren

Standardmäßig sind nur die Dienste verfügbar, die für die Einrichtung und Verwaltung von NFVIS unbedingt erforderlich sind. Dadurch entfällt für den Benutzer der Aufwand, Firewalls zu konfigurieren und den Zugriff auf unnötige Dienste zu verweigern. Die einzigen standardmäßig aktivierten Dienste sind unten zusammen mit den von ihnen geöffneten Ports aufgeführt.

Hafen öffnen

Service

Beschreibung

22 / TCP

SSH

Secure Socket Shell für den Remote-Befehlszeilenzugriff auf NFVIS

80 / TCP

HTTP

Hypertext Transfer Protocol für den NFVIS-Portalzugriff. Der gesamte von NFVIS empfangene HTTP-Verkehr wird für HTTPS auf Port 443 umgeleitet.

443 / TCP

HTTPS

Hypertext Transfer Protocol Secure für sicheren NFVIS-Portalzugriff

830 / TCP

NETCONF-ssh

Port für das Network Configuration Protocol (NETCONF) über SSH geöffnet. NETCONF ist ein Protokoll, das für die automatische Konfiguration von NFVIS und zum Empfangen asynchroner Ereignisbenachrichtigungen von NFVIS verwendet wird.

161/UDP

SNMP

Simple Network Management Protocol (SNMP). Wird von NFVIS zur Kommunikation mit Remote-Netzwerküberwachungsanwendungen verwendet. Weitere Informationen finden Sie unter Einführung zu SNMP

Sicherheitsüberlegungen 12

Sicherheitsüberlegungen

Beschränken Sie den Zugriff auf autorisierte Netzwerke für autorisierte Dienste

Beschränken Sie den Zugriff auf autorisierte Netzwerke für autorisierte Dienste

Nur autorisierte Urheber sollten überhaupt versuchen dürfen, auf das Gerätemanagement zuzugreifen, und der Zugriff sollte nur auf die Dienste erfolgen, für deren Nutzung sie autorisiert sind. NFVIS kann so konfiguriert werden, dass der Zugriff auf bekannte, vertrauenswürdige Quellen und erwarteten Management-Verkehr beschränkt ist.files. Dadurch wird das Risiko eines unbefugten Zugriffs und anderer Angriffe wie Brute-Force-, Wörterbuch- oder DoS-Angriffe verringert.
Um die NFVIS-Verwaltungsschnittstellen vor unnötigem und potenziell schädlichem Datenverkehr zu schützen, kann ein Administrator Zugriffskontrolllisten (ACLs) für den empfangenen Netzwerkverkehr erstellen. Diese ACLs geben die Quell-IP-Adressen/Netzwerke an, von denen der Datenverkehr stammt, und die Art des Datenverkehrs, der von diesen Quellen zugelassen oder abgelehnt wird. Diese IP-Datenverkehrsfilter werden auf jede Verwaltungsschnittstelle auf NFVIS angewendet. Die folgenden Parameter werden in einer IP-Empfangs-Zugriffskontrollliste (ip-receive-acl) konfiguriert:

Parameter

Wert

Beschreibung

Quellnetzwerk/Netzmaske

Netzwerk/Netzmaske. Zum Beispielampli: 0.0.0.0/0
172.39.162.0/24

Dieses Feld gibt die IP-Adresse/das Netzwerk an, von dem der Datenverkehr stammt

Serviceaktion

https icmp netconf scpd snmp ssh akzeptieren löschen ablehnen

Verkehrstyp von der angegebenen Quelle.
Aktion, die für den Datenverkehr vom Quellnetzwerk ausgeführt werden soll. Mit „accept“ werden neue Verbindungsversuche zugelassen. Mit „reject“ werden Verbindungsversuche nicht akzeptiert. Wenn die Regel für einen TCP-basierten Dienst wie HTTPS, NETCONF, SCP, SSH gilt, erhält die Quelle ein TCP-Reset-Paket (RST). Bei Nicht-TCP-Regeln wie SNMP und ICMP wird das Paket verworfen. Mit „drop“ werden alle Pakete sofort verworfen, es werden keine Informationen an die Quelle gesendet.

Sicherheitsüberlegungen 13

Privilegierter Debug-Zugriff

Sicherheitsüberlegungen

Parameterpriorität

Wert Ein numerischer Wert

Beschreibung
Die Priorität wird verwendet, um eine Reihenfolge der Regeln durchzusetzen. Regeln mit einem höheren numerischen Wert für die Priorität werden weiter unten in der Kette hinzugefügt. Wenn Sie sicherstellen möchten, dass eine Regel nach einer anderen hinzugefügt wird, verwenden Sie für die erste eine niedrige Prioritätsnummer und für die folgenden eine höhere Prioritätsnummer.

Die folgendenampDie Dateikonfigurationen veranschaulichen einige Szenarien, die für bestimmte Anwendungsfälle angepasst werden können.
Konfigurieren der IP-Empfangs-ACL
Je restriktiver eine ACL ist, desto geringer ist die Gefährdung durch unbefugte Zugriffsversuche. Eine restriktivere ACL kann jedoch einen Verwaltungsaufwand verursachen und den Zugriff zur Fehlerbehebung beeinträchtigen. Daher muss eine Abwägung vorgenommen werden. Ein Kompromiss besteht darin, den Zugriff nur auf interne Unternehmens-IP-Adressen zu beschränken. Jeder Kunde muss die Implementierung von ACLs im Hinblick auf seine eigene Sicherheitsrichtlinie, Risiken, Gefährdung und Akzeptanz bewerten.
SSH-Verkehr aus einem Subnetz ablehnen:

nfvis(config)# Systemeinstellungen ip-receive-acl 171.70.63.0/24 Dienst SSH Aktion Ablehnung Priorität 1

Entfernen von ACLs:
Wenn ein Eintrag aus ip-receive-acl gelöscht wird, werden alle Konfigurationen für diese Quelle gelöscht, da die Quell-IP-Adresse der Schlüssel ist. Um nur einen Dienst zu löschen, konfigurieren Sie andere Dienste erneut.

nfvis(config)# keine Systemeinstellungen ip-receive-acl 171.70.63.0/24
Weitere Einzelheiten finden Sie unter Konfigurieren der IP-Empfangs-ACL.
Privilegierter Debug-Zugriff
Das Superuser-Konto auf NFVIS ist standardmäßig deaktiviert, um alle uneingeschränkten, möglicherweise nachteiligen systemweiten Änderungen zu verhindern. Außerdem stellt NFVIS dem Benutzer die System-Shell nicht zur Verfügung.
Für einige schwer zu debuggende Probleme auf dem NFVIS-System benötigt das Cisco Technical Assistance Center-Team (TAC) oder das Entwicklungsteam möglicherweise Shell-Zugriff auf das NFVIS des Kunden. NFVIS verfügt über eine sichere Entsperrinfrastruktur, um sicherzustellen, dass der privilegierte Debug-Zugriff auf ein Gerät im Feld auf autorisierte Cisco-Mitarbeiter beschränkt ist. Um für diese Art des interaktiven Debuggens sicher auf die Linux-Shell zuzugreifen, wird zwischen NFVIS und dem von Cisco verwalteten interaktiven Debugging-Server ein Challenge-Response-Authentifizierungsmechanismus verwendet. Zusätzlich zum Challenge-Response-Eintrag ist auch das Kennwort des Administratorbenutzers erforderlich, um sicherzustellen, dass auf das Gerät mit Zustimmung des Kunden zugegriffen wird.
Schritte zum Zugriff auf die Shell für interaktives Debuggen:
1. Ein Administratorbenutzer leitet diesen Vorgang mit diesem versteckten Befehl ein.

nfvis# System-Shell-Zugriff

Sicherheitsüberlegungen 14

Sicherheitsüberlegungen

Sichere Schnittstellen

2. Auf dem Bildschirm wird eine Challenge-Zeichenfolge angezeigt, z. B.ampauf:
Challenge String (Bitte ausschließlich alles zwischen den Asterisk-Zeilen kopieren):
******************************************************************************** SPH//wkAAABORlZJU0VOQ1M1NDA4L0s5AQAAABt+dcx+hB0V06r9RkdMMjEzNTgw RlHq7BxeAAA= DONE. ********************************************************************************
3. Das Cisco-Mitglied gibt die Challenge-Zeichenfolge auf einem von Cisco verwalteten Interactive Debug-Server ein. Dieser Server überprüft, ob der Cisco-Benutzer zum Debuggen von NFVIS mithilfe der Shell berechtigt ist, und gibt dann eine Antwortzeichenfolge zurück.
4. Geben Sie die Antwortzeichenfolge auf dem Bildschirm unter dieser Eingabeaufforderung ein: Geben Sie Ihre Antwort ein, wenn Sie bereit sind:
5. Wenn Sie dazu aufgefordert werden, sollte der Kunde das Administratorkennwort eingeben. 6. Sie erhalten Shell-Zugriff, wenn das Kennwort gültig ist. 7. Das Entwicklungs- oder TAC-Team verwendet die Shell, um mit dem Debuggen fortzufahren. 8. Um den Shell-Zugriff zu beenden, geben Sie „Exit“ ein.
Sichere Schnittstellen
Der NFVIS-Verwaltungszugriff ist über die im Diagramm dargestellten Schnittstellen möglich. In den folgenden Abschnitten werden bewährte Sicherheitsmethoden für diese Schnittstellen zu NFVIS beschrieben.

Konsolen-SSH

Der Konsolenport ist ein asynchroner serieller Port, über den Sie zur Erstkonfiguration eine Verbindung zur NFVIS-CLI herstellen können. Ein Benutzer kann entweder über physischen Zugriff auf das NFVIS oder über einen Terminalserver per Remotezugriff auf die Konsole zugreifen. Wenn der Zugriff auf den Konsolenport über einen Terminalserver erforderlich ist, konfigurieren Sie Zugriffslisten auf dem Terminalserver, um den Zugriff nur von den erforderlichen Quelladressen aus zuzulassen.
Benutzer können auf die NFVIS-CLI zugreifen, indem sie SSH als sichere Methode zur Remote-Anmeldung verwenden. Die Integrität und Vertraulichkeit des NFVIS-Verwaltungsverkehrs ist für die Sicherheit des verwalteten Netzwerks von entscheidender Bedeutung, da Verwaltungsprotokolle häufig Informationen enthalten, die zum Eindringen oder Stören des Netzwerks verwendet werden könnten.

Sicherheitsüberlegungen 15

CLI-Sitzungstimeout

Sicherheitsüberlegungen

NFVIS verwendet SSH Version 2, das De-facto-Standardprotokoll von Cisco und des Internets für interaktive Anmeldungen, und unterstützt starke Verschlüsselungs-, Hash- und Schlüsselaustauschalgorithmen, die von der Security and Trust Organization innerhalb von Cisco empfohlen werden.

CLI-Sitzungstimeout
Durch die Anmeldung über SSH stellt ein Benutzer eine Sitzung mit NFVIS her. Wenn der Benutzer angemeldet ist und die Sitzung unbeaufsichtigt lässt, kann dies ein Sicherheitsrisiko für das Netzwerk darstellen. Die Sitzungssicherheit begrenzt das Risiko interner Angriffe, z. B. wenn ein Benutzer versucht, die Sitzung eines anderen Benutzers zu verwenden.
Um dieses Risiko zu verringern, beendet NFVIS CLI-Sitzungen nach 15 Minuten Inaktivität. Wenn das Sitzungstimeout erreicht ist, wird der Benutzer automatisch abgemeldet.

NETKONF

Das Network Configuration Protocol (NETCONF) ist ein von der IETF entwickeltes und standardisiertes Netzwerkverwaltungsprotokoll für die automatisierte Konfiguration von Netzwerkgeräten.
Das NETCONF-Protokoll verwendet eine auf Extensible Markup Language (XML) basierende Datenkodierung für die Konfigurationsdaten sowie die Protokollnachrichten. Die Protokollnachrichten werden über ein sicheres Transportprotokoll ausgetauscht.
NETCONF ermöglicht NFVIS, eine XML-basierte API bereitzustellen, mit der der Netzwerkbetreiber Konfigurationsdaten und Ereignisbenachrichtigungen sicher über SSH festlegen und abrufen kann.
Weitere Informationen finden Sie unter NETCONF-Ereignisbenachrichtigungen.

REST API

NFVIS kann mithilfe der RESTful API über HTTPS konfiguriert werden. Die REST API ermöglicht den anfordernden Systemen den Zugriff auf die NFVIS-Konfiguration und deren Manipulation mithilfe eines einheitlichen und vordefinierten Satzes zustandsloser Operationen. Einzelheiten zu allen REST APIs finden Sie im NFVIS API-Referenzhandbuch.
Wenn der Benutzer eine REST-API ausgibt, wird eine Sitzung mit NFVIS hergestellt. Um die Risiken im Zusammenhang mit Denial-of-Service-Angriffen zu begrenzen, begrenzt NFVIS die Gesamtzahl gleichzeitiger REST-Sitzungen auf 100.

NFVIS Web Portal
Das NFVIS-Portal ist ein web-basierte grafische Benutzeroberfläche, die Informationen zu NFVIS anzeigt. Das Portal bietet dem Benutzer eine einfache Möglichkeit, NFVIS über HTTPS zu konfigurieren und zu überwachen, ohne die NFVIS-CLI und -API kennen zu müssen.

Sitzungsverwaltung
Aufgrund der zustandslosen Natur von HTTP und HTTPS ist eine Methode zur eindeutigen Verfolgung von Benutzern durch die Verwendung eindeutiger Sitzungs-IDs und Cookies erforderlich.
NFVIS verschlüsselt die Sitzung des Benutzers. Die AES-256-CBC-Chiffre wird verwendet, um den Sitzungsinhalt mit einer HMAC-SHA-256-Authentifizierung zu verschlüsseln tag. Für jeden Verschlüsselungsvorgang wird ein zufälliger 128-Bit-Initialisierungsvektor generiert.
Beim Erstellen einer Portalsitzung wird ein Prüfdatensatz gestartet. Sitzungsinformationen werden gelöscht, wenn sich der Benutzer abmeldet oder wenn die Sitzung abläuft.
Das standardmäßige Leerlauf-Timeout für Portalsitzungen beträgt 15 Minuten. Dies kann jedoch für die aktuelle Sitzung auf einen Wert zwischen 5 und 60 Minuten auf der Seite „Einstellungen“ konfiguriert werden. Nach diesem Wert wird die automatische Abmeldung eingeleitet.

Sicherheitsüberlegungen 16

Sicherheitsüberlegungen

HTTPS

HTTPS

Zeitraum. Mehrere Sitzungen sind in einem einzigen Browser nicht zulässig. Die maximale Anzahl gleichzeitiger Sitzungen ist auf 30 festgelegt. Das NFVIS-Portal verwendet Cookies, um Daten dem Benutzer zuzuordnen. Zur Erhöhung der Sicherheit werden die folgenden Cookie-Eigenschaften verwendet:
· „ephemeral“, um sicherzustellen, dass das Cookie abläuft, wenn der Browser geschlossen wird. · „httpOnly“, um den Zugriff auf das Cookie von JavaScript aus unzugänglich zu machen. · „secureProxy“, um sicherzustellen, dass das Cookie nur über SSL gesendet werden kann.
Auch nach der Authentifizierung sind Angriffe wie Cross-Site Request Forgery (CSRF) möglich. In diesem Szenario kann ein Endbenutzer versehentlich unerwünschte Aktionen auf einem web Anwendung, in der sie derzeit authentifiziert sind. Um dies zu verhindern, verwendet NFVIS CSRF-Token, um jede REST-API zu validieren, die während jeder Sitzung aufgerufen wird.
URL Umleitung In typischen web Servern, wenn eine Seite nicht gefunden wird auf dem web Server, erhält der Benutzer eine 404-Meldung; für Seiten, die existieren, wird ihm eine Anmeldeseite angezeigt. Die Sicherheitsauswirkung davon ist, dass ein Angreifer einen Brute-Force-Scan durchführen und leicht feststellen kann, welche Seiten und Ordner existieren. Um dies auf NFVIS zu verhindern, werden alle nicht existierenden URLs mit der Geräte-IP als Präfix werden mit einem 301-Statusantwortcode auf die Portal-Anmeldeseite umgeleitet. Dies bedeutet, dass unabhängig von der URL von einem Angreifer angefordert, wird er immer auf die Anmeldeseite weitergeleitet, um sich zu authentifizieren. Alle HTTP-Serveranforderungen werden auf HTTPS umgeleitet und mit den folgenden Headern konfiguriert:
· X-Content-Type-Optionen · X-XSS-Schutz · Inhaltssicherheitsrichtlinie · X-Frame-Optionen · Strikte Transportsicherheit · Cache-Steuerung
Deaktivieren des Portals Der NFVIS-Portalzugriff ist standardmäßig aktiviert. Wenn Sie das Portal nicht verwenden möchten, wird empfohlen, den Portalzugriff mit diesem Befehl zu deaktivieren:
Terminal konfigurieren Systemportalzugriff deaktiviert Commit
Alle HTTPS-Daten zu und von NFVIS verwenden Transport Layer Security (TLS) zur Kommunikation im Netzwerk. TLS ist der Nachfolger von Secure Socket Layer (SSL).

Sicherheitsüberlegungen 17

HTTPS

Sicherheitsüberlegungen
Der TLS-Handshake umfasst eine Authentifizierung, bei der der Client das SSL-Zertifikat des Servers bei der Zertifizierungsstelle überprüft, die es ausgestellt hat. Dadurch wird bestätigt, dass der Server der ist, für den er sich ausgibt, und dass der Client mit dem Eigentümer der Domäne interagiert. Standardmäßig verwendet NFVIS ein selbstsigniertes Zertifikat, um seinen Clients seine Identität zu beweisen. Dieses Zertifikat verfügt über einen 2048-Bit-öffentlichen Schlüssel, um die Sicherheit der TLS-Verschlüsselung zu erhöhen, da die Verschlüsselungsstärke direkt mit der Schlüsselgröße zusammenhängt.
Zertifikatsverwaltung NFVIS generiert bei der ersten Installation ein selbstsigniertes SSL-Zertifikat. Aus Sicherheitsgründen empfiehlt es sich, dieses Zertifikat durch ein gültiges Zertifikat zu ersetzen, das von einer konformen Zertifizierungsstelle (CA) signiert wurde. Gehen Sie folgendermaßen vor, um das standardmäßige selbstsignierte Zertifikat zu ersetzen: 1. Generieren Sie eine Zertifikatsignieranforderung (Certificate Signing Request, CSR) auf NFVIS.
Eine Certificate Signing Request (CSR) ist eine file mit einem Block kodierten Textes, der einer Zertifizierungsstelle bei der Beantragung eines SSL-Zertifikats übergeben wird. Dieser file enthält Informationen, die im Zertifikat enthalten sein sollten, wie z. B. den Organisationsnamen, den allgemeinen Namen (Domänenname), den Ort und das Land. Das file enthält auch den öffentlichen Schlüssel, der im Zertifikat enthalten sein sollte. NFVIS verwendet einen 2048-Bit-öffentlichen Schlüssel, da die Verschlüsselungsstärke bei einer größeren Schlüsselgröße höher ist. Um eine CSR auf NFVIS zu generieren, führen Sie den folgenden Befehl aus:
nfvis# Systemzertifikatsignaturanforderung [allgemeiner Name Ländercode Ort Organisation Organisationseinheitsname Staat] Die CSR file wird als /data/intdatastore/download/nfvis.csr gespeichert. . 2. Holen Sie sich mithilfe der CSR ein SSL-Zertifikat von einer Zertifizierungsstelle. Verwenden Sie von einem externen Host den Befehl scp, um die Zertifikatsignieranforderung herunterzuladen.
[myhost:/tmp] > scp -P 22222 admin@ :/data/intdatastore/download/nfvis.csrfile-Name>
Wenden Sie sich an eine Zertifizierungsstelle, um mit dieser CSR ein neues SSL-Serverzertifikat auszustellen. 3. Installieren Sie das von der Zertifizierungsstelle signierte Zertifikat.
Verwenden Sie von einem externen Server den Befehl scp, um das Zertifikat hochzuladen file in NFVIS zum data/intdatastore/uploads/ Verzeichnis.
[myhost:/tmp] > scp -P 22222 file> Administrator@ :/Daten/intdatastore/uploads
Installieren Sie das Zertifikat in NFVIS mit dem folgenden Befehl.
nfvis# Systemzertifikat Install-Cert-Pfad file:///data/intdatastore/uploads/<Zertifikat file>
4. Wechseln Sie zur Verwendung des von der Zertifizierungsstelle signierten Zertifikats. Verwenden Sie den folgenden Befehl, um das von der Zertifizierungsstelle signierte Zertifikat anstelle des standardmäßigen selbstsignierten Zertifikats zu verwenden.

Sicherheitsüberlegungen 18

Sicherheitsüberlegungen

SNMP-Zugriff

nfvis(config)# Systemzertifikat Use-Cert Zertifikatstyp CA-signed

SNMP-Zugriff

Simple Network Management Protocol (SNMP) ist ein Internet-Standardprotokoll zum Sammeln und Organisieren von Informationen über verwaltete Geräte in IP-Netzwerken und zum Ändern dieser Informationen, um das Geräteverhalten zu ändern.
Es wurden drei wichtige Versionen von SNMP entwickelt. NFVIS unterstützt SNMP Version 1, Version 2c und Version 3. SNMP Version 1 und 2 verwenden Community Strings zur Authentifizierung und diese werden im Klartext gesendet. Aus Sicherheitsgründen empfiehlt es sich daher, stattdessen SNMP v3 zu verwenden.
SNMPv3 bietet sicheren Zugriff auf Geräte unter Verwendung von drei Aspekten: Benutzer, Authentifizierung und Verschlüsselung. SNMPv3 verwendet das USM (User-based Security Module) zur Steuerung des Zugriffs auf über SNMP verfügbare Informationen. Der SNMP v3-Benutzer ist mit einem Authentifizierungstyp, einem Datenschutztyp sowie einer Passphrase konfiguriert. Alle Benutzer einer Gruppe verwenden dieselbe SNMP-Version, die spezifischen Sicherheitseinstellungen (Passwort, Verschlüsselungstyp usw.) werden jedoch pro Benutzer angegeben.
Die folgende Tabelle fasst die Sicherheitsoptionen innerhalb von SNMP zusammen

Modell

Ebene

Authentifizierung

Verschlüsselung

Ergebnis

v1

noAuthNoPriv

Community-String-Nr.

Nutzt eine Community

Zeichenfolgenübereinstimmung für

Authentifizierung.

v2c

noAuthNoPriv

Community-String-Nr.

Verwendet zur Authentifizierung eine Community-String-Übereinstimmung.

v3

noAuthNoPriv

Benutzername

NEIN

Verwendet einen Benutzernamen

Spiel für

Authentifizierung.

v3

authNoPriv

Nachrichtenübersicht 5 Nein

Bietet

(MD5)

Authentifizierung basiert

or

auf dem HMAC-MD5-96 oder

Sicherer Hash

HMAC-SHA-96

Algorithmus (SHA)

Algorithmen.

Sicherheitsüberlegungen 19

Banner mit rechtlichen Hinweisen

Sicherheitsüberlegungen

Modell v3

Ebene authPriv

Authentifizierung MD5 oder SHA

Verschlüsselung

Ergebnis

Datenverschlüsselung bietet

Standard (DES) oder Authentifizierung basierend

Fortschrittlich

auf der

Verschlüsselungsstandard HMAC-MD5-96 oder

(ESA)

HMAC-SHA-96

Algorithmen.

Bietet einen DES-Chiffrieralgorithmus im Cipher Block Chaining Mode (CBC-DES)

or

AES-Verschlüsselungsalgorithmus im Cipher FeedBack Mode (CFB) mit einer Schlüsselgröße von 128 Bit (CFB128-AES-128)

Seit seiner Einführung durch NIST ist AES zum dominierenden Verschlüsselungsalgorithmus in der gesamten Branche geworden. Um der Migration der Branche weg von MD5 und hin zu SHA zu folgen, ist es eine bewährte Sicherheitsmethode, das SNMP v3-Authentifizierungsprotokoll als SHA und das Datenschutzprotokoll als AES zu konfigurieren.
Weitere Einzelheiten zu SNMP finden Sie unter Einführung zu SNMP

Banner mit rechtlichen Hinweisen
Es wird empfohlen, bei allen interaktiven Sitzungen ein Banner mit rechtlichen Hinweisen anzuzeigen, um sicherzustellen, dass die Benutzer über die Sicherheitsrichtlinie informiert werden, die durchgesetzt wird und der sie unterliegen. In einigen Rechtsgebieten ist die zivil- und/oder strafrechtliche Verfolgung eines Angreifers, der in ein System eindringt, einfacher oder sogar erforderlich, wenn ein Banner mit rechtlichen Hinweisen angezeigt wird, das nicht autorisierte Benutzer darüber informiert, dass ihre Nutzung tatsächlich nicht autorisiert ist. In einigen Rechtsgebieten kann es auch verboten sein, die Aktivitäten eines nicht autorisierten Benutzers zu überwachen, sofern dieser nicht über die Absicht informiert wurde, dies zu tun.
Die gesetzlichen Meldepflichten sind komplex und variieren in jeder Rechtsordnung und Situation. Selbst innerhalb von Rechtsordnungen gibt es unterschiedliche Rechtsauffassungen. Besprechen Sie dieses Problem mit Ihrem eigenen Rechtsberater, um sicherzustellen, dass das Meldebanner den gesetzlichen Anforderungen des Unternehmens sowie den lokalen und internationalen Anforderungen entspricht. Dies ist oft entscheidend, um im Falle einer Sicherheitsverletzung geeignete Maßnahmen ergreifen zu können. In Zusammenarbeit mit dem Rechtsberater des Unternehmens können in einem Meldebanner folgende Aussagen enthalten sein:
· Hinweis, dass der Zugriff auf das System und die Nutzung nur ausdrücklich autorisiertem Personal gestattet ist und ggf. Angaben darüber, wer die Nutzungsberechtigung erteilt.
· Benachrichtigung, dass unbefugter Zugriff auf das System und dessen Nutzung rechtswidrig sind und zivil- und/oder strafrechtliche Konsequenzen nach sich ziehen können.
· Benachrichtigung, dass der Zugriff auf das System und seine Verwendung ohne weitere Benachrichtigung protokolliert oder überwacht werden können und die daraus resultierenden Protokolle als Beweismittel vor Gericht verwendet werden können.
· Zusätzliche spezielle Hinweise, die durch bestimmte lokale Gesetze erforderlich sind.

Sicherheitsüberlegungen 20

Sicherheitsüberlegungen

Zurücksetzen auf Werkseinstellungen

Aus sicherheitstechnischer, nicht aus rechtlicher Sicht view, ein Banner mit einem rechtlichen Hinweis sollte keine spezifischen Informationen über das Gerät enthalten, wie etwa Name, Modell, Software, Standort, Betreiber oder Besitzer, da diese Art von Informationen für einen Angreifer nützlich sein könnten.
Das Folgende ist alsampdas Banner mit den rechtlichen Hinweisen, das vor der Anmeldung angezeigt werden kann:
UNBEFUGTER ZUGRIFF AUF DIESES GERÄT IST VERBOTEN Sie müssen über eine ausdrückliche, autorisierte Erlaubnis verfügen, um auf dieses Gerät zuzugreifen oder es zu konfigurieren. Unbefugte Versuche und Aktionen, auf dieses Gerät zuzugreifen oder es zu verwenden
Dieses System kann zivil- und/oder strafrechtliche Folgen haben. Alle auf diesem Gerät durchgeführten Aktivitäten werden protokolliert und überwacht

Hinweis: Präsentieren Sie ein Banner mit rechtlichen Hinweisen, das von der Rechtsberatung des Unternehmens genehmigt wurde.
NFVIS ermöglicht die Konfiguration eines Banners und einer Nachricht des Tages (MOTD). Das Banner wird angezeigt, bevor sich der Benutzer anmeldet. Sobald sich der Benutzer bei NFVIS anmeldet, bietet ein systemdefiniertes Banner Copyright-Informationen zu NFVIS und die Nachricht des Tages (MOTD), sofern konfiguriert, wird angezeigt, gefolgt von der Eingabeaufforderung oder dem Portal view, abhängig von der Anmeldemethode.
Es wird empfohlen, ein Anmeldebanner zu implementieren, um sicherzustellen, dass bei allen Geräteverwaltungszugriffssitzungen vor der Anzeige einer Anmeldeaufforderung ein Banner mit rechtlichen Hinweisen angezeigt wird. Verwenden Sie diesen Befehl, um das Banner und MOTD zu konfigurieren.
nfvis(config)# banner-motd banner motd
Weitere Informationen zum Bannerbefehl finden Sie unter „Banner konfigurieren“, „Nachricht des Tages“ und „Systemzeit“.

Zurücksetzen auf Werkseinstellungen
Beim Zurücksetzen auf die Werkseinstellungen werden alle kundenspezifischen Daten gelöscht, die seit dem Versand auf dem Gerät gespeichert wurden. Die gelöschten Daten umfassen Konfigurationen, Protokolle files, VM-Images, Konnektivitätsinformationen und Benutzeranmeldeinformationen.
Es bietet einen Befehl zum Zurücksetzen des Geräts auf die Werkseinstellungen und ist in den folgenden Szenarien nützlich:
· Rücksendegenehmigung (RMA) für ein Gerät – Wenn Sie ein Gerät für eine RMA an Cisco zurücksenden müssen, verwenden Sie die Funktion „Werkseinstellungen zurücksetzen“, um alle kundenspezifischen Daten zu entfernen.
· Wiederherstellen eines kompromittierten Geräts – Wenn die auf einem Gerät gespeicherten Schlüsselmaterialien oder Anmeldeinformationen kompromittiert wurden, setzen Sie das Gerät auf die Werkseinstellungen zurück und konfigurieren Sie es anschließend neu.
· Wenn dasselbe Gerät an einem anderen Standort mit einer neuen Konfiguration wiederverwendet werden muss, führen Sie einen Factory Default-Reset durch, um die vorhandene Konfiguration zu entfernen und es in einen sauberen Zustand zu versetzen.

NFVIS bietet beim Zurücksetzen auf Werkseinstellungen die folgenden Optionen:

Option zum Zurücksetzen auf die Werkseinstellungen

Daten gelöscht

Aufbewahrte Daten

alle

Alle Konfigurationen, hochgeladene Bilder Das Admin-Konto bleibt erhalten und

files, VMs und Protokolle.

Das Passwort wird geändert in

Für die Verbindung zum Gerät wird das werkseitig voreingestellte Passwort verwendet.

verloren.

Sicherheitsüberlegungen 21

Infrastruktur-Management-Netzwerk

Sicherheitsüberlegungen

Option „Zurücksetzen auf Werkseinstellung“: alles außer Bilder
alles-außer-Bilder-Konnektivität
Herstellung

Daten gelöscht

Aufbewahrte Daten

Alle Konfigurationen außer Bild Bildkonfiguration, registriert

Konfiguration, VMs und hochgeladene Bilder und Protokolle

Bild files.

Das Admin-Konto bleibt erhalten und

Die Verbindung zum Gerät wird das Passwort geändert auf das

verloren.

werkseitig voreingestelltes Passwort.

Alle Konfigurationen außer Bild, Bilder, Netzwerk und Konnektivität

Netzwerk und Konnektivität

zugehörige Konfiguration, registriert

Konfiguration, VMs, hochgeladene Bilder und Protokolle.

Bild files.

Das Admin-Konto bleibt erhalten und

Die Verbindung zum Gerät ist

der zuvor konfigurierte Admin

verfügbar.

Das Passwort bleibt erhalten.

Alle Konfigurationen außer Image-Konfiguration, VMs, hochgeladenes Image files und Protokolle.
Die Verbindung zum Gerät geht verloren.

Bildbezogene Konfiguration und registrierte Bilder
Der Admin-Account bleibt erhalten und das Passwort wird auf das werkseitig voreingestellte Passwort geändert.

Der Benutzer muss die entsprechende Option je nach Zweck der Zurücksetzung auf die Werkseinstellungen sorgfältig auswählen. Weitere Informationen finden Sie unter Zurücksetzen auf die Werkseinstellungen.

Infrastruktur-Management-Netzwerk
Ein Infrastrukturmanagementnetzwerk ist das Netzwerk, das den Steuerungs- und Verwaltungsdatenverkehr (wie NTP, SSH, SNMP, Syslog usw.) für die Infrastrukturgeräte überträgt. Der Gerätezugriff kann über die Konsole oder über die Ethernet-Schnittstellen erfolgen. Dieser Steuerungs- und Verwaltungsdatenverkehr ist für den Netzwerkbetrieb von entscheidender Bedeutung, da er Einblick in das Netzwerk und Kontrolle darüber bietet. Folglich ist ein gut konzipiertes und sicheres Infrastrukturmanagementnetzwerk für die allgemeine Sicherheit und den Betrieb eines Netzwerks von entscheidender Bedeutung. Eine der wichtigsten Empfehlungen für ein sicheres Infrastrukturmanagementnetzwerk ist die Trennung von Verwaltungs- und Datenverkehr, um die Fernverwaltung auch bei hoher Belastung und hohem Datenverkehr sicherzustellen. Dies kann mithilfe einer dedizierten Verwaltungsschnittstelle erreicht werden.
Im Folgenden sind die Implementierungsansätze für das Infrastrukturmanagementnetzwerk aufgeführt:
Out-of-Band-Verwaltung
Ein Out-of-Band-Management-(OOB)-Verwaltungsnetzwerk besteht aus einem Netzwerk, das vollständig unabhängig und physisch getrennt von dem Datennetzwerk ist, das es verwaltet. Dies wird manchmal auch als Data Communications Network (DCN) bezeichnet. Netzwerkgeräte können sich auf verschiedene Weise mit dem OOB-Netzwerk verbinden: NFVIS unterstützt eine integrierte Verwaltungsschnittstelle, die zur Verbindung mit dem OOB-Netzwerk verwendet werden kann. NFVIS ermöglicht die Konfiguration einer vordefinierten physischen Schnittstelle, des MGMT-Ports auf dem ENCS, als dedizierte Verwaltungsschnittstelle. Die Beschränkung von Verwaltungspaketen auf bestimmte Schnittstellen bietet eine bessere Kontrolle über die Verwaltung eines Geräts und sorgt so für mehr Sicherheit für dieses Gerät. Weitere Vorteile sind eine verbesserte Leistung für Datenpakete auf Nicht-Verwaltungsschnittstellen, Unterstützung der Netzwerkskalierbarkeit,

Sicherheitsüberlegungen 22

Sicherheitsüberlegungen

Pseudo-Out-of-Band-Verwaltung

Es sind weniger Zugriffskontrolllisten (ACLs) erforderlich, um den Zugriff auf ein Gerät einzuschränken, und es wird verhindert, dass Management-Paketfluten die CPU erreichen. Netzwerkgeräte können auch über dedizierte Datenschnittstellen eine Verbindung zum OOB-Netzwerk herstellen. In diesem Fall sollten ACLs bereitgestellt werden, um sicherzustellen, dass der Management-Datenverkehr nur von den dedizierten Schnittstellen verarbeitet wird. Weitere Informationen finden Sie unter Konfigurieren der IP-Empfangs-ACL und des Ports 22222 und der Management-Schnittstellen-ACL.
Pseudo-Out-of-Band-Verwaltung
Ein Pseudo-Out-of-Band-Verwaltungsnetzwerk verwendet dieselbe physische Infrastruktur wie das Datennetzwerk, bietet aber eine logische Trennung durch die virtuelle Trennung des Datenverkehrs mithilfe von VLANs. NFVIS unterstützt die Erstellung von VLANs und virtuellen Brücken, um verschiedene Datenverkehrsquellen zu identifizieren und den Datenverkehr zwischen VMs zu trennen. Durch separate Brücken und VLANs werden der Datenverkehr des virtuellen Maschinennetzwerks und das Verwaltungsnetzwerk isoliert, wodurch eine Verkehrssegmentierung zwischen den VMs und dem Host ermöglicht wird. Weitere Informationen finden Sie unter Konfigurieren von VLAN für NFVIS-Verwaltungsdatenverkehr.
In-Band-Management
Ein In-Band-Management-Netzwerk verwendet dieselben physischen und logischen Pfade wie der Datenverkehr. Letztendlich erfordert dieses Netzwerkdesign eine kundenindividuelle Analyse von Risiko gegenüber Nutzen und Kosten. Einige allgemeine Überlegungen umfassen:
· Ein isoliertes OOB-Verwaltungsnetzwerk maximiert die Sichtbarkeit und Kontrolle über das Netzwerk, selbst bei Störungen.
· Durch die Übertragung der Netzwerktelemetrie über ein OOB-Netzwerk wird die Gefahr einer Störung genau jener Informationen minimiert, die für die kritische Netzwerktransparenz sorgen.
· Der In-Band-Verwaltungszugriff auf die Netzwerkinfrastruktur, Hosts usw. kann im Falle eines Netzwerkvorfalls vollständig verloren gehen, wodurch jegliche Netzwerksichtbarkeit und -kontrolle verloren geht. Um dieses Vorkommnis zu mildern, sollten entsprechende QoS-Kontrollen eingerichtet werden.
· NFVIS bietet Schnittstellen, die speziell für die Geräteverwaltung vorgesehen sind, darunter serielle Konsolenanschlüsse und Ethernet-Verwaltungsschnittstellen.
· Ein OOB-Verwaltungsnetzwerk kann normalerweise zu angemessenen Kosten bereitgestellt werden, da der Verwaltungsnetzwerkverkehr normalerweise weder eine hohe Bandbreite noch Hochleistungsgeräte erfordert und nur eine ausreichende Portdichte benötigt, um die Konnektivität mit jedem Infrastrukturgerät zu unterstützen.
Schutz lokal gespeicherter Informationen
Schutz vertraulicher Informationen
NFVIS speichert einige sensible Informationen lokal, darunter Passwörter und Geheimnisse. Passwörter sollten im Allgemeinen von einem zentralen AAA-Server verwaltet und kontrolliert werden. Aber auch wenn ein zentraler AAA-Server eingesetzt wird, sind einige lokal gespeicherte Passwörter für bestimmte Fälle erforderlich, z. B. für den lokalen Fallback, falls AAA-Server nicht verfügbar sind, für spezielle Benutzernamen usw. Diese lokalen Passwörter und andere sensible

Sicherheitsüberlegungen 23

File Überweisen

Sicherheitsüberlegungen

Informationen werden auf NFVIS als Hashes gespeichert, sodass es nicht möglich ist, die ursprünglichen Anmeldeinformationen aus dem System wiederherzustellen. Hashing ist eine weithin akzeptierte Industrienorm.

File Überweisen
FileZu den s, die möglicherweise auf NFVIS-Geräte übertragen werden müssen, gehören VM-Image und NFVIS-Upgrade files. Die sichere Übertragung von files ist entscheidend für die Sicherheit der Netzwerkinfrastruktur. NFVIS unterstützt Secure Copy (SCP), um die Sicherheit von file Übertragung. SCP verwendet SSH für die sichere Authentifizierung und den Transport und ermöglicht das sichere und authentifizierte Kopieren von files.
Eine sichere Kopie von NFVIS wird durch den scp-Befehl initiiert. Der Befehl secure copy (scp) ermöglicht nur dem Administrator das sichere Kopieren files von NFVIS zu einem externen System oder von einem externen System zu NFVIS.
Die Syntax für den scp-Befehl lautet:
scp
Wir verwenden Port 22222 für den NFVIS SCP-Server. Standardmäßig ist dieser Port geschlossen und Benutzer können keine sicheren Kopien erstellen. files in NFVIS von einem externen Client. Wenn es notwendig ist, SCP ein file Von einem externen Client aus kann der Benutzer den Port folgendermaßen öffnen:
Systemeinstellungen ip-receive-acl (Adresse)/(Maskenlänge) Dienst scpd Priorität (Nummer) Aktion akzeptieren
begehen
Um zu verhindern, dass Benutzer auf Systemverzeichnisse zugreifen, kann sicheres Kopieren nur von oder zu intdatastore:, extdatastore1:, extdatastore2:, usb: und nfs: durchgeführt werden, sofern verfügbar. Sicheres Kopieren kann auch von logs: und techsupport: durchgeführt werden.

Protokollierung

NFVIS-Zugriffe und Konfigurationsänderungen werden als Prüfprotokolle protokolliert, um die folgenden Informationen aufzuzeichnen: · Wer hat auf das Gerät zugegriffen? · Wann hat sich ein Benutzer angemeldet? · Was hat ein Benutzer in Bezug auf die Hostkonfiguration und den VM-Lebenszyklus getan? · Wann hat sich ein Benutzer abgemeldet? · Fehlgeschlagene Zugriffsversuche · Fehlgeschlagene Authentifizierungsanforderungen · Fehlgeschlagene Autorisierungsanforderungen
Diese Informationen sind für die forensische Analyse im Falle von unbefugten Angriffen oder Zugriffen sowie bei Konfigurationsänderungen und zur Planung von Änderungen in der Gruppenverwaltung von unschätzbarem Wert. Sie können auch in Echtzeit verwendet werden, um anomale Aktivitäten zu identifizieren, die auf einen Angriff hinweisen können. Diese Analyse kann mit Informationen aus zusätzlichen externen Quellen wie IDS- und Firewall-Protokollen korreliert werden.

Sicherheitsüberlegungen 24

Sicherheitsüberlegungen

Sicherheit virtueller Maschinen

Alle wichtigen Ereignisse auf dem NFVIS werden als Ereignisbenachrichtigungen an NETCONF-Abonnenten und als Syslogs an die konfigurierten zentralen Protokollierungsserver gesendet. Weitere Informationen zu Syslog-Nachrichten und Ereignisbenachrichtigungen finden Sie im Anhang.
Sicherheit virtueller Maschinen
In diesem Abschnitt werden Sicherheitsfunktionen im Zusammenhang mit der Registrierung, Bereitstellung und dem Betrieb von virtuellen Maschinen auf NFVIS beschrieben.
Sicherer VNF-Start
NFVIS unterstützt Open Virtual Machine Firmware (OVMF), um UEFI Secure Boot für virtuelle Maschinen zu ermöglichen, die Secure Boot unterstützen. VNF Secure Boot überprüft, ob jede Schicht der VM-Bootsoftware signiert ist, einschließlich des Bootloaders, des Betriebssystemkernels und der Betriebssystemtreiber.

Weitere Informationen finden Sie unter „Sicherer Start von VNFs“.
VNC-Konsolenzugriffsschutz
NFVIS ermöglicht dem Benutzer, eine Virtual Network Computing (VNC)-Sitzung zu erstellen, um auf den Remote-Desktop einer bereitgestellten VM zuzugreifen. Um dies zu ermöglichen, öffnet NFVIS dynamisch einen Port, mit dem sich der Benutzer über seinen web Browser. Dieser Port bleibt nur 60 Sekunden lang offen, damit ein externer Server eine Sitzung zur VM starten kann. Wenn innerhalb dieser Zeit keine Aktivität zu verzeichnen ist, wird der Port geschlossen. Die Portnummer wird dynamisch vergeben und ermöglicht somit nur einen einmaligen Zugriff auf die VNC-Konsole.
nfvis# vncconsole start Bereitstellungsname 1510614035 VM-Name ROUTER vncconsole-url :6005/vnc_auto.html
Richten Sie Ihren Browser auf https:// :6005/vnc_auto.html stellt eine Verbindung zur VNC-Konsole der ROUTER-VM her.
Sicherheitsüberlegungen 25

Verschlüsselte VM-Konfigurationsdatenvariablen

Sicherheitsüberlegungen

Verschlüsselte VM-Konfigurationsdatenvariablen
Während der VM-Bereitstellung stellt der Benutzer eine Tag-0-Konfiguration bereit file für die VM. Dies file können vertrauliche Informationen wie Passwörter und Schlüssel enthalten. Wenn diese Informationen als Klartext weitergegeben werden, erscheinen sie im Protokoll files und interne Datenbankeinträge im Klartext. Mit dieser Funktion kann der Benutzer eine Konfigurationsdatenvariable als vertraulich kennzeichnen, sodass ihr Wert mit der AES-CFB-128-Verschlüsselung verschlüsselt wird, bevor er gespeichert oder an interne Subsysteme weitergegeben wird.
Weitere Informationen finden Sie unter VM-Bereitstellungsparameter.
Prüfsummenüberprüfung für die Remote-Image-Registrierung
Um ein entfernt gespeichertes VNF-Image zu registrieren, gibt der Benutzer seinen Speicherort an. Das Image muss von einer externen Quelle heruntergeladen werden, beispielsweise von einem NFS-Server oder einem Remote-HTTPS-Server.
Um zu erfahren, ob ein heruntergeladener file sicher zu installieren ist, ist es wichtig, die files Prüfsumme, bevor Sie sie verwenden. Durch die Überprüfung der Prüfsumme wird sichergestellt, dass die file wurde nicht während der Netzwerkübertragung beschädigt oder vor dem Download von einem böswilligen Dritten verändert.
NFVIS unterstützt die Optionen „checksum“ und „checksum_algorithm“, mit denen der Benutzer die erwartete Prüfsumme und den Prüfsummenalgorithmus (SHA256 oder SHA512) angeben kann, die zum Überprüfen der Prüfsumme des heruntergeladenen Images verwendet werden sollen. Die Image-Erstellung schlägt fehl, wenn die Prüfsumme nicht übereinstimmt.
Zertifizierungsvalidierung für die Remote-Bildregistrierung
Um ein VNF-Image zu registrieren, das sich auf einem HTTPS-Server befindet, muss das Image vom Remote-HTTPS-Server heruntergeladen werden. Um dieses Image sicher herunterzuladen, überprüft NFVIS das SSL-Zertifikat des Servers. Der Benutzer muss entweder den Pfad zum Zertifikat angeben file oder den Zertifikatsinhalt im PEM-Format, um diesen sicheren Download zu ermöglichen.
Weitere Einzelheiten finden Sie im Abschnitt zur Zertifikatsvalidierung für die Bildregistrierung
VM-Isolierung und Ressourcenbereitstellung
Die Network Function Virtualization (NFV)-Architektur besteht aus:
· Virtualisierte Netzwerkfunktionen (VNFs): Das sind virtuelle Maschinen, auf denen Softwareanwendungen ausgeführt werden, die Netzwerkfunktionen wie Router, Firewall, Lastenausgleich usw. bereitstellen.
· Infrastruktur zur Virtualisierung von Netzwerkfunktionen, die aus den Infrastrukturkomponenten Computer, Speicher, Datenspeicher und Netzwerk besteht, auf einer Plattform, die die erforderliche Software und den erforderlichen Hypervisor unterstützt.
Mit NFV werden Netzwerkfunktionen virtualisiert, sodass mehrere Funktionen auf einem einzigen Server ausgeführt werden können. Dadurch wird weniger physische Hardware benötigt, was eine Ressourcenkonsolidierung ermöglicht. In dieser Umgebung ist es wichtig, dedizierte Ressourcen für mehrere VNFs von einem einzigen physischen Hardwaresystem aus zu simulieren. Mit NFVIS können VMs kontrolliert bereitgestellt werden, sodass jede VM die Ressourcen erhält, die sie benötigt. Ressourcen werden nach Bedarf von der physischen Umgebung auf die vielen virtuellen Umgebungen verteilt. Die einzelnen VM-Domänen sind isoliert, sodass sie separate, unterschiedliche und sichere Umgebungen sind, die nicht miteinander um gemeinsam genutzte Ressourcen konkurrieren.
VMs können nicht mehr Ressourcen verwenden als bereitgestellt sind. Dadurch wird ein Denial-of-Service-Zustand durch eine VM vermieden, die die Ressourcen verbraucht. Dadurch werden CPU, Speicher, Netzwerk und Speicher geschützt.

Sicherheitsüberlegungen 26

Sicherheitsüberlegungen
CPU-Isolierung

CPU-Isolierung

Das NFVIS-System reserviert Kerne für die auf dem Host ausgeführte Infrastruktursoftware. Die restlichen Kerne stehen für die VM-Bereitstellung zur Verfügung. Dies garantiert, dass die Leistung der VM die Leistung des NFVIS-Hosts nicht beeinträchtigt. VMs mit geringer Latenz NFVIS weist VMs mit geringer Latenz, die darauf bereitgestellt werden, explizit dedizierte Kerne zu. Wenn die VM 2 vCPUs benötigt, werden ihr 2 dedizierte Kerne zugewiesen. Dies verhindert die gemeinsame Nutzung und Überbuchung von Kernen und garantiert die Leistung der VMs mit geringer Latenz. Wenn die Anzahl der verfügbaren Kerne geringer ist als die Anzahl der von einer anderen VM mit geringer Latenz angeforderten vCPUs, wird die Bereitstellung verhindert, da wir nicht über ausreichend Ressourcen verfügen. VMs mit nicht geringer Latenz NFVIS weist VMs mit nicht geringer Latenz gemeinsam nutzbare CPUs zu. Wenn die VM 2 vCPUs benötigt, werden ihr 2 CPUs zugewiesen. Diese 2 CPUs können von anderen VMs mit nicht geringer Latenz gemeinsam genutzt werden. Wenn die Anzahl der verfügbaren CPUs geringer ist als die Anzahl der von einer anderen VM mit nicht geringer Latenz angeforderten vCPUs, ist die Bereitstellung dennoch zulässig, da diese VM die CPU mit vorhandenen VMs mit nicht geringer Latenz teilt.
Speicherzuweisung
Die NFVIS-Infrastruktur erfordert eine bestimmte Menge an Speicher. Wenn eine VM bereitgestellt wird, wird geprüft, ob der verfügbare Speicher nach der Reservierung des für die Infrastruktur und zuvor bereitgestellte VMs erforderlichen Speichers für die neue VM ausreicht. Wir erlauben keine Speicherüberbuchung für die VMs.
Sicherheitsüberlegungen 27

Speicherisolation
VMs dürfen nicht direkt auf den Host zugreifen file System und Speicher.
Speicherisolation

Sicherheitsüberlegungen

Die ENCS-Plattform unterstützt einen internen Datenspeicher (M2 SSD) und externe Festplatten. NFVIS ist auf dem internen Datenspeicher installiert. VNFs können auch auf diesem internen Datenspeicher bereitgestellt werden. Es ist eine bewährte Sicherheitsmethode, Kundendaten zu speichern und virtuelle Maschinen für Kundenanwendungen auf den externen Festplatten bereitzustellen. Physisch getrennte Festplatten für das System files vs die Anwendung fileEs hilft, Systemdaten vor Beschädigung und Sicherheitsproblemen zu schützen.
·
Schnittstellenisolierung
Single Root I/O Virtualization oder SR-IOV ist eine Spezifikation, die die Isolierung von PCI Express (PCIe)-Ressourcen wie einem Ethernet-Port ermöglicht. Mit SR-IOV kann ein einzelner Ethernet-Port als mehrere separate physische Geräte, sogenannte virtuelle Funktionen, dargestellt werden. Alle VF-Geräte auf diesem Adapter teilen sich denselben physischen Netzwerkport. Ein Gast kann eine oder mehrere dieser virtuellen Funktionen verwenden. Eine virtuelle Funktion erscheint dem Gast als Netzwerkkarte, so wie eine normale Netzwerkkarte einem Betriebssystem erscheint. Virtuelle Funktionen haben eine nahezu native Leistung und bieten eine bessere Leistung als paravirtualisierte Treiber und emulierter Zugriff. Virtuelle Funktionen bieten Datenschutz zwischen Gästen auf demselben physischen Server, da die Daten von der Hardware verwaltet und gesteuert werden. NFVIS-VNFs können SR-IOV-Netzwerke verwenden, um eine Verbindung zu WAN- und LAN-Backplane-Ports herzustellen.
Sicherheitsüberlegungen 28

Sicherheitsüberlegungen

Sicherer Entwicklungslebenszyklus

Jede dieser VMs besitzt eine virtuelle Schnittstelle und die zugehörigen Ressourcen, wodurch der Datenschutz zwischen den VMs gewährleistet wird.
Sicherer Entwicklungslebenszyklus
NFVIS folgt einem Secure Development Lifecycle (SDL) für Software. Dies ist ein wiederholbarer, messbarer Prozess, der darauf ausgelegt ist, Schwachstellen zu reduzieren und die Sicherheit und Belastbarkeit von Cisco-Lösungen zu verbessern. Cisco SDL wendet branchenführende Verfahren und Technologien an, um vertrauenswürdige Lösungen zu entwickeln, bei denen weniger im Feld entdeckte Produktsicherheitsvorfälle auftreten. Jede NFVIS-Version durchläuft die folgenden Prozesse.
· Befolgen der Cisco-internen und marktbasierten Produktsicherheitsanforderungen · Registrieren von Software von Drittanbietern in einem zentralen Repository bei Cisco zur Schwachstellenverfolgung · Regelmäßiges Patchen der Software mit bekannten Fixes für CVEs. · Entwerfen von Software unter Berücksichtigung der Sicherheit · Befolgen sicherer Codierungspraktiken wie der Verwendung geprüfter gängiger Sicherheitsmodule wie CiscoSSL, Ausführen
Statische Analyse und Implementierung einer Eingabevalidierung zur Verhinderung von Befehlsinjektion usw. · Verwenden von Anwendungssicherheitstools wie IBM AppScan, Nessus und anderen internen Cisco-Tools.

Sicherheitsüberlegungen 29

Sicherer Entwicklungslebenszyklus

Sicherheitsüberlegungen

Sicherheitsüberlegungen 30

Dokumente / Ressourcen

CISCO Enterprise Network Function Virtualization Infrastruktursoftware [pdf] Benutzerhandbuch
Infrastruktursoftware für die Virtualisierung von Netzwerkfunktionen in Unternehmen, Unternehmen, Infrastruktursoftware für die Virtualisierung von Netzwerkfunktionen, Virtualisierungsinfrastruktursoftware, Infrastruktursoftware

Verweise

Verwandte Artikel

Hinterlasse einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Pflichtfelder sind markiert *