Yritysverkkotoimintojen virtualisointiinfrastruktuuriohjelmisto
Tuotetiedot
Tekniset tiedot
- NFVIS-ohjelmistoversio: 3.7.1 ja uudemmat
- RPM-allekirjoitus ja allekirjoituksen vahvistus tuettu
- Suojattu käynnistys saatavilla (oletusarvoisesti poissa käytöstä)
- Käytetty SUDI (Secure Unique Device Identification) -mekanismi
Turvallisuusnäkökohdat
NFVIS-ohjelmisto varmistaa turvallisuuden erilaisten
mekanismit:
- Kuva Tamper Suojaus: RPM-allekirjoitus ja allekirjoituksen tarkistus
kaikille RPM-paketeille ISO- ja päivityskuvissa. - RPM-allekirjoitus: Kaikki RPM-paketit Cisco Enterprise NFVIS ISO:ssa
ja päivityskuvat on allekirjoitettu salauksen eheyden ja
aitous. - RPM-allekirjoituksen vahvistus: Kaikkien RPM-pakettien allekirjoitus on
tarkistetaan ennen asennusta tai päivitystä. - Kuvan eheyden varmistus: Cisco NFVIS ISO -kuvan hajautus
ja päivityskuva julkaistaan lisätietojen eheyden varmistamiseksi
ei-RPM files. - ENCS Secure Boot: Osa UEFI-standardia, varmistaa, että
laite käynnistyy vain luotetulla ohjelmistolla. - Secure Unique Device Identification (SUDI): Antaa laitteen
jolla on muuttumaton identiteetti varmistaakseen sen aitouden.
Asennus
Asenna NFVIS-ohjelmisto seuraavasti:
- Varmista, että ohjelmiston kuva ei ole tampmukana
allekirjoituksen ja eheyden tarkistaminen. - Jos käytät Cisco Enterprise NFVIS 3.7.1:tä tai uudempaa, varmista se
allekirjoituksen varmistus menee läpi asennuksen aikana. Jos se epäonnistuu,
asennus keskeytyy. - Jos päivitetään Cisco Enterprise NFVIS 3.6.x -versiosta julkaisuun
3.7.1, RPM-allekirjoitukset tarkistetaan päivityksen aikana. Jos
allekirjoituksen vahvistus epäonnistuu, virhe kirjataan, mutta päivitys on
valmiiksi. - Jos päivität julkaisusta 3.7.1 myöhempään versioon, RPM
allekirjoitukset tarkistetaan, kun päivityskuva rekisteröidään. Jos
allekirjoituksen vahvistus epäonnistuu, päivitys keskeytyy. - Tarkista Cisco NFVIS ISO -kuvan tai päivitystiedoston hajautus
käyttämällä komentoa:/usr/bin/sha512sum. Vertaa hashia julkaistuun
<image_filepath>
hash eheyden varmistamiseksi.
Turvallinen käynnistys
Suojattu käynnistys on ENCS:ssä saatavilla oleva ominaisuus (oletusarvoisesti poissa käytöstä)
joka varmistaa, että laite käynnistyy vain luotetulla ohjelmistolla. Vastaanottaja
ota turvallinen käynnistys käyttöön:
- Katso lisätietoja Secure Boot of Host -oppaasta
tiedot. - Ota suojattu käynnistys käyttöön noudattamalla annettuja ohjeita
laite.
Secure Unique Device Identification (SUDI)
SUDI tarjoaa NFVIS:lle muuttumattoman identiteetin ja varmistaa sen
se on aito Cisco-tuote ja varmistaa sen tunnistamisen
asiakkaan varastojärjestelmä.
FAQ
K: Mikä on NFVIS?
V: NFVIS tulee sanoista Network Function Virtualization
Infrastruktuuriohjelmistot. Se on ohjelmistoalusta, jota käytetään käyttöönottoon
ja hallita virtuaalisen verkon toimintoja.
K: Kuinka voin varmistaa NFVIS ISO-kuvan eheyden tai
päivitä kuva?
V: Varmista eheys käyttämällä komentoa
/usr/bin/sha512sum <image_filepath> ja vertailla
tiiviste Ciscon toimittaman julkaistun tiivisteen kanssa.
K: Onko suojattu käynnistys käytössä oletusarvoisesti ENCS:ssä?
V: Ei, suojattu käynnistys on oletusarvoisesti pois käytöstä ENCS:ssä. se on
suositellaan ottamaan käyttöön suojattu käynnistys turvallisuuden parantamiseksi.
K: Mikä on SUDI:n tarkoitus NFVIS:ssä?
V: SUDI tarjoaa NFVIS:lle ainutlaatuisen ja muuttumattoman identiteetin,
varmistaa sen aitouden Ciscon tuotteena ja helpottaa sitä
tunnistaminen asiakkaan varastojärjestelmässä.
Turvallisuusnäkökohdat
Tässä luvussa kuvataan NFVIS:n turvaominaisuudet ja näkökohdat. Se antaa korkean tason ylityksenview NFVIS:n turvallisuuteen liittyvistä komponenteista, jotta voit suunnitella tietoturvastrategian sinua varten. Siinä on myös suosituksia turvallisuuden parhaista käytännöistä verkon suojauksen ydinelementtien toteuttamiseksi. NFVIS-ohjelmistoon on upotettu suojaus heti asennuksesta alkaen kaikkien ohjelmistokerrosten läpi. Seuraavissa luvuissa keskitytään näihin käyttövalmiisiin tietoturvanäkökohtiin, kuten tunnistetietojen hallintaan, eheyteen jaamper suojaus, istunnonhallinta, suojattu laitteiden käyttö ja paljon muuta.
· Asennus, sivulla 2 · Secure Unique Device Identification, sivulla 3 · Laitteen käyttöoikeus, sivulla 4
Turvallisuusnäkökohdat 1
Asennus
Turvallisuusnäkökohdat
· Infrastruktuurin hallintaverkko, sivulla 22 · Paikallisesti tallennettujen tietojen suojaus, sivulla 23 · File Siirto, sivulla 24 · Kirjautuminen, sivulla 24 · Virtuaalikoneen suojaus, sivulla 25 · Virtuaalikoneen eristäminen ja resurssien hallinta, sivulla 26 · Suojatun kehityksen elinkaari, sivulla 29
Asennus
Sen varmistamiseksi, että NFVIS-ohjelmistoa ei ole tampkanssa, ohjelmiston näköistiedosto tarkistetaan ennen asennusta seuraavilla mekanismeilla:
Kuva Tamper Suojaus
NFVIS tukee RPM-allekirjoitusta ja allekirjoituksen vahvistusta kaikille RPM-paketeille ISO- ja päivityskuvissa.
RPM-allekirjoitus
Kaikki Cisco Enterprise NFVIS ISO:n ja päivitystiedostojen RPM-paketit on allekirjoitettu salauksen eheyden ja aitouden varmistamiseksi. Tämä takaa, että RPM-paketteja ei ole tampja RPM-paketit ovat peräisin NFVIS:stä. RPM-pakettien allekirjoittamiseen käytettävä yksityinen avain on Ciscon luoma ja turvallisesti ylläpitämä.
RPM-allekirjoituksen vahvistus
NFVIS-ohjelmisto tarkistaa kaikkien RPM-pakettien allekirjoituksen ennen asennusta tai päivitystä. Seuraavassa taulukossa kuvataan Cisco Enterprise NFVIS -toimintaa, kun allekirjoituksen tarkistus epäonnistuu asennuksen tai päivityksen aikana.
Skenaario
Kuvaus
Cisco Enterprise NFVIS 3.7.1 ja uudemmat asennukset Jos allekirjoituksen tarkistus epäonnistuu Cisco Enterprise NFVIS:n asennuksen aikana, asennus keskeytyy.
Cisco Enterprise NFVIS -päivitys versiosta 3.6.x julkaisuun 3.7.1
RPM-allekirjoitukset tarkistetaan, kun päivitys suoritetaan. Jos allekirjoituksen vahvistus epäonnistuu, virhe kirjataan, mutta päivitys on valmis.
Cisco Enterprise NFVIS -päivitys julkaisusta 3.7.1 RPM-allekirjoitukset tarkistetaan päivityksen yhteydessä
myöhemmille julkaisuille
kuva on rekisteröity. Jos allekirjoituksen vahvistus epäonnistuu,
päivitys keskeytyy.
Kuvan eheyden tarkastus
RPM-allekirjoitus ja allekirjoituksen varmennus voidaan tehdä vain RPM-paketeille, jotka ovat saatavilla Cisco NFVIS ISO:ssa ja päivitystiedostoissa. Kaikkien muiden ei-RPM-osien eheyden varmistamiseksi files saatavilla Cisco NFVIS ISO -kuvassa, Cisco NFVIS ISO -kuvan hash julkaistaan kuvan mukana. Samoin Cisco NFVIS -päivityskuvan hash julkaistaan kuvan mukana. Varmistaaksesi, että Ciscon hash
Turvallisuusnäkökohdat 2
Turvallisuusnäkökohdat
ENCS Secure Boot
NFVIS ISO-kuva tai päivityskuva vastaa Ciscon julkaisemaa tiivistettä, suorita seuraava komento ja vertaa tiivistettä julkaistuun tiivisteeseen:
% /usr/bin/sha512sumFile> c2122783efc18b039246ae1bcd4eec4e5e027526967b5b809da5632d462dfa6724a9b20ec318c74548c6bd7e9b8217ce96b5ece93dcdd74fda5e01bb382ad607
<ImageFile>
ENCS Secure Boot
Secure boot on osa UEFI (Unified Extensible Firmware Interface) -standardia, joka varmistaa, että laite käynnistyy vain käyttämällä ohjelmistoa, johon Original Equipment Manufacturer (OEM) luottaa. Kun NFVIS käynnistyy, laiteohjelmisto tarkistaa käynnistysohjelmiston ja käyttöjärjestelmän allekirjoituksen. Jos allekirjoitukset ovat kelvollisia, laite käynnistyy ja laiteohjelmisto antaa ohjauksen käyttöjärjestelmälle.
Suojattu käynnistys on käytettävissä ENCS:ssä, mutta se on oletuksena pois käytöstä. Cisco suosittelee, että otat käyttöön suojatun käynnistyksen. Lisätietoja on kohdassa Secure Boot of Host.
Suojattu yksilöllinen laitetunnistus
NFVIS käyttää mekanismia, joka tunnetaan nimellä Secure Unique Device Identification (SUDI), joka tarjoaa sille muuttumattoman identiteetin. Tätä identiteettiä käytetään varmistamaan, että laite on aito Cisco-tuote, ja varmistamaan, että laite on asiakkaan varastojärjestelmän tiedossa.
SUDI on X.509v3-sertifikaatti ja siihen liittyvä avainpari, jotka on suojattu laitteistolla. SUDI-sertifikaatti sisältää tuotteen tunnisteen ja sarjanumeron, ja se on juurtunut Ciscon julkisen avaimen infrastruktuuriin. Avainpari ja SUDI-sertifikaatti asetetaan laitteistomoduuliin valmistuksen aikana, eikä yksityistä avainta voida koskaan viedä.
SUDI-pohjaista identiteettiä voidaan käyttää todennettuun ja automatisoituun määritykseen ZTP:n (Zero Touch Provisioning) avulla. Tämä mahdollistaa laitteiden turvallisen etäyhteydenoton ja varmistaa, että orkestrointipalvelin puhuu aidon NFVIS-laitteen kanssa. Taustajärjestelmä voi antaa haasteen NFVIS-laitteelle vahvistaakseen identiteettinsä ja laite vastaa haasteeseen käyttämällä SUDI-pohjaista identiteettiään. Tämän ansiosta taustajärjestelmä voi paitsi varmistaa varastonsa perusteella, että oikea laite on oikeassa paikassa, myös tarjota salatun kokoonpanon, jonka voi avata vain tietty laite, mikä varmistaa luottamuksellisuuden siirron aikana.
Seuraavat työnkulkukaaviot havainnollistavat, kuinka NFVIS käyttää SUDI:ta:
Turvallisuusnäkökohdat 3
Laitteen käyttö Kuva 1: Plug and Play (PnP) -palvelimen todennus
Turvallisuusnäkökohdat
Kuva 2: Plug and Play -laitteen todennus ja valtuutus
Laitteen käyttö
NFVIS tarjoaa erilaisia pääsymekanismeja, mukaan lukien konsoli sekä etäkäytön protokollien, kuten HTTPS ja SSH, perusteella. Jokainen pääsymekanismi on tarkistettava huolellisestiviewmuokattu ja määritetty. Varmista, että vain vaaditut pääsymekanismit ovat käytössä ja että ne on asianmukaisesti suojattu. Tärkeimmät vaiheet NFVIS:n interaktiivisen ja hallinnan käytön turvaamiseksi ovat laitteen saavutettavuuden rajoittaminen, sallittujen käyttäjien ominaisuuksien rajoittaminen vaadittuun tasoon ja sallittujen käyttötapojen rajoittaminen. NFVIS varmistaa, että käyttöoikeus myönnetään vain todennetuille käyttäjille ja he voivat suorittaa vain valtuutetut toiminnot. Laitteen käyttöoikeus kirjataan lokiin auditointia varten, ja NFVIS varmistaa paikallisesti tallennettujen arkaluonteisten tietojen luottamuksellisuuden. On erittäin tärkeää ottaa käyttöön asianmukaiset tarkastukset, jotta estetään luvaton pääsy NFVIS:ään. Seuraavissa osissa kuvataan parhaat käytännöt ja kokoonpanot tämän saavuttamiseksi:
Turvallisuusnäkökohdat 4
Turvallisuusnäkökohdat
Pakotettu salasanan vaihto ensimmäisellä kirjautumiskerralla
Pakotettu salasanan vaihto ensimmäisellä kirjautumiskerralla
Oletustunnistetiedot ovat usein tuotetietoturvahäiriöiden lähde. Asiakkaat unohtavat usein muuttaa oletusarvoisia kirjautumistunnuksia jättäen järjestelmänsä avoimeksi hyökkäyksille. Tämän estämiseksi NFVIS-käyttäjä pakotetaan vaihtamaan salasana ensimmäisen kirjautumisen jälkeen oletustunnuksilla (käyttäjätunnus: admin ja salasana Admin123#). Lisätietoja on kohdassa NFVIS:n käyttäminen.
Kirjautumishaavoittuvuuksien rajoittaminen
Voit estää haavoittuvuuden sanakirja- ja palvelunestohyökkäyksille (DoS) käyttämällä seuraavia ominaisuuksia.
Vahvan salasanan pakottaminen
Todennusmekanismi on vain niin vahva kuin sen valtuustiedot. Tästä syystä on tärkeää varmistaa, että käyttäjillä on vahvat salasanat. NFVIS tarkistaa, että vahva salasana on määritetty seuraavien sääntöjen mukaisesti: Salasanan tulee sisältää:
· Vähintään yksi iso merkki · Vähintään yksi pieni merkki · Vähintään yksi numero · Vähintään yksi näistä erikoismerkeistä: hash (#), alaviiva (_), yhdysmerkki (-), tähti (*) tai kysymys
merkki (?) · Seitsemän merkkiä tai enemmän · Salasanan pituuden tulee olla 7-128 merkkiä.
Salasanojen vähimmäispituuden määrittäminen
Salasanojen monimutkaisuuden puute, erityisesti salasanan pituus, vähentää merkittävästi hakutilaa, kun hyökkääjät yrittävät arvata käyttäjien salasanoja, mikä tekee raa'an voiman hyökkäyksistä paljon helpompaa. Järjestelmänvalvoja voi määrittää kaikkien käyttäjien salasanojen vaaditun vähimmäispituuden. Vähimmäispituuden on oltava 7–128 merkkiä. Oletuksena salasanojen vaadittava vähimmäispituus on 7 merkkiä. CLI:
nfvis(config)# rbac-todennus min-pwd-length 9
API:
/api/config/rbac/authentication/min-pwd-length
Salasanan käyttöiän määrittäminen
Salasanan käyttöikä määrittää, kuinka kauan salasanaa voidaan käyttää ennen kuin käyttäjän on vaihdettava se.
Turvallisuusnäkökohdat 5
Rajoita edellisen salasanan uudelleenkäyttöä
Turvallisuusnäkökohdat
Järjestelmänvalvoja voi määrittää kaikkien käyttäjien salasanojen vähimmäis- ja enimmäiskestoarvot ja pakottaa säännön näiden arvojen tarkistamiseksi. Oletusarvoksi on asetettu 1 päivä ja enimmäiskäyttöiän oletusarvo on 60 päivää. Kun käyttöiän vähimmäisarvo on määritetty, käyttäjä ei voi vaihtaa salasanaa ennen kuin määritetty määrä päiviä on kulunut. Vastaavasti, kun käyttöiän enimmäisarvo on määritetty, käyttäjän on vaihdettava salasana ennen kuin määritetty määrä päiviä kuluu. Jos käyttäjä ei vaihda salasanaa ja määritetty määrä päiviä on kulunut, käyttäjälle lähetetään ilmoitus.
Huomautus Käyttöiän vähimmäis- ja enimmäisarvoja sekä näiden arvojen tarkistussääntöä ei sovelleta pääkäyttäjään.
CLI:
määritä pääte rbac-todennus salasana elinikäinen pakota tosi min-päivää 2 max-päivää 30 sitoutumista
API:
/api/config/rbac/authentication/password-lifetime/
Rajoita edellisen salasanan uudelleenkäyttöä
Estämättä aikaisempien tunnuslauseiden käyttöä, salasanan vanheneminen on suurelta osin hyödytöntä, koska käyttäjät voivat yksinkertaisesti muuttaa salasanan ja vaihtaa sen sitten takaisin alkuperäiseen. NFVIS tarkistaa, että uusi salasana ei ole sama kuin jokin viidestä aiemmin käytetystä salasanasta. Yksi poikkeus tähän sääntöön on, että pääkäyttäjä voi vaihtaa salasanan oletussalasanaksi, vaikka se olisi yksi viidestä aiemmin käytetystä salasanasta.
Rajoita sisäänkirjautumisyritysten tiheyttä
Jos etäkumppanin sallitaan kirjautua sisään rajoittamattoman määrän kertoja, se saattaa lopulta pystyä arvaamaan kirjautumistiedot raa'alla voimalla. Koska salasanat on usein helppo arvata, tämä on yleinen hyökkäys. Estämme tämän hyökkäyksen rajoittamalla nopeutta, jolla vertaiskäyttäjä voi yrittää kirjautua sisään. Vältämme myös käyttämästä järjestelmäresursseja tarpeettomasti todentamaan nämä brute force -kirjautumisyritykset, jotka voivat luoda palvelunestohyökkäyksen. NFVIS pakottaa käyttäjälle 5 minuutin lukituksen 10 epäonnistuneen kirjautumisyrityksen jälkeen.
Poista passiiviset käyttäjätilit käytöstä
Käyttäjien toiminnan seuranta ja käyttämättömien tai vanhentuneiden käyttäjätilien poistaminen käytöstä auttaa suojaamaan järjestelmää sisäpiirihyökkäyksiltä. Käyttämättömät tilit tulee lopulta poistaa. Järjestelmänvalvoja voi pakottaa säännön merkitsemään käyttämättömät käyttäjätilit ei-aktiivisiksi ja määrittää, kuinka monta päivää käyttämätön käyttäjätili merkitään ei-aktiiviseksi. Kun käyttäjä on merkitty ei-aktiiviseksi, hän ei voi kirjautua järjestelmään. Jotta käyttäjä voi kirjautua järjestelmään, admin-käyttäjä voi aktivoida käyttäjätilin.
Huomautus Käyttämättömyysjaksoa ja passiivisuusajan tarkistamissääntöä ei sovelleta pääkäyttäjään.
Turvallisuusnäkökohdat 6
Turvallisuusnäkökohdat
Ei-aktiivisen käyttäjätilin aktivointi
Seuraavia CLI:tä ja API:ta voidaan käyttää tilin passiivisuuden pakottamisen määrittämiseen. CLI:
määritä pääte rbac-todennus tili-inaktiivisuus pakota tosi passiivisuus-päivät 30 commit
API:
/api/config/rbac/authentication/account-inactivity/
Ei-aktiivisuuspäivien oletusarvo on 35.
Ei-aktiivisen käyttäjätilin aktivointi Admin-käyttäjä voi aktivoida passiivisen käyttäjän tilin käyttämällä seuraavaa CLI:tä ja API:ta: CLI:
määritä pääte rbac-todennus käyttäjät käyttäjä guest_user aktivoi commit
API:
/api/operations/rbac/authentication/users/user/username/activate
Pakota BIOS- ja CIMC-salasanojen asetukset
Taulukko 1: Ominaisuushistoriataulukko
Ominaisuuden nimi
Julkaisutiedot
Pakota BIOS- ja CIMC NFVIS 4.7.1 -salasanojen asetukset
Kuvaus
Tämä ominaisuus pakottaa käyttäjän muuttamaan CIMC:n ja BIOSin oletussalasanaa.
Rajoitukset BIOS- ja CIMC-salasanojen asettamisen pakottamiseksi
· Tätä ominaisuutta tuetaan vain Cisco Catalyst 8200 UCPE- ja Cisco ENCS 5400 -ympäristöissä.
· Tätä ominaisuutta tuetaan vain NFVIS 4.7.1:n ja sitä uudempien versioiden uudessa asennuksessa. Jos päivität NFVIS 4.6.1:stä NFVIS 4.7.1:een, tätä ominaisuutta ei tueta, eikä sinua kehoteta nollaamaan BIOS- ja CIMS-salasanoja, vaikka BIOS- ja CIMC-salasanoja ei olisi määritetty.
Tietoja BIOS- ja CIMC-salasanojen asettamisen pakottamisesta
Tämä ominaisuus korjaa tietoturva-aukon pakottamalla BIOS- ja CIMC-salasanat nollauksen NFVIS 4.7.1:n uuden asennuksen jälkeen. CIMC-oletussalasana on salasana ja BIOSin oletussalasana ei ole salasanaa.
Suojausaukon korjaamiseksi sinun on määritettävä BIOS- ja CIMC-salasanat ENCS 5400:ssa. NFVIS 4.7.1:n uuden asennuksen aikana, jos BIOS- ja CIMC-salasanoja ei ole muutettu ja ne ovat edelleen
Turvallisuusnäkökohdat 7
Kokoonpano esimampBIOS- ja CIMC-salasanojen pakotetusta nollauksesta
Turvallisuusnäkökohdat
oletussalasanat, sinua pyydetään vaihtamaan sekä BIOS- että CIMC-salasana. Jos vain yksi niistä vaatii nollauksen, sinua pyydetään nollaamaan salasana vain kyseiselle komponentille. Cisco Catalyst 8200 UCPE vaatii vain BIOS-salasanan, joten vain BIOS-salasanan palautus kehotetaan, jos sitä ei ole jo asetettu.
Huomautus Jos päivität jostakin aiemmasta versiosta NFVIS 4.7.1 -versioon tai uudempaan, voit vaihtaa BIOS- ja CIMC-salasanat käyttämällä hostaction change-bios-password newpassword- tai hostaction change-cimc-password newpassword -komentoja.
Lisätietoja BIOS- ja CIMC-salasanoista on kohdassa BIOS ja CIMC-salasana.
Kokoonpano esimampBIOS- ja CIMC-salasanojen pakotetusta nollauksesta
1. Kun asennat NFVIS 4.7.1:n, sinun on ensin nollattava järjestelmänvalvojan oletussalasana.
Cisco Network Function Virtualization Infrastructure Software (NFVIS)
NFVIS-versio: 99.99.0-1009
Tekijänoikeus (c) 2015-2021, Cisco Systems, Inc. Cisco, Cisco Systems ja Cisco Systems -logo ovat Cisco Systems, Inc:n ja/tai sen tytäryhtiöiden rekisteröityjä tavaramerkkejä Yhdysvalloissa ja tietyissä muissa maissa.
Tämän ohjelmiston sisältämien tiettyjen teosten tekijänoikeudet ovat muiden kolmansien osapuolten omistuksessa, ja niitä käytetään ja jaetaan kolmannen osapuolen lisenssisopimusten mukaisesti. Tietyt tämän ohjelmiston osat on lisensoitu GNU GPL 2.0:n, GPL 3.0:n, LGPL 2.1:n, LGPL 3.0:n ja AGPL 3.0:n alaisina.
admin on yhdistetty 10.24.109.102 alkaen ssh:lla nfvisissä admin kirjautunut oletustunnuksilla Anna salasana, joka täyttää seuraavat ehdot:
1. Vähintään yksi pieni kirjain 2. Vähintään yksi iso merkki 3. Vähintään yksi numero 4. Vähintään yksi erikoismerkki joukosta # _ – * ? 5.Pituuden tulee olla 7 - 128 merkkiä. Palauta salasana: Anna salasana uudelleen:
Nollataan järjestelmänvalvojan salasana
2. Cisco Catalyst 8200 UCPE- ja Cisco ENCS 5400 -alustoilla, kun asennat NFVIS 4.7.1:n tai uudemman version, sinun on vaihdettava oletusarvoiset BIOS- ja CIMC-salasanat. Jos BIOS- ja CIMC-salasanoja ei ole määritetty aiemmin, järjestelmä kehottaa palauttamaan BIOS- ja CIMC-salasanat Cisco ENCS 5400:lle ja vain BIOS-salasanan Cisco Catalyst 8200 UCPE:lle.
Uusi järjestelmänvalvojan salasana on asetettu
Anna BIOS-salasana, joka täyttää seuraavat ehdot: 1. Vähintään yksi pieni kirjain 2. Vähintään yksi iso merkki 3. Vähintään yksi numero 4. Vähintään yksi erikoismerkki merkistä #, @ tai _ 5. Pituuden tulee olla välillä 8 ja 20 merkkiä 6. Ei saa sisältää mitään seuraavista merkkijonoista (kirjainkoolla on merkitystä): bios 7. Ensimmäinen merkki ei voi olla #
Turvallisuusnäkökohdat 8
Turvallisuusnäkökohdat
Tarkista BIOS- ja CIMC-salasanat
Palauta BIOS-salasana : Anna BIOS-salasana uudelleen: Anna CIMC-salasana, joka täyttää seuraavat ehdot:
1. Vähintään yksi pieni kirjain 2. Vähintään yksi iso merkki 3. Vähintään yksi numero 4. Vähintään yksi erikoismerkki merkistä #, @ tai _ 5. Pituuden tulee olla 8-20 merkkiä 6. Ei saa sisältää mitään seuraavista seuraavat merkkijonot (kirjainkoolla): admin Palauta CIMC-salasana : Anna CIMC-salasana uudelleen:
Tarkista BIOS- ja CIMC-salasanat
Voit tarkistaa, onko BIOS- ja CIMC-salasanat vaihdettu onnistuneesti käyttämällä näyttölokia nfvis_config.log | sisällytä BIOS tai näytä loki nfvis_config.log | sisältää CIMC-komennot:
nfvis# näytä loki nfvis_config.log | sisältää BIOSin
2021-11-16 15:24:40,102 INFO
[hostaction:/system/settings] [] BIOS-salasanan vaihtoon onnistunut
Voit myös ladata tiedoston nfvis_config.log file ja tarkista, onko salasanat nollattu onnistuneesti.
Integrointi ulkoisten AAA-palvelimien kanssa
Käyttäjät kirjautuvat NFVIS:ään ssh:n tai Web UI. Kummassakin tapauksessa käyttäjät on tunnistettava. Eli käyttäjän on esitettävä salasanan kirjautumistiedot päästäkseen käsiksi.
Kun käyttäjä on todennettu, kaikki tämän käyttäjän suorittamat toiminnot on valtuutettava. Toisin sanoen tietyt käyttäjät voivat saada suorittaa tiettyjä tehtäviä, kun taas toiset eivät. Tätä kutsutaan valtuutukseksi.
On suositeltavaa ottaa käyttöön keskitetty AAA-palvelin, joka pakottaa käyttäjäkohtaisen AAA-pohjaisen kirjautumisen todennuksen NFVIS-käyttöä varten. NFVIS tukee RADIUS- ja TACACS-protokollia verkkoon pääsyn välittämiseksi. AAA-palvelimella todennetuille käyttäjille tulisi myöntää vain vähimmäiskäyttöoikeudet heidän erityisten käyttövaatimustensa mukaisesti. Tämä vähentää sekä haitallisille että tahattomille tietoturvahäiriöille altistumista.
Lisätietoja ulkoisesta todennuksesta on kohdissa RADIUSin määrittäminen ja TACACS+ -palvelimen määrittäminen.
Todennusvälimuisti ulkoiselle todennuspalvelimelle
Ominaisuuden nimi
Julkaisutiedot
Todennusvälimuisti ulkoiselle NFVIS 4.5.1 -todennuspalvelimelle
Kuvaus
Tämä ominaisuus tukee TACACS-todennusta OTP:n kautta NFVIS-portaalissa.
NFVIS-portaali käyttää samaa kertaluonteista salasanaa (OTP) kaikille API-kutsuille ensimmäisen todennuksen jälkeen. API-kutsut epäonnistuvat heti, kun OTP vanhenee. Tämä ominaisuus tukee TACACS OTP -todennusta NFVIS-portaalilla.
Kun olet todentanut onnistuneesti TACACS-palvelimen kautta OTP:tä käyttäen, NFVIS luo tiivistemerkinnän käyttäjänimellä ja OTP:llä ja tallentaa tämän hash-arvon paikallisesti. Tällä paikallisesti tallennetulla hash-arvolla on
Turvallisuusnäkökohdat 9
Rooliin perustuva kulunvalvonta
Turvallisuusnäkökohdat
viimeinen voimassaoloaika stamp liittyy siihen. Aika stamp on sama arvo kuin SSH-istunnon joutokäynnin aikakatkaisuarvo, joka on 15 minuuttia. Kaikki myöhemmät samalla käyttäjänimellä tehdyt todennuspyynnöt todennetaan ensin tätä paikallista hash-arvoa vastaan. Jos todennus epäonnistuu paikallisella hashilla, NFVIS todentaa tämän pyynnön TACACS-palvelimella ja luo uuden hajautusmerkinnän, kun todennus onnistuu. Jos hash-merkintä on jo olemassa, sen aika stamp palautuu 15 minuuttiin.
Jos sinut poistetaan TACACS-palvelimelta onnistuneen portaaliin kirjautumisen jälkeen, voit jatkaa portaalin käyttöä, kunnes NFVIS:n hash-merkintä vanhenee.
Kun kirjaudut ulos NFVIS-portaalista tai kirjaudut ulos joutoajan vuoksi, portaali kutsuu uutta API:ta ja ilmoittaa NFVIS-taustajärjestelmälle, että se tyhjentää hash-merkinnän. Todennusvälimuisti ja kaikki sen merkinnät tyhjennetään NFVIS:n uudelleenkäynnistyksen, tehdasasetusten palauttamisen tai päivityksen jälkeen.
Rooliin perustuva kulunvalvonta
Verkkoon pääsyn rajoittaminen on tärkeää organisaatioille, joissa on paljon työntekijöitä, jotka työllistävät urakoitsijoita tai sallivat pääsyn kolmansille osapuolille, kuten asiakkaille ja toimittajille. Tällaisessa tilanteessa verkkoon pääsyä on vaikea valvoa tehokkaasti. Sen sijaan on parempi hallita, mitä on saatavilla, jotta arkaluonteiset tiedot ja kriittiset sovellukset voidaan suojata.
Role-based Access Control (RBAC) on menetelmä rajoittaa verkkoon pääsyä yrityksen yksittäisten käyttäjien roolejen perusteella. RBAC antaa käyttäjille mahdollisuuden käyttää juuri niitä tietoja, joita he tarvitsevat, ja estää heitä pääsemästä niihin tietoihin, jotka eivät koske heitä.
Työntekijän roolia yrityksessä tulisi käyttää myönnettyjen lupien määrittämisessä, jotta varmistetaan, etteivät työntekijät, joilla on alhaisemmat oikeudet, pääse käsiksi arkaluontoisiin tietoihin tai suorittamaan kriittisiä tehtäviä.
Seuraavat käyttäjäroolit ja -oikeudet on määritetty NFVIS:ssä
Käyttäjän rooli
Etuoikeus
Järjestelmänvalvojat
Voi määrittää kaikki käytettävissä olevat ominaisuudet ja suorittaa kaikki tehtävät, mukaan lukien käyttäjäroolien vaihtaminen. Järjestelmänvalvoja ei voi poistaa perusinfrastruktuuria, joka on olennainen NFVIS:lle. Järjestelmänvalvojan käyttäjän roolia ei voi muuttaa; se on aina "järjestelmänvalvojia".
Operaattorit
Voi käynnistää ja pysäyttää VM:n ja view kaikki tiedot.
Tilintarkastajat
He ovat vähiten etuoikeutettuja käyttäjiä. Heillä on vain luku -oikeus, joten he eivät voi muokata asetuksia.
RBAC:n edut
RBAC:n käyttämisessä on useita etuja, jotka liittyvät tarpeettoman verkkoon pääsyn rajoittamiseen organisaatiossa olevien ihmisten roolien perusteella, mukaan lukien:
· Toiminnan tehokkuuden parantaminen.
Ennalta määritetyt roolit RBAC:ssa helpottaa uusien käyttäjien sisällyttämistä oikeisiin oikeuksiin tai olemassa olevien käyttäjien rooleja vaihtamista. Se myös vähentää virheiden mahdollisuutta, kun käyttäjäoikeuksia määritetään.
· Parannetaan vaatimustenmukaisuutta.
Turvallisuusnäkökohdat 10
Turvallisuusnäkökohdat
Rooliin perustuva kulunvalvonta
Jokaisen organisaation on noudatettava paikallisia, osavaltion ja liittovaltion määräyksiä. Yritykset yleensä mieluummin ottavat käyttöön RBAC-järjestelmiä täyttääkseen luottamuksellisuutta ja yksityisyyttä koskevat lakisääteiset ja lakisääteiset vaatimukset, koska johtajat ja IT-osastot voivat hallita tehokkaammin sitä, miten dataa käsitellään ja käytetään. Tämä on erityisen tärkeää rahoituslaitoksille ja terveydenhuoltoyrityksille, jotka käsittelevät arkaluonteisia tietoja.
· Kustannusten vähentäminen. Yritykset voivat säästää tai käyttää resursseja, kuten verkon kaistanleveyttä, muistia ja tallennustilaa kustannustehokkaalla tavalla, estämällä käyttäjien pääsyn tiettyihin prosesseihin ja sovelluksiin.
· Tietomurtojen ja tietovuotojen riskin vähentäminen. RBAC:n käyttöönotto tarkoittaa arkaluontoisten tietojen pääsyn rajoittamista, mikä vähentää tietomurtojen tai tietovuotojen mahdollisuutta.
Parhaat käytännöt roolipohjaisiin kulunvalvontatoteutuksiin · Pääkäyttäjänä määritä käyttäjäluettelo ja määritä käyttäjät ennalta määritettyihin rooleihin. esimample, käyttäjä "networkadmin" voidaan luoda ja lisätä käyttäjäryhmään "järjestelmänvalvojat".
määritä pääte rbac-todennus käyttäjät luo-käyttäjänimi verkonvalvojan salasana Test1_pass rooli järjestelmänvalvojat sitoutuvat
Huomautus Järjestelmä luo käyttäjäryhmät tai roolit. Et voi luoda tai muokata käyttäjäryhmää. Voit vaihtaa salasanan käyttämällä rbac authentication users user change-password -komentoa globaalissa määritystilassa. Voit muuttaa käyttäjän roolia käyttämällä rbac-todennuskäyttäjien user change-role -komentoa yleisessä määritystilassa.
· Lopeta tilit käyttäjiltä, jotka eivät enää tarvitse käyttöoikeuksia.
määritä terminaalin rbac-todennus käyttäjät poista-käyttäjänimi testi1
· Suorita määräajoin auditointeja arvioidaksesi roolit, niille määrätyt työntekijät ja kullekin roolille sallitut käyttöoikeudet. Jos havaitaan, että käyttäjällä on tarpeeton pääsy tiettyyn järjestelmään, vaihda käyttäjän roolia.
Katso lisätietoja kohdasta Käyttäjät, roolit ja todennus
Granular Role-Based Access Control NFVIS 4.7.1:stä alkaen on otettu käyttöön Granular Role-Based Access Control -ominaisuus. Tämä ominaisuus lisää uuden resurssiryhmäkäytännön, joka hallitsee VM:tä ja VNF:ää ja antaa sinun määrittää käyttäjät ryhmään valvomaan VNF-käyttöä VNF:n käyttöönoton aikana. Katso lisätietoja kohdasta Granular Role-Based Access Control.
Turvallisuusnäkökohdat 11
Rajoita laitteen käytettävyyttä
Turvallisuusnäkökohdat
Rajoita laitteen käytettävyyttä
Käyttäjät ovat toistuvasti jääneet huomaamatta hyökkäyksiltä ominaisuuksia, joita he eivät olleet suojanneet, koska he eivät tienneet näiden ominaisuuksien olevan käytössä. Käyttämättömät palvelut jäävät yleensä oletuskokoonpanoihin, jotka eivät aina ole turvallisia. Nämä palvelut voivat myös käyttää oletussalasanoita. Jotkut palvelut voivat antaa hyökkääjälle helpon pääsyn tietoihin siitä, mitä palvelin on käynnissä tai kuinka verkko on määritetty. Seuraavissa osissa kuvataan, kuinka NFVIS välttää tällaiset turvallisuusriskit:
Hyökkäysvektorin vähentäminen
Mikä tahansa ohjelmisto voi sisältää tietoturva-aukkoja. Enemmän ohjelmistoja tarkoittaa enemmän mahdollisuuksia hyökätä. Vaikka julkisesti tunnettuja haavoittuvuuksia ei sisällyttämishetkellä olisikaan, haavoittuvuudet todennäköisesti löydetään tai paljastetaan tulevaisuudessa. Tällaisten skenaarioiden välttämiseksi asennetaan vain ne ohjelmistopaketit, jotka ovat välttämättömiä NFVIS-toiminnalle. Tämä auttaa rajoittamaan ohjelmistojen haavoittuvuuksia, vähentämään resurssien kulutusta ja vähentämään ylimääräistä työtä, kun kyseisten pakettien kanssa havaitaan ongelmia. Kaikki NFVIS:ään sisältyvät kolmannen osapuolen ohjelmistot on rekisteröity Ciscon keskustietokantaan, jotta Cisco pystyy suorittamaan yritystason organisoituja vastauksia (laki, turvallisuus jne.). Ohjelmistopaketteja päivitetään säännöllisesti jokaisessa julkaisussa tunnettujen yleisten haavoittuvuuksien ja altistumisten (CVE) varalta.
Vain välttämättömät portit otetaan käyttöön oletuksena
Vain ne palvelut, jotka ovat ehdottoman välttämättömiä NFVIS:n määrittämiseen ja hallintaan, ovat oletusarvoisesti käytettävissä. Tämä poistaa palomuurien määrittämiseen tarvittavan käyttäjän vaivan ja estää pääsyn tarpeettomiin palveluihin. Ainoat oletusarvoisesti käytössä olevat palvelut on lueteltu alla ja niiden avaamat portit.
Avaa portti
Palvelu
Kuvaus
22 / TCP
SSH
Secure Socket Shell komentorivin etäkäyttöä varten NFVIS:ään
80 / TCP
HTTP
Hypertext Transfer Protocol NFVIS-portaalin käyttöä varten. Kaikki NFVIS:n vastaanottama HTTP-liikenne ohjataan porttiin 443 HTTPS:ää varten
443 / TCP
HTTPS
Hypertext Transfer Protocol Secure turvallista NFVIS-portaalin käyttöä varten
830 / TCP
NETCONF-ssh
Portti avattu Network Configuration Protocol (NETCONF) -protokollalle SSH:n kautta. NETCONF on protokolla, jota käytetään NFVIS:n automaattiseen konfigurointiin ja asynkronisten tapahtumailmoitusten vastaanottamiseen NFVIS:stä.
161/UDP
SNMP
Simple Network Management Protocol (SNMP). NFVIS käyttää kommunikointiin verkon etävalvontasovellusten kanssa. Lisätietoja on kohdassa Johdanto SNMP:stä
Turvallisuusnäkökohdat 12
Turvallisuusnäkökohdat
Rajoita pääsy valtuutettuihin verkkoihin valtuutetuille palveluille
Rajoita pääsy valtuutettuihin verkkoihin valtuutetuille palveluille
Vain valtuutetut alullepanijat saavat jopa yrittää laitteenhallintaa, ja pääsyn tulisi olla vain palveluihin, joihin he ovat valtuutettuja. NFVIS voidaan konfiguroida siten, että pääsy on rajoitettu tunnettuihin, luotettaviin lähteisiin ja odotettuun hallintaliikenteeseenfiles. Tämä vähentää luvattoman käytön riskiä ja altistumista muille hyökkäyksille, kuten raakavoima-, sanakirja- tai DoS-hyökkäyksille.
Suojatakseen NFVIS-hallintaliitäntöjä tarpeettomalta ja mahdollisesti haitalliselta liikenteeltä järjestelmänvalvojan käyttäjä voi luoda pääsynhallintaluetteloita (ACL) vastaanotetulle verkkoliikenteelle. Nämä ACL-luettelot määrittävät lähteen IP-osoitteet/verkot, joista liikenne on peräisin, ja liikenteen tyypin, joka on sallittu tai hylätty näistä lähteistä. Näitä IP-liikennesuodattimia sovelletaan jokaiseen hallintaliittymään NFVIS:ssä. Seuraavat parametrit on määritetty IP-vastaanoton käyttöoikeusluettelossa (ip-receive-acl)
Parametri
Arvo
Kuvaus
Lähdeverkko/verkkopeite
Verkko/verkkomaski. esimample: 0.0.0.0/0
172.39.162.0/24
Tämä kenttä määrittää IP-osoitteen/verkon, josta liikenne on peräisin
Palvelutoiminta
https icmp netconf scpd snmp ssh hyväksy pudotuksen hylkääminen
Liikenteen tyyppi määritetystä lähteestä.
Toimenpiteet lähdeverkon liikenteelle. Hyväksymällä uudet yhteysyritykset hyväksytään. Hylkäämällä yhteysyrityksiä ei hyväksytä. Jos sääntö koskee TCP-pohjaista palvelua, kuten HTTPS, NETCONF, SCP, SSH, lähde saa TCP-nollauspaketin (RST). Muiden kuin TCP-sääntöjen, kuten SNMP ja ICMP, paketti hylätään. Pudotuksen yhteydessä kaikki paketit pudotetaan välittömästi, lähteelle ei lähetetä tietoa.
Turvallisuusnäkökohdat 13
Etuoikeutettu virheenkorjausoikeus
Turvallisuusnäkökohdat
Parametrien prioriteetti
Arvo Numeerinen arvo
Kuvaus
Prioriteettia käytetään sääntömääräyksen täytäntöönpanoon. Säännöt, joilla on korkeampi numeerinen prioriteetti, lisätään alemmas ketjussa. Jos haluat varmistaa, että sääntö lisätään toisen perään, käytä alhaisen prioriteetin numeroa ensimmäiselle ja korkeamman prioriteetin numeroa seuraavalle.
Seuraavat sample-kokoonpanot kuvaavat joitain skenaarioita, joita voidaan mukauttaa tiettyihin käyttötapauksiin.
IP-vastaanoton ACL:n määrittäminen
Mitä rajoittavampi ACL on, sitä rajoitetumpi on altistuminen luvattomille pääsyyrityksille. Rajoittavampi ACL voi kuitenkin aiheuttaa hallintakustannuksia ja vaikuttaa käytettävyyteen vianmäärityksen suorittamisessa. Näin ollen on otettava huomioon tasapaino. Yksi kompromissi on rajoittaa pääsy vain yrityksen sisäisiin IP-osoitteisiin. Jokaisen asiakkaan on arvioitava ACL-luetteloiden käyttöönotto suhteessa omaan tietoturvapolitiikkaansa, riskeihinsä, altistumiseensa ja niiden hyväksymiseen.
Hylkää ssh-liikenne aliverkosta:
nfvis(config)# järjestelmäasetukset ip-receive-acl 171.70.63.0/24 service ssh-toiminto hylkää prioriteetti 1
ACL-luetteloiden poistaminen:
Kun merkintä poistetaan ip-receive-acl-tiedostosta, kaikki kyseisen lähteen määritykset poistetaan, koska lähteen IP-osoite on avain. Jos haluat poistaa vain yhden palvelun, määritä muut palvelut uudelleen.
nfvis(config)# ei järjestelmäasetuksia ip-receive-acl 171.70.63.0/24
Katso lisätietoja kohdasta IP-vastaanoton ACL:n määrittäminen
Etuoikeutettu virheenkorjausoikeus
NFVIS:n pääkäyttäjätili on oletusarvoisesti poissa käytöstä, jotta estetään kaikki rajoittamattomat, mahdollisesti haitalliset, koko järjestelmän laajuiset muutokset, eikä NFVIS paljasta järjestelmän kuorta käyttäjälle.
Kuitenkin joissakin NFVIS-järjestelmän vaikeasti korjattavissa ongelmissa Cisco Technical Assistance Center -tiimi (TAC) tai kehitystiimi saattaa vaatia shell-pääsyn asiakkaan NFVIS-järjestelmään. NFVIS:ssä on suojattu lukituksen avausinfrastruktuuri, jolla varmistetaan, että etuoikeutettu virheenkorjausoikeus kentällä olevaan laitteeseen on rajoitettu valtuutetuille Ciscon työntekijöille. NFVIS:n ja Ciscon ylläpitämän interaktiivisen virheenkorjauspalvelimen välillä käytetään NFVIS:n ja interaktiivisen virheenkorjauspalvelimen välillä, jotta Linux-kuoreen pääsee turvallisesti tämän tyyppistä interaktiivista virheenkorjausta varten. Admin-käyttäjän salasana vaaditaan myös haaste-vastausmerkinnän lisäksi, jotta varmistetaan, että laitetta käytetään asiakkaan suostumuksella.
Vaiheet interaktiivisen virheenkorjauksen komentotulkoon pääsemiseksi:
1. Järjestelmänvalvoja aloittaa tämän toimenpiteen käyttämällä tätä piilotettua komentoa.
nfvis#-järjestelmän shell-access
Turvallisuusnäkökohdat 14
Turvallisuusnäkökohdat
Suojatut käyttöliittymät
2. Näyttöön tulee haastemerkkijono, esimampseuraavat:
Haastemerkkijono (kopioi kaikki tähtirivien välistä vain):
******************************************************************************** SPH//wkAAABORlZJU0VOQ1M1NDA4L0s5AQAAABt+dcx+hB0V06r9RkdMMjEzNTgw RlHq7BxeAAA= DONE. ********************************************************************************
3. Ciscon jäsen syöttää haastemerkkijonon Ciscon ylläpitämään Interactive Debug -palvelimeen. Tämä palvelin varmistaa, että Cisco-käyttäjällä on oikeus tehdä virheenkorjaus NFVIS:stä komentotulkin avulla, ja palauttaa sitten vastausmerkkijonon.
4. Kirjoita vastausmerkkijono tämän kehotteen alla olevalla näytöllä: Syötä vastauksesi, kun olet valmis:
5. Asiakkaan tulee antaa järjestelmänvalvojan salasana pyydettäessä. 6. Saat shell-pääsyn, jos salasana on kelvollinen. 7. Kehitys- tai TAC-tiimi käyttää komentotulkkia jatkaakseen virheenkorjausta. 8. Poistu komentotulkkikäytöstä kirjoittamalla Exit.
Suojatut käyttöliittymät
NFVIS-hallintaan pääsy on sallittu käyttämällä kaaviossa esitettyjä liitäntöjä. Seuraavissa osissa kuvataan parhaita suojauskäytäntöjä näille NFVIS-rajapinnoille.
Konsoli SSH
Konsoliportti on asynkroninen sarjaportti, jonka avulla voit muodostaa yhteyden NFVIS CLI:hen alkumääritystä varten. Käyttäjä voi käyttää konsolia joko fyysisellä pääsyllä NFVIS:ään tai etäkäytöllä päätepalvelimen avulla. Jos pääsy konsoliporttiin vaaditaan päätepalvelimen kautta, määritä päätepalvelimen käyttöoikeusluettelot sallimaan pääsy vain vaadituista lähdeosoitteista.
Käyttäjät voivat käyttää NFVIS CLI:tä käyttämällä SSH:ta turvallisena etäkirjautumiskeinona. NFVIS-hallintaliikenteen eheys ja luottamuksellisuus on olennaista hallitun verkon turvallisuudelle, koska hallintaprotokollat sisältävät usein tietoa, jota voidaan käyttää verkon tunkeutumiseen tai häiritsemiseen.
Turvallisuusnäkökohdat 15
CLI-istunnon aikakatkaisu
Turvallisuusnäkökohdat
NFVIS käyttää SSH-versiota 2, joka on Ciscon ja Internetin de facto standardiprotokolla interaktiivisille kirjautumisille ja tukee vahvaa salaus-, hash- ja avaintenvaihtoalgoritmeja, joita Ciscon Security and Trust Organisation suosittelee.
CLI-istunnon aikakatkaisu
SSH:n kautta kirjautumalla käyttäjä muodostaa istunnon NFVIS:n kanssa. Kun käyttäjä on kirjautuneena sisään, jos käyttäjä jättää kirjautuneen istunnon ilman valvontaa, tämä voi altistaa verkon tietoturvariskille. Istunnon suojaus rajoittaa sisäisten hyökkäysten riskiä, kuten yksi käyttäjä yrittää käyttää toisen käyttäjän istuntoa.
Tämän riskin vähentämiseksi NFVIS aikakatkaisee CLI-istunnot 15 minuutin käyttämättömyyden jälkeen. Kun istunnon aikakatkaisu saavutetaan, käyttäjä kirjataan automaattisesti ulos.
NETCONF
Network Configuration Protocol (NETCONF) on IETF:n kehittämä ja standardoima verkonhallintaprotokolla verkkolaitteiden automaattista konfigurointia varten.
NETCONF-protokolla käyttää XML (Extensible Markup Language) -pohjaista datakoodausta konfigurointitiedoissa sekä protokollan viesteissä. Protokollaviestit vaihdetaan suojatun siirtoprotokollan päälle.
NETCONF sallii NFVIS:n paljastaa XML-pohjaisen API:n, jonka avulla verkko-operaattori voi asettaa ja vastaanottaa konfiguraatiotietoja ja tapahtumailmoituksia turvallisesti SSH:n kautta.
Katso lisätietoja kohdasta NETCONF-tapahtumailmoitukset.
REST API
NFVIS voidaan määrittää käyttämällä RESTful API:ta HTTPS:n kautta. REST API mahdollistaa pyynnön esittävien järjestelmien pääsyn NFVIS-kokoonpanoon ja manipulointia käyttämällä yhtenäistä ja ennalta määritettyä tilattomien toimintojen joukkoa. Yksityiskohtaiset tiedot kaikista REST-sovellusliittymistä löytyy NFVIS API:n viiteoppaasta.
Kun käyttäjä antaa REST API:n, istunto muodostetaan NFVIS:n kanssa. Palvelunestohyökkäyksiin liittyvien riskien rajoittamiseksi NFVIS rajoittaa samanaikaisten REST-istuntojen kokonaismäärän 100:aan.
NFVIS Web Portaali
NFVIS-portaali on a web-pohjainen graafinen käyttöliittymä, joka näyttää tietoja NFVIS:stä. Portaali tarjoaa käyttäjälle helpon tavan määrittää ja valvoa NFVIS:ää HTTPS:n kautta ilman, että hänen tarvitsee tietää NFVIS CLI:tä ja API:ta.
Istunnon hallinta
HTTP:n ja HTTPS:n tilaton luonne edellyttää menetelmää käyttäjien yksilölliseen seurantaan käyttämällä yksilöllisiä istuntotunnuksia ja evästeitä.
NFVIS salaa käyttäjän istunnon. AES-256-CBC-salausta käytetään istunnon sisällön salaamiseen HMAC-SHA-256-todennuksen avulla. tag. Jokaista salausoperaatiota varten luodaan satunnainen 128-bittinen alustusvektori.
Tarkastustietue käynnistetään, kun portaaliistunto luodaan. Istuntotiedot poistetaan, kun käyttäjä kirjautuu ulos tai istunnon aikakatkaisu.
Portaaliistuntojen oletusaikakatkaisu on 15 minuuttia. Tämä voidaan kuitenkin määrittää nykyiselle istunnolle arvoksi 5–60 minuuttia Asetukset-sivulla. Automaattinen uloskirjautuminen käynnistetään tämän jälkeen
Turvallisuusnäkökohdat 16
Turvallisuusnäkökohdat
HTTPS
HTTPS
ajanjaksoa. Useita istuntoja ei sallita yhdessä selaimessa. Samanaikaisten istuntojen enimmäismääräksi on asetettu 30. NFVIS-portaali käyttää evästeitä tietojen yhdistämiseen käyttäjään. Se käyttää seuraavia evästeen ominaisuuksia turvallisuuden parantamiseksi:
· lyhytaikainen sen varmistamiseksi, että eväste vanhenee, kun selain suljetaan. · httpVain estääkseen evästeen pääsyn JavaScriptiin · SecureProxy varmistaakseen, että eväste voidaan lähettää vain SSL:n kautta.
Myös todennuksen jälkeen hyökkäykset, kuten Cross-Site Request Forgery (CSRF), ovat mahdollisia. Tässä skenaariossa loppukäyttäjä saattaa vahingossa suorittaa ei-toivottuja toimintoja a web sovellus, jossa ne on tällä hetkellä todennettu. Tämän estämiseksi NFVIS käyttää CSRF-tunnuksia jokaisen istunnon aikana kutsutun REST-sovellusliittymän vahvistamiseen.
URL Uudelleenohjaus Tyypillisesti web palvelimia, kun sivua ei löydy web palvelin, käyttäjä saa 404-sanoman; olemassa oleville sivuille he saavat kirjautumissivun. Tämän turvallisuusvaikutuksena on, että hyökkääjä voi suorittaa raa'an voiman tarkistuksen ja havaita helposti olemassa olevat sivut ja kansiot. Tämän estämiseksi NFVIS:ssä kaikki olemattomat URLs-etuliite laitteen IP-osoitteella ohjataan portaalin kirjautumissivulle 301-tilavastauskoodilla. Tämä tarkoittaa, että riippumatta URL hyökkääjän pyynnöstä he saavat aina kirjautumissivun todentaakseen itsensä. Kaikki HTTP-palvelinpyynnöt ohjataan HTTPS:ään ja niissä on määritetty seuraavat otsikot:
· X-Content-Type-asetukset · X-XSS-suojaus · Sisällön suojauspolitiikka · X-Frame-asetukset · Tiukka kuljetusturva · Välimuistin hallinta
Portaalin poistaminen käytöstä NFVIS-portaalin käyttö on oletusarvoisesti käytössä. Jos et aio käyttää portaalia, on suositeltavaa poistaa portaalin käyttö käytöstä tällä komennolla:
Määritä pääte Järjestelmän portaalin käyttö estetty commit
Kaikki HTTPS-tiedot NFVIS:stä ja NFVIS:stä käyttävät TLS (Transport Layer Security) -suojausta kommunikoidakseen verkon yli. TLS on Secure Socket Layer (SSL) -seuraaja.
Turvallisuusnäkökohdat 17
HTTPS
Turvallisuusnäkökohdat
TLS-kättely sisältää todennuksen, jonka aikana asiakas varmistaa palvelimen SSL-varmenteen sen myöntäneeltä varmentajalta. Tämä vahvistaa, että palvelin on se, jonka se sanoo olevansa, ja että asiakas on vuorovaikutuksessa toimialueen omistajan kanssa. Oletuksena NFVIS käyttää itse allekirjoitettua varmennetta todistaakseen henkilöllisyytensä asiakkailleen. Tässä sertifikaatissa on 2048-bittinen julkinen avain TLS-salauksen turvallisuuden lisäämiseksi, koska salauksen vahvuus riippuu suoraan avaimen koosta.
Varmenteiden hallinta NFVIS luo itseallekirjoitetun SSL-varmenteen ensimmäisen asennuksen yhteydessä. Turvallisuuden paras käytäntö on korvata tämä varmenne voimassa olevalla varmenteella, jonka on allekirjoittanut yhteensopiva sertifikaattiviranomainen (CA). Korvaa oletusarvoinen itseallekirjoitettu varmenne seuraavasti: 1. Luo varmenteen allekirjoituspyyntö (CSR) NFVIS:ssä.
Varmenteen allekirjoituspyyntö (CSR) on a file koodatun tekstin lohkolla, joka annetaan varmenteen myöntäjälle SSL-varmennetta haettaessa. Tämä file sisältää tietoja, jotka tulee sisällyttää varmenteeseen, kuten organisaation nimi, yleinen nimi (verkkotunnus), paikkakunta ja maa. The file sisältää myös julkisen avaimen, joka tulee sisällyttää varmenteeseen. NFVIS käyttää 2048-bittistä julkista avainta, koska salauksen vahvuus on suurempi, kun avaimen koko on suurempi. Luo CSR NFVIS:ssä suorittamalla seuraava komento:
nfvis#-järjestelmän varmenteen allekirjoituspyyntö [yleinen nimi maakoodi paikkakunta organisaation organisaatioyksikön nimi tila] CSR file tallennetaan nimellä /data/intdatastore/download/nfvis.csr. . 2. Hanki SSL-varmenne CA:lta CSR:n avulla. Lataa sertifikaatin allekirjoituspyyntö ulkoisesta isännästä scp-komennolla.
[omapalvelin:/tmp] > scp -P 22222 admin@ :/data/intdatastore/download/nfvis.csrfile-nimi>
Ota yhteyttä varmenteen myöntäjään ja myönnä uusi SSL-palvelinvarmenne käyttämällä tätä CSR:ää. 3. Asenna CA-allekirjoitettu varmenne.
Lähetä varmenne ulkoisesta palvelimesta scp-komennolla file NFVIS:ään data/intdatastoreen/uploads/ hakemistosta.
[myhost:/tmp] > scp -P 22222 file> admin@ :/data/intdatastore/uploads
Asenna varmenne NFVIS:ään käyttämällä seuraavaa komentoa.
nfvis# järjestelmävarmenteen asennus-varmenteen polku file:///data/intdatastore/uploads/<certificate file>
4. Vaihda käyttämään CA-allekirjoitettua varmennetta. Käytä seuraavaa komentoa aloittaaksesi CA-allekirjoitetun varmenteen käyttämisen oletusarvoisen itseallekirjoitetun varmenteen sijaan.
Turvallisuusnäkökohdat 18
Turvallisuusnäkökohdat
SNMP-käyttö
nfvis(config)# järjestelmäsertifikaatti use-cert varmenne-tyyppi ca-allekirjoitettu
SNMP-käyttö
SNMP (Simple Network Management Protocol) on Internet Standard -protokolla, jolla kerätään ja järjestetään tietoja IP-verkoissa olevista hallituista laitteista sekä näiden tietojen muokkaamiseen laitteen käyttäytymisen muuttamiseksi.
SNMP:stä on kehitetty kolme merkittävää versiota. NFVIS tukee SNMP-versioita 1, 2c ja 3. SNMP-versiot 1 ja 2 käyttävät todentamiseen yhteisömerkkijonoja, jotka lähetetään pelkkänä tekstinä. Joten turvallisuuden paras käytäntö on käyttää sen sijaan SNMP v3:a.
SNMPv3 tarjoaa suojatun pääsyn laitteisiin käyttämällä kolmea näkökohtaa: – käyttäjät, todennus ja salaus. SNMPv3 käyttää USM:ää (User-based Security Module) SNMP:n kautta saatavien tietojen pääsyn hallintaan. SNMP v3 -käyttäjälle on määritetty todennustyyppi, tietosuojatyyppi sekä tunnuslause. Kaikki ryhmän jakavat käyttäjät käyttävät samaa SNMP-versiota, mutta tietyt suojaustason asetukset (salasana, salaustyyppi jne.) määritetään käyttäjäkohtaisesti.
Seuraavassa taulukossa on yhteenveto SNMP:n suojausvaihtoehdoista
Malli
Taso
Todennus
Encryption
Tulokset
v1
noAuthNoPriv
Yhteisön merkkijono nro
Käyttää yhteisöä
merkkijono ottelu
todennus.
v2c
noAuthNoPriv
Yhteisön merkkijono nro
Käyttää yhteisön merkkijonoosumaa todentamiseen.
v3
noAuthNoPriv
Käyttäjätunnus
Ei
Käyttää käyttäjätunnusta
ottelu
todennus.
v3
authNoPriv
Viestikooste 5 No
Tarjoaa
(MD5)
todennus perustuu
or
HMAC-MD5-96 tai
Turvallinen hash
HMAC-SHA-96
Algoritmi (SHA)
algoritmeja.
Turvallisuusnäkökohdat 19
Oikeudelliset ilmoitusbannerit
Turvallisuusnäkökohdat
Malli v3
Taso authPriv
Todennus MD5 tai SHA
Encryption
Tulokset
Tietojen salaus tarjoaa
Vakio (DES) tai todennuspohjainen
Edistynyt
päällä
Salausstandardi HMAC-MD5-96 tai
(AES)
HMAC-SHA-96
algoritmeja.
Tarjoaa DES-salausalgoritmin salauslohkoketjutustilassa (CBC-DES)
or
Salauspalautetilassa (CFB) käytetty AES-salausalgoritmi 128-bittisellä avaimella (CFB128-AES-128)
Sen jälkeen kun NIST hyväksyi AES:n, siitä on tullut hallitseva salausalgoritmi koko alalla. Jotta voidaan seurata alan siirtymistä pois MD5:stä SHA:han, on turvallisuuden paras käytäntö määrittää SNMP v3 -todennusprotokolla SHA:ksi ja tietosuojaprotokolla AES:ksi.
Lisätietoja SNMP:stä on kohdassa Johdanto SNMP:stä
Oikeudelliset ilmoitusbannerit
On suositeltavaa, että kaikissa interaktiivisissa istunnoissa on oikeudellinen ilmoitusbanneri, jotta käyttäjät saavat ilmoituksen suojauskäytännöistä, joita sovelletaan ja mitä he koskevat. Joillakin lainkäyttöalueilla järjestelmään murtautuneen hyökkääjän siviili- ja/tai rikosoikeudellinen syytteeseenpano on helpompaa tai jopa pakollista, jos laillinen ilmoitusbanneri esitetään, joka ilmoittaa luvattomille käyttäjille, että heidän käyttönsä on itse asiassa luvatonta. Joillakin lainkäyttöalueilla saattaa myös olla kiellettyä valvoa luvattoman käyttäjän toimintaa, ellei hänelle ole ilmoitettu aikomuksestaan tehdä niin.
Oikeudelliset ilmoitusvaatimukset ovat monimutkaisia ja vaihtelevat lainkäyttöalueella ja tilanteessa. Jopa lainkäyttöalueiden sisällä oikeudelliset mielipiteet vaihtelevat. Keskustele tästä ongelmasta oman lakimieheni kanssa varmistaaksesi, että ilmoitusbanneri täyttää yrityksen, paikalliset ja kansainväliset lakivaatimukset. Tämä on usein ratkaisevan tärkeää asianmukaisten toimenpiteiden varmistamiseksi tietoturvaloukkauksen sattuessa. Yhteistyössä yrityksen lakimiehen kanssa lausunnot, jotka voidaan sisällyttää oikeudelliseen ilmoitusbanneriin, ovat:
· Ilmoitus siitä, että järjestelmän pääsy ja käyttö on sallittu vain erikseen valtuutetuille henkilöille, ja mahdollisesti tiedot siitä, kuka voi valtuuttaa käytön.
· Ilmoitus siitä, että luvaton pääsy järjestelmään ja käyttö on laitonta, ja siitä voidaan kohdistaa siviili- ja/tai rikosoikeudellisia seuraamuksia.
· Ilmoitus siitä, että järjestelmään pääsyä ja käyttöä voidaan kirjata tai valvoa ilman erillistä ilmoitusta, ja tuloksena olevia lokeja voidaan käyttää todisteena tuomioistuimessa.
· Paikallisten lakien edellyttämät lisähuomautukset.
Turvallisuusnäkökohdat 20
Turvallisuusnäkökohdat
Tehdasasetusten palautus
Pikemminkin arvopaperista kuin laillisesta näkökulmasta view, laillinen ilmoitusbanneri ei saa sisältää mitään erityisiä tietoja laitteesta, kuten sen nimeä, mallia, ohjelmistoa, sijaintia, operaattoria tai omistajaa, koska tällaiset tiedot voivat olla hyödyllisiä hyökkääjälle.
Seuraava on kuinampoikeudellinen ilmoitusbanneri, joka voidaan näyttää ennen kirjautumista:
LUVATON KÄYTTÖ TÄMÄN LAITTEEN ON KIELLETTY Sinulla on oltava nimenomainen valtuutettu lupa käyttääksesi tätä laitetta tai määrittääksesi sen. Luvattomat pääsy- tai käyttöyritykset ja toimet
tämä järjestelmä voi johtaa siviili- ja/tai rikosoikeudellisiin seuraamuksiin. Kaikki tällä laitteella suoritetut toiminnot kirjataan ja niitä valvotaan
Huomautus Esitä yrityksen lakimiehen hyväksymä lainopillinen ilmoitusbanneri.
NFVIS mahdollistaa bannerin ja päivän viestin (MOTD) määrittämisen. Banneri näytetään ennen kuin käyttäjä kirjautuu sisään. Kun käyttäjä kirjautuu sisään NFVIS:ään, järjestelmän määrittämä banneri tarjoaa tekijänoikeustietoja NFVIS:stä, ja MOTD-viesti (jos se on määritetty) tulee näkyviin ja sen jälkeen komentorivikehote tai portaali view, riippuen kirjautumistavasta.
On suositeltavaa ottaa käyttöön kirjautumisbanneri sen varmistamiseksi, että laillinen ilmoitusbanneri esitetään kaikissa laitehallinnan käyttöoikeusistunnoissa ennen kirjautumiskehotteen esittämistä. Käytä tätä komentoa bannerin ja MOTD:n määrittämiseen.
nfvis(config)# banner-motd banneri motd
Lisätietoja bannerikomennosta on kohdissa Bannerin määrittäminen, Päivän viesti ja Järjestelmäaika.
Tehdasasetusten palautus
Tehdasasetusten palautus poistaa kaikki asiakaskohtaiset tiedot, jotka on lisätty laitteeseen sen toimitushetkestä lähtien. Poistetut tiedot sisältävät määritykset, lokin files, VM-kuvat, yhteystiedot ja käyttäjän kirjautumistiedot.
Se tarjoaa yhden komennon laitteen tehdasasetusten palauttamiseksi, ja se on hyödyllinen seuraavissa tilanteissa:
· Laitteen materiaalin palautusoikeus (RMA) – Jos sinun on palautettava laite Cisco for RMA:lle, poista kaikki asiakaskohtaiset tiedot tehdasasetusten palautuksella.
· Vaarallisen laitteen palauttaminen – Jos laitteeseen tallennettu avainmateriaali tai tunnistetiedot ovat vaarantuneet, palauta laitteen tehdasasetukset ja määritä laite sitten uudelleen.
· Jos samaa laitetta on käytettävä uudelleen eri paikassa uudella kokoonpanolla, poista nykyinen kokoonpano ja palauta se puhtaaseen tilaan tehdasasetusten palautuksella.
NFVIS tarjoaa seuraavat vaihtoehdot tehdasasetusten palauttamisessa:
Tehdasasetusten palautusvaihtoehto
Tiedot poistettu
Tiedot säilytetään
kaikki
Kaikki asetukset, ladattu kuva Järjestelmänvalvojan tili säilytetään ja
files, VM:t ja lokit.
salasanaksi vaihdetaan
Yhteydet laitteeseen ovat tehdasoletussalasana.
menetetty.
Turvallisuusnäkökohdat 21
Infrastruktuurin hallintaverkosto
Turvallisuusnäkökohdat
Tehdasasetusten palautusvaihtoehto kaikki paitsi kuvat
kaikki paitsi kuvien liitettävyys
valmistus
Tiedot poistettu
Tiedot säilytetään
Kaikki asetukset paitsi kuva Kuvan määritykset, rekisteröity
määritykset, virtuaalikoneet ja lähetetyt kuvat ja lokit
kuva files.
Järjestelmänvalvojan tili säilytetään ja
Yhteys laitteeseen tulee salasanaksi muutetaan
menetetty.
tehdasoletussalasana.
Kaikki asetukset paitsi kuva, kuvat, verkko ja liitännät
verkko ja liitettävyys
liittyvä kokoonpano, rekisteröity
määritykset, VM:t ja ladatut kuvat ja lokit.
kuva files.
Järjestelmänvalvojan tili säilytetään ja
Yhteys laitteeseen on
aiemmin määritetty järjestelmänvalvoja
saatavilla.
salasana säilyy.
Kaikki asetukset paitsi kuvan määritykset, virtuaalikoneet, ladattu kuva files ja lokit.
Yhteys laitteeseen katkeaa.
Kuvaan liittyvät asetukset ja rekisteröidyt kuvat
Järjestelmänvalvojan tili säilytetään ja salasana vaihdetaan tehtaan oletussalasanaksi.
Käyttäjän on valittava sopiva vaihtoehto huolellisesti tehdasasetusten palautuksen tarkoituksen perusteella. Lisätietoja on kohdassa Tehdasasetusten palauttaminen.
Infrastruktuurin hallintaverkosto
Infrastruktuurin hallintaverkolla tarkoitetaan verkkoa, joka kuljettaa infrastruktuurilaitteiden ohjaus- ja hallintatasoliikennettä (kuten NTP, SSH, SNMP, syslog jne.). Laitteen käyttö voi tapahtua konsolin kautta sekä Ethernet-liitäntöjen kautta. Tämä ohjaus- ja hallintatason liikenne on kriittistä verkon toiminnalle, mikä tarjoaa näkyvyyttä verkkoon ja sen hallinnan. Näin ollen hyvin suunniteltu ja turvallinen infrastruktuurin hallintaverkko on ratkaisevan tärkeä verkon yleisen turvallisuuden ja toiminnan kannalta. Yksi tärkeimmistä suosituksista turvalliselle infrastruktuurin hallintaverkolle on hallinnan ja dataliikenteen erottaminen toisistaan etähallittavuuden varmistamiseksi myös suuressa kuormituksessa ja suuressa liikennetilassa. Tämä voidaan saavuttaa käyttämällä erityistä hallintaliittymää.
Seuraavat ovat infrastruktuurin hallintaverkon toteutustavat:
Bändin ulkopuolinen hallinta
Out-of-band Management (OOB) -hallintaverkko koostuu verkosta, joka on täysin itsenäinen ja fyysisesti erillinen tietoverkosta, jota se auttaa hallitsemaan. Tätä kutsutaan joskus myös tietoliikenneverkoksi (DCN). Verkkolaitteet voivat muodostaa yhteyden OOB-verkkoon eri tavoin: NFVIS tukee sisäänrakennettua hallintaliittymää, jonka avulla voidaan muodostaa yhteys OOB-verkkoon. NFVIS mahdollistaa ennalta määritellyn fyysisen rajapinnan, ENCS:n MGMT-portin, määrittämisen erillisenä hallintaliittymänä. Hallintapakettien rajoittaminen määritettyihin liitäntöihin tarjoaa paremman hallinnan laitteen hallinnassa, mikä lisää laitteen turvallisuutta. Muita etuja ovat datapakettien parempi suorituskyky ei-hallintaliitännöissä, verkon skaalautuvuuden tuki,
Turvallisuusnäkökohdat 22
Turvallisuusnäkökohdat
Pseudo kaistan ulkopuolinen hallinta
tarve vähentää pääsynhallintaluetteloita (ACL) rajoittamaan pääsyä laitteeseen ja estää hallintapakettien tulvien pääsy prosessoriin. Verkkolaitteet voivat myös muodostaa yhteyden OOB-verkkoon omistettujen datarajapintojen kautta. Tässä tapauksessa ACL:t tulisi ottaa käyttöön sen varmistamiseksi, että hallintaliikennettä käsittelevät vain omistetut rajapinnat. Lisätietoja on kohdassa IP-vastaanoton ACL:n ja portin 22222 ja hallintaliittymän ACL:n määrittäminen.
Pseudo kaistan ulkopuolinen hallinta
Näennäinen kaistan ulkopuolinen hallintaverkko käyttää samaa fyysistä infrastruktuuria kuin tietoverkko, mutta tarjoaa loogisen erottelun virtuaalisen liikenteen erottamisen avulla VLAN-verkkojen avulla. NFVIS tukee VLAN-verkkojen ja virtuaalisten siltojen luomista erilaisten liikenteen lähteiden tunnistamiseksi ja liikenteen erottamiseksi virtuaalikoneiden välillä. Erillisten siltojen ja VLAN-verkkojen käyttö eristää virtuaalikoneen verkon dataliikenteen ja hallintaverkon, mikä mahdollistaa liikenteen segmentoinnin virtuaalikoneiden ja isännän välillä. Lisätietoja on kohdassa VLAN:in määrittäminen NFVIS-hallintaliikenteelle.
Bändin sisäinen hallinta
Kaistan sisäinen hallintaverkko käyttää samoja fyysisiä ja loogisia polkuja kuin dataliikenne. Viime kädessä tämä verkoston suunnittelu edellyttää asiakaskohtaista riskianalyysiä hyötyjen ja kustannusten suhteen. Joitakin yleisiä huomioita ovat mm.
· Eristetty OOB-hallintaverkko maksimoi verkon näkyvyyden ja hallinnan jopa häiritsevien tapahtumien aikana.
· Verkkotelemetrian lähettäminen OOB-verkon kautta minimoi juuri kriittisen verkon näkyvyyttä tarjoavien tietojen katkeamisen mahdollisuuden.
· Kaistan sisäisen hallinnan pääsy verkkoinfrastruktuuriin, isäntiin jne. on alttiina täydelliselle katoamiselle verkkohäiriön sattuessa, mikä poistaa kaiken verkon näkyvyyden ja hallinnan. Asianmukaiset QoS-säädöt tulisi ottaa käyttöön tämän tapahtuman lieventämiseksi.
· NFVIS sisältää liitännät, jotka on omistettu laitehallintaan, mukaan lukien sarjakonsoliportit ja Ethernet-hallintaliitännät.
· OOB-hallintaverkko voidaan tyypillisesti ottaa käyttöön kohtuullisin kustannuksin, koska hallintaverkkoliikenne ei tyypillisesti vaadi suurta kaistanleveyttä tai korkean suorituskyvyn laitteita ja vaatii vain riittävän porttitiheyden tukemaan liitettävyyttä kuhunkin infrastruktuurilaitteeseen.
Paikallisesti tallennettujen tietojen suojaus
Arkaluonteisten tietojen suojaaminen
NFVIS tallentaa joitakin arkaluonteisia tietoja paikallisesti, mukaan lukien salasanat ja salaisuudet. Salasanoja tulee yleensä ylläpitää ja hallita keskitetty AAA-palvelin. Vaikka keskitetty AAA-palvelin otettaisiin käyttöön, joitain paikallisesti tallennettuja salasanoja vaaditaan tietyissä tapauksissa, kuten paikallisia varoja, jos AAA-palvelimia ei ole saatavilla, erikoiskäyttöisiä käyttäjänimiä jne. Nämä paikalliset salasanat ja muut arkaluontoiset salasanat
Turvallisuusnäkökohdat 23
File Siirtää
Turvallisuusnäkökohdat
tiedot tallennetaan NFVIS:ään tiivisteinä, joten alkuperäisiä tunnistetietoja ei ole mahdollista palauttaa järjestelmästä. Hashing on laajalti hyväksytty alan normi.
File Siirtää
Files, jotka on ehkä siirrettävä NFVIS-laitteisiin, sisältävät VM-kuvan ja NFVIS-päivityksen files. Turvallinen siirto files on kriittinen verkkoinfrastruktuurin turvallisuuden kannalta. NFVIS tukee Secure Copy (SCP) -toimintoa turvallisuuden varmistamiseksi file siirtää. SCP luottaa SSH:han suojattuun todentamiseen ja siirtoon, mikä mahdollistaa suojatun ja todennetun kopioinnin files.
Suojattu kopio NFVIS:stä aloitetaan scp-komennolla. Secure copy (scp) -komento sallii vain järjestelmänvalvojan käyttäjän kopioida turvallisesti files NFVIS:stä ulkoiseen järjestelmään tai ulkoisesta järjestelmästä NFVIS:ään.
scp-komennon syntaksi on:
scp
Käytämme porttia 22222 NFVIS SCP -palvelimelle. Oletuksena tämä portti on suljettu, eivätkä käyttäjät voi suojata kopiota files NFVIS:ään ulkoisesta asiakkaasta. Jos SCP on tarpeen a file ulkoisesta asiakasohjelmasta käyttäjä voi avata portin käyttämällä:
järjestelmäasetukset ip-receive-acl (osoite)/(mask lenth) service scpd prioriteetti (numero) toiminto hyväksy
sitoutua
Jotta käyttäjät eivät pääse käyttämään järjestelmähakemistoja, suojattu kopiointi voidaan suorittaa vain osoitteeseen intdatastore:, extdatastore1:, extdatastore2:, usb: ja nfs:, jos mahdollista. Suojattu kopio voidaan tehdä myös lokeista: ja teknisestä tuesta:
Kirjaaminen
NFVIS-käyttöoikeus- ja konfiguraatiomuutokset kirjataan tarkastuslokeiksi seuraavien tietojen tallentamiseen: · Kuka on käyttänyt laitetta · Milloin käyttäjä kirjautui sisään · Mitä käyttäjä teki isäntämäärityksen ja virtuaalikoneen elinkaaren suhteen · Milloin käyttäjä kirjautui pois · Epäonnistuneet pääsyyritykset · Epäonnistuneet todennuspyynnöt · Epäonnistuneet valtuutuspyynnöt
Nämä tiedot ovat korvaamattomia rikosteknisessä analyysissä luvattomien yritysten tai pääsyn yhteydessä, samoin kuin kokoonpanomuutosongelmissa ja ryhmän hallintamuutosten suunnittelussa. Sitä voidaan myös käyttää reaaliajassa tunnistamaan poikkeavia toimintoja, jotka voivat viitata hyökkäykseen. Tämä analyysi voidaan korreloida muista ulkoisista lähteistä, kuten IDS:stä ja palomuurin lokeista, saatujen tietojen kanssa.
Turvallisuusnäkökohdat 24
Turvallisuusnäkökohdat
Virtuaalikoneen tietoturva
Kaikki NFVIS:n tärkeimmät tapahtumat lähetetään tapahtumailmoituksina NETCONF-tilaajille ja syslogeina määritettyihin keskuslokipalvelimiin. Lisätietoja syslog-viesteistä ja tapahtuma-ilmoituksista on kohdassa Liite.
Virtuaalikoneen tietoturva
Tässä osiossa kuvataan tietoturvaominaisuudet, jotka liittyvät virtuaalikoneiden rekisteröintiin, käyttöönottoon ja käyttöön NFVIS:ssä.
VNF suojattu käynnistys
NFVIS tukee Open Virtual Machine Firmware (OVMF) -ohjelmistoa mahdollistaakseen UEFI-suojatun käynnistyksen virtuaalikoneille, jotka tukevat suojattua käynnistystä. VNF Secure boot varmistaa, että jokainen VM-käynnistysohjelmiston kerros on allekirjoitettu, mukaan lukien käynnistyslatain, käyttöjärjestelmän ydin ja käyttöjärjestelmän ajurit.
Lisätietoja on kohdassa VNF:ien suojattu käynnistys.
VNC-konsolin pääsysuojaus
NFVIS:n avulla käyttäjä voi luoda Virtual Network Computing (VNC) -istunnon käyttääkseen käyttöönotetun virtuaalikoneen etätyöpöytää. Tämän mahdollistamiseksi NFVIS avaa dynaamisesti portin, johon käyttäjä voi muodostaa yhteyden web selain. Tämä portti jätetään auki vain 60 sekunniksi, jotta ulkoinen palvelin voi aloittaa istunnon virtuaalikoneeseen. Jos toimintaa ei havaita tänä aikana, portti on suljettu. Porttinumero määritetään dynaamisesti ja mahdollistaa siten vain kertaluonteisen pääsyn VNC-konsoliin.
nfvis# vncconsole aloita käyttöönotto-nimi 1510614035 vm-nimi ROUTER vncconsole-url :6005/vnc_auto.html
Osoita selaimesi osoitteeseen https:// :6005/vnc_auto.html muodostaa yhteyden ROUTER VM:n VNC-konsoliin.
Turvallisuusnäkökohdat 25
Salatut VM-määritysdatamuuttujat
Turvallisuusnäkökohdat
Salatut VM-määritysdatamuuttujat
Virtuaalikoneen käyttöönoton aikana käyttäjä antaa 0-päivän määrityksen file VM:lle. Tämä file voi sisältää arkaluontoisia tietoja, kuten salasanoja ja avaimia. Jos nämä tiedot välitetään selkeänä tekstinä, ne näkyvät lokissa files ja sisäiset tietokantatietueet selkeänä tekstinä. Tämän ominaisuuden avulla käyttäjä voi merkitä konfigurointitietomuuttujan arkaluontoiseksi, jotta sen arvo salataan AES-CFB-128-salauksella, ennen kuin se tallennetaan tai välitetään sisäisiin alijärjestelmiin.
Lisätietoja on kohdassa VM:n käyttöönottoparametrit.
Tarkistussumman vahvistus kuvan etärekisteröintiä varten
Rekisteröidäkseen etänä sijaitsevan VNF-kuvan käyttäjä määrittää sen sijainnin. Kuva on ladattava ulkoisesta lähteestä, kuten NFS-palvelimesta tai HTTPS-etäpalvelimesta.
Jos haluat tietää, onko ladattu file on turvallista asentaa, on välttämätöntä verrata filen tarkistussumma ennen sen käyttöä. Tarkistussumman tarkistaminen auttaa varmistamaan, että file ei ole vioittunut verkkolähetyksen aikana tai sitä ei ole muuttanut ilkeä kolmas osapuoli ennen sen lataamista.
NFVIS tukee tarkistussumma- ja tarkistussumma-algoritmi-asetuksia, jotta käyttäjä voi tarjota odotetun tarkistussumma- ja tarkistussumma-algoritmin (SHA256 tai SHA512), jota käytetään ladatun kuvan tarkistussumman tarkistamiseen. Kuvan luonti epäonnistuu, jos tarkistussumma ei täsmää.
Sertifikaatin vahvistaminen kuvan etärekisteröintiä varten
HTTPS-palvelimella sijaitsevan VNF-kuvan rekisteröimiseksi kuva on ladattava HTTPS-etäpalvelimelta. Tämän kuvan lataamiseksi turvallisesti NFVIS vahvistaa palvelimen SSL-varmenteen. Käyttäjän on määritettävä joko polku varmenteeseen file tai PEM-muotoisen varmenteen sisältö tämän suojatun latauksen mahdollistamiseksi.
Lisätietoja on kohdassa Kuvien rekisteröintitodistuksen vahvistaminen
VM-eristys ja resurssien hallinta
Network Function Virtualization (NFV) -arkkitehtuuri koostuu:
· Virtualisoidut verkkotoiminnot (VNF), jotka ovat virtuaalikoneita, jotka käyttävät ohjelmistosovelluksia, jotka tarjoavat verkkotoimintoja, kuten reitittimen, palomuurin, kuormituksen tasapainottimen ja niin edelleen.
· Verkkotoimintojen virtualisointiinfrastruktuuri, joka koostuu infrastruktuurikomponenteista – laskenta, muisti, tallennus ja verkko, alustalla, joka tukee tarvittavia ohjelmistoja ja hypervisoria.
NFV:n avulla verkkotoiminnot virtualisoidaan siten, että useita toimintoja voidaan ajaa yhdellä palvelimella. Tämän seurauksena fyysistä laitteistoa tarvitaan vähemmän, mikä mahdollistaa resurssien yhdistämisen. Tässä ympäristössä on olennaista simuloida erillisiä resursseja useille VNF:ille yhdestä fyysisestä laitteistojärjestelmästä. NFVIS:n avulla virtuaalikoneet voidaan ottaa käyttöön hallitusti siten, että jokainen VM vastaanottaa tarvitsemansa resurssit. Resursseja osioidaan tarpeen mukaan fyysisestä ympäristöstä moniin virtuaalisiin ympäristöihin. Yksittäiset VM-toimialueet on eristetty, joten ne ovat erillisiä, erillisiä ja suojattuja ympäristöjä, jotka eivät kilpaile keskenään jaetuista resursseista.
Virtuaalikoneet eivät voi käyttää enempää resursseja kuin on varattu. Näin vältytään palvelunestotilanteelta siitä, että yksi VM kuluttaa resursseja. Tämän seurauksena suoritin, muisti, verkko ja tallennustila ovat suojattuja.
Turvallisuusnäkökohdat 26
Turvallisuusnäkökohdat
CPU:n eristys
CPU:n eristys
NFVIS-järjestelmä varaa ytimet isännässä toimivalle infrastruktuuriohjelmistolle. Loput ytimet ovat saatavilla VM-käyttöön. Tämä takaa, että virtuaalikoneen suorituskyky ei vaikuta NFVIS-isäntän suorituskykyyn. Pienen viiveen VM:t NFVIS nimenomaisesti osoittaa omistetut ytimet matalan viiveen virtuaalisille koneille, jotka on otettu käyttöön siinä. Jos virtuaalikone vaatii 2 vCPU:ta, sille osoitetaan 2 erillistä ydintä. Tämä estää ytimien jakamisen ja ylitilauksen ja takaa alhaisen viiveen VM:ien suorituskyvyn. Jos käytettävissä olevien ytimien määrä on pienempi kuin toisen matalan viiveen VM:n pyytämä vCPU:iden määrä, käyttöönotto estetään, koska meillä ei ole riittävästi resursseja. Ei-pienen viiveen VM:t NFVIS määrittää jaettavat suorittimet ei-pienen viiveen virtuaalisille koneille. Jos virtuaalikone vaatii 2 vCPU:ta, sille määrätään 2 suoritinta. Nämä 2 suoritinta voidaan jakaa muiden ei-pienen viiveen VM:ien kesken. Jos käytettävissä olevien suorittimien määrä on pienempi kuin toisen, ei-matalan viiveen VM:n pyytämien vCPU:iden määrä, käyttöönotto on silti sallittua, koska tämä VM jakaa suorittimen olemassa olevien ei-pieniviiveisten VM:ien kanssa.
Muistin varaus
NFVIS-infrastruktuuri vaatii tietyn määrän muistia. Kun VM otetaan käyttöön, tarkistetaan, että infrastruktuurin ja aiemmin käyttöön otettujen virtuaalikoneiden tarvittavan muistin varaamisen jälkeen käytettävissä oleva muisti riittää uudelle VM:lle. Emme salli VM-laitteiden muistin ylitilausta.
Turvallisuusnäkökohdat 27
Varastoinnin eristäminen
Virtuaalikoneilla ei ole oikeutta käyttää suoraan isäntäkonetta file järjestelmä ja varastointi.
Varastoinnin eristäminen
Turvallisuusnäkökohdat
ENCS-alusta tukee sisäistä tietovarastoa (M2 SSD) ja ulkoisia levyjä. NFVIS on asennettu sisäiseen tietovarastoon. VNF:itä voidaan ottaa käyttöön myös tässä sisäisessä tietovarastoon. Turvallisuuden paras käytäntö on tallentaa asiakastiedot ja ottaa käyttöön asiakassovellusten virtuaalikoneita ulkoisille levyille. Fyysisesti erilliset levyt järjestelmälle files vs sovellus files auttaa suojaamaan järjestelmätietoja korruptiolta ja tietoturvaongelmilta.
·
Käyttöliittymän eristäminen
Yhden juuren I/O-virtualisointi eli SR-IOV on määritys, joka mahdollistaa PCI Express (PCIe) -resurssien, kuten Ethernet-portin, eristämisen. SR-IOV:n avulla yksi Ethernet-portti voidaan saada näyttämään useana erillisenä fyysisenä laitteena, joka tunnetaan nimellä Virtual Functions. Kaikilla sovittimen VF-laitteilla on sama fyysinen verkkoportti. Vieras voi käyttää yhtä tai useampaa näistä virtuaalitoiminnoista. Virtuaalinen toiminto näkyy vieraalle verkkokorttina samalla tavalla kuin tavallinen verkkokortti käyttöjärjestelmälle. Virtuaalitoimintojen suorituskyky on lähes alkuperäinen, ja ne tarjoavat paremman suorituskyvyn kuin paravirtualisoidut ohjaimet ja emuloitu käyttöoikeus. Virtuaalitoiminnot tarjoavat tietosuojan vieraiden välillä samalla fyysisellä palvelimella, jota laitteisto hallinnoi ja hallitsee. NFVIS VNF:t voivat käyttää SR-IOV-verkkoja muodostaakseen yhteyden WAN- ja LAN-taustaportteihin.
Turvallisuusnäkökohdat 28
Turvallisuusnäkökohdat
Turvallisen kehityksen elinkaari
Jokainen tällainen virtuaalikone omistaa virtuaalisen rajapinnan ja siihen liittyvät resurssit, jotka saavuttavat tietoturvan VM:ien välillä.
Turvallisen kehityksen elinkaari
NFVIS noudattaa ohjelmistojen Secure Development Lifecycle (SDL) -periaatteita. Tämä on toistettava, mitattavissa oleva prosessi, joka on suunniteltu vähentämään haavoittuvuuksia ja parantamaan Ciscon ratkaisujen turvallisuutta ja kestävyyttä. Cisco SDL käyttää alan johtavia käytäntöjä ja teknologiaa luoden luotettavia ratkaisuja, joissa on vähemmän kentällä havaittuja tuoteturvallisuushäiriöitä. Jokainen NFVIS-julkaisu käy läpi seuraavat prosessit.
· Ciscon sisäisten ja markkinapohjaisten tuoteturvallisuusvaatimusten noudattaminen · Kolmannen osapuolen ohjelmistojen rekisteröinti Ciscon keskustietovarastoon haavoittuvuuksien seurantaa varten · Ohjelmistojen säännöllinen korjaus, jossa on tunnettuja korjauksia CVE:ille. · Ohjelmiston suunnittelu tietoturvaa silmällä pitäen · Turvallisten koodauskäytäntöjen noudattaminen, kuten tarkistettujen yleisten suojausmoduulien, kuten CiscoSSL, käyttö
Staattinen analyysi ja syötteiden validoinnin toteuttaminen komentojen lisäyksen estämiseen jne. · Sovellusten suojaustyökalujen, kuten IBM AppScan, Nessus ja muiden Ciscon sisäisten työkalujen, käyttäminen.
Turvallisuusnäkökohdat 29
Turvallisen kehityksen elinkaari
Turvallisuusnäkökohdat
Turvallisuusnäkökohdat 30
Asiakirjat / Resurssit
 |
CISCO Enterprise Network Functionin virtualisointiinfrastruktuuriohjelmisto [pdfKäyttöopas Yritysverkkotoimintojen virtualisointiinfrastruktuuriohjelmistot, Enterprise, verkkotoimintojen virtualisointiinfrastruktuuriohjelmistot, virtualisointiinfrastruktuuriohjelmistot, infrastruktuuriohjelmistot |
