مطالب پنهان کردن
1 نرم افزار زیرساخت مجازی سازی عملکرد شبکه سازمانی
2 اطلاعات محصول
2.1 مشخصات
2.2 ملاحظات امنیتی
2.3 نصب و راه اندازی
2.4 بوت امن
2.5 شناسایی منحصر به فرد دستگاه (SUDI)
2.6 سوالات متداول
2.6.1 س: NFVIS چیست؟
2.6.2 س: چگونه می توانم یکپارچگی تصویر NFVIS ISO را تأیید کنم یا تصویر را ارتقا دهم؟
2.6.3 س: آیا بوت امن به طور پیش فرض در ENCS فعال است؟
2.6.4 س: هدف SUDI در NFVIS چیست؟
2.6.5 اسناد / منابع
2.6.5.1 مراجع
2.6.6 پست های مرتبط

نرم افزار زیرساخت مجازی سازی عملکرد شبکه سازمانی

اطلاعات محصول

مشخصات

  • نسخه نرم افزار NFVIS: 3.7.1 و بالاتر
  • امضای RPM و تأیید امضا پشتیبانی می شود
  • بوت امن موجود است (به طور پیش فرض غیرفعال است)
  • مکانیسم شناسایی منحصر به فرد دستگاه (SUDI) مورد استفاده قرار گرفت

ملاحظات امنیتی

نرم افزار NFVIS امنیت را از طریق مختلف تضمین می کند
مکانیسم ها:

  • تصویر تیampحفاظت er: امضای RPM و تأیید امضا
    برای تمام بسته های RPM در ISO و ارتقاء تصاویر.
  • امضای RPM: همه بسته‌های RPM در ISO NFVIS Cisco Enterprise
    و تصاویر ارتقاء برای اطمینان از یکپارچگی رمزنگاری امضا شده و
    اصالت
  • تأیید امضای RPM: امضای همه بسته‌های RPM است
    قبل از نصب یا ارتقاء تأیید شده است.
  • تأیید صحت تصویر: هش تصویر ISO NFVIS Cisco
    و تصویر ارتقا برای اطمینان از یکپارچگی موارد اضافی منتشر می شود
    غیر دور در دقیقه files.
  • ENCS Secure Boot: بخشی از استاندارد UEFI، تضمین می کند که
    دستگاه فقط با استفاده از نرم افزار قابل اعتماد بوت می شود.
  • Secure Unique Device Identification (SUDI): دستگاه را ارائه می دهد
    با هویتی تغییرناپذیر برای تأیید صحت آن.

نصب و راه اندازی

برای نصب نرم افزار NFVIS مراحل زیر را دنبال کنید:

  1. مطمئن شوید که تصویر نرم افزار t نشده باشدampتوسط
    تایید امضا و صحت آن
  2. اگر از Cisco Enterprise NFVIS 3.7.1 و جدیدتر استفاده می کنید، مطمئن شوید
    تأیید امضا در حین نصب انجام می شود. اگر شکست بخورد،
    نصب متوقف خواهد شد.
  3. در صورت ارتقا از Cisco Enterprise NFVIS 3.6.x به Release
    3.7.1، امضاهای RPM در طول ارتقا تأیید می شوند. اگر
    تأیید امضا ناموفق است، یک خطا ثبت شده است، اما ارتقا داده شده است
    تکمیل شد.
  4. در صورت ارتقاء از نسخه 3.7.1 به نسخه های بعدی، RPM
    هنگامی که تصویر ارتقاء ثبت شده است، امضاها تأیید می شوند. اگر
    تأیید امضا انجام نمی شود، ارتقاء متوقف می شود.
  5. هش تصویر سیسکو NFVIS ISO یا ارتقاء تصویر را بررسی کنید
    با استفاده از دستور: /usr/bin/sha512sum
    <image_filepath>    . هش را با موارد منتشر شده مقایسه کنید
    هش برای اطمینان از یکپارچگی.

بوت امن

Secure boot یکی از ویژگی های موجود در ENCS است (به طور پیش فرض غیرفعال است)
این اطمینان حاصل می کند که دستگاه فقط با استفاده از نرم افزار قابل اعتماد بوت می شود. به
فعال کردن بوت امن:

  1. برای اطلاعات بیشتر به مستندات مربوط به Secure Boot of Host مراجعه کنید
    اطلاعات
  2. دستورالعمل های ارائه شده را دنبال کنید تا بوت ایمن را در خود فعال کنید
    دستگاه

شناسایی منحصر به فرد دستگاه (SUDI)

SUDI به NFVIS یک هویت تغییرناپذیر ارائه می دهد و آن را تأیید می کند
این یک محصول اصیل سیسکو است و به رسمیت شناخته شدن آن در
سیستم موجودی مشتری

سوالات متداول

س: NFVIS چیست؟

A: NFVIS مخفف Network Function Virtualization است
نرم افزار زیرساخت. این یک پلت فرم نرم افزاری است که برای استقرار استفاده می شود
و توابع شبکه مجازی را مدیریت کنید.

س: چگونه می توانم یکپارچگی تصویر NFVIS ISO یا تایید کنم
ارتقاء تصویر؟

A: برای تأیید یکپارچگی، از دستور استفاده کنید
/usr/bin/sha512sum <image_filepath> و مقایسه کنید
هش با هش منتشر شده ارائه شده توسط سیسکو.

س: آیا بوت امن به طور پیش فرض در ENCS فعال است؟

پاسخ: خیر، بوت امن به طور پیش فرض در ENCS غیرفعال است. این است
توصیه می شود برای افزایش امنیت، بوت امن را فعال کنید.

س: هدف SUDI در NFVIS چیست؟

پاسخ: SUDI به NFVIS یک هویت منحصر به فرد و تغییرناپذیر ارائه می دهد،
اطمینان از اصالت آن به عنوان یک محصول سیسکو و تسهیل آن
شناسایی در سیستم موجودی مشتری

View Fullscreen

ملاحظات امنیتی
این فصل ویژگی ها و ملاحظات امنیتی در NFVIS را شرح می دهد. سطح بالایی می دهدview از اجزای مرتبط با امنیت در NFVIS برای برنامه ریزی یک استراتژی امنیتی برای استقرارهای خاص شما. همچنین توصیه هایی در مورد بهترین شیوه های امنیتی برای اجرای عناصر اصلی امنیت شبکه دارد. نرم افزار NFVIS از زمان نصب در تمامی لایه های نرم افزار امنیت جاسازی شده است. فصل‌های بعدی بر روی این جنبه‌های امنیتی خارج از چارچوب مانند مدیریت اعتبار، یکپارچگی وampحفاظت er، مدیریت جلسه، دسترسی ایمن به دستگاه و موارد دیگر.

· نصب، در صفحه 2 · ایمن شناسایی منحصر به فرد دستگاه، در صفحه 3 · دسترسی به دستگاه، در صفحه 4

ملاحظات امنیتی 1

نصب و راه اندازی

ملاحظات امنیتی

· شبکه مدیریت زیرساخت، در صفحه 22 · حفاظت از اطلاعات ذخیره شده محلی، در صفحه 23 · File انتقال، در صفحه 24 · ورود به سیستم، در صفحه 24 · امنیت ماشین مجازی، در صفحه 25 · جداسازی VM و تامین منابع، در صفحه 26 · چرخه عمر توسعه امن، در صفحه 29

نصب و راه اندازی
برای اطمینان از اینکه نرم افزار NFVIS نشده استampبا استفاده از، تصویر نرم افزار قبل از نصب با استفاده از مکانیسم های زیر تأیید می شود:

تصویر تیamper حفاظت
NFVIS از امضای RPM و تأیید امضا برای همه بسته های RPM در ISO و تصاویر ارتقاء پشتیبانی می کند.

امضای RPM

تمام بسته‌های RPM در Cisco Enterprise NFVIS ISO و تصاویر ارتقا یافته برای اطمینان از صحت و اعتبار رمزنگاری امضا شده‌اند. این تضمین می کند که بسته های RPM T نشده اندampبسته های RPM از NFVIS هستند. کلید خصوصی که برای امضای بسته‌های RPM استفاده می‌شود توسط سیسکو ایجاد و به‌طور ایمن نگهداری می‌شود.

تأیید امضای RPM

نرم افزار NFVIS امضای تمام بسته های RPM را قبل از نصب یا ارتقاء تأیید می کند. جدول زیر رفتار NFVIS Cisco Enterprise را هنگامی که تأیید امضا در حین نصب یا ارتقاء ناموفق است، توضیح می دهد.

سناریو

توضیحات

Cisco Enterprise NFVIS 3.7.1 و نصب های بعدی اگر تأیید امضا هنگام نصب Cisco Enterprise NFVIS ناموفق باشد، نصب متوقف می شود.

ارتقاء Cisco Enterprise NFVIS از 3.6.x به نسخه 3.7.1

امضاهای RPM زمانی که ارتقا انجام می شود تأیید می شود. اگر تأیید امضا ناموفق باشد، یک خطا ثبت می شود اما ارتقاء کامل می شود.

ارتقاء Cisco Enterprise NFVIS از نسخه 3.7.1 امضاهای RPM هنگام ارتقا تأیید می شوند

به نسخه های بعدی

تصویر ثبت شده است اگر تأیید امضا ناموفق باشد،

ارتقاء متوقف شده است.

تایید یکپارچگی تصویر
امضای RPM و تأیید امضا فقط برای بسته‌های RPM موجود در Cisco NFVIS ISO و تصاویر ارتقاء داده می‌شود. برای اطمینان از یکپارچگی تمام غیر RPM اضافی fileدر تصویر Cisco NFVIS ISO موجود است، هش تصویر Cisco NFVIS ISO همراه با تصویر منتشر شده است. به طور مشابه، هش تصویر ارتقاء NFVIS سیسکو همراه با تصویر منتشر می شود. برای بررسی اینکه هش سیسکو است

ملاحظات امنیتی 2

ملاحظات امنیتی

ENCS Secure Boot

تصویر NFVIS ISO یا تصویر ارتقا یافته با هش منتشر شده توسط سیسکو مطابقت دارد، دستور زیر را اجرا کنید و هش را با هش منتشر شده مقایسه کنید:
% /usr/bin/sha512sumFile> c2122783efc18b039246ae1bcd4eec4e5e027526967b5b809da5632d462dfa6724a9b20ec318c74548c6bd7e9b8217ce96b5ece93dcdd74fda5e01bb382ad607
<ImageFile>
ENCS Secure Boot
راه‌اندازی امن بخشی از استاندارد رابط میان‌افزار توسعه‌پذیر یکپارچه (UEFI) است که تضمین می‌کند دستگاه فقط با استفاده از نرم‌افزاری که توسط سازنده تجهیزات اصلی (OEM) قابل اعتماد است بوت می‌شود. هنگامی که NFVIS شروع می شود، سیستم عامل امضای نرم افزار بوت و سیستم عامل را بررسی می کند. اگر امضاها معتبر باشند، دستگاه بوت می شود و سیستم عامل کنترل را به سیستم عامل می دهد.
بوت امن در ENCS موجود است اما به طور پیش فرض غیرفعال است. سیسکو به شما توصیه می کند که بوت امن را فعال کنید. برای اطلاعات بیشتر به Secure Boot of Host مراجعه کنید.
شناسایی منحصر به فرد دستگاه ایمن
NFVIS از مکانیزمی به نام Secure Unique Device Identification (SUDI) استفاده می کند که هویت غیرقابل تغییری برای آن فراهم می کند. این هویت برای تأیید اینکه دستگاه یک محصول اصلی سیسکو است و برای اطمینان از اینکه دستگاه به خوبی برای سیستم موجودی مشتری شناخته شده است استفاده می شود.
SUDI یک گواهی X.509v3 و یک جفت کلید مرتبط است که در سخت افزار محافظت می شود. گواهینامه SUDI حاوی شناسه محصول و شماره سریال است و در زیرساخت کلید عمومی Cisco ریشه دارد. جفت کلید و گواهی SUDI در طول ساخت به ماژول سخت افزاری وارد می شوند و کلید خصوصی هرگز نمی تواند صادر شود.
هویت مبتنی بر SUDI را می توان برای انجام تنظیمات تأیید شده و خودکار با استفاده از Zero Touch Provisioning (ZTP) استفاده کرد. این کار نصب ایمن و از راه دور دستگاه ها را فعال می کند و تضمین می کند که سرور هماهنگ با یک دستگاه NFVIS واقعی صحبت می کند. یک سیستم پشتیبان می‌تواند یک چالش برای دستگاه NFVIS صادر کند تا هویت آن را تأیید کند و دستگاه با استفاده از هویت مبتنی بر SUDI خود به چالش پاسخ خواهد داد. این به سیستم پشتیبان اجازه می دهد تا نه تنها در برابر موجودی خود تأیید کند که دستگاه مناسب در مکان مناسب است، بلکه پیکربندی رمزگذاری شده ای را نیز ارائه می دهد که فقط توسط دستگاه خاص باز می شود و در نتیجه محرمانه بودن در حمل و نقل را تضمین می کند.
نمودارهای گردش کار زیر نحوه استفاده NFVIS از SUDI را نشان می دهد:

ملاحظات امنیتی 3

دسترسی به دستگاه شکل 1: تأیید اعتبار سرور Plug and Play (PnP).

ملاحظات امنیتی

شکل 2: تأیید اعتبار و مجوز دستگاه Plug and Play

دسترسی به دستگاه
NFVIS مکانیسم های دسترسی متفاوتی از جمله کنسول و همچنین دسترسی از راه دور را بر اساس پروتکل هایی مانند HTTPS و SSH فراهم می کند. هر مکانیزم دسترسی باید به دقت مورد بررسی قرار گیردviewویرایش و پیکربندی شده است. مطمئن شوید که فقط مکانیسم های دسترسی مورد نیاز فعال هستند و به درستی ایمن شده اند. مراحل کلیدی برای ایمن کردن دسترسی تعاملی و مدیریتی به NFVIS، محدود کردن دسترسی به دستگاه، محدود کردن قابلیت‌های کاربران مجاز به آنچه مورد نیاز است، و محدود کردن روش‌های مجاز دسترسی است. NFVIS تضمین می کند که دسترسی فقط به کاربران تأیید شده اعطا می شود و آنها می توانند فقط اقدامات مجاز را انجام دهند. دسترسی دستگاه برای ممیزی ثبت می شود و NFVIS محرمانه بودن داده های حساس ذخیره شده محلی را تضمین می کند. ایجاد کنترل های مناسب به منظور جلوگیری از دسترسی غیرمجاز به NFVIS بسیار مهم است. بخش‌های زیر بهترین شیوه‌ها و تنظیمات برای دستیابی به این هدف را شرح می‌دهند:
ملاحظات امنیتی 4

ملاحظات امنیتی

تغییر رمز عبور اجباری در اولین ورود

تغییر رمز عبور اجباری در اولین ورود
اعتبار پیش فرض منبع مکرر حوادث امنیتی محصول است. مشتریان اغلب فراموش می‌کنند که اعتبار پیش‌فرض ورود به سیستم را تغییر دهند و سیستم‌هایشان را برای حمله باز بگذارند. برای جلوگیری از این امر، کاربر NFVIS مجبور می شود پس از اولین ورود با استفاده از اعتبار پیش فرض (نام کاربری: admin و رمز عبور Admin123#) رمز عبور را تغییر دهد. برای اطلاعات بیشتر، دسترسی به NFVIS را ببینید.
محدود کردن آسیب پذیری های ورود
با استفاده از ویژگی های زیر می توانید از آسیب پذیری در برابر حملات لغت نامه و انکار سرویس (DoS) جلوگیری کنید.
اجرای رمز عبور قوی
مکانیزم احراز هویت تنها به اندازه اعتبار آن قوی است. به همین دلیل، اطمینان از داشتن رمز عبور قوی توسط کاربران بسیار مهم است. NFVIS بررسی می کند که یک رمز عبور قوی طبق قوانین زیر پیکربندی شده است: رمز عبور باید شامل موارد زیر باشد:
· حداقل یک نویسه بزرگ · حداقل یک نویسه کوچک · حداقل یک عدد · حداقل یکی از این کاراکترهای خاص: هش (#)، خط زیر (_)، خط فاصله (-)، ستاره (*)، یا سوال
علامت (؟) · هفت کاراکتر یا بیشتر · طول رمز عبور باید بین 7 تا 128 کاراکتر باشد.
پیکربندی حداقل طول برای رمزهای عبور
عدم پیچیدگی رمز عبور، به ویژه طول رمز عبور، به طور قابل توجهی فضای جستجو را زمانی که مهاجمان سعی در حدس زدن رمزهای عبور کاربر می‌کنند، کاهش می‌دهد و حملات brute-force را بسیار آسان‌تر می‌کند. کاربر مدیر می تواند حداقل طول مورد نیاز برای رمز عبور همه کاربران را پیکربندی کند. حداقل طول باید بین 7 تا 128 کاراکتر باشد. به طور پیش فرض، حداقل طول مورد نیاز برای رمز عبور 7 کاراکتر تنظیم شده است. CLI:
nfvis(config)# احراز هویت rbac min-pwd-length 9
API:
/api/config/rbac/authentication/min-pwd-length
پیکربندی طول عمر رمز عبور
طول عمر رمز عبور تعیین می کند که چه مدت می توان رمز عبور را قبل از اینکه کاربر مجبور به تغییر آن شود، استفاده کرد.

ملاحظات امنیتی 5

استفاده مجدد از رمز عبور قبلی را محدود کنید

ملاحظات امنیتی

کاربر ادمین می تواند حداقل و حداکثر مقادیر طول عمر را برای رمزهای عبور برای همه کاربران پیکربندی کند و قانونی را برای بررسی این مقادیر اعمال کند. مقدار حداقل طول عمر پیش فرض روی 1 روز و مقدار حداکثر طول عمر پیش فرض روی 60 روز تنظیم شده است. هنگامی که یک مقدار حداقل طول عمر پیکربندی شده است، کاربر نمی تواند رمز عبور را تغییر دهد تا زمانی که تعداد روزهای مشخص شده سپری شود. به طور مشابه، هنگامی که یک مقدار حداکثر طول عمر پیکربندی می شود، کاربر باید رمز عبور را قبل از گذشت تعداد روزهای مشخص شده تغییر دهد. اگر کاربر رمز عبور را تغییر ندهد و تعداد روزهای مشخص شده گذشته باشد، یک اعلان برای کاربر ارسال می شود.
توجه داشته باشید مقادیر حداقل و حداکثر طول عمر و قانون بررسی این مقادیر برای کاربر مدیر اعمال نمی شود.
CLI:
پیکربندی ترمینال احراز هویت rbac رمز عبور مادام العمر اجرای واقعی حداقل روز 2 حداکثر روز 30 commit
API:
/api/config/rbac/authentication/password-lifetime/
استفاده مجدد از رمز عبور قبلی را محدود کنید
بدون جلوگیری از استفاده از عبارات عبور قبلی، انقضای رمز عبور تا حد زیادی بی فایده است زیرا کاربران می توانند به سادگی عبارت عبور را تغییر دهند و سپس آن را به اصلی تغییر دهند. NFVIS بررسی می کند که رمز عبور جدید با یکی از 5 رمز عبور استفاده شده قبلی یکی نباشد. یکی از استثناهای این قانون این است که کاربر مدیر می تواند رمز عبور را به رمز عبور پیش فرض تغییر دهد حتی اگر یکی از 5 رمز عبور قبلاً استفاده شده باشد.
تعداد دفعات تلاش برای ورود را محدود کنید
اگر یک همتای راه دور اجازه داشته باشد که تعداد نامحدودی بار وارد شود، ممکن است در نهایت بتواند اعتبار ورود به سیستم را با زور بی رحمانه حدس بزند. از آنجایی که عبارات عبور اغلب به راحتی قابل حدس زدن هستند، این یک حمله رایج است. با محدود کردن سرعتی که همتا می‌تواند برای ورود به سیستم تلاش کند، از این حمله جلوگیری می‌کنیم. همچنین از صرف منابع سیستم برای احراز هویت غیرضروری این تلاش‌های brute-force برای ورود به سیستم که می‌تواند حمله انکار سرویس را ایجاد کند، اجتناب می‌کنیم. NFVIS پس از 5 تلاش ناموفق برای ورود به سیستم، یک قفل 10 دقیقه ای کاربر را اعمال می کند.
غیرفعال کردن حساب های کاربری غیرفعال
نظارت بر فعالیت کاربر و غیرفعال کردن حساب های کاربری استفاده نشده یا قدیمی به ایمن کردن سیستم از حملات خودی کمک می کند. حساب های استفاده نشده در نهایت باید حذف شوند. کاربر سرپرست می‌تواند قانونی را اعمال کند تا حساب‌های کاربری استفاده‌نشده را به‌عنوان غیرفعال علامت‌گذاری کند و تعداد روزهایی را که پس از آن یک حساب کاربری استفاده‌نشده به‌عنوان غیرفعال علامت‌گذاری می‌شود، پیکربندی کند. پس از علامت گذاری به عنوان غیرفعال، آن کاربر نمی تواند به سیستم وارد شود. برای اینکه کاربر بتواند وارد سیستم شود، کاربر ادمین می تواند حساب کاربری را فعال کند.
توجه دوره عدم فعالیت و قانون بررسی دوره عدم فعالیت برای کاربر ادمین اعمال نمی شود.

ملاحظات امنیتی 6

ملاحظات امنیتی

فعال کردن یک حساب کاربری غیرفعال

از CLI و API زیر می‌توان برای پیکربندی اجرای عدم فعالیت حساب استفاده کرد. CLI:
پیکربندی ترمینال احراز هویت rbac حساب-عدم فعالیت اعمال عدم فعالیت واقعی-روزهای 30 commit
API:
/api/config/rbac/authentication/account-inactivity/
مقدار پیش فرض برای روزهای عدم فعالیت 35 است.
فعال کردن یک حساب کاربری غیرفعال کاربر ادمین می تواند حساب کاربری غیرفعال را با استفاده از CLI و API زیر فعال کند: CLI:
پیکربندی ترمینال rbac احراز هویت کاربران کاربر guest_user فعال کردن commit
API:
/api/operations/rbac/authentication/users/user/username/activate

اجرای تنظیمات بایوس و رمزهای عبور CIMC

جدول 1: جدول تاریخچه ویژگی ها

نام ویژگی

اطلاعات انتشار

اجرای تنظیمات BIOS و رمزهای عبور CIMC NFVIS 4.7.1

توضیحات
این ویژگی کاربر را مجبور می کند تا رمز عبور پیش فرض CIMC و BIOS را تغییر دهد.

محدودیت برای اجرای تنظیمات BIOS و رمزهای عبور CIMC
· این ویژگی فقط در پلتفرم های Cisco Catalyst 8200 UCPE و Cisco ENCS 5400 پشتیبانی می شود.
· این ویژگی فقط در نصب جدید NFVIS 4.7.1 و نسخه های بعدی پشتیبانی می شود. اگر از NFVIS 4.6.1 به NFVIS 4.7.1 ارتقا دهید، این ویژگی پشتیبانی نمی‌شود و از شما خواسته نمی‌شود گذرواژه‌های BIOS و CIMS را بازنشانی کنید، حتی اگر گذرواژه‌های BIOS و CIMC پیکربندی نشده باشند.

اطلاعاتی در مورد اجرای تنظیمات بایوس و رمزهای عبور CIMC
این ویژگی با اعمال بازنشانی گذرواژه‌های BIOS و CIMC پس از نصب جدید NFVIS 4.7.1، شکاف امنیتی را برطرف می‌کند. رمز عبور پیش فرض CIMC رمز عبور و رمز عبور پیش فرض بایوس بدون رمز است.
به منظور رفع شکاف امنیتی، شما مجبور هستید رمزهای عبور BIOS و CIMC را در ENCS 5400 پیکربندی کنید. در طول نصب جدید NFVIS 4.7.1، اگر گذرواژه‌های BIOS و CIMC تغییر نکرده و همچنان تغییر کرده‌اند.

ملاحظات امنیتی 7

پیکربندی مثالampنکاتی برای بازنشانی اجباری BIOS و رمزهای عبور CIMC

ملاحظات امنیتی

پسوردهای پیش‌فرض، سپس از شما خواسته می‌شود که رمز عبور BIOS و CIMC را تغییر دهید. اگر فقط یکی از آنها نیاز به تنظیم مجدد داشته باشد، از شما خواسته می شود رمز عبور را فقط برای آن جزء تنظیم مجدد کنید. Cisco Catalyst 8200 UCPE فقط به رمز عبور BIOS نیاز دارد و از این رو فقط بازنشانی رمز عبور BIOS درخواست می شود، اگر قبلاً تنظیم نشده باشد.
توجه داشته باشید اگر از هر نسخه قبلی به NFVIS 4.7.1 یا نسخه های جدیدتر ارتقا دهید، می توانید گذرواژه های BIOS و CIMC را با استفاده از دستورات hostaction change-bios-password newpassword یا hostaction change-cimc-password newpassword تغییر دهید.
برای اطلاعات بیشتر در مورد پسوردهای BIOS و CIMC، به BIOS و CIMC Password مراجعه کنید.
پیکربندی مثالampنکاتی برای بازنشانی اجباری BIOS و رمزهای عبور CIMC
1. هنگامی که NFVIS 4.7.1 را نصب می کنید، ابتدا باید رمز عبور پیش فرض مدیریت را بازنشانی کنید.
نرم افزار زیرساخت مجازی سازی عملکرد شبکه سیسکو (NFVIS)
نسخه NFVIS: 99.99.0-1009
حق نشر (ج) 2015-2021 توسط Cisco Systems, Inc. Cisco، Cisco Systems، و Cisco Systems نشان‌واره علائم تجاری ثبت شده Cisco Systems, Inc. و/یا شرکت‌های وابسته آن در ایالات متحده و برخی کشورهای دیگر هستند.
حق چاپ برخی از آثار موجود در این نرم افزار متعلق به اشخاص ثالث دیگر است و تحت قراردادهای مجوز شخص ثالث استفاده و توزیع می شود. برخی از اجزای این نرم افزار تحت مجوز GNU GPL 2.0، GPL 3.0، LGPL 2.1، LGPL 3.0 و AGPL 3.0 هستند.
ادمین از 10.24.109.102 با استفاده از ssh در nfvis متصل شده است.
1.حداقل یک کاراکتر کوچک 2.حداقل یک نویسه بزرگ 3.حداقل یک عدد 4.حداقل یک کاراکتر خاص از # _ – * ? 5. طول باید بین 7 تا 128 کاراکتر باشد لطفا رمز عبور را بازنشانی کنید: لطفا رمز عبور را دوباره وارد کنید:
بازنشانی رمز عبور مدیریت
2. در پلتفرم‌های Cisco Catalyst 8200 UCPE و Cisco ENCS 5400 هنگام نصب جدید NFVIS 4.7.1 یا نسخه‌های جدیدتر، باید رمزهای عبور پیش‌فرض BIOS و CIMC را تغییر دهید. اگر گذرواژه‌های BIOS و CIMC قبلاً پیکربندی نشده باشند، سیستم از شما می‌خواهد پسوردهای BIOS و CIMC را برای Cisco ENCS 5400 و فقط رمز عبور BIOS را برای Cisco Catalyst 8200 UCPE بازنشانی کنید.
رمز عبور مدیریت جدید تنظیم شده است
لطفاً رمز عبور BIOS را ارائه دهید که معیارهای زیر را برآورده کند: 1. حداقل یک نویسه کوچک 2. حداقل یک کاراکتر بزرگ 3. حداقل یک عدد 4. حداقل یک کاراکتر خاص از #، @ یا _ 5. طول باید بین باشد. 8 و 20 کاراکتر 6. نباید دارای هیچ یک از رشته های زیر باشد (حساس به حروف کوچک و بزرگ): bios 7. کاراکتر اول نمی تواند یک # باشد.

ملاحظات امنیتی 8

ملاحظات امنیتی

رمز عبور BIOS و CIMC را تأیید کنید

لطفا رمز عبور بایوس را بازنشانی کنید: لطفا رمز عبور بایوس را دوباره وارد کنید: لطفا رمز عبور CIMC را که معیارهای زیر را برآورده می کند، وارد کنید:
1. حداقل یک نویسه کوچک 2. حداقل یک نویسه بزرگ 3. حداقل یک عدد 4. حداقل یک نویسه خاص از #، @ یا _ 5. طول باید بین 8 تا 20 کاراکتر باشد. 6. نباید حاوی هیچ یک از رشته های زیر (حساس به حروف کوچک و بزرگ): admin لطفا رمز عبور CIMC را بازنشانی کنید: لطفا رمز عبور CIMC را دوباره وارد کنید:

رمز عبور BIOS و CIMC را تأیید کنید
برای بررسی اینکه آیا گذرواژه‌های BIOS و CIMC با موفقیت تغییر کرده‌اند، از نمایش گزارش nfvis_config.log استفاده کنید | شامل BIOS یا نمایش log nfvis_config.log | شامل دستورات CIMC:

nfvis# نمایش گزارش nfvis_config.log | شامل BIOS

2021-11-16 15:24:40,102 INFO

[hostaction:/system/settings] [] تغییر رمز عبور بایوس

موفق است

همچنین می توانید nfvis_config.log را دانلود کنید file و بررسی کنید که آیا رمزهای عبور با موفقیت تنظیم مجدد شده اند یا خیر.

ادغام با سرورهای خارجی AAA
کاربران از طریق ssh یا به NFVIS وارد می شوند Web UI. در هر صورت، کاربران باید احراز هویت شوند. یعنی یک کاربر برای دسترسی به آن نیاز به ارائه اعتبار رمز عبور دارد.
هنگامی که یک کاربر احراز هویت شد، تمام عملیات انجام شده توسط آن کاربر نیاز به مجوز دارند. به این معنی که کاربران خاصی ممکن است مجاز به انجام وظایف خاصی باشند، در حالی که برخی دیگر مجاز نیستند. به این می گویند مجوز.
توصیه می شود که یک سرور AAA متمرکز برای اجرای احراز هویت ورود به سیستم مبتنی بر AAA برای هر کاربر برای دسترسی NFVIS مستقر شود. NFVIS از پروتکل های RADIUS و TACACS برای واسطه دسترسی به شبکه پشتیبانی می کند. در سرور AAA، تنها حداقل امتیازات دسترسی باید به کاربران احراز هویت شده با توجه به نیازهای دسترسی خاص آنها اعطا شود. این امر قرار گرفتن در معرض حوادث امنیتی مخرب و غیرعمدی را کاهش می دهد.
برای اطلاعات بیشتر در مورد احراز هویت خارجی، به پیکربندی RADIUS و پیکربندی سرور +TACACS مراجعه کنید.

حافظه پنهان احراز هویت برای سرور احراز هویت خارجی

نام ویژگی

اطلاعات انتشار

حافظه پنهان احراز هویت برای سرور احراز هویت خارجی NFVIS 4.5.1

توضیحات
این ویژگی از احراز هویت TACACS از طریق OTP در پورتال NFVIS پشتیبانی می کند.

پورتال NFVIS از رمز عبور یکبار مصرف (OTP) برای همه تماس‌های API پس از احراز هویت اولیه استفاده می‌کند. تماس های API به محض انقضای OTP با شکست مواجه می شوند. این ویژگی از احراز هویت TACACS OTP با پورتال NFVIS پشتیبانی می کند.
پس از احراز هویت موفقیت آمیز از طریق سرور TACACS با استفاده از یک OTP، NFVIS یک ورودی هش با استفاده از نام کاربری و OTP ایجاد می کند و این مقدار هش را به صورت محلی ذخیره می کند. این مقدار هش ذخیره شده محلی دارد

ملاحظات امنیتی 9

کنترل دسترسی مبتنی بر نقش

ملاحظات امنیتی

خیابان زمان انقضاamp با آن مرتبط است. زمان خیابانamp دارای مقدار مشابهی با مقدار زمان بیکاری جلسه SSH که 15 دقیقه است. تمام درخواست‌های احراز هویت بعدی با همان نام کاربری ابتدا در برابر این مقدار هش محلی احراز هویت می‌شوند. اگر احراز هویت با هش محلی ناموفق باشد، NFVIS این درخواست را با سرور TACACS احراز هویت می‌کند و در صورت موفقیت آمیز بودن احراز هویت، یک ورودی هش جدید ایجاد می‌کند. اگر ورودی هش از قبل وجود داشته باشد، زمان آن استamp به 15 دقیقه بازنشانی می شود.
اگر پس از ورود موفقیت آمیز به پورتال از سرور TACACS حذف شده اید، می توانید تا زمانی که ورودی هش در NFVIS منقضی شود به استفاده از پورتال ادامه دهید.
هنگامی که شما به صراحت از پورتال NFVIS خارج می شوید یا به دلیل زمان بیکاری از سیستم خارج می شوید، پورتال یک API جدید را فراخوانی می کند تا به بخش پشتیبان NFVIS اطلاع دهد تا ورودی هش را پاک کند. کش احراز هویت و تمام ورودی های آن پس از راه اندازی مجدد NFVIS، تنظیم مجدد کارخانه یا ارتقاء پاک می شوند.

کنترل دسترسی مبتنی بر نقش

محدود کردن دسترسی به شبکه برای سازمان‌هایی که کارکنان زیادی دارند، پیمانکاران را استخدام می‌کنند یا اجازه دسترسی به اشخاص ثالث، مانند مشتریان و فروشندگان را می‌دهند، مهم است. در چنین سناریویی، نظارت موثر بر دسترسی به شبکه دشوار است. در عوض، بهتر است آنچه را که در دسترس است کنترل کنید، تا داده های حساس و برنامه های کاربردی مهم را ایمن کنید.
کنترل دسترسی مبتنی بر نقش (RBAC) روشی برای محدود کردن دسترسی به شبکه بر اساس نقش‌های تک تک کاربران در یک شرکت است. RBAC به کاربران اجازه می دهد فقط به اطلاعات مورد نیاز خود دسترسی داشته باشند و از دسترسی آنها به اطلاعاتی که به آنها مربوط نمی شود جلوگیری می کند.
نقش یک کارمند در شرکت باید برای تعیین مجوزهای اعطا شده استفاده شود تا اطمینان حاصل شود که کارکنان با امتیازات پایین‌تر نمی‌توانند به اطلاعات حساس دسترسی داشته باشند یا وظایف حیاتی را انجام دهند.
نقش‌ها و امتیازات کاربری زیر در NFVIS تعریف شده‌اند

نقش کاربر

امتیاز

مدیران

می تواند تمام ویژگی های موجود را پیکربندی کند و تمام وظایف از جمله تغییر نقش های کاربر را انجام دهد. مدیر نمی تواند زیرساخت های اساسی را که برای NFVIS اساسی است حذف کند. نقش کاربر Admin قابل تغییر نیست. همیشه "مدیران" هستند.

اپراتورها

می تواند یک VM را راه اندازی و متوقف کند، و view تمام اطلاعات

حسابرسان

آنها کم امتیازترین کاربران هستند. آنها مجوز فقط خواندنی دارند و بنابراین، نمی توانند هیچ پیکربندی را تغییر دهند.

مزایای RBAC
استفاده از RBAC برای محدود کردن دسترسی غیر ضروری به شبکه بر اساس نقش افراد در یک سازمان، مزایای زیادی دارد، از جمله:
· بهبود کارایی عملیاتی.
داشتن نقش‌های از پیش تعریف‌شده در RBAC باعث می‌شود که کاربران جدید با امتیازات مناسب یا تغییر نقش‌های کاربران موجود آسان باشد. همچنین احتمال خطا را در هنگام تخصیص مجوزهای کاربر کاهش می دهد.
· افزایش انطباق.

ملاحظات امنیتی 10

ملاحظات امنیتی

کنترل دسترسی مبتنی بر نقش

هر سازمانی باید با مقررات محلی، ایالتی و فدرال مطابقت داشته باشد. شرکت‌ها عموماً ترجیح می‌دهند سیستم‌های RBAC را برای برآوردن الزامات قانونی و قانونی برای محرمانگی و حفظ حریم خصوصی پیاده‌سازی کنند، زیرا مدیران اجرایی و بخش‌های فناوری اطلاعات می‌توانند به طور مؤثرتری نحوه دسترسی و استفاده از داده‌ها را مدیریت کنند. این امر به ویژه برای مؤسسات مالی و شرکت های مراقبت های بهداشتی که داده های حساس را مدیریت می کنند بسیار مهم است.
· کاهش هزینه ها. با عدم اجازه دسترسی کاربر به فرآیندها و برنامه های خاص، شرکت ها ممکن است منابعی مانند پهنای باند شبکه، حافظه و ذخیره سازی را به شیوه ای مقرون به صرفه حفظ کنند یا از آنها استفاده کنند.
· کاهش خطر نقض و نشت داده ها. پیاده سازی RBAC به معنای محدود کردن دسترسی به اطلاعات حساس است و در نتیجه احتمال نقض داده ها یا نشت داده ها را کاهش می دهد.
بهترین شیوه ها برای اجرای کنترل دسترسی مبتنی بر نقش · به عنوان یک مدیر، لیست کاربران را تعیین کنید و کاربران را به نقش های از پیش تعریف شده اختصاص دهید. برای مثالampکاربر «networkadmin» را می توان ایجاد کرد و به گروه کاربری «administrators» اضافه کرد.
پیکربندی ترمینال احراز هویت rbac کاربران ایجاد نام کاربری رمز عبور شبکه مدیر Test1_pass نقش مدیران را متعهد می‌کنند
توجه: گروه ها یا نقش های کاربری توسط سیستم ایجاد می شوند. شما نمی توانید یک گروه کاربری ایجاد یا تغییر دهید. برای تغییر رمز عبور، از دستور کاربر احراز هویت rbac user change-password در حالت پیکربندی جهانی استفاده کنید. برای تغییر نقش کاربر، از دستور rbac authentication users user change-role در حالت پیکربندی جهانی استفاده کنید.
· خاتمه حساب برای کاربرانی که دیگر نیازی به دسترسی ندارند.
پیکربندی ترمینال rbac احراز هویت کاربران حذف-نام کاربری test1
· ممیزی های دوره ای برای ارزیابی نقش ها، کارکنانی که به آنها اختصاص داده شده اند و دسترسی مجاز برای هر نقش انجام دهید. اگر مشخص شد که کاربر به سیستم خاصی دسترسی غیر ضروری دارد، نقش کاربر را تغییر دهید.
برای جزئیات بیشتر، کاربران، نقش‌ها و احراز هویت را ببینید
کنترل دسترسی مبتنی بر نقش دانه ای با شروع از NFVIS 4.7.1، ویژگی کنترل دسترسی مبتنی بر نقش دانه ای معرفی شده است. این ویژگی یک خط‌مشی گروه منبع جدید اضافه می‌کند که VM و VNF را مدیریت می‌کند و به شما امکان می‌دهد تا کاربران را به گروهی برای کنترل دسترسی VNF در حین استقرار VNF اختصاص دهید. برای اطلاعات بیشتر، به کنترل دسترسی مبتنی بر نقش گرانول مراجعه کنید.

ملاحظات امنیتی 11

دسترسی به دستگاه را محدود کنید

ملاحظات امنیتی

دسترسی به دستگاه را محدود کنید
کاربران مکرراً از حملات به ویژگی هایی که از آنها محافظت نکرده بودند غافل شده اند زیرا نمی دانستند که این ویژگی ها فعال هستند. سرویس‌های استفاده نشده معمولاً با تنظیمات پیش‌فرض باقی می‌مانند که همیشه امن نیستند. این سرویس ها ممکن است از رمزهای عبور پیش فرض نیز استفاده کنند. برخی از سرویس‌ها می‌توانند به مهاجم دسترسی آسانی به اطلاعات مربوط به آنچه سرور در حال اجرا یا نحوه راه‌اندازی شبکه دارد، بدهند. بخش‌های زیر نحوه جلوگیری از خطرات امنیتی NFVIS را شرح می‌دهند:

کاهش بردار حمله
هر نرم افزاری به طور بالقوه می تواند دارای آسیب پذیری های امنیتی باشد. نرم افزار بیشتر به معنای راه های بیشتر برای حمله است. حتی اگر هیچ آسیب‌پذیری شناخته‌شده‌ای در زمان گنجاندن وجود نداشته باشد، آسیب‌پذیری‌ها احتمالاً در آینده کشف یا افشا خواهند شد. برای جلوگیری از چنین سناریوهایی، تنها بسته های نرم افزاری که برای عملکرد NFVIS ضروری هستند نصب می شوند. این به محدود کردن آسیب‌پذیری‌های نرم‌افزار، کاهش مصرف منابع، و کاهش کار اضافی در صورت بروز مشکلات در آن بسته‌ها کمک می‌کند. تمام نرم افزارهای شخص ثالث موجود در NFVIS در یک پایگاه داده مرکزی در سیسکو ثبت می شوند تا سیسکو بتواند پاسخ سازماندهی شده در سطح شرکت (حقوقی، امنیتی و غیره) را انجام دهد. بسته‌های نرم‌افزاری به‌طور دوره‌ای در هر نسخه برای آسیب‌پذیری‌ها و مواجهه‌های رایج شناخته شده (CVE) وصله می‌شوند.

فعال کردن فقط پورت های ضروری به طور پیش فرض

فقط خدماتی که برای راه اندازی و مدیریت NFVIS کاملا ضروری هستند به طور پیش فرض در دسترس هستند. این کار تلاش کاربر برای پیکربندی فایروال ها و ممانعت از دسترسی به خدمات غیر ضروری را حذف می کند. تنها سرویس هایی که به صورت پیش فرض فعال هستند به همراه پورت هایی که باز می کنند در زیر لیست شده اند.

پورت را باز کنید

خدمات

توضیحات

22 / TCP

SSH

Socket Shell ایمن برای دسترسی از راه دور خط فرمان به NFVIS

80 / TCP

HTTP

پروتکل انتقال ابرمتن برای دسترسی به پورتال NFVIS. تمام ترافیک HTTP دریافت شده توسط NFVIS به پورت 443 برای HTTPS هدایت می شود

443 / TCP

HTTPS

پروتکل انتقال ابرمتن ایمن برای دسترسی ایمن به پورتال NFVIS

830 / TCP

NETCONF-ssh

پورت برای پروتکل پیکربندی شبکه (NETCONF) از طریق SSH باز شد. NETCONF پروتکلی است که برای پیکربندی خودکار NFVIS و دریافت اعلان‌های رویداد ناهمزمان از NFVIS استفاده می‌شود.

161/UDP

SNMP

پروتکل مدیریت شبکه ساده (SNMP). توسط NFVIS برای برقراری ارتباط با برنامه های نظارت شبکه از راه دور استفاده می شود. برای اطلاعات بیشتر به مقدمه ای در مورد SNMP مراجعه کنید

ملاحظات امنیتی 12

ملاحظات امنیتی

دسترسی به شبکه های مجاز را برای خدمات مجاز محدود کنید

دسترسی به شبکه های مجاز را برای خدمات مجاز محدود کنید

فقط مبتکران مجاز باید اجازه داشته باشند حتی به مدیریت دستگاه دسترسی داشته باشند، و دسترسی باید فقط به خدماتی باشد که مجاز به استفاده از آنها هستند. NFVIS را می توان به گونه ای پیکربندی کرد که دسترسی به منابع شناخته شده، قابل اعتماد و مدیریت ترافیک حرفه ای مورد انتظار محدود شود.fileس این امر خطر دسترسی غیرمجاز و قرار گرفتن در معرض حملات دیگر، مانند brute force، فرهنگ لغت یا حملات DoS را کاهش می دهد.
برای محافظت از رابط های مدیریت NFVIS از ترافیک غیرضروری و بالقوه مضر، یک کاربر مدیر می تواند لیست های کنترل دسترسی (ACL) را برای ترافیک شبکه ای که دریافت می کند ایجاد کند. این ACLها آدرس‌های IP منبع/شبکه‌هایی را که ترافیک از آن سرچشمه می‌گیرد و نوع ترافیک مجاز یا رد شده از این منابع را مشخص می‌کند. این فیلترهای ترافیک IP برای هر رابط مدیریتی در NFVIS اعمال می شود. پارامترهای زیر در یک لیست کنترل دسترسی دریافت IP پیکربندی شده اند (ip-receive-acl)

پارامتر

ارزش

توضیحات

منبع شبکه/نقاب شبکه

شبکه/ماسک شبکه برای مثالample: 0.0.0.0/0
172.39.162.0/24

این فیلد آدرس IP/شبکه ​​ای را که ترافیک از آن سرچشمه می گیرد را مشخص می کند

اقدام خدمات

https icmp netconf scpd snmp ssh پذیرش رد کردن

نوع ترافیک از منبع مشخص شده
اقدامی که باید در مورد ترافیک از شبکه مبدا انجام شود. با پذیرش، تلاش های جدید برای اتصال اعطا خواهد شد. با رد، تلاش برای اتصال پذیرفته نخواهد شد. اگر این قانون برای یک سرویس مبتنی بر TCP مانند HTTPS، NETCONF، SCP، SSH باشد، منبع یک بسته TCP Reset (RST) دریافت می کند. برای قوانین غیر TCP مانند SNMP و ICMP، بسته حذف می شود. با drop، تمام بسته ها بلافاصله حذف می شوند، هیچ اطلاعاتی به منبع ارسال نمی شود.

ملاحظات امنیتی 13

دسترسی به اشکال زدایی ممتاز

ملاحظات امنیتی

اولویت پارامتر

مقدار یک مقدار عددی

توضیحات
اولویت برای اجرای یک دستور در قوانین استفاده می شود. قوانین با ارزش عددی بالاتر برای اولویت بیشتر در زنجیره اضافه می شوند. اگر می‌خواهید مطمئن شوید که یک قانون بعد از قانون دیگر اضافه می‌شود، از یک عدد با اولویت پایین برای اولین و یک عدد اولویت بالاتر برای موارد زیر استفاده کنید.

اس های زیرampپیکربندی‌ها سناریوهایی را نشان می‌دهند که می‌توانند برای موارد استفاده خاص تطبیق داده شوند.
پیکربندی IP Receive ACL
هرچه ACL محدودتر باشد، قرار گرفتن در معرض تلاش‌های دسترسی غیرمجاز محدودتر می‌شود. با این حال، ACL محدودتر می‌تواند یک سربار مدیریت ایجاد کند و می‌تواند بر دسترسی برای انجام عیب‌یابی تأثیر بگذارد. در نتیجه، تعادلی وجود دارد که باید در نظر گرفته شود. یکی از مصالحه محدود کردن دسترسی فقط به آدرس های IP داخلی شرکت است. هر مشتری باید اجرای ACL ها را در رابطه با خط مشی امنیتی خود، خطرات، قرار گرفتن در معرض و پذیرش آن ارزیابی کند.
رد کردن ترافیک ssh از یک زیرشبکه:

nfvis(config)# تنظیمات سیستم ip-receive-acl 171.70.63.0/24 سرویس ssh اقدام رد اولویت 1

حذف ACL ها:
هنگامی که یک ورودی از ip-receive-acl حذف می شود، تمام تنظیمات مربوط به آن منبع حذف می شود زیرا آدرس IP منبع کلید است. برای حذف فقط یک سرویس، سرویس های دیگر را دوباره پیکربندی کنید.

nfvis(config)# بدون تنظیمات سیستم ip-receive-acl 171.70.63.0/24
برای جزئیات بیشتر به پیکربندی IP Receive ACL مراجعه کنید
دسترسی به اشکال زدایی ممتاز
حساب کاربری فوق‌العاده در NFVIS به‌طور پیش‌فرض غیرفعال است تا از همه تغییرات نامحدود، بالقوه نامطلوب و در کل سیستم جلوگیری کند و NFVIS پوسته سیستم را در معرض دید کاربر قرار نمی‌دهد.
با این حال، برای برخی از مشکلاتی که اشکال زدایی آنها در سیستم NFVIS دشوار است، تیم مرکز کمک فنی سیسکو (TAC) یا تیم توسعه ممکن است به دسترسی پوسته به NFVIS مشتری نیاز داشته باشد. NFVIS یک زیرساخت باز کردن قفل امن دارد تا اطمینان حاصل کند که دسترسی به اشکال زدایی ممتاز به یک دستگاه در این زمینه به کارمندان مجاز سیسکو محدود می شود. برای دسترسی ایمن به پوسته لینوکس برای این نوع اشکال زدایی تعاملی، یک مکانیسم احراز هویت چالش-پاسخ بین NFVIS و سرور اشکال زدایی تعاملی که توسط سیسکو نگهداری می شود استفاده می شود. رمز عبور کاربر ادمین نیز علاوه بر ورود چالش-پاسخ برای اطمینان از دسترسی به دستگاه با رضایت مشتری الزامی است.
مراحل دسترسی به پوسته برای اشکال زدایی تعاملی:
1. یک کاربر ادمین این رویه را با استفاده از این دستور مخفی آغاز می کند.

nfvis# سیستم shell-access

ملاحظات امنیتی 14

ملاحظات امنیتی

رابط های امن

2. برای مثال، صفحه یک رشته چالش را نشان می دهدampدر:
رشته چالش (لطفا همه موارد بین خطوط ستاره را منحصراً کپی کنید):
******************************************************************************** SPH//wkAAABORlZJU0VOQ1M1NDA4L0s5AQAAABt+dcx+hB0V06r9RkdMMjEzNTgw RlHq7BxeAAA= DONE. ********************************************************************************
3. عضو سیسکو وارد رشته چالش در سرور اشکال زدایی تعاملی که توسط سیسکو نگهداری می شود. این سرور تأیید می کند که کاربر Cisco مجاز به اشکال زدایی NFVIS با استفاده از پوسته است و سپس یک رشته پاسخ را برمی گرداند.
4. رشته پاسخ را در صفحه زیر این اعلان وارد کنید: پس از آماده شدن، پاسخ خود را وارد کنید:
5. در صورت درخواست، مشتری باید رمز عبور مدیریت را وارد کند. 6. اگر رمز عبور معتبر باشد، به پوسته دسترسی خواهید داشت. 7. تیم توسعه یا TAC از پوسته برای ادامه اشکال زدایی استفاده می کند. 8. برای خروج از پوسته دسترسی تایپ کنید Exit.
رابط های امن
دسترسی مدیریت NFVIS با استفاده از رابط های نشان داده شده در نمودار مجاز است. بخش‌های زیر بهترین شیوه‌های امنیتی را برای این رابط‌ها به NFVIS شرح می‌دهند.

کنسول SSH

پورت کنسول یک پورت سریال ناهمزمان است که به شما امکان می دهد برای پیکربندی اولیه به NFVIS CLI متصل شوید. کاربر می تواند با دسترسی فیزیکی به NFVIS یا دسترسی از راه دور از طریق استفاده از سرور پایانه به کنسول دسترسی داشته باشد. اگر دسترسی به پورت کنسول از طریق سرور پایانه مورد نیاز است، لیست های دسترسی را در سرور پایانه پیکربندی کنید تا فقط از آدرس های منبع مورد نیاز دسترسی داشته باشید.
کاربران می توانند با استفاده از SSH به عنوان وسیله ای امن برای ورود از راه دور به NFVIS CLI دسترسی پیدا کنند. یکپارچگی و محرمانه بودن ترافیک مدیریت NFVIS برای امنیت شبکه مدیریت شده ضروری است زیرا پروتکل های مدیریت اغلب اطلاعاتی را حمل می کنند که می تواند برای نفوذ یا اختلال در شبکه استفاده شود.

ملاحظات امنیتی 15

پایان جلسه CLI

ملاحظات امنیتی

NFVIS از SSH نسخه 2 استفاده می کند که پروتکل استاندارد واقعی سیسکو و اینترنت برای ورودهای تعاملی است و از رمزگذاری قوی، هش و الگوریتم های تبادل کلید توصیه شده توسط سازمان امنیت و اعتماد در سیسکو پشتیبانی می کند.

پایان جلسه CLI
با ورود از طریق SSH، کاربر یک جلسه با NFVIS ایجاد می کند. در حالی که کاربر وارد سیستم شده است، اگر کاربر جلسه ورود به سیستم را بدون نظارت ترک کند، این می تواند شبکه را در معرض خطر امنیتی قرار دهد. امنیت جلسه خطر حملات داخلی را محدود می کند، مانند تلاش یک کاربر برای استفاده از جلسه کاربر دیگر.
برای کاهش این خطر، NFVIS جلسات CLI را پس از 15 دقیقه عدم فعالیت متوقف می کند. هنگامی که زمان پایان جلسه به پایان می رسد، کاربر به طور خودکار از سیستم خارج می شود.

NETCONF

پروتکل پیکربندی شبکه (NETCONF) یک پروتکل مدیریت شبکه است که توسط IETF برای پیکربندی خودکار دستگاه های شبکه توسعه یافته و استاندارد شده است.
پروتکل NETCONF از کدگذاری داده مبتنی بر زبان نشانه گذاری توسعه پذیر (XML) برای داده های پیکربندی و همچنین پیام های پروتکل استفاده می کند. پیام های پروتکل در بالای یک پروتکل حمل و نقل امن رد و بدل می شوند.
NETCONF به NFVIS اجازه می‌دهد تا یک API مبتنی بر XML را که اپراتور شبکه می‌تواند برای تنظیم و دریافت اطلاعات پیکربندی و اعلان‌های رویداد به صورت ایمن از طریق SSH استفاده کند، در معرض دید قرار دهد.
برای اطلاعات بیشتر به اعلان‌های رویداد NETCONF مراجعه کنید.

REST API

NFVIS را می توان با استفاده از RESTful API روی HTTPS پیکربندی کرد. REST API به سیستم های درخواست کننده اجازه می دهد تا با استفاده از مجموعه ای یکنواخت و از پیش تعریف شده از عملیات بدون حالت، به پیکربندی NFVIS دسترسی پیدا کرده و آن را دستکاری کنند. جزئیات مربوط به همه API های REST را می توان در راهنمای مرجع NFVIS API یافت.
هنگامی که کاربر یک REST API صادر می کند، یک جلسه با NFVIS ایجاد می شود. به منظور محدود کردن خطرات مربوط به حملات انکار سرویس، NFVIS تعداد کل جلسات REST همزمان را به 100 محدود می کند.

NFVIS Web پورتال
پورتال NFVIS یک webرابط کاربری گرافیکی مبتنی بر گرافیک که اطلاعات مربوط به NFVIS را نمایش می دهد. این پورتال ابزاری آسان برای پیکربندی و نظارت بر NFVIS از طریق HTTPS بدون نیاز به دانستن NFVIS CLI و API در اختیار کاربر قرار می دهد.

مدیریت جلسه
ماهیت بدون حالت HTTP و HTTPS نیازمند روشی برای ردیابی منحصربه‌فرد کاربران از طریق استفاده از شناسه‌های جلسه و کوکی‌ها است.
NFVIS جلسه کاربر را رمزگذاری می کند. رمزگذاری AES-256-CBC برای رمزگذاری محتوای جلسه با احراز هویت HMAC-SHA-256 استفاده می شود. tag. برای هر عملیات رمزگذاری یک بردار اولیه سازی تصادفی 128 بیتی ایجاد می شود.
هنگامی که یک جلسه پورتال ایجاد می شود، یک رکورد حسابرسی شروع می شود. اطلاعات جلسه زمانی که کاربر از سیستم خارج می‌شود یا زمانی که جلسه تمام می‌شود حذف می‌شود.
مدت زمان پیش‌فرض بی‌کار برای جلسات پورتال 15 دقیقه است. با این حال، این می تواند برای جلسه فعلی به مقدار بین 5 تا 60 دقیقه در صفحه تنظیمات پیکربندی شود. خروج خودکار پس از این آغاز خواهد شد

ملاحظات امنیتی 16

ملاحظات امنیتی

HTTPS

HTTPS

دوره زمانی. جلسات متعدد در یک مرورگر مجاز نیست. حداکثر تعداد جلسات همزمان روی 30 تنظیم شده است. پورتال NFVIS از کوکی ها برای مرتبط کردن داده ها با کاربر استفاده می کند. برای افزایش امنیت از ویژگی های کوکی زیر استفاده می کند:
· زودگذر برای اطمینان از منقضی شدن کوکی هنگام بسته شدن مرورگر · http فقط برای غیرقابل دسترس کردن کوکی از جاوا اسکریپت · امن پروکسی برای اطمینان از ارسال کوکی فقط از طریق SSL.
حتی پس از احراز هویت، حملاتی مانند جعل درخواست بین سایتی (CSRF) امکان پذیر است. در این سناریو، یک کاربر نهایی ممکن است به طور ناخواسته اقدامات ناخواسته ای را روی a اجرا کند web برنامه ای که در حال حاضر در آن احراز هویت شده اند. برای جلوگیری از این امر، NFVIS از توکن‌های CSRF برای اعتبارسنجی هر REST API که در طول هر جلسه فراخوانی می‌شود، استفاده می‌کند.
URL تغییر مسیر در معمولی web سرورها، زمانی که صفحه ای در آن یافت نمی شود web سرور، کاربر یک پیام 404 دریافت می کند. برای صفحاتی که وجود دارند، یک صفحه ورود دریافت می کنند. تاثیر امنیتی این است که یک مهاجم می تواند یک اسکن brute force انجام دهد و به راحتی تشخیص دهد که کدام صفحات و پوشه ها وجود دارند. برای جلوگیری از این امر در NFVIS، همه وجود ندارند URLاس هایی که پیشوند با IP دستگاه دارند به صفحه ورود به پورتال با کد پاسخ وضعیت 301 هدایت می شوند. این بدان معنی است که صرف نظر از URL توسط مهاجم درخواست می شود، آنها همیشه صفحه ورود را برای احراز هویت خود دریافت می کنند. تمام درخواست‌های سرور HTTP به HTTPS هدایت می‌شوند و هدرهای زیر را پیکربندی می‌کنند:
· گزینه های X-Content-Type · X-XSS-Protection · Content-Security- Policy · X-Frame-Options · Strict-Transport-Security · Cache-Control
غیرفعال کردن پورتال دسترسی به پورتال NFVIS به طور پیش فرض فعال است. اگر قصد استفاده از پورتال را ندارید، توصیه می شود با استفاده از این دستور دسترسی به پورتال را غیرفعال کنید:
پیکربندی ترمینال دسترسی به پورتال سیستم غیرفعال شده است
تمام داده های HTTPS به و از NFVIS از امنیت لایه انتقال (TLS) برای برقراری ارتباط در سراسر شبکه استفاده می کنند. TLS جانشین لایه سوکت امن (SSL) است.

ملاحظات امنیتی 17

HTTPS

ملاحظات امنیتی
دست دادن TLS شامل احراز هویت است که در طی آن مشتری گواهی SSL سرور را با مرجع صدور گواهی تأیید می کند. این تأیید می‌کند که سرور همان چیزی است که می‌گوید، و مشتری در حال تعامل با صاحب دامنه است. به‌طور پیش‌فرض، NFVIS از یک گواهی امضاشده برای اثبات هویت خود به مشتریان خود استفاده می‌کند. این گواهی دارای یک کلید عمومی 2048 بیتی برای افزایش امنیت رمزگذاری TLS است، زیرا قدرت رمزگذاری مستقیماً با اندازه کلید مرتبط است.
Certificate Management NFVIS هنگام نصب برای اولین بار یک گواهی SSL خود امضا تولید می کند. جایگزین کردن این گواهی با گواهی معتبر امضا شده توسط یک مرجع صدور گواهی سازگار (CA) بهترین روش امنیتی است. از مراحل زیر برای جایگزینی گواهینامه خودامضا پیش فرض استفاده کنید: 1. یک درخواست امضای گواهی (CSR) در NFVIS ایجاد کنید.
درخواست امضای گواهی (CSR) یک است file با بلوکی از متن کدگذاری شده که هنگام درخواست گواهی SSL به یک مرجع صدور گواهی داده می شود. این file حاوی اطلاعاتی است که باید در گواهی گنجانده شود مانند نام سازمان، نام مشترک (نام دامنه)، محل و کشور. را file همچنین حاوی کلید عمومی است که باید در گواهی گنجانده شود. NFVIS از یک کلید عمومی 2048 بیتی استفاده می کند زیرا قدرت رمزگذاری با اندازه کلید بالاتر بیشتر است. برای ایجاد یک CSR در NFVIS، دستور زیر را اجرا کنید:
nfvis# درخواست امضای گواهینامه سیستم [نام مشترک کشور، کد محل سازمان، سازمان، واحد، نام وضعیت] CSR file به عنوان /data/intdatastore/download/nfvis.csr ذخیره می شود. . 2. با استفاده از CSR یک گواهی SSL از یک CA دریافت کنید. از یک میزبان خارجی، از دستور scp برای دانلود درخواست امضای گواهی استفاده کنید.
[myhost:/tmp] > scp -P 22222 admin@ :/data/intdatastore/download/nfvis.csrfile-name>
برای صدور گواهی سرور SSL جدید با استفاده از این CSR با یک مرجع صدور گواهی تماس بگیرید. 3. گواهی امضا شده CA را نصب کنید.
از یک سرور خارجی، از دستور scp برای آپلود گواهی استفاده کنید file به NFVIS به data/intdatastore/uploads/ دایرکتوری
[myhost:/tmp] > scp -P 22222 file> admin@ :/data/intdatastore/uploads
با استفاده از دستور زیر گواهی را در NFVIS نصب کنید.
مسیر نصب-cert گواهی سیستم nfvis# file:///data/intdatastore/uploads/<certificate file>
4. به استفاده از گواهی امضا شده CA بروید. از دستور زیر برای شروع استفاده از گواهی امضا شده CA به جای گواهینامه خودامضا پیش فرض استفاده کنید.

ملاحظات امنیتی 18

ملاحظات امنیتی

دسترسی به SNMP

nfvis(config)# گواهی سیستم use-cert Cert-type ca-signed

دسترسی به SNMP

پروتکل مدیریت شبکه ساده (SNMP) یک پروتکل استاندارد اینترنت برای جمع‌آوری و سازماندهی اطلاعات مربوط به دستگاه‌های مدیریت شده در شبکه‌های IP، و برای تغییر آن اطلاعات برای تغییر رفتار دستگاه است.
سه نسخه قابل توجه از SNMP توسعه یافته است. NFVIS از SNMP نسخه 1، نسخه 2c و نسخه 3 پشتیبانی می کند. نسخه های SNMP 1 و 2 از رشته های جامعه برای احراز هویت استفاده می کنند و این ها به صورت متن ساده ارسال می شوند. بنابراین، بهترین روش امنیتی استفاده از SNMP v3 به جای آن است.
SNMPv3 با استفاده از سه جنبه دسترسی ایمن به دستگاه ها را فراهم می کند: - کاربران، احراز هویت و رمزگذاری. SNMPv3 از USM (ماژول امنیتی مبتنی بر کاربر) برای کنترل دسترسی به اطلاعات موجود از طریق SNMP استفاده می کند. کاربر SNMP v3 با یک نوع احراز هویت، یک نوع حریم خصوصی و همچنین یک عبارت عبور پیکربندی شده است. همه کاربرانی که یک گروه را به اشتراک می گذارند از همان نسخه SNMP استفاده می کنند، با این حال، تنظیمات سطح امنیتی خاص (رمز عبور، نوع رمزگذاری، و غیره) برای هر کاربر مشخص می شود.
جدول زیر گزینه های امنیتی در SNMP را خلاصه می کند

مدل

سطح

احراز هویت

رمزگذاری

نتیجه

v1

noAuthNoPriv

شماره رشته انجمن

از یک انجمن استفاده می کند

مسابقه رشته برای

احراز هویت

v2c

noAuthNoPriv

شماره رشته انجمن

از یک مسابقه رشته جامعه برای احراز هویت استفاده می کند.

v3

noAuthNoPriv

نام کاربری

خیر

از نام کاربری استفاده می کند

مطابقت برای

احراز هویت

v3

authNoPriv

پیام خلاصه 5 شماره

فراهم می کند

(MD5)

مبتنی بر احراز هویت

or

در HMAC-MD5-96 یا

هش ایمن

HMAC-SHA-96

الگوریتم (SHA)

الگوریتم ها

ملاحظات امنیتی 19

بنرهای اطلاع رسانی حقوقی

ملاحظات امنیتی

مدل v3

سطح authPriv

احراز هویت MD5 یا SHA

رمزگذاری

نتیجه

رمزگذاری داده ها را فراهم می کند

استاندارد (DES) یا مبتنی بر احراز هویت

پیشرفته

بر روی

استاندارد رمزگذاری HMAC-MD5-96 یا

(AES)

HMAC-SHA-96

الگوریتم ها

ارائه الگوریتم رمز DES در حالت زنجیره بلوک رمز (CBC-DES)

or

الگوریتم رمزگذاری AES مورد استفاده در حالت بازخورد رمز (CFB)، با اندازه کلید 128 بیتی (CFB128-AES-128)

از زمان تصویب آن توسط NIST، AES به الگوریتم رمزگذاری غالب در سراسر صنعت تبدیل شده است. برای دنبال کردن مهاجرت صنعت به دور از MD5 و به سمت SHA، پیکربندی پروتکل احراز هویت SNMP v3 به عنوان SHA و پروتکل حریم خصوصی به عنوان AES بهترین روش امنیتی است.
برای جزئیات بیشتر در مورد SNMP به مقدمه ای در مورد SNMP مراجعه کنید

بنرهای اطلاع رسانی حقوقی
توصیه می شود که یک بنر اعلان قانونی در تمام جلسات تعاملی وجود داشته باشد تا اطمینان حاصل شود که کاربران از سیاست امنیتی در حال اجرا و مشمول آن مطلع می شوند. در برخی از حوزه‌های قضایی، تعقیب مدنی و/یا کیفری مهاجمی که به یک سیستم نفوذ می‌کند، آسان‌تر یا حتی ضروری است، در صورت ارائه یک بنر اعلان قانونی که به کاربران غیرمجاز اطلاع می‌دهد که استفاده از آنها در واقع غیرمجاز است. در برخی از حوزه های قضایی، نظارت بر فعالیت یک کاربر غیرمجاز نیز ممکن است ممنوع باشد، مگر اینکه قصد انجام این کار به آنها اطلاع داده شده باشد.
الزامات اطلاع رسانی قانونی پیچیده است و در هر حوزه قضایی و موقعیتی متفاوت است. حتی در حوزه های قضایی، نظرات حقوقی متفاوت است. این موضوع را با مشاور حقوقی خود در میان بگذارید تا مطمئن شوید که بنر اعلان مطابق با الزامات قانونی شرکت، محلی و بین‌المللی است. این اغلب برای ایمن سازی اقدامات مناسب در صورت نقض امنیت بسیار مهم است. با همکاری مشاور حقوقی شرکت، اظهاراتی که ممکن است در بنر اطلاع رسانی حقوقی درج شود عبارتند از:
اخطار مبنی بر اینکه دسترسی و استفاده از سیستم فقط توسط پرسنل دارای مجوز خاص مجاز است و احتمالاً اطلاعاتی در مورد افرادی که ممکن است استفاده را مجاز کنند.
· اطلاع رسانی مبنی بر اینکه دسترسی و استفاده غیرمجاز از سیستم غیرقانونی است و ممکن است مشمول مجازات های مدنی و/یا کیفری باشد.
· اخطار مبنی بر اینکه دسترسی و استفاده از سیستم ممکن است بدون اطلاع بعدی ثبت یا نظارت شود و گزارش های حاصل ممکن است به عنوان مدرک در دادگاه استفاده شوند.
· اعلامیه های خاص اضافی که توسط قوانین محلی خاص مورد نیاز است.

ملاحظات امنیتی 20

ملاحظات امنیتی

بازنشانی پیش فرض کارخانه

از جنبه امنیتی و نه قانونی view، یک بنر اعلان قانونی نباید حاوی اطلاعات خاصی درباره دستگاه مانند نام، مدل، نرم افزار، مکان، اپراتور یا مالک آن باشد زیرا این نوع اطلاعات ممکن است برای مهاجم مفید باشد.
موارد زیر به شرح زیر استampبنر اطلاع رسانی قانونی که می تواند قبل از ورود نمایش داده شود:
دسترسی غیرمجاز به این دستگاه ممنوع است برای دسترسی یا پیکربندی این دستگاه باید مجوز صریح و مجاز داشته باشید. تلاش ها و اقدامات غیرمجاز برای دسترسی یا استفاده
این سیستم ممکن است منجر به مجازات های مدنی و/یا کیفری شود. تمام فعالیت های انجام شده در این دستگاه ثبت و نظارت می شود

تبصره ارائه بنر ابلاغی قانونی مورد تایید مشاور حقوقی شرکت.
NFVIS اجازه می دهد تا یک بنر و پیام روز (MOTD) را پیکربندی کنید. بنر قبل از ورود کاربر نمایش داده می شود. هنگامی که کاربر به NFVIS وارد می شود، یک بنر تعریف شده توسط سیستم اطلاعات حق نسخه برداری را در مورد NFVIS ارائه می دهد و پیام روز (MOTD)، در صورت پیکربندی، ظاهر می شود و به دنبال آن نشان داده می شود. خط فرمان یا پورتال viewبسته به روش ورود به سیستم.
توصیه می شود که یک بنر ورود به سیستم اجرا شود تا اطمینان حاصل شود که یک بنر اعلان قانونی در تمام جلسات دسترسی مدیریت دستگاه قبل از ارائه درخواست ورود ارائه می شود. از این دستور برای پیکربندی بنر و MOTD استفاده کنید.
بنر nfvis(config)# banner-motd مودم
برای اطلاعات بیشتر در مورد فرمان بنر، پیکربندی بنر، پیام روز و زمان سیستم را ببینید.

بازنشانی پیش فرض کارخانه
بازنشانی کارخانه تمام داده‌های خاص مشتری را که از زمان ارسال به دستگاه اضافه شده است حذف می‌کند. داده های پاک شده شامل تنظیمات، ورود به سیستم است files، تصاویر VM، اطلاعات اتصال، و اعتبار ورود کاربر.
این یک فرمان برای بازنشانی دستگاه به تنظیمات اصلی کارخانه ارائه می دهد و در حالات زیر مفید است:
· مجوز بازگشت مواد (RMA) برای یک دستگاه – اگر باید دستگاهی را برای RMA به سیسکو برگردانید، از بازنشانی پیش فرض کارخانه برای حذف تمام داده های خاص مشتری استفاده کنید.
· بازیابی یک دستگاه در معرض خطر - اگر مواد کلیدی یا اطلاعات کاربری ذخیره شده در دستگاه به خطر افتاده است، دستگاه را به پیکربندی کارخانه بازنشانی کنید و سپس دستگاه را دوباره پیکربندی کنید.
· اگر همان دستگاه نیاز به استفاده مجدد در سایت دیگری با پیکربندی جدید دارد، یک بازنشانی پیش فرض کارخانه را انجام دهید تا پیکربندی موجود حذف شود و آن را به حالت تمیز برسانید.

NFVIS گزینه های زیر را در بازنشانی پیش فرض کارخانه ارائه می دهد:

گزینه تنظیم مجدد کارخانه

داده ها پاک شد

داده ها حفظ شد

همه

تمام تنظیمات، تصویر آپلود شده حساب مدیر حفظ می شود و

files، ماشین های مجازی و لاگ ها.

رمز عبور به تغییر خواهد شد

اتصال به دستگاه رمز عبور پیش فرض کارخانه خواهد بود.

گمشده.

ملاحظات امنیتی 21

شبکه مدیریت زیرساخت

ملاحظات امنیتی

گزینه بازنشانی کارخانه همه به جز تصاویر
همه به جز-تصاویر-اتصال
تولید

داده ها پاک شد

داده ها حفظ شد

تمام تنظیمات به جز تصویر پیکربندی تصویر، ثبت شده است

پیکربندی، ماشین های مجازی، و تصاویر و گزارش های آپلود شده

تصویر files.

حساب مدیریت حفظ شده است و

اتصال به دستگاه خواهد بود رمز عبور به تغییر خواهد کرد

گمشده.

رمز پیش فرض کارخانه

تمام تنظیمات به جز تصویر، تصاویر، شبکه و اتصال

شبکه و اتصال

پیکربندی مرتبط، ثبت شده است

پیکربندی، ماشین های مجازی، و تصاویر آپلود شده و گزارش ها.

تصویر files.

حساب مدیریت حفظ شده است و

قابلیت اتصال به دستگاه می باشد

ادمین قبلاً پیکربندی شده

موجود است.

رمز عبور حفظ خواهد شد

تمام تنظیمات به جز پیکربندی تصویر، ماشین های مجازی، تصویر آپلود شده files، و سیاهههای مربوط.
اتصال به دستگاه قطع خواهد شد.

پیکربندی مربوط به تصویر و تصاویر ثبت شده
حساب مدیریت حفظ می شود و رمز عبور به رمز عبور پیش فرض کارخانه تغییر می کند.

کاربر باید بر اساس هدف بازنشانی پیش فرض کارخانه، گزینه مناسب را با دقت انتخاب کند. برای اطلاعات بیشتر، به بازنشانی به پیش فرض کارخانه مراجعه کنید.

شبکه مدیریت زیرساخت
شبکه مدیریت زیرساخت به شبکه ای اشاره دارد که ترافیک صفحه کنترل و مدیریت (مانند NTP، SSH، SNMP، syslog و غیره) را برای دستگاه های زیرساخت حمل می کند. دسترسی به دستگاه می تواند از طریق کنسول و همچنین از طریق رابط های اترنت باشد. این ترافیک هواپیمای کنترل و مدیریت برای عملیات شبکه حیاتی است و قابلیت دید و کنترل روی شبکه را فراهم می کند. در نتیجه، یک شبکه مدیریت زیرساخت به خوبی طراحی شده و ایمن برای امنیت و عملیات کلی یک شبکه حیاتی است. یکی از توصیه های کلیدی برای یک شبکه مدیریت زیرساخت ایمن، جداسازی ترافیک مدیریت و داده به منظور اطمینان از مدیریت از راه دور حتی در شرایط بار بالا و ترافیک بالا است. این را می توان با استفاده از یک رابط مدیریت اختصاصی به دست آورد.
رویکردهای پیاده سازی شبکه مدیریت زیرساخت به شرح زیر است:
مدیریت خارج از باند
یک شبکه مدیریت خارج از باند (OOB) شامل شبکه ای است که کاملاً مستقل و از نظر فیزیکی متفاوت از شبکه داده ای است که به مدیریت آن کمک می کند. گاهی اوقات به این شبکه ارتباطات داده (DCN) نیز گفته می شود. دستگاه های شبکه می توانند به روش های مختلف به شبکه OOB متصل شوند: NFVIS از یک رابط مدیریت داخلی پشتیبانی می کند که می تواند برای اتصال به شبکه OOB استفاده شود. NFVIS اجازه می دهد تا یک رابط فیزیکی از پیش تعریف شده، پورت MGMT در ENCS را به عنوان یک رابط مدیریت اختصاصی پیکربندی کنید. محدود کردن بسته‌های مدیریتی به رابط‌های تعیین‌شده، کنترل بیشتری بر مدیریت یک دستگاه فراهم می‌کند و در نتیجه امنیت بیشتری را برای آن دستگاه فراهم می‌کند. مزایای دیگر شامل بهبود عملکرد بسته های داده در رابط های غیر مدیریتی، پشتیبانی از مقیاس پذیری شبکه،

ملاحظات امنیتی 22

ملاحظات امنیتی

مدیریت شبه خارج از باند

نیاز به لیست‌های کنترل دسترسی (ACL) کمتری برای محدود کردن دسترسی به یک دستگاه و جلوگیری از رسیدن سیل بسته‌های مدیریتی به CPU. دستگاه های شبکه همچنین می توانند از طریق رابط های داده اختصاصی به شبکه OOB متصل شوند. در این مورد، ACL ها باید مستقر شوند تا اطمینان حاصل شود که ترافیک مدیریت فقط توسط رابط های اختصاصی اداره می شود. برای اطلاعات بیشتر، به پیکربندی ACL دریافت IP و پورت 22222 و رابط مدیریت ACL مراجعه کنید.
مدیریت شبه خارج از باند
یک شبکه مدیریت شبه خارج از باند از زیرساخت فیزیکی مشابه شبکه داده استفاده می کند، اما با استفاده از VLAN، جداسازی منطقی را از طریق جداسازی مجازی ترافیک فراهم می کند. NFVIS از ایجاد VLAN و پل های مجازی برای کمک به شناسایی منابع مختلف ترافیک و جداسازی ترافیک بین ماشین های مجازی پشتیبانی می کند. داشتن پل‌ها و VLAN‌های مجزا، ترافیک داده‌های شبکه ماشین مجازی و شبکه مدیریت را ایزوله می‌کند، بنابراین تقسیم‌بندی ترافیک بین ماشین‌های مجازی و میزبان را فراهم می‌کند. برای اطلاعات بیشتر به پیکربندی VLAN برای ترافیک مدیریت NFVIS مراجعه کنید.
مدیریت درون باند
یک شبکه مدیریت درون باند از مسیرهای فیزیکی و منطقی مشابه ترافیک داده استفاده می کند. در نهایت، این طراحی شبکه نیاز به تجزیه و تحلیل ریسک به ازای هر مشتری در مقابل منافع و هزینه دارد. برخی از ملاحظات کلی عبارتند از:
· یک شبکه مدیریت OOB ایزوله، دید و کنترل روی شبکه را حتی در هنگام رویدادهای مخرب به حداکثر می رساند.
· انتقال تله متری شبکه بر روی یک شبکه OOB احتمال اختلال در اطلاعاتی را که دید حیاتی شبکه را فراهم می کند، به حداقل می رساند.
· دسترسی مدیریت درون باند به زیرساخت شبکه، هاست ها و غیره در معرض از دست دادن کامل در صورت بروز حادثه شبکه است و تمامی قابلیت دید و کنترل شبکه را از بین می برد. کنترل‌های QoS مناسب باید برای کاهش این رخداد ایجاد شود.
· NFVIS دارای رابط هایی است که به مدیریت دستگاه اختصاص داده شده اند، از جمله پورت های کنسول سریال و رابط های مدیریت اترنت.
· یک شبکه مدیریت OOB معمولاً می تواند با هزینه معقولی مستقر شود، زیرا ترافیک شبکه مدیریت معمولاً به پهنای باند بالا یا دستگاه های با کارایی بالا نیاز ندارد و فقط به تراکم پورت کافی برای پشتیبانی از اتصال به هر دستگاه زیرساخت نیاز دارد.
حفاظت از اطلاعات ذخیره شده محلی
حفاظت از اطلاعات حساس
NFVIS برخی از اطلاعات حساس از جمله رمز عبور و اسرار را به صورت محلی ذخیره می کند. گذرواژه ها معمولاً باید توسط یک سرور AAA متمرکز نگهداری و کنترل شوند. با این حال، حتی اگر یک سرور AAA متمرکز مستقر شده باشد، برخی از گذرواژه‌های ذخیره‌شده محلی برای موارد خاص مانند بازگشت محلی در صورت در دسترس نبودن سرورهای AAA، نام‌های کاربری ویژه، و غیره مورد نیاز هستند. این رمزهای عبور محلی و سایر موارد حساس.

ملاحظات امنیتی 23

File انتقال

ملاحظات امنیتی

اطلاعات در NFVIS به صورت هش ذخیره می شود تا امکان بازیابی اعتبار اصلی از سیستم وجود نداشته باشد. هش کردن یک هنجار صنعتی پذیرفته شده است.

File انتقال
Fileمواردی که ممکن است نیاز به انتقال به دستگاه های NFVIS داشته باشند شامل تصویر VM و ارتقاء NFVIS هستند fileس انتقال امن files برای امنیت زیرساخت شبکه حیاتی است. NFVIS از کپی امن (SCP) برای اطمینان از امنیت پشتیبانی می کند file انتقال. SCP برای احراز هویت و حمل و نقل ایمن به SSH متکی است و امکان کپی ایمن و احراز هویت را فراهم می کند. files.
یک کپی امن از NFVIS از طریق دستور scp آغاز می شود. دستور کپی امن (scp) فقط به کاربر ادمین اجازه می دهد تا به طور ایمن کپی کند fileاز NFVIS به یک سیستم خارجی، یا از یک سیستم خارجی به NFVIS.
نحو دستور scp به صورت زیر است:
scp
ما از پورت 22222 برای سرور NFVIS SCP استفاده می کنیم. به طور پیش فرض، این پورت بسته است و کاربران نمی توانند کپی را ایمن کنند fileاز یک کلاینت خارجی به NFVIS وارد می شود. در صورت نیاز به SCP a file از یک کلاینت خارجی، کاربر می تواند پورت را با استفاده از:
تنظیمات سیستم ip-receive-acl (آدرس)/(طول ماسک) سرویس scpd اولویت (شماره) اقدام پذیرش
متعهد شدن
برای جلوگیری از دسترسی کاربران به دایرکتوری‌های سیستم، کپی امن را می‌توان فقط در intdatastore:، extdatastore1:، extdatastore2:، usb: و nfs: در صورت وجود، یا از آن انجام داد. کپی ایمن را می توان از لاگ ها نیز انجام داد: و پشتیبانی فنی:

ورود به سیستم

دسترسی NFVIS و تغییرات پیکربندی به عنوان گزارش های حسابرسی ثبت می شود تا اطلاعات زیر را ثبت کند: · چه کسی به دستگاه دسترسی پیدا کرده است · چه زمانی کاربر وارد سیستم شده است · کاربر از نظر پیکربندی میزبان و چرخه عمر VM چه کار کرده است · چه زمانی کاربر وارد سیستم شده است. خاموش · تلاش های دسترسی ناموفق · درخواست های احراز هویت ناموفق · درخواست های مجوز ناموفق
این اطلاعات برای تجزیه و تحلیل پزشکی قانونی در صورت تلاش یا دسترسی غیرمجاز، و همچنین برای مسائل مربوط به تغییر پیکربندی و کمک به برنامه ریزی تغییرات مدیریت گروه بسیار ارزشمند است. همچنین ممکن است در زمان واقعی برای شناسایی فعالیت های غیرعادی که ممکن است نشان دهنده وقوع یک حمله باشد استفاده شود. این تجزیه و تحلیل را می توان با اطلاعات منابع خارجی اضافی، مانند IDS و گزارش های دیوار آتش، مرتبط کرد.

ملاحظات امنیتی 24

ملاحظات امنیتی

امنیت ماشین مجازی

همه رویدادهای کلیدی در NFVIS به عنوان اعلان رویداد برای مشترکین NETCONF و به عنوان syslog به سرورهای ثبت مرکزی پیکربندی شده ارسال می شوند. برای اطلاعات بیشتر در مورد پیام‌های ثبت سیستم و اعلان‌های رویداد، به پیوست مراجعه کنید.
امنیت ماشین مجازی
این بخش ویژگی های امنیتی مربوط به ثبت، استقرار و عملکرد ماشین های مجازی در NFVIS را شرح می دهد.
بوت امن VNF
NFVIS از میان‌افزار ماشین مجازی باز (OVMF) پشتیبانی می‌کند تا بوت امن UEFI را برای ماشین‌های مجازی که از بوت امن پشتیبانی می‌کنند، فعال کند. راه‌اندازی امن VNF تأیید می‌کند که هر لایه از نرم‌افزار راه‌اندازی VM، از جمله بوت‌لودر، هسته سیستم‌عامل و درایورهای سیستم‌عامل امضا شده است.

برای اطلاعات بیشتر به Secure Boot of VNF مراجعه کنید.
حفاظت از دسترسی کنسول VNC
NFVIS به کاربر اجازه می دهد تا یک جلسه محاسبات شبکه مجازی (VNC) ایجاد کند تا به دسکتاپ راه دور VM مستقر شده دسترسی پیدا کند. برای فعال کردن این کار، NFVIS به صورت پویا پورتی را باز می کند که کاربر می تواند با استفاده از آن به آن متصل شود web مرورگر. این پورت فقط به مدت 60 ثانیه باز می ماند تا یک سرور خارجی جلسه ای را برای VM شروع کند. اگر در این مدت هیچ فعالیتی مشاهده نشد، پورت بسته می شود. شماره پورت به صورت پویا تخصیص داده می شود و بنابراین فقط یک بار دسترسی به کنسول VNC را امکان پذیر می کند.
nfvis# vncconsole start deployment-name 1510614035 vm-name ROUTER vncconsole-url :6005/vnc_auto.html
نشان دادن مرورگر خود به https:// :6005/vnc_auto.html به کنسول VNC ROUTER VM متصل می شود.
ملاحظات امنیتی 25

متغیرهای داده پیکربندی VM رمزگذاری شده

ملاحظات امنیتی

متغیرهای داده پیکربندی VM رمزگذاری شده
در طول استقرار VM، کاربر پیکربندی روز 0 را ارائه می دهد file برای VM این file می تواند حاوی اطلاعات حساسی مانند رمز عبور و کلید باشد. اگر این اطلاعات به عنوان متن واضح ارسال شود، در گزارش ظاهر می شود files و رکوردهای پایگاه داده داخلی در متن واضح. این ویژگی به کاربر اجازه می‌دهد تا یک متغیر داده پیکربندی را به‌عنوان حساس علامت‌گذاری کند تا مقدار آن با استفاده از رمزگذاری AES-CFB-128 قبل از ذخیره یا ارسال به زیرسیستم‌های داخلی رمزگذاری شود.
برای اطلاعات بیشتر به پارامترهای استقرار VM مراجعه کنید.
تأیید جمع‌بندی برای ثبت تصویر از راه دور
برای ثبت یک تصویر VNF از راه دور، کاربر مکان آن را مشخص می کند. تصویر باید از یک منبع خارجی مانند سرور NFS یا سرور HTTPS راه دور دانلود شود.
برای دانستن اینکه آیا دانلود شده است file نصب امن است، مقایسه آن ضروری است fileچک جمع قبل از استفاده از آن بررسی چک‌سوم کمک می‌کند تا اطمینان حاصل شود که file در طول انتقال شبکه خراب نشده است، یا قبل از دانلود توسط شخص ثالث مخرب اصلاح نشده است.
NFVIS از گزینه‌های checksum و checksum_algorithm برای کاربر پشتیبانی می‌کند تا جمع‌بندی و الگوریتم چک‌سوم مورد انتظار (SHA256 یا SHA512) را برای تأیید جمع‌بندی چک تصویر دانلود شده ارائه دهد. اگر جمع کنترلی مطابقت نداشته باشد، ایجاد تصویر ناموفق است.
اعتبار سنجی برای ثبت تصویر از راه دور
برای ثبت یک تصویر VNF واقع در سرور HTTPS، تصویر باید از سرور HTTPS راه دور دانلود شود. برای دانلود ایمن این تصویر، NFVIS گواهی SSL سرور را تأیید می کند. کاربر باید مسیر گواهی را مشخص کند file یا محتوای گواهی فرمت PEM برای فعال کردن این دانلود امن.
جزئیات بیشتر را می توان در بخش اعتبار سنجی گواهی برای ثبت تصویر یافت
جداسازی VM و تامین منابع
معماری مجازی سازی عملکرد شبکه (NFV) شامل موارد زیر است:
· توابع شبکه مجازی (VNF)، که ماشین های مجازی هستند که برنامه های نرم افزاری را اجرا می کنند که عملکرد شبکه مانند روتر، فایروال، متعادل کننده بار و غیره را ارائه می دهند.
· زیرساخت مجازی سازی توابع شبکه، که از اجزای زیرساخت - محاسبات، حافظه، ذخیره سازی و شبکه تشکیل شده است، بر روی پلتفرمی که از نرم افزار و هایپروایزر مورد نیاز پشتیبانی می کند.
با NFV، توابع شبکه مجازی سازی می شوند تا بتوان چندین عملکرد را روی یک سرور واحد اجرا کرد. در نتیجه، سخت افزار فیزیکی کمتری مورد نیاز است که امکان تجمیع منابع را فراهم می کند. در این محیط، شبیه سازی منابع اختصاصی برای چندین VNF از یک سیستم سخت افزاری فیزیکی ضروری است. با استفاده از NFVIS، VM ها را می توان به شیوه ای کنترل شده استقرار داد که هر VM منابع مورد نیاز خود را دریافت کند. منابع بر حسب نیاز از محیط فیزیکی به بسیاری از محیط های مجازی تقسیم می شوند. دامنه‌های مجزای VM جدا شده‌اند، بنابراین محیط‌های مجزا، مجزا و ایمن هستند که برای منابع مشترک با یکدیگر رقابت نمی‌کنند.
ماشین‌های مجازی نمی‌توانند از منابعی بیشتر از آنچه که ارائه شده است استفاده کنند. این امر از یک شرط انکار سرویس توسط یک ماشین مجازی که منابع را مصرف می کند جلوگیری می کند. در نتیجه، CPU، حافظه، شبکه و ذخیره سازی محافظت می شوند.

ملاحظات امنیتی 26

ملاحظات امنیتی
جداسازی CPU

جداسازی CPU

سیستم NFVIS هسته ها را برای نرم افزار زیرساختی که روی هاست اجرا می شود، ذخیره می کند. بقیه هسته ها برای استقرار VM در دسترس هستند. این تضمین می کند که عملکرد VM بر عملکرد میزبان NFVIS تأثیر نمی گذارد. ماشین‌های مجازی با تأخیر پایین NFVIS به صراحت هسته‌های اختصاصی را به ماشین‌های مجازی با تأخیر کم که روی آن مستقر شده‌اند اختصاص می‌دهد. اگر VM به 2 vCPU نیاز داشته باشد، 2 هسته اختصاصی به آن اختصاص داده می شود. این از اشتراک گذاری و اشتراک بیش از حد هسته ها جلوگیری می کند و عملکرد ماشین های مجازی با تاخیر کم را تضمین می کند. اگر تعداد هسته های موجود کمتر از تعداد vCPU های درخواست شده توسط یک ماشین مجازی با تأخیر پایین دیگر باشد، از استقرار جلوگیری می شود زیرا منابع کافی نداریم. ماشین های مجازی با تاخیر کم NFVIS CPU های قابل اشتراک گذاری را به ماشین های مجازی با تاخیر کم اختصاص می دهد. اگر ماشین مجازی به 2 cpu نیاز داشته باشد، 2 cpu به آن اختصاص داده می شود. این 2 CPU در بین سایر ماشین های مجازی با تاخیر کم قابل اشتراک گذاری هستند. اگر تعداد CPUهای موجود کمتر از تعداد vCPUهای درخواست شده توسط یک ماشین مجازی بدون تأخیر کم باشد، استقرار همچنان مجاز است زیرا این VM CPU را با ماشین های مجازی بدون تأخیر کم موجود به اشتراک می گذارد.
تخصیص حافظه
زیرساخت NFVIS به مقدار مشخصی حافظه نیاز دارد. هنگامی که یک VM مستقر می شود، بررسی می شود تا اطمینان حاصل شود که حافظه موجود پس از ذخیره حافظه مورد نیاز برای زیرساخت و ماشین های مجازی مستقر شده قبلی، برای VM جدید کافی است. ما مجاز به اشتراک بیش از حد حافظه برای VMها نیستیم.
ملاحظات امنیتی 27

جداسازی ذخیره سازی
ماشین های مجازی مجاز به دسترسی مستقیم به هاست نیستند file سیستم و ذخیره سازی
جداسازی ذخیره سازی

ملاحظات امنیتی

پلتفرم ENCS از یک حافظه داخلی (M2 SSD) و دیسک های خارجی پشتیبانی می کند. NFVIS روی دیتا استور داخلی نصب شده است. VNF ها همچنین می توانند در این دیتا استور داخلی مستقر شوند. بهترین روش امنیتی برای ذخیره داده های مشتری و استقرار ماشین های مجازی برنامه مشتری بر روی دیسک های خارجی است. داشتن دیسک های مجزای فیزیکی برای سیستم files در مقابل برنامه files به محافظت از داده های سیستم در برابر فساد و مسائل امنیتی کمک می کند.
·
جداسازی رابط
Single Root I/O Virtualization یا SR-IOV مشخصاتی است که امکان جداسازی منابع PCI Express (PCIe) مانند پورت اترنت را فراهم می کند. با استفاده از SR-IOV می‌توان یک پورت اترنت را به‌عنوان دستگاه‌های فیزیکی متعدد، مجزا که به عنوان توابع مجازی شناخته می‌شوند، ظاهر کرد. همه دستگاه های VF روی آن آداپتور یک پورت فیزیکی شبکه مشترک دارند. یک مهمان می تواند از یک یا چند مورد از این توابع مجازی استفاده کند. یک تابع مجازی به عنوان یک کارت شبکه برای مهمان ظاهر می شود، به همان شکلی که یک کارت شبکه معمولی برای یک سیستم عامل ظاهر می شود. توابع مجازی عملکرد تقریباً بومی دارند و عملکرد بهتری نسبت به درایورهای مجازی و دسترسی شبیه سازی شده ارائه می دهند. توابع مجازی حفاظت از داده ها را بین مهمانان در همان سرور فیزیکی فراهم می کند زیرا داده ها توسط سخت افزار مدیریت و کنترل می شوند. NFVIS VNF ها می توانند از شبکه های SR-IOV برای اتصال به پورت های WAN و LAN Backplane استفاده کنند.
ملاحظات امنیتی 28

ملاحظات امنیتی

چرخه عمر توسعه امن

هر یک از این ماشین‌های مجازی دارای یک رابط مجازی و منابع مرتبط با آن هستند که از داده‌ها در بین ماشین‌های مجازی محافظت می‌کنند.
چرخه عمر توسعه امن
NFVIS از چرخه عمر توسعه امن (SDL) برای نرم افزار پیروی می کند. این یک فرآیند قابل تکرار و اندازه گیری است که برای کاهش آسیب پذیری ها و افزایش امنیت و انعطاف پذیری راه حل های سیسکو طراحی شده است. Cisco SDL از شیوه‌ها و فناوری‌های پیشرو در صنعت برای ایجاد راه‌حل‌های قابل اعتمادی استفاده می‌کند که حوادث امنیتی محصول کمتری در زمینه کشف شده دارند. هر نسخه NFVIS مراحل زیر را طی می کند.
· پیروی از الزامات امنیت محصول مبتنی بر سیسکو و مبتنی بر بازار · ثبت نرم افزار شخص ثالث با یک مخزن مرکزی در سیسکو برای ردیابی آسیب پذیری · وصله دوره ای نرم افزار با اصلاحات شناخته شده برای CVE. · طراحی نرم افزار با در نظر گرفتن امنیت · پیروی از شیوه های کدنویسی ایمن مانند استفاده از ماژول های امنیتی رایج بررسی شده مانند CiscoSSL، اجرا
تجزیه و تحلیل استاتیک و اجرای اعتبار سنجی ورودی برای جلوگیری از تزریق فرمان و غیره. · استفاده از ابزارهای امنیت برنامه مانند IBM AppScan، Nessus و سایر ابزارهای داخلی سیسکو.

ملاحظات امنیتی 29

چرخه عمر توسعه امن

ملاحظات امنیتی

ملاحظات امنیتی 30

اسناد / منابع

نرم افزار زیرساخت مجازی سازی عملکرد شبکه سازمانی سیسکو [pdfراهنمای کاربر
نرم افزار زیرساخت مجازی سازی عملکرد شبکه سازمانی، نرم افزار زیرساخت مجازی سازی عملکرد شبکه، نرم افزار زیرساخت مجازی سازی، نرم افزار زیرساخت

مراجع

پست های مرتبط

نظر بدهید

آدرس ایمیل شما منتشر نخواهد شد. فیلدهای الزامی مشخص شده اند *