Enpresen Sare Funtzioa Birtualizazio Azpiegitura Softwarea

Produktuaren informazioa

Zehaztapenak

• NFVIS softwarearen bertsioa: 3.7.1 eta berriagoa
• RPM sinadura eta sinadura egiaztapena onartzen dira
• Abio segurua eskuragarri (lehenespenez desgaituta)
• Erabiltzen den Secure Unique Device Identification (SUDI) mekanismoa

Segurtasun-gogoetak

NFVIS softwareak segurtasuna bermatzen du hainbaten bidez
mekanismoak:

• T irudiaamper Protection: RPM sinadura eta sinadura egiaztatzea
  ISO-ko RPM pakete guztietarako eta eguneratu irudiak.
• RPM sinadura: RPM pakete guztiak Cisco Enterprise NFVIS ISO-n
  eta bertsio berritzeko irudiak sinatzen dira osotasun kriptografikoa bermatzeko eta
  benetakotasuna.
• RPM sinadura egiaztatzea: RPM pakete guztien sinadura da
  instalatu edo berritu aurretik egiaztatu.
• Irudiaren osotasuna egiaztatzea: Cisco NFVIS ISO irudiaren hash
  eta bertsio berritzeko irudia argitaratzen da osagarrien osotasuna bermatzeko
  ez RPM files.
• ENCS Secure Boot: UEFI estandarraren parte da, bermatzen du
  gailuak software fidagarria erabiliz soilik abiarazten du.
• Secure Unique Device Identification (SUDI): Gailua ematen du
  bere benetakotasuna egiaztatzeko identitate aldaezina duena.

Instalazioa

NFVIS softwarea instalatzeko, jarraitu urrats hauek:

1. Ziurtatu softwarearen irudia ez dela tampby batera eratua
   bere sinadura eta osotasuna egiaztatzea.
2. Cisco Enterprise NFVIS 3.7.1 eta berriagoa erabiltzen baduzu, ziurtatu
   sinadura egiaztapena instalazioan zehar igarotzen da. Huts egiten badu,
   instalazioa bertan behera utziko da.
3. Cisco Enterprise NFVIS 3.6.x bertsiotik bertsiora eguneratzen baduzu
   3.7.1, RPM sinadurak eguneratzean egiaztatzen dira. bada
   sinadura egiaztatzeak huts egin du, errore bat erregistratu da baina berritzea bai
   osatua.
4. 3.7.1 bertsiotik geroagoko bertsioetara eguneratzen baduzu, RPM
   sinadurak berritze-irudia erregistratzean egiaztatzen dira. Bada
   sinadura egiaztatzeak huts egiten du, bertsio berritzea bertan behera uzten da.
5. Egiaztatu Cisco NFVIS ISO irudiaren hash-a edo bertsio berritzea
   komandoa erabiliz: /usr/bin/sha512sum
<image_filepath>. Konparatu hash-a argitaratutakoarekin
   hash osotasuna bermatzeko.

Abio segurua

Abio segurua ENCS-en eskuragarri dagoen eginbide bat da (desgaituta dago lehenespenez)
horrek ziurtatzen du gailua software fidagarria erabiliz soilik abiarazten duela. To
gaitu abio segurua:

1. Ikusi Ostalariaren abio seguruari buruzko dokumentazioa gehiago lortzeko
   informazioa.
2. Jarraitu emandako argibideei abio segurua gaitzeko
   gailua.

Gailuen identifikazio esklusibo segurua (SUDI)

SUDIk NFVISi identitate aldaezina eskaintzen dio, hori egiaztatzen duena
benetako Cisco produktua da eta bere aitorpena bermatzen du
bezeroaren inbentario-sistema.

Ohiko galderak

G: Zer da NFVIS?

A: NFVIS sareko funtzioen birtualizazioa da
Azpiegituraren softwarea. Hedatzeko erabiltzen den software-plataforma bat da
eta sare birtualeko funtzioak kudeatu.

G: Nola egiaztatu dezaket NFVIS ISO irudiaren osotasuna edo
irudia berritu?

A: Osotasuna egiaztatzeko, erabili komandoa
/usr/bin/sha512sum <image_filepath> eta konparatu
Ciscok emandako argitaratutako hash-a.

G: Abio segurua gaituta al dago lehenespenez ENCS-en?

E: Ez, abio segurua desgaituta dago lehenespenez ENCS-en. Da
abio segurua gaitzea gomendatzen da segurtasuna hobetzeko.

G: Zein da SUDIren helburua NFVISen?

E: SUDIk NFVISi identitate bakarra eta aldaezina eskaintzen dio,
Cisco produktu gisa bere benetakotasuna ziurtatzea eta bere erraztea
aitorpena bezeroaren inbentario-sisteman.

Segurtasun-gogoetak
Kapitulu honek NFVIS-en segurtasun-ezaugarriak eta gogoetak deskribatzen ditu. Maila handiko gaina ematen duview NFVIS-en segurtasunarekin erlazionatutako osagaien segurtasun-estrategia planifikatzeko, zuretzat espezifikoak diren inplementazioetarako. Gainera, sareko segurtasunaren oinarrizko elementuak betearazteko segurtasun-jardunbide egokiei buruzko gomendioak ere baditu. NFVIS softwareak segurtasuna barneratuta dauka instalaziotik hasita software geruza guztietan zehar. Ondorengo kapituluek kaxatik kanpoko segurtasun-alderdi hauetan oinarritzen da, hala nola kredentzialen kudeaketa, osotasuna eta tampbabesa, saioaren kudeaketa, gailurako sarbidea segurua eta gehiago.

· Instalazioa, 2. orrialdean · Gailuaren identifikazio bakarra segurua, 3. orrialdean · Gailuaren sarbidea, 4. orrialdean

Segurtasun kontuak 1

Instalazioa

Segurtasun-gogoetak

· Azpiegiturak kudeatzeko sarea, 22. orrialdean · Lokalean gordetako informazioa babestea, 23. orrialdean · File Transfer, 24. orrialdean · Erregistratzea, 24. orrialdean · Makina birtualaren segurtasuna, 25. orrialdean · VM isolamendua eta baliabideen hornidura, 26. orrialdean · Garapen seguruaren bizi-zikloa, 29. orrialdean

Instalazioa
NFVIS softwarea izan ez dela ziurtatzekoamprekin sortuta, softwarearen irudia instalatu aurretik egiaztatzen da mekanismo hauek erabiliz:

T irudiaamper Babesa
NFVIS-ek RPM sinadura eta sinadura egiaztatzea onartzen ditu ISO eta bertsio berritzeko irudien RPM pakete guztientzat.

RPM sinadura

Cisco Enterprise NFVIS ISOko RPM pakete guztiak eta bertsio berritzeko irudiak sinatzen dira osotasun kriptografikoa eta benetakotasuna bermatzeko. Horrek bermatzen du RPM paketeak ez direla tampeta RPM paketeak NFVISkoak dira. RPM paketeak sinatzeko erabiltzen den gako pribatua Ciscok sortu eta segurtasunez mantentzen du.

RPM sinadura egiaztatzea

NFVIS softwareak RPM pakete guztien sinadura egiaztatzen du instalazio edo berritze baten aurretik. Ondorengo taulak Cisco Enterprise NFVIS portaera deskribatzen du sinadura egiaztapenak huts egiten duenean instalazioan edo eguneratzean.

Eszenarioa

Deskribapena

Cisco Enterprise NFVIS 3.7.1 eta ondorengo instalazioak Cisco Enterprise NFVIS instalatzean sinadura egiaztatzeak huts egiten badu, instalazioa bertan behera uzten da.

Cisco Enterprise NFVIS eguneratzea 3.6.x-tik 3.7.1 bertsiora

RPM sinadurak berritzea egiten ari direnean egiaztatzen dira. Sinadura egiaztatzeak huts egiten badu, errore bat erregistratuko da baina bertsio berritzea amaitu da.

Cisco Enterprise NFVIS bertsio-berritzea 3.7.1 bertsiotik RPM sinadurak egiaztatzen dira eguneratzean

geroago kaleratzeetara

irudia erregistratuta dago. Sinadura egiaztatzeak huts egiten badu,

bertsio berritzea bertan behera geratu da.

Irudiaren osotasuna egiaztatzea
RPM sinadura eta sinadura egiaztatzea Cisco NFVIS ISO-n eskuragarri dauden RPM paketeetarako eta bertsio berritzeko irudietarako soilik egin daiteke. RPM ez diren osagarri guztien osotasuna bermatzeko fileCisco NFVIS ISO irudian eskuragarri dago, Cisco NFVIS ISO irudiaren hash bat argitaratzen da irudiarekin batera. Era berean, Cisco NFVIS bertsio berritzeko irudiaren hash bat argitaratzen da irudiarekin batera. Cisco-ren hash-a egiaztatzeko

Segurtasun kontuak 2

Segurtasun-gogoetak

ENCS abio segurua

NFVIS ISO irudia edo berritze irudia Cisco-k argitaratutako hasharekin bat dator, exekutatu komando hau eta alderatu hash-a argitaratutako hasharekin:
% /usr/bin/sha512sumFile> c2122783efc18b039246ae1bcd4eec4e5e027526967b5b809da5632d462dfa6724a9b20ec318c74548c6bd7e9b8217ce96b5ece93dcdd74fda5e01bb382ad607
<ImageFile>
ENCS abio segurua
Abio segurua Unified Extensible Firmware Interface (UEFI) estandarraren parte da, gailuak jatorrizko ekipamenduaren fabrikatzaileak (OEM) fidagarria den software bat erabiliz soilik abiarazten duela ziurtatzen duena. NFVIS abiarazten denean, firmwareak abioko softwarearen eta sistema eragilearen sinadura egiaztatzen du. Sinadurak baliozkoak badira, gailua abiarazten da, eta firmwareak sistema eragileari ematen dio kontrola.
Abio segurua ENCS-n eskuragarri dago baina lehenespenez desgaituta dago. Cisco-k abio segurua gaitzea gomendatzen dizu. Informazio gehiago lortzeko, ikusi Ostalariaren abio segurua.
Gailuaren identifikazio esklusibo segurua
NFVIS-ek Secure Unique Device Identification (SUDI) izenez ezagutzen den mekanismo bat erabiltzen du, eta horrek identitate aldaezina eskaintzen dio. Identitate hori gailua benetako Cisco produktua dela egiaztatzeko eta bezeroaren inbentario-sistemak gailua ezaguna dela ziurtatzeko erabiltzen da.
SUDI X.509v3 ziurtagiria eta hardwarean babestuta dauden gako-bikote elkartua da. SUDI ziurtagiriak produktuaren identifikatzailea eta serie-zenbakia ditu eta Cisco Public Key Infrastructure-n dago errotuta. Gako bikotea eta SUDI ziurtagiria hardware-moduluan sartzen dira fabrikazioan, eta gako pribatua ezin da inoiz esportatu.
SUDIn oinarritutako identitatea Zero Touch Provisioning (ZTP) erabiliz konfigurazio autentifikatu eta automatizatua egiteko erabil daiteke. Honek gailuak urruneko txertatze segurua ahalbidetzen du, eta orkestrazio zerbitzaria NFVIS benetako gailu batekin hitz egiten ari dela ziurtatzen du. Backend sistema batek erronka bat igorri diezaioke NFVIS gailuari bere identitatea balioztatzeko eta gailuak erronkari erantzungo dio SUDIn oinarritutako identitatea erabiliz. Horri esker, backend-sistemak bere inbentarioaren arabera egiaztatzeko aukera ematen du gailu egokia kokapen egokian dagoela, baizik eta gailu zehatzak soilik ireki dezakeen konfigurazio enkriptatua eskaintzeaz gain, garraioan konfidentzialtasuna bermatuz.
Lan-fluxuaren diagrama hauek NFVISek SUDI nola erabiltzen duen erakusten dute:

Segurtasun kontuak 3

Gailuaren sarbidea 1. irudia: Plug and Play (PnP) zerbitzariaren autentifikazioa

Segurtasun-gogoetak

2. irudia: Plug and Play gailuaren autentifikazioa eta baimena

Gailurako sarbidea
NFVIS-ek sarbide-mekanismo desberdinak eskaintzen ditu kontsola eta urruneko sarbidea barne, HTTPS eta SSH bezalako protokoloetan oinarrituta. Sarbide-mekanismo bakoitza arretaz berritu behar davieweditatu eta konfiguratu. Ziurtatu behar diren sarbide-mekanismoak soilik gaituta daudela eta behar bezala babestuta daudela. NFVISrako sarbide interaktiboa eta kudeaketarako sarbidea ziurtatzeko funtsezko urratsak gailuaren irisgarritasuna mugatzea, baimendutako erabiltzaileen gaitasunak behar denetara mugatzea eta baimendutako sarbide-metodoak mugatzea dira. NFVIS-ek bermatzen du sarbidea autentifikatutako erabiltzaileei soilik ematen zaiela eta baimendutako ekintzak bakarrik egin ditzaketela. Gailuaren sarbidea ikuskaritza egiteko erregistratuta dago eta NFVISek lokalean gordetako datu sentikorren konfidentzialtasuna bermatzen du. Ezinbestekoa da kontrol egokiak ezartzea NFVISra baimenik gabeko sarbidea saihesteko. Ondorengo atalek hori lortzeko jardunbide eta konfigurazio onenak deskribatzen dituzte:
Segurtasun kontuak 4

Segurtasun-gogoetak

Pasahitz aldaketa lehen saioan

Pasahitz aldaketa lehen saioan
Kredentzial lehenetsiak produktuen segurtasun-intzidentziaren iturri maiz dira. Bezeroek sarritan ahaztu egiten dituzte saio-hasierako kredentzialak aldatzea beren sistemak erasoetarako irekita utziz. Hori ekiditeko, NFVIS erabiltzailea lehen saioa hasi ondoren pasahitza aldatzera behartuta dago lehenetsitako kredentzialak erabiliz (erabiltzaile-izena: admin eta pasahitza Admin123#). Informazio gehiago lortzeko, ikus NFVIS atzitzea.
Saioa hasteko ahultasunak murriztea
Hiztegien eta Deial of Service (DoS) erasoen ahultasuna saihestu dezakezu honako eginbide hauek erabiliz.
Pasahitz sendoa betearaztea
Autentifikazio-mekanismo bat bere kredentzialak bezain sendoa da. Hori dela eta, garrantzitsua da erabiltzaileek pasahitz sendoak dituztela ziurtatzea. NFVIS-ek pasahitz sendoa arau hauen arabera konfiguratuta dagoela egiaztatzen du: Pasahitzak eduki behar du:
· Gutxienez karaktere maiuskula bat · Gutxienez karaktere xehe bat · Gutxienez zenbaki bat · Gutxienez karaktere berezi hauetako bat: hash (#), azpimarra (_), marratxoa (-), izartxoa (*) edo galdera
marka (?) · Zazpi karaktere edo gehiago · Pasahitzak 7 eta 128 karaktere artekoa izan behar du.
Pasahitzen gutxieneko luzera konfiguratzea
Pasahitzen konplexutasunik ezak, batez ere pasahitzaren luzera, bilaketa-espazioa nabarmen murrizten du erasotzaileak erabiltzaileen pasahitzak asmatzen saiatzen direnean, indar gordinaren erasoak askoz erraztuz. Erabiltzaile administratzaileak erabiltzaile guztien pasahitzen gutxieneko luzera konfigura dezake. Gutxieneko luzerak 7 eta 128 karaktere artekoa izan behar du. Lehenespenez, pasahitzen gutxieneko luzera 7 karaktere ezartzen da. CLI:
nfvis(config)# rbac autentifikazioa min-pwd-length 9
APIa:
/api/config/rbac/authentication/min-pwd-length
Pasahitzaren bizitza-iraupena konfiguratzea
Pasahitzaren iraupenak zehazten du zenbat denbora erabil daitekeen pasahitza erabiltzaileak aldatzeko eskatu aurretik.

Segurtasun kontuak 5

Mugatu aurreko pasahitzak berrerabiltzea

Segurtasun-gogoetak

Erabiltzaile administratzaileak pasahitzen gutxieneko eta gehienezko bizitzako balioak konfigura ditzake erabiltzaile guztientzat eta balio horiek egiaztatzeko arau bat ezarri. Lehenetsitako gutxieneko bizi-iraupenaren balio lehenetsia egun 1ean ezartzen da eta lehenetsitako gehieneko bizitza-bizitzako balio lehenetsia 60 egunekoa da. Gutxieneko bizitzako balio bat konfiguratzen denean, erabiltzaileak ezin du pasahitza aldatu zehaztutako egun kopurua igaro arte. Era berean, gehienezko bizitzako balio bat konfiguratzen denean, erabiltzaileak pasahitza aldatu behar du zehaztutako egun kopurua igaro baino lehen. Erabiltzaile batek ez badu pasahitza aldatzen eta zehaztutako egun kopurua igaro bada, jakinarazpen bat bidaliko zaio erabiltzaileari.
Oharra Bizi-iraupeneko gutxieneko eta gehieneko balioak eta balio horiek egiaztatzeko araua ez zaizkio administratzaile erabiltzaileari aplikatzen.
CLI:
konfiguratu terminal rbac autentifikazioa pasahitza-bizitza-denbora bete benetako min-egun 2 gehienez egun 30 konpromisoa
APIa:
/api/config/rbac/authentication/password-lifetime/
Mugatu aurreko pasahitzak berrerabiltzea
Aurreko pasahitz-esaldien erabilera eragotzi gabe, pasahitza iraungitzeak ez du ezertarako balio, erabiltzaileek pasaesaldia aldatu eta gero jatorrizkora alda dezaketelako. NFVIS-ek pasahitz berria lehen erabilitako 5 pasahitzetako bat ez dela egiaztatzen du. Arau honen salbuespen bat da administratzaileak pasahitza pasahitz lehenetsira alda dezakeela, nahiz eta aurretik erabilitako 5 pasahitzetako bat izan.
Mugatu saioa hasteko saiakeren maiztasuna
Urruneko kide bati mugarik gabeko aldiz saioa hasteko baimena ematen badio, baliteke azkenean indar gordinaren bidez saioa hasteko kredentzialak asmatzea. Pasaesaldiak askotan erraz asmatzen direnez, ohiko erasoa da hau. Parekideak saioa hasteko saiakeraren abiadura mugatuz, eraso hau saihesten dugu. Era berean, sistemaren baliabideak alferrikako autentifikazioan saihestuko ditugu zerbitzuaren ukapenaren erasoa sor dezaketen indar gordineko saioa hasteko saiakera hauek alferrik autentifikatzeko. NFVISek 5 minutuko erabiltzaileen blokeoa ezartzen du huts egin duten 10 saioa hasteko saiakeraren ondoren.
Desgaitu erabiltzaile-kontu inaktiboak
Erabiltzaileen jarduera kontrolatzeak eta erabili gabeko edo zaharkitutako erabiltzaile-kontuak desgaitzeak sistema barneko erasoetatik babesten laguntzen du. Erabili gabeko kontuak kendu beharko lirateke azkenean. Erabiltzaile administratzaileak arau bat bete dezake erabili gabeko erabiltzaile-kontuak inaktibo gisa markatzeko eta erabili gabeko erabiltzaile-kontu bat inaktibo gisa markatzeko zenbat egun igarotakoan konfiguratzeko. Inaktibo gisa markatu ondoren, erabiltzaile horrek ezin du sisteman saioa hasi. Erabiltzaileak sisteman saioa has dezan, administratzaileak erabiltzaile-kontua aktibatu dezake.
Oharra Inaktibitate-aldia eta inaktibitate-aldia egiaztatzeko araua ez zaizkio administratzaile erabiltzaileari aplikatzen.

Segurtasun kontuak 6

Segurtasun-gogoetak

Erabiltzaile-kontu inaktibo bat aktibatzea

Ondoko CLI eta API hauek erabil daitezke kontuaren jarduerarik ezaren betearazpena konfiguratzeko. CLI:
konfiguratu terminal rbac autentifikazioa kontua-inaktibotasuna betetzea benetako inaktibitatea-egunak 30 konpromisoa
APIa:
/api/config/rbac/authentication/account-inactivity/
Jarduerarik gabeko egunetarako balio lehenetsia 35 da.
Erabiltzaile inaktiboen kontu bat aktibatzea Administratzaileak erabiltzaile inaktibo baten kontua aktiba dezake CLI eta API hauek erabiliz: CLI:
konfiguratu terminal rbac autentifikazioa erabiltzaile erabiltzaile gonbidatua_erabiltzailea aktibatu konpromisoa
APIa:
/api/operations/rbac/authentication/users/user/username/activate

Indartu BIOS eta CIMC pasahitzen ezarpenak

1. taula: Ezaugarrien Historia Taula

Ezaugarriaren izena

Argitaratze informazioa

Indartu BIOS eta CIMC NFVIS 4.7.1 pasahitzen ezarpenak

Deskribapena
Ezaugarri honek erabiltzailea CIMC eta BIOSaren pasahitz lehenetsia aldatzera behartzen du.

BIOS eta CIMC pasahitzen ezarpenak betearazteko murrizketak
· Ezaugarri hau Cisco Catalyst 8200 UCPE eta Cisco ENCS 5400 plataformetan bakarrik onartzen da.
· Ezaugarri hau NFVIS 4.7.1 eta ondorengo bertsioen instalazio berri batean bakarrik onartzen da. NFVIS 4.6.1etik NFVIS 4.7.1ra eguneratzen baduzu, eginbide hau ez da onartzen eta ez zaizu BIOS eta CIMS pasahitzak berrezartzeko eskatuko, BIOS eta CIMC pasahitzak konfiguratuta ez egon arren.

BIOS eta CIMC pasahitzen ezarpenei buruzko informazioa
Ezaugarri honek segurtasun hutsune bat konpontzen du BIOS eta CIMC pasahitzak berrezartzea NFVIS 4.7.1 instalatu ondoren. CIMC pasahitz lehenetsia pasahitza da eta BIOS pasahitz lehenetsia ez da pasahitz.
Segurtasun hutsunea konpontzeko, ENCS 5400-n BIOS eta CIMC pasahitzak konfiguratzera behartuta zaude. NFVIS 4.7.1 instalazio berri batean, BIOS eta CIMC pasahitzak aldatu ez badira eta oraindik badaude.

Segurtasun kontuak 7

Konfigurazioa AdibampBIOS eta CIMC pasahitzen behartutako berrezarpenerako fitxategiak

Segurtasun-gogoetak

pasahitz lehenetsiak, orduan BIOS eta CIMC pasahitzak aldatzeko eskatuko zaizu. Horietako batek bakarrik berrezarri behar badu, osagai horren pasahitza berrezartzeko eskatuko zaizu. Cisco Catalyst 8200 UCPE-k BIOS pasahitza bakarrik eskatzen du eta, beraz, BIOS pasahitza berrezartzea baino ez da eskatzen, dagoeneko ezarri ez bada.
Oharra Aurreko edozein bertsiotatik NFVIS 4.7.1 edo ondorengo bertsioetara eguneratzen baduzu, BIOS eta CIMC pasahitzak alda ditzakezu hostaction change-bios-password newpassword edo hostaction change-cimc-password newpassword komandoak erabiliz.
BIOS eta CIMC pasahitzei buruzko informazio gehiago lortzeko, ikus BIOS eta CIMC pasahitzei.
Konfigurazioa AdibampBIOS eta CIMC pasahitzen behartutako berrezarpenerako fitxategiak
1. NFVIS 4.7.1 instalatzen duzunean, lehenik eta behin administratzailearen pasahitz lehenetsia berrezarri behar duzu.
Cisco Network Function Birtualizazio Azpiegituraren Softwarea (NFVIS)
NFVIS bertsioa: 99.99.0-1009
Copyright (c) 2015-2021 Cisco Systems, Inc. Cisco, Cisco Systems eta Cisco Systems logotipoa Cisco Systems, Inc. eta/edo bere afiliatuen marka erregistratuak dira AEBetan eta beste zenbait herrialdetan.
Software honetan dauden lan batzuen egile-eskubideak beste hirugarren batzuen jabetzakoak dira eta hirugarrenen lizentzia-hitzarmenen arabera erabiltzen eta banatzen dira. Software honen osagai batzuk GNU GPL 2.0, GPL 3.0, LGPL 2.1, LGPL 3.0 eta AGPL 3.0 lizentziapean daude.
admin 10.24.109.102-tik konektatu zen ssh erabiliz nfvis-en admin kredentzial lehenetsiekin saioa hasi zen Mesedez, eman hurrengo irizpideak betetzen dituen pasahitza:
1.Gutxienez karaktere xehe bat 2.Gutxienez karaktere maiuskula bat 3.Gutxienez zenbaki bat 4.Gutxienez karaktere berezi bat # _ – * ? 5. Luzerak 7 eta 128 karaktere artekoa izan behar du. Mesedez, berrezarri pasahitza: Mesedez, sartu berriro pasahitza:
Administratzailearen pasahitza berrezartzen
2. Cisco Catalyst 8200 UCPE eta Cisco ENCS 5400 plataformetan NFVIS 4.7.1 edo ondorengo bertsioen instalazio berri bat egiten duzunean, BIOS eta CIMC pasahitz lehenetsiak aldatu behar dituzu. BIOS eta CIMC pasahitzak aldez aurretik konfiguratuta ez badaude, sistemak Cisco ENCS 5400rako BIOS eta CIMC pasahitzak berrezartzeko eskatuko dizu eta Cisco Catalyst 8200 UCPErako BIOS pasahitza soilik.
Admin pasahitz berria ezarri da
Mesedez, eman irizpide hauek betetzen dituen BIOS pasahitza: 1. Gutxienez karaktere xehe bat 2. Gutxienez karaktere maiuskula bat 3. Gutxienez zenbaki bat 4. Gutxienez karaktere berezi bat #, @ edo _ 5. Luzera bitartekoa izan behar du. 8 eta 20 karaktere 6. Ez luke kate hauetako bat eduki behar (maiuskulak eta minuskulak bereizten dira): bios 7. Lehen karaktereak ezin du izan # bat

Segurtasun kontuak 8

Segurtasun-gogoetak

Egiaztatu BIOS eta CIMC pasahitzak

Mesedez, berrezarri BIOS pasahitza: Mesedez, sartu berriro BIOS pasahitza: Eman irizpide hauek betetzen dituen CIMC pasahitza:
1. Gutxienez karaktere xehe bat 2. Gutxienez karaktere maiuskula bat 3. Gutxienez zenbaki bat 4. Gutxienez #, @ edo _ karaktere berezi bat 5. Luzera 8 eta 20 karaktere artekoa izan behar da 6. Ez du eduki hauetako bat kate hauek (maiuskulak eta minuskulak bereizten dira): admin Mesedez berrezarri CIMC pasahitza: Mesedez, sartu berriro CIMC pasahitza:

Egiaztatu BIOS eta CIMC pasahitzak
BIOS eta CIMC pasahitzak ondo aldatu diren egiaztatzeko, erabili show log nfvis_config.log | sartu BIOS edo erakutsi log nfvis_config.log | sartu CIMC komandoak:

nfvis# erakutsi erregistroa nfvis_config.log | sartu BIOS

2021-11-16 15:24:40,102 INFO

[hostaction:/system/settings] [] BIOS pasahitza aldatzea

arrakastatsua da

nfvis_config.log ere deskarga dezakezu file eta egiaztatu pasahitzak behar bezala berrezarri diren.

Kanpoko AAA zerbitzariekin integratzea
Erabiltzaileak NFVIS-en saioa hasten dute ssh edo bidez Web UI. Edozein kasutan, erabiltzaileak autentifikatu egin behar dira. Hau da, erabiltzaile batek pasahitzaren kredentzialak aurkeztu behar ditu sarbidea izateko.
Erabiltzaile bat autentifikatu ondoren, erabiltzaile horrek egiten dituen eragiketa guztiak baimendu behar dira. Hau da, erabiltzaile jakin batzuek zeregin batzuk egiteko baimena izan dezakete, beste batzuek ez. Horri baimena deitzen zaio.
Gomendatzen da AAA zerbitzari zentralizatu bat zabaltzea erabiltzaile bakoitzeko, AAAn oinarritutako saioa hasteko autentifikazioa NFVIS sarbidea izateko. NFVISek RADIUS eta TACACS protokoloak onartzen ditu sarerako sarbidearen bitartekaritza egiteko. AAA zerbitzarian, gutxieneko sarbide-pribilegioak soilik eman behar zaizkie autentifikatutako erabiltzaileei beren sarbide-eskakizun zehatzen arabera. Horrek segurtasun-gertakari maltzurren eta nahigabeen esposizioa murrizten du.
Kanpoko autentifikazioari buruzko informazio gehiago lortzeko, ikus RADIUS konfiguratzea eta TACACS+ zerbitzari bat konfiguratzea.

Kanpoko autentifikazio-zerbitzarirako autentifikazio-cachea

Ezaugarriaren izena

Argitaratze informazioa

Kanpoko NFVIS 4.5.1 autentifikazio zerbitzarirako autentifikazio-cachea

Deskribapena
Ezaugarri honek TACACS autentifikazioa onartzen du NFVIS atarian OTP bidez.

NFVIS atariak One-Time Password (OTP) bera erabiltzen du hasierako autentifikazioaren ondoren API dei guztietarako. API deiak huts egiten du OTP iraungi bezain laster. Ezaugarri honek TACACS OTP autentifikazioa onartzen du NFVIS atariarekin.
OTP erabiliz TACACS zerbitzariaren bidez autentifikatu ondoren, NFVIS-ek hash sarrera bat sortzen du erabiltzaile-izena eta OTP erabiliz eta hash balio hori lokalean gordetzen du. Lokalean gordetako hash balio honek badu

Segurtasun kontuak 9

Roletan oinarritutako sarbide-kontrola

Segurtasun-gogoetak

iraungitze denbora stamp harekin lotuta. Denbora stamp SSH saio inaktiboen denbora-muga balioaren balio bera du, hau da, 15 minutukoa. Erabiltzaile-izen bera duten ondorengo autentifikazio-eskaera guztiak tokiko hash balio honen aurka autentifikatzen dira lehenik. Autentifikazioak huts egiten badu tokiko hasharekin, NFVIS-ek eskaera hau TACACS zerbitzariarekin autentifikatzen du eta hash sarrera berri bat sortzen du autentifikazioa arrakastatsua denean. Hash sarrera bat badago dagoeneko, bere ordua stamp 15 minutura berrezarri da.
TACACS zerbitzaritik kentzen bazara atarian arrakastaz hasi ondoren, ataria erabiltzen jarraitu dezakezu NFVIS-en hash sarrera iraungi arte.
NFVIS ataritik espresuki saioa amaitzen duzunean edo inaktibo-denbora dela eta saioa amaitzen duzunean, atariak API berri bati deitzen dio NFVIS backend-ari hash sarrera garbitzeko jakinarazteko. Autentifikazio-cachea eta bere sarrera guztiak garbitzen dira NFVIS berrabiarazi, fabrika berrezarri edo berritu ondoren.

Roletan oinarritutako sarbide-kontrola

Sareko sarbidea mugatzea garrantzitsua da langile asko dituzten, kontratistak enplegatzen dituzten edo hirugarrenei sarbidea ematen dieten erakundeentzat, hala nola bezeroak eta saltzaileak. Egoera horretan, zaila da sareko sarbidea modu eraginkorrean kontrolatzea. Horren ordez, hobe da eskuragarria dena kontrolatzea, datu sentikorrak eta aplikazio kritikoak ziurtatzeko.
Rolean oinarritutako sarbide-kontrola (RBAC) sareko sarbidea murrizteko metodo bat da, enpresa bateko erabiltzaile indibidualen roletan oinarrituta. RBAC-ek erabiltzaileei behar duten informaziora sartzeko aukera ematen die, eta haiei dagokien informazioa atzitzea eragozten die.
Langile batek enpresan duen eginkizuna erabili behar da emandako baimenak zehazteko, pribilegio baxuagoak dituzten langileek informazio sentikorra atzitu edo zeregin kritikoak ezin izango dituztela ziurtatzeko.
Erabiltzaile-rol eta pribilegio hauek NFVISen definitzen dira

Erabiltzaile rola

Pribilegioa

Administratzaileak

Eskuragarri dauden funtzio guztiak konfigura ditzake eta zeregin guztiak egin ditzake erabiltzaileen rolak aldatzea barne. Administratzaileak ezin du ezabatu NFVIS-en oinarrizkoa den oinarrizko azpiegitura. Administratzailearen erabiltzailearen rola ezin da aldatu; beti da “administratzaileak”.

Eragileak

VM bat abiarazi eta gelditu dezake, eta view informazio guztia.

Auditoreak

Pribilegio gutxien duten erabiltzaileak dira. Irakurtzeko soilik baimena dute eta, beraz, ezin dute konfiguraziorik aldatu.

RBACen abantailak
RBAC erabiltzeak hainbat onura ditu alferrikako sarerako sarbidea murrizteko, erakunde baten barruan pertsonen roletan oinarrituta, besteak beste:
· Eraginkortasun operatiboa hobetzea.
RBACen aurredefinitutako rolak izateak erraza da pribilegio egokiak dituzten erabiltzaile berriak sartzea edo lehendik dauden erabiltzaileen rolak aldatzea. Erabiltzaileen baimenak esleitzen direnean erroreak gertatzeko aukera ere murrizten du.
· Betetzea hobetzea.

Segurtasun kontuak 10

Segurtasun-gogoetak

Roletan oinarritutako sarbide-kontrola

Erakunde bakoitzak tokiko, estatuko eta federaleko arauak bete behar ditu. Enpresek, oro har, nahiago dute RBAC sistemak ezartzea konfidentzialtasunari eta pribatutasunari buruzko arauzko eta lege-eskakizunak betetzeko, exekutiboek eta IT sailek modu eraginkorragoan kudeatu dezaketelako datuak nola atzitu eta erabiltzen diren. Hori bereziki garrantzitsua da datu sentikorrak kudeatzen dituzten finantza-erakundeentzat eta osasun-enpresentzat.
· Kostuak murriztea. Erabiltzaileei prozesu eta aplikazio jakin batzuetarako sarbidea ez utziz, enpresek sareko banda zabalera, memoria eta biltegiratzea bezalako baliabideak kontserbatu edo erabil ditzakete modu errentagarrian.
· Arau-hausteak eta datu-ihesak izateko arriskua murriztea. RBAC ezartzeak informazio sentikorrerako sarbidea murriztea esan nahi du, eta, beraz, datu-hausteak edo datu-isuriak izateko aukera murrizten du.
Roletan oinarritutako sarbide-kontrolaren inplementazioen praktika onak · Administratzaile gisa, zehaztu erabiltzaileen zerrenda eta esleitu erabiltzaileak aurrez zehaztutako rolak. Adibidezample, "sareko administratzailea" erabiltzailea sortu eta "administratzaileak" erabiltzaile taldean gehi daiteke.
konfiguratu terminal rbac autentifikazioa erabiltzaileak sortu-erabiltzaile izena sareko administratzaile pasahitza Test1_pass rola administratzaileek konpromisoa hartu
Oharra Erabiltzaile-taldeak edo rolak sistemak sortzen ditu. Ezin duzu erabiltzaile talderik sortu edo aldatu. Pasahitza aldatzeko, erabili rbac authentication users user change-password komandoa konfigurazio globalean. Erabiltzaile-rola aldatzeko, erabili rbac authentication users user change-role komandoa konfigurazio-modu orokorrean.
· Amaitu sarbidea behar ez duten erabiltzaileen kontuak.
konfiguratu terminal rbac autentifikazio erabiltzaileak ezabatu-erabiltzailearen izena test1
· Aldian-aldian auditoriak egin, eginkizunak, esleitzen zaizkien langileak eta rol bakoitzerako baimendutako sarbidea ebaluatzeko. Erabiltzaile batek sistema jakin batera alferrikako sarbidea duela ikusten bada, aldatu erabiltzailearen rola.
Xehetasun gehiago lortzeko, ikus Erabiltzaileak, rolak eta autentifikazioa
Roletan Oinarritutako Sarbide Kontrol Granularra NFVIS 4.7.1etik hasita, Roletan Oinarritutako Sarbide Kontrol Granularra funtzioa aurkezten da. Ezaugarri honek VM eta VNF kudeatzen dituen baliabide-taldeen politika berri bat gehitzen du eta erabiltzaileak talde bati esleitzeko aukera ematen dizu VNF sarbidea kontrolatzeko, VNF inplementatzean. Informazio gehiago lortzeko, ikus Roletan oinarritutako Sarbide Kontrol Granularra.

Segurtasun kontuak 11

Mugitu gailuaren irisgarritasuna

Segurtasun-gogoetak

Mugitu gailuaren irisgarritasuna
Erabiltzaileak behin eta berriz harrapatu izan ditu babestu ez zituzten funtzioen aurkako erasoek, funtzio horiek gaituta zeudenik ez zekitelako. Erabiltzen ez diren zerbitzuak beti seguruak ez diren konfigurazio lehenetsiekin utzi ohi dira. Baliteke zerbitzu hauek pasahitz lehenetsiak ere erabiltzea. Zenbait zerbitzuk zerbitzaria exekutatzen ari den edo sarea nola konfiguratzen den buruzko informaziorako sarbide erraza eman diezaioke erasotzaileari. Ondorengo atalek deskribatzen dute nola NFVISek segurtasun-arrisku horiek saihesten dituen:

Eraso bektorialaren murrizketa
Edozein softwarek segurtasun ahultasunak izan ditzake. Software gehiagok erasorako bide gehiago esan nahi du. Sartzeko momentuan publikoki ezagunak diren ahultasunik ez badago ere, ziurrenik etorkizunean ahuleziak aurkitu edo ezagutaraziko dira. Eszenatoki horiek saihesteko, NFVIS funtzionalitaterako ezinbestekoak diren software paketeak bakarrik instalatzen dira. Horrek softwarearen ahultasunak mugatzen laguntzen du, baliabideen kontsumoa murrizten eta aparteko lana murrizten du pakete horiekin arazoak aurkitzen direnean. NFVIS-en sartutako hirugarrenen software guztia Cisco-ko datu-base zentral batean erregistratuta dago, Cisco-k enpresa mailako erantzun antolatu bat egiteko gai izan dadin (Legea, Segurtasuna, etab). Software-paketeak aldian-aldian adabakitzen dira bertsio guztietan, Ohiko Ahultasun eta Esposizio (CVE) ezagunetarako.

Lehenespenez ezinbesteko portuak soilik gaituz

NFVIS konfiguratzeko eta kudeatzeko guztiz beharrezkoak diren zerbitzuak bakarrik daude erabilgarri lehenespenez. Honek suebakiak konfiguratzeko eta beharrezkoak ez diren zerbitzuetarako sarbidea ukatzeko behar den erabiltzailearen ahalegina kentzen du. Lehenespenez gaituta dauden zerbitzu bakarrak azpian agertzen dira irekitzen dituzten atakekin batera.

Ireki Portua

Zerbitzua

Deskribapena

22 / TCP

SSH

Secure Socket Shell NFVIS-ra urruneko komando-lerroko sarbidea izateko

80 / TCP

HTTP

NFVIS atariko sarbidearako hipertestua transferitzeko protokoloa. NFVIS-ek jasotako HTTP trafiko guztia HTTPSrako 443 atakara birbideratzen da

443 / TCP

HTTPS

Hipertestua transferitzeko protokoloa Segurua NFVIS atarirako sarbide segururako

830 / TCP

NETCONF-ssh

Sareko konfigurazio protokolorako (NETCONF) portua ireki da SSH bidez. NETCONF NFVISen konfigurazio automatikorako eta NFVIS-en gertaeren jakinarazpen asinkronoak jasotzeko erabiltzen den protokoloa da.

161/UDP

SNMP

Sareak kudeatzeko protokolo sinplea (SNMP). NFVIS-ek urruneko sare monitorizatzeko aplikazioekin komunikatzeko erabiltzen du. Informazio gehiago lortzeko, ikus SNMPri buruzko sarrera

Segurtasun kontuak 12

Segurtasun-gogoetak

Mugatu baimendutako sareetarako sarbidea baimendutako zerbitzuetarako

Mugatu baimendutako sareetarako sarbidea baimendutako zerbitzuetarako

Sortzaile baimenduei soilik baimendu behar zaie gailuak kudeatzeko atzitzen saiatzeko, eta erabiltzeko baimena duten zerbitzuetarako soilik izan behar da sarbidea. NFVIS konfiguratu daiteke sarbidea iturri ezagunetara, fidagarrietara eta espero den kudeaketa-trafikoetara mugatuta egon dadinfiles. Horrela, baimenik gabe sartzeko arriskua eta beste eraso batzuen esposizioa murrizten da, hala nola indar gordina, hiztegia edo DoS erasoak.
NFVIS kudeaketa-interfazeak alferrikako eta potentzialki kaltegarria den trafikotik babesteko, administratzaile batek Sarbide Kontrol Zerrendak (ACL) sor ditzake jasotzen den sareko trafikorako. ACL hauek trafikoaren jatorria duten IP helbideak/sareak eta iturri horietatik onartzen edo baztertzen den trafiko mota zehazten dute. IP trafiko-iragazki hauek NFVIS-en kudeaketa-interfaze bakoitzean aplikatzen dira. Parametro hauek IP jasotzeko Sarbide Kontrol Zerrenda batean konfiguratuta daude (ip-receive-acl)

Parametroa

Balioa

Deskribapena

Iturburu-sarea/Sare-maskara

Sarea/sare-maskara. Adibidezample: 0.0.0.0/0
172.39.162.0/24

Eremu honek trafikoa jatorria duen IP helbidea/sarea zehazten du

Zerbitzu Ekintza

https icmp netconf scpd snmp ssh onartu drop reject

Zehaztutako iturritik datorren trafiko mota.
Iturburu-sareko trafikoari buruz egin beharreko ekintza. Onarpenarekin, konexio saiakera berriak emango dira. Baztertuarekin, ez dira konexio saiakerak onartuko. Araua TCP oinarritutako zerbitzu baterako bada, hala nola HTTPS, NETCONF, SCP, SSH, iturriak TCP berrezarri (RST) pakete bat jasoko du. SNMP eta ICMP bezalako TCP ez diren arauetarako, paketea bota egingo da. Jareginarekin, pakete guztiak berehala botako dira, ez dago iturrira bidalitako informaziorik.

Segurtasun kontuak 13

Arazte-sarbide pribilegiatua

Segurtasun-gogoetak

Parametroaren Lehentasuna

Balioa Zenbakizko balio bat

Deskribapena
Lehentasuna arauen agindu bat betearazteko erabiltzen da. Lehentasunerako zenbakizko balio handiagoa duten arauak katean beherago gehituko dira. Arau bat beste baten ondoren gehituko dela ziurtatu nahi baduzu, erabili lehentasun baxuko zenbaki bat lehenengoarentzat eta lehentasun handiagoko zenbaki bat hurrengoentzat.

Hurrengo sampLe konfigurazioek erabilera-kasu zehatzetarako egokitu daitezkeen eszenatoki batzuk ilustratzen dituzte.
IP Jasotzeko ACL konfiguratzea
ACL zenbat eta murriztaileagoa izan, orduan eta mugatuagoa izango da baimenik gabeko sarbide-saiakerekiko esposizioa. Hala ere, ACL murriztaileago batek kudeaketa-gastuak sor ditzake eta irisgarritasunean eragina izan dezake arazoak konpontzeko. Ondorioz, kontuan hartu beharreko oreka dago. Konpromiso bat barneko IP helbide korporatiboetarako sarbidea mugatzea da. Bezero bakoitzak ACLen ezarpena ebaluatu behar du bere segurtasun politikarekin, arriskuekin, esposizioarekin eta horien onarpenarekin lotuta.
Baztertu azpisare bateko ssh trafikoa:

nfvis(config)# sistemaren ezarpenak ip-receive-acl 171.70.63.0/24 zerbitzua ssh ekintza baztertzeko lehentasuna 1

ACLak kentzea:
Sarrera bat ip-receive-acl-etik ezabatzen denean, iturri horretako konfigurazio guztiak ezabatzen dira, iturriko IP helbidea gakoa baita. Zerbitzu bakarra ezabatzeko, konfiguratu beste zerbitzu batzuk berriro.

nfvis(config)# sistemaren ezarpenik ez ip-receive-acl 171.70.63.0/24
Xehetasun gehiago lortzeko, ikusi IP Jasotzeko ACL konfiguratzea
Arazte-sarbide pribilegiatua
NFVIS-en gain-erabiltzaile-kontua desgaituta dago lehenespenez, sistema osorako mugarik gabeko, kaltegarri izan daitezkeen aldaketa guztiak saihesteko eta NFVISek ez dio sistemaren shell-a erabiltzaileari erakusten.
Hala ere, NFVIS sisteman arazketa zailak diren arazo batzuengatik, Cisco Technical Assistance Center taldeak (TAC) edo garapen taldeak bezeroaren NFVISrako shell sarbidea eska dezake. NFVISek desblokeatzeko azpiegitura segurua du eremuko gailu baterako arazketa pribilegiatua Cisco-ko langile baimenduei mugatuta dagoela ziurtatzeko. Arazte interaktibo mota honetarako Linux shell-era modu seguruan sartzeko, erronka-erantzunaren autentifikazio-mekanismo bat erabiltzen da NFVIS eta Ciscok mantentzen duen Interactive debugging zerbitzariaren artean. Erabiltzaile administratzailearen pasahitza ere beharrezkoa da erronka-erantzunaren sarreraz gain, gailua bezeroaren baimenarekin sartzen dela ziurtatzeko.
Arazte interaktiborako shell-era sartzeko urratsak:
1. Administratzaile batek ezkutuko komando hau erabiliz hasten du prozedura hau.

nfvis# sistemaren shell-access

Segurtasun kontuak 14

Segurtasun-gogoetak

Interfaze seguruak

2. Pantailak erronka kate bat erakutsiko du, adibidezample:
Erronka-katea (Mesedez kopiatu izartxoko lerroen artean dena soilik):
******************************************************************************** SPH//wkAAABORlZJU0VOQ1M1NDA4L0s5AQAAABt+dcx+hB0V06r9RkdMMjEzNTgw RlHq7BxeAAA= DONE. ********************************************************************************
3. Cisco kideak Challenge katea sartzen du Ciscok mantentzen duen Arazte Interaktiboko zerbitzari batean. Zerbitzari honek egiaztatzen du Cisco erabiltzaileak shell-a erabiliz NFVIS arazketa egiteko baimena duela eta, ondoren, erantzun kate bat itzultzen du.
4. Sartu erantzun-katea gonbita honen azpian pantailan: Idatzi zure erantzuna prest dagoenean:
5. Eskatzen denean, bezeroak administratzailearen pasahitza sartu beharko du. 6. Pasahitza baliozkoa bada, shell sarbidea izango duzu. 7. Garapen edo TAC taldeak shell-a erabiltzen du arazketarekin jarraitzeko. 8. Shell-access irteteko, idatzi Irten.
Interfaze seguruak
NFVIS kudeaketarako sarbidea onartzen da diagraman agertzen diren interfazeak erabiliz. Hurrengo atalek NFVIS-rako interfaze hauetarako segurtasun-jardunbide onenak deskribatzen dituzte.

Kontsola SSH

Kontsolaren ataka serieko ataka asinkrono bat da, hasierako konfiguraziorako NFVIS CLIra konektatzeko aukera ematen duena. Erabiltzaile bat kontsolara sar daiteke NFVISrako sarbide fisikoarekin edo urruneko sarbidearekin terminal zerbitzari baten bidez. Terminal zerbitzari baten bidez kontsolaren atakarako sarbidea behar bada, konfiguratu terminal zerbitzarian sarbide-zerrendak beharrezkoak diren iturburu-helbideetatik soilik sartzeko.
Erabiltzaileek NFVIS CLIra atzi dezakete SSH urruneko saioa hasteko bide seguru gisa erabiliz. NFVIS kudeaketa-trafikoaren osotasuna eta konfidentzialtasuna ezinbestekoak dira administratutako sarearen segurtasunerako, administrazio-protokoloek maiz eramaten baitute sarean sartzeko edo eteteko erabil daitekeen informazioa.

Segurtasun kontuak 15

CLI saioaren denbora-muga

Segurtasun-gogoetak

NFVIS-ek SSH 2 bertsioa erabiltzen du, hau da, Ciscoren eta Interneten de facto protokolo estandarra saio-hasiera interaktiboetarako eta Ciscoren Segurtasun eta Konfiantza Erakundeak gomendatutako enkriptazio, hash eta gako-truke algoritmo sendoak onartzen ditu.

CLI saioaren denbora-muga
SSH bidez saioa hasita, erabiltzaileak saio bat ezartzen du NFVIS-ekin. Erabiltzailea saioa hasita dagoen bitartean, erabiltzaileak saioa hasitako saioa arretarik gabe uzten badu, horrek sarea segurtasun arriskua jar dezake. Saioen segurtasunak barne-erasoen arriskua mugatzen du, adibidez, erabiltzaile batek beste erabiltzaile baten saioa erabiltzen saiatzea.
Arrisku hori arintzeko, NFVISek CLI saioak amaitzen ditu 15 minuturik gabe egon ondoren. Saioaren denbora-muga iristen denean, erabiltzailea automatikoki amaitzen da.

NETCONF

Network Configuration Protocol (NETCONF) IETFk sareko gailuen konfigurazio automatikorako garatu eta estandarizatutako Sareak kudeatzeko protokoloa da.
NETCONF protokoloak Extensible Markup Language (XML) oinarritutako datu-kodeketa bat erabiltzen du konfigurazio-datuetarako eta baita protokolo-mezuetarako ere. Protokolo-mezuak garraio-protokolo seguru baten gainean trukatzen dira.
NETCONF-ek NFVIS-i XML-n oinarritutako API bat erakusteko aukera ematen dio sare-operadoreak konfigurazio-datuak eta gertaeren jakinarazpenak modu seguruan SSH bidez ezarri eta jasotzeko erabil dezakeena.
Informazio gehiago lortzeko, ikus NETCONF Gertaeren Jakinarazpenak.

REST APIa

NFVIS HTTPS bidez RESTful APIa erabiliz konfigura daiteke. REST API-k sistema eskatzaileei NFVIS konfigurazioa atzitzeko eta manipulatzeko aukera ematen die estaturik gabeko eragiketa multzo uniforme eta aurrez zehaztua erabiliz. REST API guztiei buruzko xehetasunak NFVIS API Reference gidan aurki daitezke.
Erabiltzaileak REST API bat igortzen duenean, saio bat ezartzen da NFVIS-ekin. Zerbitzuaren ukapenaren erasoekin lotutako arriskuak mugatzeko, NFVISek 100era mugatzen du aldibereko REST saioen guztizko kopurua.

NFVIS Web Ataria
NFVIS ataria bat da webNFVIS-i buruzko informazioa bistaratzen duen erabiltzaile-interfaze grafikoan oinarrituta. Atariak NFVIS HTTPS bidez konfiguratzeko eta kontrolatzeko baliabide errazak eskaintzen dizkio erabiltzaileari, NFVIS CLI eta APIa ezagutu beharrik gabe.

Saioen kudeaketa
HTTP eta HTTPS-en estaturik gabeko izaerak erabiltzaileak modu esklusiboan jarraitzeko metodo bat eskatzen du saioen ID eta cookie esklusiboak erabiliz.
NFVIS-ek erabiltzailearen saioa enkriptatzen du. AES-256-CBC zifratua saioaren edukia HMAC-SHA-256 autentifikazio batekin enkriptatzeko erabiltzen da. tag. Ausazko 128 biteko Hasierako Bektore bat sortzen da zifratze-eragiketa bakoitzeko.
Ikuskaritza-erregistro bat atariko saio bat sortzen denean hasten da. Saioaren informazioa ezabatzen da erabiltzailea saioa amaitzen denean edo saioa amaitzen denean.
Atariko saioetarako inaktibo-denbora lehenetsia 15 minutukoa da. Hala ere, uneko saiorako 5 eta 60 minutu arteko balio batean konfigura daiteke Ezarpenak orrian. Amaitzeko saioa amaitu ondoren hasiko da

Segurtasun kontuak 16

Segurtasun-gogoetak

HTTPS

HTTPS

aldia. Hainbat saio ez dira onartzen arakatzaile bakarrean. Aldibereko saioen gehienezko kopurua 30ean ezarri da. NFVIS atariak cookieak erabiltzen ditu erabiltzailearekin datuak lotzeko. Cookie-ren propietate hauek erabiltzen ditu segurtasuna hobetzeko:
· iragankorra, arakatzailea ixten denean cookiea iraungitzen dela ziurtatzeko · http Bakarrik cookiea JavaScript-etik eskuraezin bihurtzeko · secureProxy cookiea SSL bidez soilik bidali daitekeela ziurtatzeko.
Autentifikatu ondoren ere, posible da Cross-Site Request Forgery (CSRF) bezalako erasoak. Egoera honetan, azken erabiltzaile batek nahigabeko ekintzak exekutatu ditzake a web une honetan autentifikatuta dauden aplikazioa. Hori ekiditeko, NFVIS-ek CSRF tokenak erabiltzen ditu saio bakoitzean deitzen diren REST API guztiak balioztatzeko.
URL Birbideratzea tipikoan web zerbitzariak, orrialde bat aurkitzen ez denean web zerbitzariak, erabiltzaileak 404 mezu bat jasotzen du; dauden orrietarako, saioa hasteko orria lortzen dute. Honen segurtasun-eragina da erasotzaile batek indar gordinaren eskaneatzea egin dezakeela eta erraz detektatu zein orrialde eta karpeta dauden. NFVIS-en hori saihesteko, dena ez dago URLgailuaren IParen aurrizkiak atariaren saio-hasiera orrira birbideratzen dira 301 egoeraren erantzun-kode batekin. Horrek esan nahi du edozein dela ere URL erasotzaile batek eskatuta, beti lortuko dute saioa hasteko orria beren burua autentifikatzeko. HTTP zerbitzariaren eskaera guztiak HTTPSra birbideratzen dira eta goiburu hauek konfiguratuta dituzte:
· X-Eduki-Mota-Aukerak · X-XSS-Babesa · Edukia-Segurtasun-Politika · X-Frame-Aukerak · Zorrotza-Garraioa-Segurtasuna · Cache-kontrola
Ataria desgaitzea NFVIS atariko sarbidea lehenespenez gaituta dago. Ataria erabiltzeko asmorik ez baduzu, komando hau erabiliz atariko sarbidea desgaitzea gomendatzen da:
Konfiguratu terminala Sistemaren atariaren sarbidea desgaituta dagoen konpromisoa
NFVIS-eko eta NFVIS-eko HTTPS datu guztiek Transport Layer Security (TLS) erabiltzen dute sarean zehar komunikatzeko. TLS Secure Socket Layer (SSL) oinordekoa da.

Segurtasun kontuak 17

HTTPS

Segurtasun-gogoetak
TLS handshake-ak autentifikazioa dakar, eta bezeroak zerbitzariaren SSL ziurtagiria egiaztatzen du igorri duen ziurtagiri-agintariarekin. Horrek baieztatzen du zerbitzaria esaten duena dela eta bezeroa domeinuaren jabearekin elkarreragiten ari dela. Lehenespenez, NFVIS-ek bere burua sinatutako ziurtagiri bat erabiltzen du bere bezeroei nortasuna frogatzeko. Ziurtagiri honek 2048 biteko gako publikoa du TLS enkriptatzeko segurtasuna areagotzeko, enkriptatzeko indarra gakoaren tamainarekin zuzenean lotuta baitago.
Ziurtagirien kudeaketa NFVIS-ek bere burua sinatutako SSL ziurtagiria sortzen du lehen aldiz instalatzen denean. Segurtasun-jardunbide egokia da ziurtagiri hau betetzen duen Autoritate Ziurtagiriak (CA) sinatutako baliozko ziurtagiri batekin ordezkatzea. Erabili urrats hauek autosinatutako ziurtagiri lehenetsia ordezkatzeko: 1. Sortu ziurtagiria sinatzeko eskaera (CSR) NFVIS-en.
Ziurtagiria sinatzeko eskaera (CSR) bat da file SSL Ziurtagiria eskatzerakoan Autoritate Ziurtagiri bati ematen zaion kodetutako testu bloke batekin. Hau file ziurtagirian sartu behar den informazioa dauka, hala nola, erakundearen izena, izen arrunta (domeinu-izena), herria eta herrialdea. The file ziurtagirian sartu behar den gako publikoa ere badu. NFVIS-ek 2048 biteko gako publikoa erabiltzen du, enkriptatzeko indarra handiagoa baita gako tamaina handiagoarekin. NFVIS-en CSR bat sortzeko, exekutatu komando hau:
nfvis# sistema-ziurtagiria sinatzeko-eskaera [izen arrunta herrialde-kodea tokiko erakundea erakunde-unitate-izena estatua] ESK file /data/intdatastore/download/nfvis.csr gisa gordetzen da. . 2. Lortu SSL ziurtagiria CA baten CSR erabiliz. Kanpoko ostalari batetik, erabili scp komandoa ziurtagiria sinatzeko eskaera deskargatzeko.
[nire ostalaria:/tmp] > scp -P 22222 admin@ :/data/intdatastore/download/nfvis.csrfile-izena>
Jarri harremanetan Autoritate ziurtagiri-emaile batekin SSL zerbitzariaren ziurtagiri berri bat emateko CSR hau erabiliz. 3. Instalatu CA sinatutako ziurtagiria.
Kanpoko zerbitzari batetik, erabili scp komandoa ziurtagiria kargatzeko file NFVIS sartu data/intdatastorera/uploads/ direktorioa.
[nire ostalaria:/tmp] > scp -P 22222 file> admin@ :/data/intdatastore/uploads
Instalatu ziurtagiria NFVIS-en komando hau erabiliz.
nfvis# sistemaren ziurtagiria install-cert bidea file:///data/intdatastore/uploads/<certificate file>
4. Aldatu CA sinatutako ziurtagiria erabiltzera. Erabili honako komando hau CA sinatutako ziurtagiria erabiltzen hasteko, autosinatutako ziurtagiri lehenetsiaren ordez.

Segurtasun kontuak 18

Segurtasun-gogoetak

SNMP sarbidea

nfvis(config)# sistemaren ziurtagiria use-cert cert-type ca-signed

SNMP sarbidea

Simple Network Management Protocol (SNMP) Interneteko protokolo estandar bat da, IP sareetan kudeatutako gailuei buruzko informazioa biltzeko eta antolatzeko, eta informazio hori aldatzeko gailuaren portaera aldatzeko.
SNMPren hiru bertsio esanguratsu garatu dira. NFVIS-ek SNMP 1. bertsioa, 2c bertsioa eta 3. bertsioa onartzen ditu. SNMP 1. eta 2. bertsioek komunitate-kateak erabiltzen dituzte autentifikaziorako, eta testu arruntean bidaltzen dira. Beraz, segurtasun-praktika onena da SNMP v3 erabiltzea ordez.
SNMPv3-k gailuetarako sarbide segurua eskaintzen du hiru alderdi erabiliz: – erabiltzaileak, autentifikazioa eta enkriptatzea. SNMPv3-k USM (User-based Security Module) erabiltzen du SNMP bidez eskuragarri dagoen informaziorako sarbidea kontrolatzeko. SNMP v3 erabiltzailea autentifikazio mota batekin, pribatutasun mota batekin eta pasaesaldi batekin konfiguratuta dago. Talde bat partekatzen duten erabiltzaile guztiek SNMP bertsio bera erabiltzen dute, hala ere, segurtasun-mailaren ezarpen espezifikoak (pasahitza, enkriptazio mota, etab.) erabiltzaile bakoitzeko zehazten dira.
Hurrengo taulak SNMPren segurtasun-aukerak laburbiltzen ditu

Eredua

Maila

Autentifikazioa

Zifraketa

Emaitza

v1

noAuthNoPriv

Komunitatearen katea zk

Komunitate bat erabiltzen du

katearen partida

autentifikazioa.

v2c

noAuthNoPriv

Komunitatearen katea zk

Komunitate-kate bat erabiltzen du autentifikaziorako.

v3

noAuthNoPriv

Erabiltzaile izena

Ez

Erabiltzaile-izena erabiltzen du

partidarako

autentifikazioa.

v3

authNoPriv

Mezuen laburpena 5. zk

Ematen du

(MD5)

autentifikazioan oinarrituta

or

HMAC-MD5-96 edo

Hash segurua

HMAC-SHA-96

Algoritmoa (SHA)

algoritmoak.

Segurtasun kontuak 19

Lege jakinarazpenen pankartak

Segurtasun-gogoetak

v3 eredua

Maila authPriv

MD5 edo SHA autentifikazioa

Zifraketa

Emaitza

Datuen enkriptatzea eskaintzen du

Estandarra (DES) edo autentifikazioan oinarritutakoa

Aurreratua

gainean

Enkriptazio estandarra HMAC-MD5-96 edo

(AES)

HMAC-SHA-96

algoritmoak.

DES Zifratze algoritmoa eskaintzen du Cipher Block Chaining Moden (CBC-DES)

or

Cipher FeedBack Moden (CFB) erabiltzen den AES enkriptatzeko algoritmoa, 128 biteko gako-tamainarekin (CFB128-AES-128)

NISTek onartu zuenetik, AES industria osoan enkriptatze-algoritmo nagusi bihurtu da. Industriaren migrazioa MD5etik urrun eta SHArantz jarraitzeko, segurtasun-praktika onena da SNMP v3 autentifikazio-protokoloa SHA gisa eta pribatutasun-protokoloa AES gisa konfiguratzea.
SNMPri buruzko xehetasun gehiago lortzeko, ikus SNMP-ri buruzko sarrera

Lege jakinarazpenen pankartak
Gomendagarria da saio interaktibo guztietan legezko jakinarazpenen pankarta bat egotea, erabiltzaileei ezartzen ari den segurtasun-politikaren eta zeinen menpe dauden ziurtatzeko. Zenbait jurisdikziotan, sistema batean sartzen den erasotzaile baten epaiketa zibil eta/edo penala errazagoa da, edo are beharrezkoa, legezko jakinarazpenen pankarta aurkezten bada, baimenik gabeko erabiltzaileei haien erabilera benetan baimendu gabe dagoela jakinaraziz. Zenbait jurisdikziotan, baimenik gabeko erabiltzaile baten jarduera kontrolatzea ere debekatuta egon daiteke, horretarako asmoaren berri eman ez badiote.
Lege jakinarazpen-eskakizunak konplexuak dira eta aldatu egiten dira jurisdikzio eta egoera bakoitzean. Jurisdikzioen barruan ere, iritzi juridikoak aldatu egiten dira. Eztabaidatu arazo hau zure aholkulari juridikoarekin, jakinarazpenen pankartak konpainia, tokiko eta nazioarteko lege-eskakizunak betetzen dituela ziurtatzeko. Hau askotan funtsezkoa da segurtasun-urraketa gertatuz gero ekintza egokiak ziurtatzeko. Enpresako lege-aholkularitzarekin elkarlanean, lege jakinarazpenen pankarta batean sar daitezkeen adierazpenak hauek dira:
· Sistemaren sarbidea eta erabilera berariaz baimendutako langileek soilik baimentzen dutela jakinaraztea eta, agian, erabilera baimendu dezakeenari buruzko informazioa.
· Sistemaren baimenik gabeko sarbidea eta erabilera legez kanpokoa dela eta zigor zibil eta/edo penalak jasan ditzakeela jakinaraztea.
· Sistemaren sarbidea eta erabilera erregistratu edo kontrolatu daitezkeela jakinaraztea beste oharrik gabe, eta ondoriozko erregistroak epaitegietan froga gisa erabil daitezkeela.
· Tokiko lege espezifikoek eskatzen dituzten jakinarazpen espezifiko gehigarriak.

Segurtasun kontuak 20

Segurtasun-gogoetak

Fabrikako lehenetsitako berrezarri

Legetik baino segurtasunetik view, legezko jakinarazpenen pankartak ez luke gailuari buruzko informazio zehatzik eduki behar, hala nola bere izena, modeloa, softwarea, kokapena, operadorea edo jabea, informazio mota hori erasotzaile bati erabilgarria izan daitekeelako.
Honako hau daampSaioa hasi aurretik bistaratu daitekeen legezko jakinarazpenen pankarta:
GAILU HONETARAKO BAIMEN GABEKO SARRERA DEBEKATUTA DAGO Gailu honetara sartzeko edo konfiguratzeko baimen esplizitua eta baimendua izan behar duzu. Atzitzeko edo erabiltzeko baimenik gabeko saiakerak eta ekintzak
sistema horrek zigor zibil eta/edo penalak eragin ditzake. Gailu honetan egiten diren jarduera guztiak erregistratu eta kontrolatzen dira

Oharra Aurkeztu konpainiako lege-aholkularitzak onartutako jakinarazpenen pankarta.
NFVISek banner eta Eguneko Mezua (MOTD) konfiguratzeko aukera ematen du. Erabiltzailea saioa hasi baino lehen bistaratzen da pankarta. Erabiltzaileak NFVIS-en saioa hasten duenean, sistemak definitutako banner batek NFVIS-i buruzko Copyright-informazioa eskaintzen du, eta eguneko mezua (MOTD), konfiguratuta badago, agertuko da, eta ondoren. komando-lerroko gonbita edo ataria view, saioa hasteko metodoaren arabera.
Gomendatzen da saioa hasteko banner bat ezartzea gailuen kudeaketarako sarbide-saio guztietan legezko jakinarazpenen banner bat aurkezten dela ziurtatzeko, saioa hasteko gonbita aurkeztu aurretik. Erabili komando hau banner eta MOTD konfiguratzeko.
nfvis(config)# banner-motd banner motd
Banner komandoari buruzko informazio gehiago lortzeko, ikus Konfiguratu bannerra, eguneko mezua eta sistemaren ordua.

Fabrikako lehenetsitako berrezarri
Fabrika berrezarri, bidalketa unetik gailuan gehitu diren bezeroaren datu zehatz guztiak kentzen ditu. Ezabatu diren datuek konfigurazioak, log files, VM irudiak, konektibitate-informazioa eta erabiltzailearen saioa hasteko kredentzialak.
Komando bat eskaintzen du gailua fabrikako jatorrizko ezarpenetara berrezartzeko, eta erabilgarria da egoera hauetan:
· Gailu baterako materiala itzultzeko baimena (RMA)– Gailu bat Cisco-ra itzuli behar baduzu RMArako, erabili Factory Default berrezarri bezeroaren berariazko datu guztiak kentzeko.
· Konprometitutako gailu bat berreskuratzea– Gailu batean gordetako gako-materiala edo kredentzialak arriskuan jartzen badira, berrezarri gailua fabrikako konfiguraziora eta, ondoren, berriro konfiguratu gailua.
· Gailu bera beste gune batean berrerabili behar bada konfigurazio berri batekin, egin Fabrikako lehenetsitako berrezarpena lehendik dagoen konfigurazioa kentzeko eta egoera garbira eramateko.

NFVIS-ek aukera hauek eskaintzen ditu Factoryren berrezarri lehenetsiaren barruan:

Fabrika berrezarri aukera

Datuak ezabatu dira

Datuak gordeta

guztiak

Konfigurazio guztia, igotako irudia Admin kontua mantentzen da eta

files, VM eta erregistroak.

pasahitza aldatuko da

Gailuarekiko konexioa fabrikako pasahitz lehenetsia izango da.

galdu.

Segurtasun kontuak 21

Azpiegiturak Kudeatzeko Sarea

Segurtasun-gogoetak

Fabrika berrezarri aukera guztiak-irudiak izan ezik
guztiak-irudiak-salbu-konektibitatea
fabrikazioa

Datuak ezabatu dira

Datuak gordeta

Konfigurazio guztiak irudiaren konfigurazioa izan ezik, erregistratuta

konfigurazioa, VM-ak eta kargatutako irudiak eta erregistroak

irudia files.

Administratzailearen kontua mantentzen da eta

Gailuarekiko konexioa izango da pasahitza aldatuko da

galdu.

fabrikako pasahitz lehenetsia.

Konfigurazio guztiak irudia, Irudiak, sarea eta konektibitatea izan ezik

sarea eta konektibitatea

erlazionatutako konfigurazioa, erregistratua

konfigurazioa, VMak eta kargatutako irudiak eta erregistroak.

irudia files.

Administratzailearen kontua mantentzen da eta

Gailuarekiko konexioa da

aurrez konfiguratutako administratzailea

eskuragarri.

pasahitza gordeko da.

Konfigurazio guztiak irudien konfigurazioa, VM-ak, kargatutako irudia izan ezik files, eta erregistroak.
Gailurako konexioa galduko da.

Irudiari lotutako konfigurazioa eta erregistratutako irudiak
Administratzailearen kontua mantentzen da eta pasahitza fabrikako pasahitz lehenetsira aldatuko da.

Erabiltzaileak arretaz aukeratu behar du aukera egokia Fabrikako lehenetsitako berrezartzearen helburuaren arabera. Informazio gehiago lortzeko, ikus Fabrikako lehenetsietara berrezartzea.

Azpiegiturak Kudeatzeko Sarea
Azpiegitura kudeatzeko sarea azpiegiturako gailuetarako kontrol- eta kudeaketa-planoko trafikoa (adibidez, NTP, SSH, SNMP, syslog, etab.) eramaten duen sarea deritzo. Gailuaren sarbidea kontsolaren bidez izan daiteke, baita Ethernet interfazeen bidez ere. Kontrol- eta kudeaketa-hegazkineko trafiko hori funtsezkoa da sareko eragiketetarako, sarearen ikusgarritasuna eta kontrola eskainiz. Ondorioz, ongi diseinatutako eta seguru azpiegitura kudeatzeko sare bat funtsezkoa da sare baten segurtasun eta eragiketa orokorrerako. Azpiegiturak kudeatzeko sare seguru baterako gomendio nagusietako bat kudeaketa eta datu-trafikoa bereiztea da, urruneko kudeagarritasuna bermatzeko, nahiz eta karga handian eta trafiko-baldintzetan. Hori kudeatzeko interfaze dedikatu bat erabiliz lor daiteke.
Honako hauek dira Azpiegiturak kudeatzeko sarearen ezarpen-planteamenduak:
Bandaz kanpoko kudeaketa
Banda Kanpoko Kudeaketa (OOB) kudeaketa-sarea kudeatzen laguntzen duen datu-saretik guztiz independentea eta fisikoki desberdina den sare batek osatzen du. Batzuetan Datu Komunikazio Sarea (DCN) deitzen zaio. Sareko gailuak modu ezberdinetan konekta daitezke OOB sarera: NFVISek OOB sarera konektatzeko erabil daitekeen kudeaketa interfaze integratua onartzen du. NFVIS-ek aurrez zehaztutako interfaze fisiko baten konfigurazioa ahalbidetzen du, ENCSko MGMT ataka, kudeaketa-interfaze dedikatu gisa. Kudeaketa-paketeak izendatutako interfazeetara mugatzeak gailu baten kudeaketaren gaineko kontrol handiagoa ematen du, eta, ondorioz, segurtasun handiagoa ematen dio gailu horri. Beste abantaila batzuk honako hauek dira: datu-paketeen errendimendu hobetzea kudeaketa ez diren interfazeetan, sarearen eskalagarritasunerako laguntza,

Segurtasun kontuak 22

Segurtasun-gogoetak

Bandaz kanpoko sasi kudeaketa

sarbide-kontrol-zerrenda (ACL) gutxiago behar dira gailu baterako sarbidea mugatzeko, eta kudeaketa-paketeen uholdeak CPUra hel ez daitezen. Sareko gailuak OOB sarera ere konekta daitezke datu-interfaze dedikatuen bidez. Kasu honetan, ACLak zabaldu behar dira kudeaketa-trafikoa dedikatu interfazeek soilik kudeatzen dutela ziurtatzeko. Informazio gehiago lortzeko, ikus IP Jasotzeko ACL eta 22222 ataka eta Kudeaketa Interfazea ACL konfiguratzea.
Bandaz kanpoko sasi kudeaketa
Bandaz kanpoko kudeaketa-sare sasi batek datu-sarearen azpiegitura fisiko bera erabiltzen du, baina bereizketa logikoa eskaintzen du trafikoaren bereizketa birtualaren bidez, VLANak erabiliz. NFVIS-ek VLANak eta zubi birtualak sortzea onartzen du, trafiko-iturri desberdinak identifikatzen laguntzeko eta VM-en arteko trafikoa bereizten laguntzeko. Zubiak eta VLAN bereiziak izateak makina birtualeko sareko datu-trafikoa eta kudeaketa-sarea isolatzen ditu, eta horrela, VM-en eta ostalariaren arteko trafiko-segmentazioa eskaintzen du. Informazio gehiagorako, ikus NFVIS kudeaketa-trafikorako VLAN konfiguratzea.
Banda barruko kudeaketa
Banda barruko kudeaketa-sare batek datu-trafikoaren bide fisiko eta logiko berdinak erabiltzen ditu. Azken finean, sarearen diseinu honek bezero bakoitzeko arriskuen analisia eskatzen du onurak eta kostuak. Gogoeta orokor batzuk honako hauek dira:
· OOB kudeaketa-sare isolatu batek sarearen ikusgarritasuna eta kontrola maximizatzen ditu gertakari etenetan ere.
· Sarearen telemetria OOB sare baten bidez transmititzeak sarearen ikusgarritasun kritikoa eskaintzen duen informazioa hausteko aukera gutxitzen du.
· Sare-azpiegitura, ostalari eta abarretarako banda barruko kudeaketarako sarbidea erabat galtzeko arriskua da sareko gorabeheraren bat gertatuz gero, sarearen ikusgarritasuna eta kontrol guztia kenduz. Gertaera hori arintzeko QoS kontrol egokiak ezarri behar dira.
· NFVIS-ek gailuen kudeaketarako dedikatzen diren interfazeak ditu, serieko kontsolaren atakak eta Ethernet kudeatzeko interfazeak barne.
· OOB kudeaketa-sarea normalean arrazoizko kostuarekin heda daiteke, kudeaketa-sareko trafikoak ez baitu normalean banda zabalera handirik edo errendimendu handiko gailurik eskatzen, eta azpiegitura-gailu bakoitzari konektagarritasunari eusteko ataka-dentsitate nahikoa baino ez baitu behar.
Tokian gordetako informazioa babestea
Informazio sentikorra babestea
NFVISek informazio sentikorra gordetzen du lokalean, pasahitzak eta sekretuak barne. Pasahitzak, oro har, AAA zerbitzari zentralizatu batek mantendu eta kontrolatu behar ditu. Hala ere, AAA zerbitzari zentralizatu bat zabaltzen bada ere, lokalean gordetako pasahitz batzuk beharrezkoak dira kasu jakin batzuetan, hala nola, tokiko ordezkapena AAA zerbitzariak erabilgarri ez daudenean, erabilera bereziko erabiltzaile-izenak, etab. Tokiko pasahitz hauek eta beste sentikor batzuk.

Segurtasun kontuak 23

File Transferentzia

Segurtasun-gogoetak

informazioa NFVIS-en hash gisa gordetzen da, sistematik jatorrizko kredentzialak berreskuratu ezin daitezen. Hashing-a industriako arau oso onartua da.

File Transferentzia
FileNFVIS gailuetara transferitu behar direnen artean, VM irudia eta NFVIS eguneratzea daude files. -ren transferentzia segurua files funtsezkoa da sare azpiegituren segurtasunerako. NFVIS-ek Secure Copy (SCP) onartzen du segurtasuna bermatzeko file transferentzia. SCP SSH-n oinarritzen da autentifikazio eta garraio segururako, hauen kopia seguru eta autentifikatu ahalbidetuz. files.
NFVIS-en kopia seguru bat scp komandoaren bidez hasten da. Secure copy (scp) komandoak administratzaile erabiltzaileari bakarrik segurtasunez kopiatzeko aukera ematen dio files NFVIS kanpoko sistema batera, edo kanpoko sistema batetik NFVISera.
scp komandoaren sintaxia hau da:
scp
NFVIS SCP zerbitzarirako 22222 ataka erabiltzen dugu. Lehenespenez, ataka hau itxita dago eta erabiltzaileek ezin dute kopia segururik babestu files NFVIS sartu kanpoko bezero batetik. SCPren beharra badago a file kanpoko bezero batetik, erabiltzaileak ataka ireki dezake:
sistemaren ezarpenak ip-receive-acl (helbidea)/(maskaren luzera) zerbitzua scpd lehentasuna (zenbakia) ekintza onartu
konprometitu
Erabiltzaileak sistemaren direktorioetara sartzea ekiditeko, kopia segurua intdatastore:, extdatastore1:, extdatastore2:, usb: eta nfs:-ra edo honetatik bakarrik egin daiteke, eskuragarri egonez gero. Kopia segurua erregistroetatik: eta laguntza teknikotik ere egin daiteke:

Erregistratzea

NFVISen sarbide- eta konfigurazio-aldaketak auditoretza-erregistro gisa erregistratzen dira informazio hau erregistratzeko: · Nor sartu zen gailuan · Noiz hasi zen saioa erabiltzaile bat · Zer egin zuen erabiltzaileak ostalariaren konfigurazioari eta VM bizi-zikloari dagokionez · Noiz erregistratu zuen erabiltzaile batek desaktibatuta · Sarbide-saiakerak huts egin ditu. · Autentifikazio-eskaerak huts egin ditu
Informazio hau balio handikoa da forentse azterketarako, baimenik gabeko saiakerak edo sarbideen kasuan, baita konfigurazio-aldaketaren arazoetarako eta taldeen administrazio aldaketak planifikatzeko ere. Erasoa gertatzen ari dela adieraz dezaketen jarduera anomaliak identifikatzeko denbora errealean ere erabil daiteke. Analisi hau kanpoko iturri gehigarrietako informazioarekin erlazionatu daiteke, hala nola IDS eta suebakien erregistroak.

Segurtasun kontuak 24

Segurtasun-gogoetak

Makina Birtualeko segurtasuna

NFVIS-eko gako-gertaera guztiak NETCONF-eko harpidedunei gertaeren jakinarazpen gisa bidaltzen zaizkie eta konfiguratutako erregistro-zerbitzari zentraletara syslog gisa. Syslog mezuei eta gertaeren jakinarazpenei buruzko informazio gehiago lortzeko, ikusi Eranskina.
Makina Birtualeko segurtasuna
Atal honek NFVIS-en Makina Birtualen erregistroarekin, hedapenarekin eta funtzionamenduarekin lotutako segurtasun-eginbideak deskribatzen ditu.
VNF abio segurua
NFVIS-ek Open Virtual Machine Firmware (OVMF) onartzen du UEFI abio segurua gaitzeko abio segurua onartzen duten makina birtualetan. VNF Secure boot egiaztatzen du VM abioko softwarearen geruza bakoitza sinatuta dagoela, abio-kargatzailea, sistema eragilearen nukleoa eta sistema eragilearen kontrolatzaileak barne.

Informazio gehiago lortzeko, ikus VNFen abio segurua.
VNC kontsolarako sarbidea babestea
NFVIS-ek erabiltzaileari Virtual Network Computing (VNC) saio bat sortzeko aukera ematen dio inplementatutako VMren urruneko mahaigainean sartzeko. Hau gaitzeko, NFVISek modu dinamikoan irekitzen du erabiltzailea bere erabiliz konektatu ahal izateko ataka bat web arakatzailea. Ataka hau 60 segundoz soilik uzten da irekita kanpoko zerbitzari batek VM-rako saio bat abiarazteko. Epe horretan jarduerarik ikusten ez bada, portua itxi egingo da. Portuaren zenbakia modu dinamikoan esleitzen da eta, ondorioz, VNC kontsolarako sarbide bakarra ahalbidetzen du.
nfvis# vncconsole start deployment-name 1510614035 vm-name ROUTER vncconsole-url :6005/vnc_auto.html
Zure arakatzailea https://-ra seinalatzen :6005/vnc_auto.html ROUTER VM-ren VNC kontsolara konektatuko da.
Segurtasun kontuak 25

Enkriptatutako VM konfigurazio-datuen aldagaiak

Segurtasun-gogoetak

Enkriptatutako VM konfigurazio-datuen aldagaiak
VM inplementatzean, erabiltzaileak eguneko 0 konfigurazioa eskaintzen du file VMrako. Hau file informazio sentikorra izan dezake, hala nola pasahitzak eta gakoak. Informazio hori testu argi gisa pasatzen bada, erregistroan agertzen da files eta barne datu-basearen erregistroak testu argian. Ezaugarri honi esker, erabiltzaileak konfigurazio-datuen aldagai bat sentikor gisa markatzeko aukera ematen du, bere balioa AES-CFB-128 enkriptatzea erabiliz enkriptatu dadin, gorde edo barne azpisistemetara pasatu aurretik.
Informazio gehiago lortzeko, ikusi VM inplementatzeko parametroak.
Kontrol-sumaren egiaztapena Urruneko Irudien Erregistrorako
Urrutiko kokatutako VNF irudi bat erregistratzeko, erabiltzaileak bere kokapena zehazten du. Irudia kanpoko iturri batetik deskargatu beharko da, hala nola NFS zerbitzari batetik edo urruneko HTTPS zerbitzari batetik.
Deskargatu den jakiteko file instalatzeko segurua da, ezinbestekoa da konparatzea fileerabili aurretik, kontrol-suma. Checksum-a egiaztatzeak ziurtatzen du file ez da sareko transmisioan hondatu, ezta hirugarren pertsona gaizto batek aldatu baino lehen deskargatu aurretik.
NFVIS-ek checksum eta checksum_algorithm aukerak onartzen ditu erabiltzaileak deskargatutako irudiaren checksum-suma egiaztatzeko erabili beharreko checksum eta checksum algoritmoa (SHA256 edo SHA512) eskaintzeko. Irudien sorrerak huts egiten du egiaztapen-batuma bat ez badator.
Urruneko irudiak erregistratzeko ziurtagiriaren baliozkotzea
HTTPS zerbitzari batean kokatutako VNF irudi bat erregistratzeko, irudia urruneko HTTPS zerbitzaritik deskargatu beharko da. Irudi hau modu seguruan deskargatzeko, NFVISek zerbitzariaren SSL ziurtagiria egiaztatzen du. Erabiltzaileak ziurtagiriaren bidea zehaztu behar du file edo PEM formatuko ziurtagiriaren edukia deskarga seguru hau gaitzeko.
Xehetasun gehiago irudiak erregistratzeko ziurtagiriaren baliozkotzeari buruzko atalean aurki daitezke
VM isolamendua eta baliabideen horniketa
Sareko Funtzioen Birtualizazioa (NFV) arkitektura hauek osatzen dute:
· Sare-funtzio birtualizatuak (VNF), hau da, sareko funtzionalitateak eskaintzen dituzten software-aplikazioak exekutatzen dituzten Makina Birtualak dira, hala nola bideratzailea, suebakia, karga-orekatzailea eta abar.
· Sare-funtzioak birtualizazio-azpiegitura, azpiegitura-osagaiez osatua: konputazioa, memoria, biltegiratzea eta sareak, beharrezko softwarea eta hipervisorea onartzen dituen plataforma batean.
NFV-rekin, sareko funtzioak birtualizatzen dira, funtzio anitz zerbitzari bakarrean exekutatu ahal izateko. Ondorioz, hardware fisiko gutxiago behar da, baliabideak finkatzeko aukera emanez. Ingurune honetan, ezinbestekoa da VNF anitzentzako baliabide dedikatuak simulatzea hardware sistema fisiko bakar batetik. NFVIS erabiliz, VM-ak modu kontrolatuan inplementa daitezke, VM bakoitzak behar dituen baliabideak jaso ditzan. Baliabideak beharren arabera banatzen dira ingurune fisikotik ingurune birtual askotara. Banakako VM domeinuak isolatuta daude, beraz, ingurune bereiziak, bereiziak eta seguruak dira, elkarren artean lehiatzen ez diren baliabide partekatuengatik.
VM-ek ezin dituzte hornitutakoak baino baliabide gehiago erabili. Honek baliabideak kontsumitzen dituen VM batek Zerbitzuaren ukapenaren baldintza bat saihesten du. Ondorioz, CPU, memoria, sarea eta biltegiratzea babestuta daude.

Segurtasun kontuak 26

Segurtasun-gogoetak
PUZaren isolamendua

PUZaren isolamendua

NFVIS sistemak ostalarian exekutatzen den azpiegiturako softwarerako nukleoak gordetzen ditu. Gainerako nukleoak VM inplementatzeko erabilgarri daude. Honek bermatzen du VMren errendimenduak ez duela NFVIS ostalariaren errendimenduan eraginik izango. Latentzia baxuko VM-ak NFVIS-ek berariaz esleitzen dizkie dedikatu nukleoak bertan inplementatzen diren latentzia baxuko VM-ei. VM-ak 2 vCPU behar baditu, 2 nukleo dedikatu esleitzen zaizkio. Horrek nukleoak partekatzea eta gainharpidetzea eragozten du eta latentzia baxuko VM-en errendimendua bermatzen du. Nukleo erabilgarrien kopurua latentzia baxuko beste VM batek eskatutako vCPU kopurua baino txikiagoa bada, inplementazioa galaraziko da baliabide nahikorik ez dugulako. Latentzia baxuko VM-ak NFVIS-ek PUZ partekagarriak esleitzen dizkie latentzia baxua ez duten VM-ei. VM-ak 2 vCPU behar baditu, 2 CPU esleitzen zaizkio. 2 CPU hauek latentzia baxuko beste VM batzuen artean parteka daitezke. Eskuragarri dauden PUZ kopurua latentzia baxuko beste VM batek eskatutako vCPU kopurua baino txikiagoa bada, inplementazioa onartzen da oraindik VM honek PUZa partekatuko duelako latentzia baxuko VM ez duten VMekin.
Memoria Esleipena
NFVIS Azpiegiturak memoria kopuru jakin bat behar du. VM bat zabaltzen denean, egiaztatze bat dago eskuragarri dagoen memoria azpiegiturarako eta aurretik inplementatutako VMetarako beharrezkoa den memoria erreserbatu ondoren VM berrirako nahikoa dela ziurtatzeko. Ez dugu onartzen VMetarako memoria gehiegizko harpidetza.
Segurtasun kontuak 27

Biltegiratze isolamendua
VM-ek ez dute ostalarira zuzenean sartzeko baimenik file sistema eta biltegiratzea.
Biltegiratze isolamendua

Segurtasun-gogoetak

ENCS plataformak barneko datu-biltegia (M2 SSD) eta kanpoko diskoak onartzen ditu. NFVIS barneko datu biltegian instalatuta dago. Barneko datu-biltegi honetan VNFak ere inplementa daitezke. Segurtasun-praktika onena da bezeroen datuak gordetzea eta bezeroen aplikazioaren Makina Birtualak kanpoko diskoetan zabaltzea. Sistemarako disko fisikoki bereiziak izatea files vs aplikazioa files sistemaren datuak ustelkeria eta segurtasun arazoetatik babesten laguntzen du.
·
Interfazearen isolamendua
Single Root I/O Birtualizazioa edo SR-IOV PCI Express (PCIe) baliabideak isolatzea ahalbidetzen duen zehaztapena da, hala nola Ethernet ataka. SR-IOV erabiliz, Ethernet ataka bakarra Funtzio Birtualek bezala ezagutzen diren gailu fisiko anitz, bereizi gisa ager daiteke. Egokigailu horretako VF gailu guztiek sareko ataka fisiko bera partekatzen dute. Gonbidatu batek Funtzio Birtual hauetako bat edo gehiago erabil ditzake. Funtzio Birtual bat sare-txartel gisa agertzen zaio gonbidatuari, sare-txartel arrunt bat sistema eragile bati agertuko zaion moduan. Funtzio birtualek ia jatorrizko errendimendua dute eta para-birtualizatutako kontrolatzaileek eta emulatutako sarbideak baino errendimendu hobea eskaintzen dute. Funtzio birtualek datuen babesa eskaintzen dute zerbitzari fisiko berean dauden gonbidatuen artean, datuak kudeatzen eta kontrolatzen dituen hardwareak. NFVIS VNF-ek SR-IOV sareak erabil ditzakete WAN eta LAN Backplane portuetara konektatzeko.
Segurtasun kontuak 28

Segurtasun-gogoetak

Garapen Ziklo Segurua

Horrelako VM bakoitzak interfaze birtual bat eta hari lotutako baliabideak ditu, datuen babesa lortzeko VM-en artean.
Garapen Ziklo Segurua
NFVISek softwarerako Garapen Seguruko Bizi-zikloa (SDL) jarraitzen du. Prozesu errepikagarria eta neurgarria da, ahultasunak murrizteko eta Cisco soluzioen segurtasuna eta erresilientzia hobetzeko diseinatua. Cisco SDL-k industrian puntako praktikak eta teknologia aplikatzen ditu eremuan aurkitutako produktuen segurtasun-intzidentzia gutxiago dituzten irtenbide fidagarriak eraikitzeko. NFVIS bertsio bakoitzak ondorengo prozesuetatik pasatzen du.
· Ciscoren barneko eta merkatuan oinarritutako produktuen segurtasun-baldintzak betez. · Hirugarrenen softwarea erregistratzea Cisco-ko biltegi zentral batean ahultasunen jarraipena egiteko. · Segurtasuna kontuan hartuta softwarea diseinatzea · Kodetze praktika seguruak jarraituz, esate baterako, CiscoSSL bezalako segurtasun-modulu arrunt egiaztatuak erabiltzea, exekutatzen.
Aginduen injekzioa saihesteko eta abarretarako sarrerako baliozkotzea eta analisi estatikoa ezartzea. · Aplikazioen segurtasun-tresnak erabiltzea, hala nola IBM AppScan, Nessus eta Cisco barne-tresnak.

Segurtasun kontuak 29

Garapen Ziklo Segurua

Segurtasun-gogoetak

Segurtasun kontuak 30

Dokumentuak / Baliabideak

CISCO Enterprise Network Function Birtualizazio Azpiegitura Softwarea [pdfErabiltzailearen gida Enpresa-sare-funtzioa Birtualizazio Azpiegitura Softwarea, Enpresa, Sare Funtzio Birtualizazio Azpiegitura Softwarea, Birtualizazio Azpiegitura Softwarea, Azpiegitura Softwarea

Erreferentziak

• Erabiltzailearen eskuliburua