Software de infraestrutura de virtualización da función de rede empresarial

Información do produto

Especificacións

• Versión do software NFVIS: 3.7.1 e posterior
• Admite a sinatura RPM e a verificación de sinatura
• Arranque seguro dispoñible (desactivado por defecto)
• Mecanismo de identificación única segura de dispositivos (SUDI) utilizado

Consideracións de seguridade

O software NFVIS garante a seguridade a través de varios
mecanismos:

• Imaxe TampProtección er: sinatura RPM e verificación de sinatura
  para todos os paquetes RPM na ISO e imaxes de actualización.
• Sinatura RPM: todos os paquetes RPM no ISO de Cisco Enterprise NFVIS
  e as imaxes de actualización están asinadas para garantir a integridade criptográfica e
  autenticidade.
• Verificación da sinatura RPM: a sinatura de todos os paquetes RPM é
  verificado antes da instalación ou actualización.
• Verificación da integridade da imaxe: hash da imaxe ISO de Cisco NFVIS
  e publícase a imaxe de actualización para garantir a integridade dos adicionais
  non RPM files.
• Arranque seguro ENCS: parte do estándar UEFI, garante que o
  o dispositivo arranca só usando software de confianza.
• Identificación única segura do dispositivo (SUDI): proporciona o dispositivo
  cunha identidade inmutable para comprobar a súa autenticidade.

Instalación

Para instalar o software NFVIS, siga estes pasos:

1. Asegúrese de que a imaxe do software non foi tamperixido con por
   verificando a súa sinatura e integridade.
2. Se utiliza Cisco Enterprise NFVIS 3.7.1 ou posterior, asegúrese de que
   a verificación da sinatura pasa durante a instalación. Se falla,
   a instalación será abortada.
3. Si se actualiza de Cisco Enterprise NFVIS 3.6.x a la versión
   3.7.1, as sinaturas RPM verifícanse durante a actualización. Se o
   A verificación da sinatura falla, rexistrouse un erro pero a actualización
   completado.
4. Se se actualiza desde a versión 3.7.1 a versións posteriores, o RPM
   as sinaturas verifícanse cando se rexistra a imaxe de actualización. Se
   falla a verificación da sinatura, abortarase a actualización.
5. Verifique o hash da imaxe ISO de Cisco NFVIS ou actualice a imaxe
   usando o comando: /usr/bin/sha512sum
<image_filepath>. Compara o hash co publicado
   hash para garantir a integridade.

Arranque seguro

O arranque seguro é unha función dispoñible en ENCS (desactivada por defecto)
que garante que o dispositivo só arranque usando software de confianza. Para
activar o arranque seguro:

1. Consulte a documentación sobre o arranque seguro do host para obter máis información
   información.
2. Siga as instrucións proporcionadas para activar o arranque seguro no seu
   dispositivo.

Identificación única segura do dispositivo (SUDI)

SUDI proporciona a NFVIS unha identidade inmutable, verificando iso
é un produto xenuíno de Cisco e que garante o seu recoñecemento no
sistema de inventario do cliente.

FAQ

P: Que é NFVIS?

R: NFVIS son as siglas de Network Function Virtualization
Software de infraestrutura. É unha plataforma de software que se utiliza para implementar
e xestionar as funcións da rede virtual.

P: Como podo verificar a integridade da imaxe ISO de NFVIS ou
actualizar a imaxe?

R: Para verificar a integridade, use o comando
/usr/bin/sha512sum <image_filepath> e comparar
o hash co hash publicado proporcionado por Cisco.

P: O arranque seguro está activado de forma predeterminada en ENCS?

R: Non, o arranque seguro está desactivado por defecto en ENCS. É
recomendado para activar o arranque seguro para mellorar a seguridade.

P: Cal é o propósito de SUDI en NFVIS?

R: SUDI proporciona a NFVIS unha identidade única e inmutable,
garantindo a súa autenticidade como produto de Cisco e facilitando o seu
recoñecemento no sistema de inventario do cliente.

Consideracións de seguridade
Este capítulo describe as características e consideracións de seguridade en NFVIS. Dá un alto nivelview de compoñentes relacionados coa seguridade en NFVIS para planificar unha estratexia de seguridade para implementacións específicas para vostede. Tamén ten recomendacións sobre as mellores prácticas de seguridade para facer cumprir os elementos fundamentais da seguridade da rede. O software NFVIS ten a seguridade integrada dende a instalación a través de todas as capas de software. Os capítulos seguintes céntranse nestes aspectos de seguridade listos para usar, como a xestión de credenciais, a integridade eampprotección, xestión de sesións, acceso seguro ao dispositivo e moito máis.

· Instalación, na páxina 2 · Identificación única segura do dispositivo, na páxina 3 · Acceso ao dispositivo, na páxina 4

Consideracións de seguridade 1

Instalación

Consideracións de seguridade

· Rede de xestión de infraestruturas, na páxina 22 · Protección da información almacenada localmente, na páxina 23 · File Transferencia, na páxina 24 · Rexistro, na páxina 24 · Seguridade da máquina virtual, na páxina 25 · Illamento de VM e aprovisionamento de recursos, na páxina 26 · Ciclo de vida do desenvolvemento seguro, na páxina 29

Instalación
Para garantir que o software NFVIS non foi tampcreada con , a imaxe do software verifícase antes da instalación mediante os seguintes mecanismos:

Imaxe Tamper Protección
NFVIS admite a sinatura RPM e a verificación de sinatura para todos os paquetes RPM na ISO e as imaxes de actualización.

Sinatura RPM

Todos os paquetes RPM da ISO de Cisco Enterprise NFVIS e as imaxes de actualización están asinados para garantir a integridade criptográfica e a autenticidade. Isto garante que os paquetes RPM non foron tampcreados con e os paquetes RPM son de NFVIS. A clave privada utilizada para asinar os paquetes RPM é creada e mantida de forma segura por Cisco.

Verificación da sinatura RPM

O software NFVIS verifica a sinatura de todos os paquetes RPM antes dunha instalación ou actualización. A seguinte táboa describe o comportamento de Cisco Enterprise NFVIS cando falla a verificación da sinatura durante unha instalación ou actualización.

Escenario

Descrición

Cisco Enterprise NFVIS 3.7.1 e instalacións posteriores Se a verificación da sinatura falla durante a instalación de Cisco Enterprise NFVIS, a instalación abortarase.

Actualización de Cisco Enterprise NFVIS de 3.6.x á versión 3.7.1

As sinaturas RPM verifícanse cando se está a realizar a actualización. Se a verificación da sinatura falla, rexistrarase un erro pero a actualización completarase.

Actualización de Cisco Enterprise NFVIS desde a versión 3.7.1 As sinaturas RPM verifícanse cando se actualiza

a lanzamentos posteriores

a imaxe está rexistrada. Se a verificación da sinatura falla,

a actualización está abortada.

Verificación da integridade da imaxe
A sinatura e a verificación de sinaturas RPM só se poden facer para os paquetes RPM dispoñibles no Cisco NFVIS ISO e as imaxes de actualización. Para garantir a integridade de todos os adicionais non RPM files dispoñibles na imaxe ISO de Cisco NFVIS, publícase xunto coa imaxe un hash da imaxe ISO de Cisco NFVIS. Do mesmo xeito, publícase un hash da imaxe de actualización de Cisco NFVIS xunto coa imaxe. Para verificar que o hash de Cisco

Consideracións de seguridade 2

Consideracións de seguridade

Arranque seguro ENCS

A imaxe ISO de NFVIS ou a imaxe de actualización coincide co hash publicado por Cisco, execute o seguinte comando e compare o hash co hash publicado:
% /usr/bin/sha512sumFile> c2122783efc18b039246ae1bcd4eec4e5e027526967b5b809da5632d462dfa6724a9b20ec318c74548c6bd7e9b8217ce96b5ece93dcdd74fda5e01bb382ad607
<ImageFile>
Arranque seguro ENCS
O arranque seguro forma parte do estándar UEFI (Unified Extensible Firmware Interface) que garante que un dispositivo se inicie só utilizando un software de confianza do fabricante de equipos orixinais (OEM). Cando se inicia NFVIS, o firmware comproba a sinatura do software de arranque e do sistema operativo. Se as sinaturas son válidas, o dispositivo arranca e o firmware dálle o control ao sistema operativo.
O arranque seguro está dispoñible no ENCS pero está desactivado por defecto. Cisco recomenda que active o arranque seguro. Para obter máis información, consulte Inicio seguro do host.
Identificación única segura do dispositivo
NFVIS utiliza un mecanismo coñecido como Secure Unique Device Identification (SUDI), que lle proporciona unha identidade inmutable. Esta identidade utilízase para verificar que o dispositivo é un produto Cisco xenuíno e para garantir que o dispositivo é coñecido polo sistema de inventario do cliente.
O SUDI é un certificado X.509v3 e un par de claves asociado que están protexidos no hardware. O certificado SUDI contén o identificador do produto e o número de serie e está baseado en Cisco Public Key Infrastructure. O par de claves e o certificado SUDI insírense no módulo de hardware durante a fabricación e nunca se pode exportar a clave privada.
A identidade baseada en SUDI pódese usar para realizar unha configuración autenticada e automatizada mediante Zero Touch Provisioning (ZTP). Isto permite a incorporación segura e remota de dispositivos e garante que o servidor de orquestración estea a falar cun dispositivo NFVIS xenuíno. Un sistema de backend pode emitir un desafío ao dispositivo NFVIS para validar a súa identidade e o dispositivo responderá ao desafío usando a súa identidade baseada en SUDI. Isto permite que o sistema de backend non só verifique co seu inventario que o dispositivo correcto está na localización correcta, senón que tamén proporcione unha configuración cifrada que só pode abrir o dispositivo específico, garantindo así a confidencialidade no tránsito.
Os seguintes diagramas de fluxo de traballo ilustran como NFVIS usa SUDI:

Consideracións de seguridade 3

Acceso ao dispositivo Figura 1: autenticación do servidor Plug and Play (PnP).

Consideracións de seguridade

Figura 2: Autenticación e autorización do dispositivo Plug and Play

Acceso ao dispositivo
NFVIS ofrece diferentes mecanismos de acceso, incluíndo consola e acceso remoto baseado en protocolos como HTTPS e SSH. Cada mecanismo de acceso debe ser coidadosamente reviewed e configurado. Asegúrese de que só están activados os mecanismos de acceso necesarios e de que estean debidamente protexidos. Os pasos clave para garantir o acceso interactivo e de xestión a NFVIS son restrinxir a accesibilidade do dispositivo, restrinxir as capacidades dos usuarios autorizados ao necesario e restrinxir os métodos de acceso permitidos. NFVIS garante que o acceso só se concede aos usuarios autenticados e que só poden realizar as accións autorizadas. O acceso ao dispositivo rexístrase para a súa auditoría e NFVIS garante a confidencialidade dos datos confidenciais almacenados localmente. É fundamental establecer os controis adecuados para evitar o acceso non autorizado a NFVIS. As seguintes seccións describen as mellores prácticas e configuracións para conseguilo:
Consideracións de seguridade 4

Consideracións de seguridade

Cambio de contrasinal forzado no primeiro inicio de sesión

Cambio de contrasinal forzado no primeiro inicio de sesión
As credenciais predeterminadas son unha fonte frecuente de incidentes de seguridade do produto. Os clientes moitas veces esquecen cambiar as credenciais de inicio de sesión predeterminadas deixando os seus sistemas abertos a ataques. Para evitar isto, o usuario de NFVIS vese obrigado a cambiar o contrasinal despois do primeiro inicio de sesión usando as credenciais predeterminadas (nome de usuario: admin e contrasinal Admin123#). Para obter máis información, consulte Acceso a NFVIS.
Restricción de vulnerabilidades de inicio de sesión
Pode evitar a vulnerabilidade aos ataques de dicionario e de denegación de servizo (DoS) utilizando as seguintes funcións.
Aplicación do contrasinal seguro
Un mecanismo de autenticación só é tan forte como as súas credenciais. Por este motivo, é importante garantir que os usuarios teñan contrasinais seguros. NFVIS comproba que un contrasinal seguro está configurado segundo as seguintes regras: O contrasinal debe conter:
· Polo menos un carácter en maiúscula · Polo menos un carácter en minúscula · Polo menos un número · Polo menos un destes caracteres especiais: hash (#), guión baixo (_), guión (-), asterisco (*) ou pregunta
marca (?) · Sete caracteres ou máis · A lonxitude do contrasinal debe estar entre 7 e 128 caracteres.
Configurando a lonxitude mínima dos contrasinais
A falta de complexidade do contrasinal, especialmente a lonxitude do contrasinal, reduce significativamente o espazo de busca cando os atacantes tentan adiviñar os contrasinais dos usuarios, o que facilita moito os ataques de forza bruta. O usuario administrador pode configurar a lonxitude mínima necesaria para os contrasinais de todos os usuarios. A lonxitude mínima debe estar entre 7 e 128 caracteres. Por defecto, a lonxitude mínima necesaria para os contrasinais está configurada en 7 caracteres. CLI:
nfvis (config) # autenticación rbac min-pwd-length 9
API:
/api/config/rbac/authentication/min-pwd-length
Configurando a duración do contrasinal
A duración do contrasinal determina canto tempo se pode usar un contrasinal antes de que o usuario teña que cambialo.

Consideracións de seguridade 5

Limite a reutilización do contrasinal anterior

Consideracións de seguridade

O usuario administrador pode configurar os valores mínimos e máximos de vida útil dos contrasinais para todos os usuarios e facer cumprir unha regra para comprobar estes valores. O valor mínimo de vida útil predeterminado establécese en 1 día e o valor máximo de vida útil predeterminado de 60 días. Cando se configura un valor mínimo de vida útil, o usuario non pode cambiar o contrasinal ata que transcorra o número de días especificado. Do mesmo xeito, cando se configura un valor máximo de vida útil, un usuario debe cambiar o contrasinal antes de que pase o número de días especificado. Se un usuario non cambia o contrasinal e transcorreron o número de días especificado, envíase unha notificación ao usuario.
Nota Os valores mínimos e máximos de vida útil e a regra para comprobar estes valores non se aplican ao usuario administrador.
CLI:
configurar a autenticación de terminal rbac contrasinal de vida útil aplicar verdadeiro min-días 2 max-days 30 commit
API:
/api/config/rbac/authentication/password-lifetime/
Limite a reutilización do contrasinal anterior
Sen impedir o uso de frases de contrasinal anteriores, a caducidade do contrasinal é en gran parte inútil xa que os usuarios simplemente poden cambiar a frase de paso e despois cambiala de novo á orixinal. NFVIS comproba que o novo contrasinal non é o mesmo que un dos 5 contrasinais usados ​​anteriormente. Unha excepción a esta regra é que o usuario administrador pode cambiar o contrasinal polo contrasinal predeterminado aínda que fose un dos 5 contrasinais usados ​​anteriormente.
Restringir a frecuencia dos intentos de inicio de sesión
Se a un par remoto se lle permite iniciar sesión un número ilimitado de veces, é posible que eventualmente poida adiviñar as credenciais de inicio de sesión por forza bruta. Dado que as frases de contraseña adoitan ser fáciles de adiviñar, este é un ataque común. Ao limitar a velocidade á que o compañeiro pode tentar iniciar sesión, evitamos este ataque. Tamén evitamos gastar os recursos do sistema en autenticar innecesariamente estes intentos de inicio de sesión de forza bruta que poderían crear un ataque de denegación de servizo. NFVIS aplica un bloqueo de usuarios de 5 minutos despois de 10 intentos fallidos de inicio de sesión.
Desactivar as contas de usuario inactivas
O seguimento da actividade dos usuarios e a desactivación das contas de usuarios non utilizadas ou obsoletas axudan a protexer o sistema de ataques internos. As contas non utilizadas deberían eventualmente eliminarse. O usuario administrador pode aplicar unha regra para marcar as contas de usuario non utilizadas como inactivas e configurar o número de días despois dos cales unha conta de usuario non utilizada se marca como inactiva. Unha vez marcado como inactivo, ese usuario non pode iniciar sesión no sistema. Para permitir que o usuario inicie sesión no sistema, o usuario administrador pode activar a conta de usuario.
Nota O período de inactividade e a regra para comprobar o período de inactividade non se aplican ao usuario administrador.

Consideracións de seguridade 6

Consideracións de seguridade

Activación dunha conta de usuario inactiva

Pódense usar as seguintes CLI e API para configurar a aplicación da inactividade da conta. CLI:
configurar a autenticación do terminal rbac conta-inactividade aplicar a verdadeira inactividade-días 30 commit
API:
/api/config/rbac/authentication/account-inactivity/
O valor predeterminado para os días de inactividade é 35.
Activación dunha conta de usuario inactivo O usuario administrador pode activar a conta dun usuario inactivo mediante a seguinte CLI e API: CLI:
configurar terminal rbac autenticación usuarios usuario guest_user activar commit
API:
/api/operations/rbac/authentication/users/user/username/activate

Aplicar a configuración dos contrasinais da BIOS e CIMC

Táboa 1: Táboa do historial de funcións

Nome da característica

Información de lanzamento

Aplicar a configuración de contrasinais da BIOS e CIMC NFVIS 4.7.1

Descrición
Esta función obriga ao usuario a cambiar o contrasinal predeterminado para CIMC e BIOS.

Restricións para aplicar a configuración de contrasinais da BIOS e CIMC
· Esta función só se admite nas plataformas Cisco Catalyst 8200 UCPE e Cisco ENCS 5400.
· Esta función só se admite nunha nova instalación de NFVIS 4.7.1 e versións posteriores. Se actualiza de NFVIS 4.6.1 a NFVIS 4.7.1, esta función non é compatible e non se lle solicita que restableza os contrasinais do BIOS e CIMS, aínda que os contrasinais do BIOS e CIMC non estean configurados.

Información sobre a aplicación da configuración de contrasinais da BIOS e CIMC
Esta función soluciona unha brecha de seguridade obrigando a restablecer os contrasinais da BIOS e CIMC despois dunha nova instalación de NFVIS 4.7.1. O contrasinal CIMC predeterminado é contrasinal e o contrasinal predeterminado da BIOS non é ningún contrasinal.
Para corrixir a brecha de seguranza, ten que configurar os contrasinais da BIOS e CIMC en ENCS 5400. Durante unha nova instalación de NFVIS 4.7.1, se os contrasinais da BIOS e CIMC non se cambiaron e aínda se teñen

Consideracións de seguridade 7

Configuración Exampficheiros para o restablecemento forzado dos contrasinais da BIOS e CIMC

Consideracións de seguridade

os contrasinais predeterminados, entón solicitarase que cambie os contrasinais da BIOS e CIMC. Se só un deles require o restablecemento, solicitarase que restableza o contrasinal só para ese compoñente. Cisco Catalyst 8200 UCPE require só o contrasinal da BIOS e, polo tanto, só se solicita o restablecemento do contrasinal da BIOS, se aínda non se estableceu.
Nota Se actualiza desde calquera versión anterior a NFVIS 4.7.1 ou versións posteriores, pode cambiar os contrasinais da BIOS e CIMC usando os comandos hostaction change-bios-password newpassword ou hostaction change-cimc-password newpassword.
Para obter máis información sobre os contrasinais da BIOS e CIMC, consulte BIOS e contrasinais CIMC.
Configuración Exampficheiros para o restablecemento forzado dos contrasinais da BIOS e CIMC
1. Cando instale NFVIS 4.7.1, primeiro debe restablecer o contrasinal de administrador predeterminado.
Software de infraestructura de virtualización de funcións de red de Cisco (NFVIS)
Versión de NFVIS: 99.99.0-1009
Copyright (c) 2015-2021 de Cisco Systems, Inc. Cisco, Cisco Systems e o logotipo de Cisco Systems son marcas comerciais rexistradas de Cisco Systems, Inc. e/ou das súas filiales nos EUA e nalgúns outros países.
Os dereitos de autor de determinadas obras contidas neste software son propiedade doutros terceiros e utilízanse e distribúense baixo acordos de licenza de terceiros. Algúns compoñentes deste software teñen licenza GNU GPL 2.0, GPL 3.0, LGPL 2.1, LGPL 3.0 e AGPL 3.0.
admin conectado desde 10.24.109.102 usando ssh en nfvis administrador rexistrado coas credenciais predeterminadas Por favor, proporcione un contrasinal que cumpra os seguintes criterios:
1.Polo menos un carácter en minúscula 2.Polo menos un carácter en maiúscula 3.Polo menos un número 4.Polo menos un carácter especial de # _ – * ? 5. A lonxitude debe ser de entre 7 e 128 caracteres. Restablece o contrasinal: volve introducir o contrasinal:
Restablecendo o contrasinal do administrador
2. Nas plataformas Cisco Catalyst 8200 UCPE e Cisco ENCS 5400 cando faga unha nova instalación de NFVIS 4.7.1 ou versións posteriores, debe cambiar os contrasinais predeterminados da BIOS e CIMC. Se os contrasinais da BIOS e CIMC non están configurados previamente, o sistema solicitará que restableza os contrasinais da BIOS e CIMC para Cisco ENCS 5400 e só o contrasinal da BIOS para Cisco Catalyst 8200 UCPE.
Establécese un novo contrasinal de administrador
Proporcione o contrasinal da BIOS que cumpra os seguintes criterios: 1. Polo menos un carácter en minúscula 2. Polo menos un carácter en maiúscula 3. Polo menos un número 4. Polo menos un carácter especial de #, @ ou _ 5. A lonxitude debe estar entre 8 e 20 caracteres 6. Non debe conter ningunha das seguintes cadeas (distingue entre maiúsculas e minúsculas): bios 7. O primeiro carácter non pode ser un #

Consideracións de seguridade 8

Consideracións de seguridade

Verifique os contrasinais da BIOS e CIMC

Restablece o contrasinal da BIOS : introduza de novo o contrasinal da BIOS : proporcione o contrasinal CIMC que cumpra os seguintes criterios:
1. Polo menos un carácter en minúscula 2. Polo menos un carácter en maiúscula 3. Polo menos un número 4. Polo menos un carácter especial de #, @ ou _ 5. A lonxitude debe estar entre 8 e 20 caracteres 6. Non debe conter ningún dos as seguintes cadeas (distingue entre maiúsculas e minúsculas): admin Restablece o contrasinal do CIMC : reintroduce o contrasinal do CIMC :

Verifique os contrasinais da BIOS e CIMC
Para verificar se os contrasinais da BIOS e CIMC se cambiaron correctamente, use o show log nfvis_config.log | incluír o BIOS ou mostrar o rexistro nfvis_config.log | inclúen comandos CIMC:

nfvis# mostrar o rexistro nfvis_config.log | inclúen BIOS

2021-11-16 15:24:40,102 INFO

[hostaction:/system/settings] [] Cambio de contrasinal da BIOS

ten éxito

Tamén pode descargar nfvis_config.log file e verifique se os contrasinais se restablecen correctamente.

Integración con servidores AAA externos
Os usuarios acceden a NFVIS mediante ssh ou o Web IU. En calquera caso, os usuarios deben estar autenticados. É dicir, un usuario debe presentar as credenciais do contrasinal para poder acceder.
Unha vez que un usuario está autenticado, todas as operacións realizadas por ese usuario deben ser autorizadas. É dicir, a determinados usuarios se lles permite realizar determinadas tarefas, mentres que a outros non. Isto chámase autorización.
Recoméndase que se implante un servidor AAA centralizado para aplicar a autenticación de inicio de sesión baseada en AAA por usuario para o acceso NFVIS. NFVIS admite os protocolos RADIUS e TACACS para mediar o acceso á rede. No servidor AAA, só deben concederse privilexios de acceso mínimos aos usuarios autenticados segundo os seus requisitos de acceso específicos. Isto reduce a exposición a incidentes de seguridade tanto maliciosos como non intencionados.
Para obter máis información sobre a autenticación externa, consulte Configurar RADIUS e Configurar un servidor TACACS+.

Caché de autenticación para o servidor de autenticación externo

Nome da característica

Información de lanzamento

Caché de autenticación para o servidor de autenticación externo NFVIS 4.5.1

Descrición
Esta función admite a autenticación TACACS mediante OTP no portal NFVIS.

O portal NFVIS usa o mesmo contrasinal único (OTP) para todas as chamadas de API despois da autenticación inicial. As chamadas API fallan en canto caduca a OTP. Esta función admite a autenticación TACACS OTP co portal NFVIS.
Despois de autenticarse correctamente a través do servidor TACACS mediante un OTP, NFVIS crea unha entrada hash usando o nome de usuario e o OTP e almacena este valor hash localmente. Este valor hash almacenado localmente ten

Consideracións de seguridade 9

Control de acceso baseado en roles

Consideracións de seguridade

un tempo de caducidade stamp asociado a ela. O tempo stamp ten o mesmo valor que o valor de tempo de espera de inactividade da sesión SSH, que é de 15 minutos. Todas as solicitudes de autenticación posteriores co mesmo nome de usuario autentícanse primeiro con este valor hash local. Se a autenticación falla co hash local, NFVIS autentica esta solicitude co servidor TACACS e crea unha nova entrada hash cando a autenticación sexa exitosa. Se xa existe unha entrada hash, é a hora de stamp restablece a 15 minutos.
Se é eliminado do servidor TACACS despois de iniciar sesión correctamente no portal, podes seguir usando o portal ata que caduque a entrada hash en NFVIS.
Cando pecha sesión explícitamente no portal de NFVIS ou se pecha debido ao tempo de inactividade, o portal chama a unha nova API para notificarlle ao back-end de NFVIS para que borre a entrada hash. A caché de autenticación e todas as súas entradas borraranse despois do reinicio de NFVIS, o restablecemento de fábrica ou a actualización.

Control de acceso baseado en roles

Limitar o acceso á rede é importante para as organizacións que teñen moitos empregados, empregan contratistas ou permiten o acceso a terceiros, como clientes e provedores. Neste escenario, é difícil supervisar o acceso á rede de forma eficaz. Pola contra, é mellor controlar o que é accesible, para protexer os datos sensibles e as aplicacións críticas.
O control de acceso baseado en roles (RBAC) é un método para restrinxir o acceso á rede en función dos roles dos usuarios individuais dentro dunha empresa. RBAC permite aos usuarios acceder só á información que necesitan e impide que accedan a información que non lles pertence.
O papel dun empregado na empresa debe utilizarse para determinar os permisos concedidos, a fin de garantir que os empregados con privilexios inferiores non poidan acceder a información confidencial nin realizar tarefas críticas.
Os seguintes roles de usuario e privilexios están definidos en NFVIS

Rol de usuario

Privilexio

Administradores

Pode configurar todas as funcións dispoñibles e realizar todas as tarefas, incluíndo o cambio de roles de usuario. O administrador non pode eliminar a infraestrutura básica que é fundamental para NFVIS. Non se pode cambiar o rol do usuario administrador; sempre son “administradores”.

Operadores

Pode iniciar e deter unha máquina virtual e view toda a información.

Auditores

Son os usuarios menos privilexiados. Teñen permiso de só lectura e, polo tanto, non poden modificar ningunha configuración.

Beneficios de RBAC
Hai unha serie de vantaxes ao usar RBAC para restrinxir o acceso á rede innecesario en función dos roles das persoas dentro dunha organización, incluíndo:
· Mellora da eficiencia operativa.
Ter roles predefinidos en RBAC fai que sexa doado incluír novos usuarios cos privilexios correctos ou cambiar os roles dos usuarios existentes. Tamén reduce o potencial de erro cando se asignan permisos de usuario.
· Mellorar o cumprimento.

Consideracións de seguridade 10

Consideracións de seguridade

Control de acceso baseado en roles

Toda organización debe cumprir as normativas locais, estatais e federais. En xeral, as empresas prefiren implementar sistemas RBAC para cumprir cos requisitos regulamentarios e estatutarios de confidencialidade e privacidade porque os executivos e os departamentos de TI poden xestionar de forma máis eficaz como se accede aos datos e se usan. Isto é especialmente importante para as institucións financeiras e as empresas sanitarias que xestionan datos confidenciais.
· Redución de custos. Ao non permitir o acceso dos usuarios a determinados procesos e aplicacións, as empresas poden conservar ou utilizar recursos como o ancho de banda da rede, a memoria e o almacenamento dun xeito rendible.
· Diminución do risco de violacións e fuga de datos. Implementar RBAC significa restrinxir o acceso á información sensible, reducindo así o potencial de violacións de datos ou fugas de datos.
Mellores prácticas para implementacións de control de acceso baseadas en roles · Como administrador, determine a lista de usuarios e asigne os usuarios aos roles predefinidos. Por example, o usuario "networkadmin" pódese crear e engadir ao grupo de usuarios "administradores".
configurar a autenticación de terminal rbac usuarios crear nome de usuario redadmin contrasinal Test1_pass rol administradores comprometer
Nota Os grupos de usuarios ou roles son creados polo sistema. Non pode crear nin modificar un grupo de usuarios. Para cambiar o contrasinal, use o comando rbac authentication users user change-password no modo de configuración global. Para cambiar o rol de usuario, use o comando rbac authentication users user change-role no modo de configuración global.
· Pechar contas dos usuarios que xa non precisan acceso.
configurar usuarios de autenticación de terminal rbac delete-user name test1
· Realizar auditorías periódicamente para avaliar os roles, os empregados que se lles asignan e o acceso que se permite para cada rol. Se se detecta que un usuario ten acceso innecesario a un determinado sistema, cambie a función do usuario.
Para obter máis información, consulte Usuarios, roles e autenticación
Control de acceso granular baseado en roles A partir de NFVIS 4.7.1, introdúcese a función de control de acceso granular baseado en roles. Esta función engade unha nova política de grupos de recursos que xestiona a máquina virtual e VNF e permítelle asignar usuarios a un grupo para controlar o acceso VNF durante a implantación de VNF. Para obter máis información, consulte Control de acceso granular baseado en roles.

Consideracións de seguridade 11

Restrinxir a accesibilidade do dispositivo

Consideracións de seguridade

Restrinxir a accesibilidade do dispositivo
Os usuarios foron sorprendidos repetidamente por ataques contra funcións que non protexían porque non sabían que esas funcións estaban habilitadas. Os servizos non utilizados adoitan quedar con configuracións predeterminadas que non sempre son seguras. Estes servizos tamén poden estar usando contrasinais predeterminados. Algúns servizos poden darlle a un atacante un fácil acceso á información sobre o que está a executar o servidor ou como está configurada a rede. As seguintes seccións describen como NFVIS evita tales riscos de seguridade:

Redución do vector de ataque
Calquera peza de software pode conter vulnerabilidades de seguridade. Máis software significa máis vías de ataque. Aínda que non existan vulnerabilidades publicamente coñecidas no momento da inclusión, probablemente se descubran ou se divulguen no futuro. Para evitar tales escenarios, só se instalan aqueles paquetes de software que son esenciais para a funcionalidade de NFVIS. Isto axuda a limitar as vulnerabilidades do software, reducir o consumo de recursos e reducir o traballo extra cando se atopan problemas con eses paquetes. Todo o software de terceiros incluído en NFVIS está rexistrado nunha base de datos central de Cisco para que Cisco poida realizar unha resposta organizada a nivel da empresa (xurídico, de seguridade, etc.). Os paquetes de software son parcheados periódicamente en cada versión para detectar vulnerabilidades e exposicións comúns (CVE) coñecidas.

Activando só os portos esenciais por defecto

Só están dispoñibles por defecto aqueles servizos que son absolutamente necesarios para configurar e xestionar NFVIS. Isto elimina o esforzo do usuario necesario para configurar cortalumes e denegar o acceso a servizos innecesarios. Os únicos servizos que están activados por defecto están listados a continuación xunto cos portos que abren.

Porto aberto

Servizo

Descrición

22/TCP

SSH

Secure Socket Shell para o acceso remoto de liña de comandos a NFVIS

80/TCP

HTTP

Protocolo de transferencia de hipertexto para o acceso ao portal NFVIS. Todo o tráfico HTTP recibido por NFVIS é redirixido ao porto 443 para HTTPS

443/TCP

HTTPS

Protocolo de transferencia de hipertexto seguro para o acceso seguro ao portal NFVIS

830/TCP

NETCONF-ssh

Porto aberto para o protocolo de configuración de rede (NETCONF) a través de SSH. NETCONF é un protocolo usado para a configuración automatizada de NFVIS e para recibir notificacións de eventos asíncronos de NFVIS.

161/UDP

SNMP

Protocolo simple de xestión de rede (SNMP). Usado por NFVIS para comunicarse con aplicacións de monitorización de redes remotas. Para obter máis información, consulte Introdución sobre SNMP

Consideracións de seguridade 12

Consideracións de seguridade

Restrinxir o acceso ás redes autorizadas para os servizos autorizados

Restrinxir o acceso ás redes autorizadas para os servizos autorizados

Só se debería permitir que os creadores autorizados intenten acceder á xestión do dispositivo e só se debería acceder aos servizos aos que estean autorizados. Pódese configurar NFVIS de forma que o acceso estea restrinxido a fontes coñecidas e fiables e ao tráfico de xestión esperadofiles. Isto reduce o risco de acceso non autorizado e a exposición a outros ataques, como ataques de forza bruta, dicionario ou DoS.
Para protexer as interfaces de xestión NFVIS do tráfico innecesario e potencialmente prexudicial, un usuario administrador pode crear listas de control de acceso (ACL) para o tráfico de rede que se recibe. Estas ACL especifican os enderezos IP/redes de orixe das que se orixina o tráfico e o tipo de tráfico que se permite ou rexeita desde estas fontes. Estes filtros de tráfico IP aplícanse a cada interface de xestión en NFVIS. Os seguintes parámetros están configurados nunha lista de control de acceso de recepción IP (ip-receive-acl)

Parámetro

Valor

Descrición

Rede de orixe/Máscara de rede

Rede/máscara de rede. Por example: 0.0.0.0/0
172.39.162.0/24

Este campo especifica o enderezo IP/rede da que se orixina o tráfico

Acción do servizo

https icmp netconf scpd snmp ssh aceptar rexeitamento de caída

Tipo de tráfico da fonte especificada.
Acción a realizar sobre o tráfico da rede de orixe. Con aceptar , concederanse novos intentos de conexión. Con rexeitar , non se aceptarán intentos de conexión. Se a regra é para un servizo baseado en TCP como HTTPS, NETCONF, SCP, SSH, a fonte recibirá un paquete de restablecemento TCP (RST). Para regras non TCP como SNMP e ICMP, o paquete eliminarase. Con drop, todos os paquetes eliminaranse inmediatamente, non hai información enviada á fonte.

Consideracións de seguridade 13

Acceso privilexiado de depuración

Consideracións de seguridade

Prioridade de parámetros

Valor Un valor numérico

Descrición
A prioridade úsase para facer cumprir unha orde sobre as regras. As regras cun valor numérico máis alto para a prioridade engadiranse máis abaixo na cadea. Se queres asegurarte de que se engadirá unha regra despois doutra, utiliza un número de prioridade baixa para a primeira e un número de prioridade maior para a seguinte.

Os seguintes sampAs configuracións do ficheiro ilustran algúns escenarios que se poden adaptar a casos de uso específicos.
Configuración da ACL de recepción IP
Canto máis restritiva sexa unha ACL, máis limitada será a exposición aos intentos de acceso non autorizados. Non obstante, unha ACL máis restritiva pode crear unha sobrecarga de xestión e pode afectar a accesibilidade para resolver problemas. En consecuencia, hai un equilibrio a considerar. Un compromiso é restrinxir o acceso só aos enderezos IP corporativos internos. Cada cliente debe avaliar a implementación das ACL en relación coa súa propia política de seguridade, riscos, exposición e aceptación dos mesmos.
Rexeitar o tráfico ssh dunha subrede:

nfvis(config)# configuración do sistema ip-receive-acl 171.70.63.0/24 servizo ssh acción rexeitar prioridade 1

Eliminando ACL:
Cando se elimina unha entrada de ip-receive-acl, elimínanse todas as configuracións desa fonte xa que o enderezo IP de orixe é a clave. Para eliminar só un servizo, configure outros servizos de novo.

nfvis(config)# sen configuración do sistema ip-receive-acl 171.70.63.0/24
Para obter máis detalles, consulte Configuración da ACL de recepción IP
Acceso privilexiado de depuración
A conta de superusuario en NFVIS está desactivada por defecto, para evitar todos os cambios sen restricións, potencialmente adversos, en todo o sistema e NFVIS non expón o shell do sistema ao usuario.
Non obstante, para algúns problemas difíciles de depurar no sistema NFVIS, o equipo do Centro de Asistencia Técnica de Cisco (TAC) ou o equipo de desenvolvemento poden requirir acceso de shell ao NFVIS do cliente. NFVIS ten unha infraestrutura de desbloqueo segura para garantir que o acceso privilexiado de depuración a un dispositivo no campo estea restrinxido aos empregados autorizados de Cisco. Para acceder de forma segura ao shell de Linux para este tipo de depuración interactiva, utilízase un mecanismo de autenticación de resposta de desafío entre NFVIS e o servidor de depuración interactivo mantido por Cisco. O contrasinal do usuario administrador tamén é necesario ademais da entrada de resposta de desafío para garantir que se acceda ao dispositivo co consentimento do cliente.
Pasos para acceder ao shell para a depuración interactiva:
1. Un usuario administrador inicia este procedemento mediante este comando oculto.

nfvis# acceso ao shell do sistema

Consideracións de seguridade 14

Consideracións de seguridade

Interfaces seguras

2. A pantalla mostrará unha cadea de desafío, por exemploampLe:
Cadena de desafío (copie todo entre as liñas do asterisco exclusivamente):
******************************************************************************** SPH//wkAAABORlZJU0VOQ1M1NDA4L0s5AQAAABt+dcx+hB0V06r9RkdMMjEzNTgw RlHq7BxeAAA= DONE. ********************************************************************************
3. O membro de Cisco introduce a cadea Challenge nun servidor de depuración interactivo mantido por Cisco. Este servidor verifica que o usuario de Cisco estea autorizado para depurar NFVIS usando o shell e, a continuación, devolve unha cadea de resposta.
4. Introduza a cadea de resposta na pantalla debaixo desta solicitude: Introduza a súa resposta cando estea listo:
5. Cando se lle solicite, o cliente debe introducir o contrasinal de administrador. 6. Ten acceso ao shell se o contrasinal é válido. 7. O equipo de desenvolvemento ou TAC usa o shell para continuar coa depuración. 8. Para saír do acceso ao shell, escriba Saír.
Interfaces seguras
O acceso á xestión de NFVIS permítese mediante as interfaces que se mostran no diagrama. As seguintes seccións describen as mellores prácticas de seguridade para estas interfaces para NFVIS.

Consola SSH

O porto da consola é un porto serie asíncrono que lle permite conectarse á CLI de NFVIS para a configuración inicial. Un usuario pode acceder á consola con acceso físico ao NFVIS ou acceso remoto mediante o uso dun servidor de terminal. Se é necesario o acceso ao porto de consola a través dun servidor de terminal, configure as listas de acceso no servidor de terminal para permitir o acceso só desde os enderezos de orixe necesarios.
Os usuarios poden acceder á CLI de NFVIS usando SSH como un medio seguro de inicio de sesión remoto. A integridade e confidencialidade do tráfico de xestión de NFVIS son esenciais para a seguridade da rede administrada xa que os protocolos de administración con frecuencia levan información que se pode usar para penetrar ou interromper a rede.

Consideracións de seguridade 15

Tempo de espera da sesión CLI

Consideracións de seguridade

NFVIS usa a versión 2 de SSH, que é o protocolo estándar de facto de Cisco e Internet para inicios de sesión interactivos e admite algoritmos de cifrado, hash e intercambio de claves fortes recomendados pola Organización de seguridade e confianza de Cisco.

Tempo de espera da sesión CLI
Ao iniciar sesión a través de SSH, un usuario establece unha sesión con NFVIS. Mentres o usuario está iniciado sesión, se o usuario deixa a sesión iniciada sen supervisión, isto pode expor a rede a un risco de seguridade. A seguridade das sesións limita o risco de ataques internos, como que un usuario intente utilizar a sesión doutro usuario.
Para mitigar este risco, NFVIS agota as sesións da CLI despois de 15 minutos de inactividade. Cando se alcanza o tempo de espera da sesión, o usuario pecha sesión automaticamente.

NETCONF

O protocolo de configuración de rede (NETCONF) é un protocolo de xestión de redes desenvolvido e estandarizado polo IETF para a configuración automatizada de dispositivos de rede.
O protocolo NETCONF usa unha codificación de datos baseada en XML (Extensible Markup Language) para os datos de configuración, así como para as mensaxes do protocolo. As mensaxes do protocolo intercámbianse enriba dun protocolo de transporte seguro.
NETCONF permite que NFVIS expoña unha API baseada en XML que o operador de rede pode usar para configurar e obter datos de configuración e notificacións de eventos de forma segura a través de SSH.
Para obter máis información, consulte Notificacións de eventos de NETCONF.

API REST

NFVIS pódese configurar mediante a API RESTful sobre HTTPS. A API REST permite aos sistemas solicitantes acceder e manipular a configuración de NFVIS mediante un conxunto uniforme e predefinido de operacións sen estado. Pódense atopar detalles sobre todas as API REST na guía de referencia da API de NFVIS.
Cando o usuario emite unha API REST, establécese unha sesión con NFVIS. Para limitar os riscos relacionados cos ataques de denegación de servizo, NFVIS limita o número total de sesións REST simultáneas a 100.

NFVIS Web Portal
O portal NFVIS é un webInterface gráfica de usuario baseada en que mostra información sobre NFVIS. O portal presenta ao usuario un medio sinxelo para configurar e supervisar NFVIS a través de HTTPS sen ter que coñecer a CLI e a API de NFVIS.

Xestión de sesións
A natureza sen estado de HTTP e HTTPS require un método de seguimento exclusivo dos usuarios mediante o uso de ID de sesión e cookies únicos.
NFVIS cifra a sesión do usuario. O cifrado AES-256-CBC úsase para cifrar o contido da sesión cunha autenticación HMAC-SHA-256 tag. Xérase un vector de inicialización aleatorio de 128 bits para cada operación de cifrado.
Iníciase un rexistro de auditoría cando se crea unha sesión do portal. A información da sesión elimínase cando o usuario pecha sesión ou cando a sesión esgota.
O tempo de espera predeterminado para as sesións do portal é de 15 minutos. Non obstante, pódese configurar para a sesión actual cun valor entre 5 e 60 minutos na páxina Configuración. Despois disto, iniciarase o peche automático

Consideracións de seguridade 16

Consideracións de seguridade

HTTPS

HTTPS

período. Non se permiten varias sesións nun só navegador. O número máximo de sesións simultáneas establécese en 30. O portal NFVIS utiliza cookies para asociar datos co usuario. Usa as seguintes propiedades de cookies para mellorar a seguridade:
· efémero para garantir que a cookie caduca cando se pecha o navegador · httpSó para facer que a cookie sexa inaccesible desde JavaScript · secureProxy para garantir que a cookie só se pode enviar a través de SSL.
Mesmo despois da autenticación, son posibles ataques como a falsificación de solicitudes entre sitios (CSRF). Neste escenario, un usuario final pode executar sen querer accións non desexadas nun web aplicación na que están actualmente autenticados. Para evitar isto, NFVIS usa tokens CSRF para validar cada API REST que se invoca durante cada sesión.
URL Redirección En típico web servidores, cando non se atopa unha páxina no web servidor, o usuario recibe unha mensaxe 404; para as páxinas que existen, obteñen unha páxina de inicio de sesión. O impacto na seguridade disto é que un atacante pode realizar unha exploración de forza bruta e detectar facilmente que páxinas e cartafoles existen. Para evitar isto en NFVIS, todo inexistente URLOs prefixos coa IP do dispositivo son redirixidos á páxina de inicio de sesión do portal cun código de resposta de estado 301. Isto significa que independentemente do URL solicitado por un atacante, sempre obterán a páxina de inicio de sesión para autenticarse. Todas as solicitudes do servidor HTTP son redirixidas a HTTPS e teñen as seguintes cabeceiras configuradas:
· X-Content-Type-Options · X-XSS-Protection · Content-Security-Policy · X-Frame-Options · Strict-Transport-Security · Cache-Control
Desactivación do portal O acceso ao portal NFVIS está activado por defecto. Se non está a planear usar o portal, recoméndase desactivar o acceso ao portal mediante este comando:
Configurar a confirmación desactivada do acceso ao portal do sistema terminal
Todos os datos HTTPS desde e para NFVIS usan Transport Layer Security (TLS) para comunicarse a través da rede. TLS é o sucesor de Secure Socket Layer (SSL).

Consideracións de seguridade 17

HTTPS

Consideracións de seguridade
O enlace de TLS implica a autenticación durante a cal o cliente verifica o certificado SSL do servidor coa autoridade de certificación que o emitiu. Isto confirma que o servidor é quen di que é e que o cliente está interactuando co propietario do dominio. Por defecto, NFVIS usa un certificado autoasinado para demostrar a súa identidade aos seus clientes. Este certificado ten unha clave pública de 2048 bits para aumentar a seguridade do cifrado TLS, xa que a forza do cifrado está directamente relacionada co tamaño da clave.
Xestión de certificados NFVIS xera un certificado SSL autoasinado cando se instala por primeira vez. É unha práctica recomendada de seguridade substituír este certificado por un certificado válido asinado por unha autoridade de certificación (CA) compatible. Use os seguintes pasos para substituír o certificado autoasinado predeterminado: 1. Xere unha solicitude de sinatura de certificado (CSR) en NFVIS.
Unha solicitude de sinatura de certificado (CSR) é a file cun bloque de texto codificado que se entrega a unha autoridade de certificación ao solicitar un certificado SSL. Isto file contén información que debe incluírse no certificado, como o nome da organización, o nome común (nome de dominio), a localidade e o país. O file tamén contén a clave pública que debe incluírse no certificado. NFVIS usa unha clave pública de 2048 bits xa que a forza do cifrado é maior cun tamaño de chave maior. Para xerar un CSR en NFVIS, execute o seguinte comando:
nfvis# solicitude de sinatura do certificado do sistema [common-name country-code locality organization organization-unit-name state] O CSR file gárdase como /data/intdatastore/download/nfvis.csr. . 2. Obtén un certificado SSL dunha CA mediante o CSR. Desde un host externo, use o comando scp para descargar a solicitude de sinatura de certificado.
[myhost:/tmp] > scp -P 22222 admin@ :/data/intdatastore/download/nfvis.csrfile-nome>
Póñase en contacto cunha autoridade de certificación para emitir un novo certificado de servidor SSL mediante este CSR. 3. Instale o certificado asinado da CA.
Desde un servidor externo, use o comando scp para cargar o certificado file en NFVIS ao data/intdatastore/uploads/ directorio.
[myhost:/tmp] > scp -P 22222 file> admin@ :/data/intdatastore/uploads
Instale o certificado en NFVIS usando o seguinte comando.
nfvis# ruta do certificado de instalación do certificado do sistema file:///data/intdatastore/uploads/<certificate file>
4. Cambie ao uso do certificado asinado da CA. Use o seguinte comando para comezar a usar o certificado asinado da CA en lugar do certificado autoasinado predeterminado.

Consideracións de seguridade 18

Consideracións de seguridade

Acceso SNMP

nfvis(config)# certificado do sistema use-cert cert-type ca-signed

Acceso SNMP

Simple Network Management Protocol (SNMP) é un protocolo estándar de Internet para recoller e organizar información sobre dispositivos xestionados en redes IP e para modificar esa información para cambiar o comportamento do dispositivo.
Desenvolvéronse tres versións significativas de SNMP. NFVIS admite a versión 1, a versión 2c e a versión 3 de SNMP. As versións 1 e 2 de SNMP usan cadeas comunitarias para a autenticación e envíanse en texto plano. Polo tanto, é unha boa práctica de seguridade usar SNMP v3 no seu lugar.
SNMPv3 proporciona acceso seguro aos dispositivos mediante tres aspectos: – usuarios, autenticación e cifrado. SNMPv3 usa o USM (módulo de seguridade baseado no usuario) para controlar o acceso á información dispoñible a través de SNMP. O usuario de SNMP v3 está configurado cun tipo de autenticación, un tipo de privacidade e unha frase de acceso. Todos os usuarios que comparten un grupo utilizan a mesma versión de SNMP, non obstante, a configuración específica do nivel de seguridade (contrasinal, tipo de cifrado, etc.) especifícase por usuario.
A seguinte táboa resume as opcións de seguranza dentro de SNMP

Modelo

Nivel

Autenticación

Cifrado

Resultado

v1

noAuthNoPriv

Cadena comunitaria núm

Usa unha comunidade

coincidencia de cadea para

autenticación.

v2c

noAuthNoPriv

Cadena comunitaria núm

Usa unha coincidencia de cadea de comunidade para a autenticación.

v3

noAuthNoPriv

Nome de usuario

Non

Usa un nome de usuario

partido para

autenticación.

v3

authNoPriv

Resumo de mensaxes 5 núm

Proporciona

(MD5)

baseado en autenticación

or

no HMAC-MD5-96 ou

Hash seguro

HMAC-SHA-96

Algoritmo (SHA)

algoritmos.

Consideracións de seguridade 19

Banners de avisos legais

Consideracións de seguridade

Modelo v3

Nivel authPriv

Autenticación MD5 ou SHA

Cifrado

Resultado

O cifrado de datos ofrece

Estándar (DES) ou baseado en autenticación

Avanzado

sobre o

Estándar de cifrado HMAC-MD5-96 ou

(AES)

HMAC-SHA-96

algoritmos.

Proporciona algoritmo de cifrado DES no modo de encadeamento de bloques de cifrado (CBC-DES)

or

Algoritmo de cifrado AES usado no modo Cipher FeedBack (CFB), cun tamaño de clave de 128 bits (CFB128-AES-128)

Desde a súa adopción polo NIST, AES converteuse no algoritmo de cifrado dominante en toda a industria. Para seguir a migración do sector fóra de MD5 e cara a SHA, é unha boa práctica de seguridade configurar o protocolo de autenticación SNMP v3 como SHA e o protocolo de privacidade como AES.
Para obter máis detalles sobre SNMP, consulte Introdución sobre SNMP

Banners de avisos legais
Recoméndase que estea presente un banner de notificación legal en todas as sesións interactivas para garantir que os usuarios sexan notificados da política de seguridade que se está a aplicar e á que están suxeitos. Nalgunhas xurisdicións, a persecución civil e/ou penal dun atacante que irrompe nun sistema é máis fácil, ou mesmo obrigatoria, se se presenta unha pancarta de notificación legal, informando aos usuarios non autorizados de que o seu uso é de feito non autorizado. Nalgunhas xurisdicións, tamén pode estar prohibido supervisar a actividade dun usuario non autorizado a menos que se lle notifique a intención de facelo.
Os requisitos de notificación legal son complexos e varían en cada xurisdición e situación. Mesmo dentro das xurisdicións, as opinións xurídicas varían. Comente este problema co seu propio asesor legal para asegurarse de que o banner de notificación cumpre os requisitos legais da empresa, locais e internacionais. Isto adoita ser fundamental para garantir a acción adecuada no caso de que se produza unha violación da seguridade. En colaboración co asesor xurídico da empresa, as declaracións que se poden incluír nun banner de notificación legal inclúen:
· Notificación de que o acceso e uso do sistema só está permitido por persoal específicamente autorizado, e quizais información sobre quen pode autorizar o uso.
· Notificación de que o acceso e o uso non autorizados do sistema son ilícitos, podendo estar suxeitos a sancións civís e/ou penais.
· Notificación de que o acceso e uso do sistema pode ser rexistrado ou supervisado sen previo aviso, e os rexistros resultantes poden ser utilizados como proba no xulgado.
· Avisos específicos adicionais requiridos polas leis locais específicas.

Consideracións de seguridade 20

Consideracións de seguridade

Restablecemento por defecto de fábrica

Desde un punto de seguridade máis que legal view, un banner de notificación legal non debe conter información específica sobre o dispositivo, como o seu nome, modelo, software, localización, operador ou propietario porque este tipo de información pode ser útil para un atacante.
O seguinte é comoampo banner de notificación legal que se pode mostrar antes de iniciar sesión:
O ACCESO NON AUTORIZADO A ESTE DISPOSITIVO ESTÁ PROHIBIDO Debes ter permiso explícito e autorizado para acceder ou configurar este dispositivo. Intentos e accións non autorizadas de acceso ou uso
este sistema pode dar lugar a sancións civís e/ou penais. Todas as actividades realizadas neste dispositivo son rexistradas e monitorizadas

Nota Presente un banner de notificación legal aprobado polo asesor xurídico da empresa.
NFVIS permite a configuración dun banner e Mensaxe do día (MOTD). O banner móstrase antes de que o usuario inicie sesión. Unha vez que o usuario inicie sesión en NFVIS, un banner definido polo sistema proporciona información de copyright sobre NFVIS e aparecerá a mensaxe do día (MOTD), se está configurada, seguida de a liña de comandos ou o portal view, dependendo do método de inicio de sesión.
Recoméndase que se implemente un banner de inicio de sesión para garantir que se presente un banner de notificación legal en todas as sesións de acceso á xestión do dispositivo antes de que se presente unha solicitude de inicio de sesión. Use este comando para configurar o banner e o MOTD.
nfvis(config)# banner-motd banner motd
Para obter máis información sobre o comando banner, consulte Configurar banner, Mensaxe do día e Hora do sistema.

Restablecemento por defecto de fábrica
O restablecemento de fábrica elimina todos os datos específicos do cliente que se engadiron ao dispositivo desde o momento do envío. Os datos borrados inclúen configuracións, rexistro files, imaxes de VM, información de conectividade e credenciais de inicio de sesión do usuario.
Ofrece un comando para restablecer o dispositivo á configuración orixinal de fábrica e é útil nos seguintes escenarios:
· Autorización de devolución de material (RMA) para un dispositivo: se ten que devolver un dispositivo a Cisco para RMA, use o restablecemento predeterminado de fábrica para eliminar todos os datos específicos do cliente.
· Recuperación dun dispositivo comprometido: se o material clave ou as credenciais almacenados nun dispositivo están comprometidos, restablece o dispositivo á configuración de fábrica e, a continuación, reconfigure o dispositivo.
· Se o mesmo dispositivo precisa ser reutilizado nun sitio diferente cunha configuración nova, realice un restablecemento por defecto de fábrica para eliminar a configuración existente e levala a un estado limpo.

NFVIS ofrece as seguintes opcións dentro do restablecemento predeterminado de fábrica:

Opción de restablecemento de fábrica

Datos borrados

Datos conservados

todos

Toda a configuración, imaxe cargada A conta de administrador consérvase e

files, máquinas virtuales e rexistros.

o contrasinal cambiarase a

A conectividade co dispositivo será o contrasinal predeterminado de fábrica.

perdido.

Consideracións de seguridade 21

Rede de Xestión de Infraestruturas

Consideracións de seguridade

Opción de restablecemento de fábrica, excepto as imaxes
todo-excepto-imaxes-conectividade
fabricación

Datos borrados

Datos conservados

Toda a configuración excepto a imaxe Configuración da imaxe, rexistrada

configuración, máquinas virtuales e imaxes e rexistros cargados

imaxe files.

Consérvase a conta de administrador e

A conectividade co dispositivo será o contrasinal cambiarase ao

perdido.

contrasinal predeterminado de fábrica.

Toda a configuración excepto imaxe, imaxes, rede e conectividade

rede e conectividade

configuración relacionada, rexistrada

configuración, máquinas virtuales e imaxes cargadas e rexistros.

imaxe files.

Consérvase a conta de administrador e

A conectividade co dispositivo é

o administrador previamente configurado

dispoñible.

conservarase o contrasinal.

Toda a configuración excepto a configuración da imaxe, máquinas virtuales e imaxe cargada files, e rexistros.
Perderase a conectividade co dispositivo.

Configuración relacionada coa imaxe e imaxes rexistradas
A conta de administrador mantense e o contrasinal cambiarase ao contrasinal predeterminado de fábrica.

O usuario debe escoller coidadosamente a opción adecuada en función do propósito do restablecemento por defecto de fábrica. Para obter máis información, consulte Restablecer os valores predeterminados de fábrica.

Rede de Xestión de Infraestruturas
Unha rede de xestión de infraestrutura refírese á rede que transporta o tráfico do plano de control e xestión (como NTP, SSH, SNMP, syslog, etc.) para os dispositivos de infraestrutura. O acceso ao dispositivo pode realizarse a través da consola, así como a través das interfaces Ethernet. Este tráfico do plano de control e xestión é fundamental para as operacións da rede, xa que proporciona visibilidade e control sobre a rede. En consecuencia, unha rede de xestión de infraestruturas ben deseñada e segura é fundamental para a seguridade e as operacións xerais dunha rede. Unha das recomendacións fundamentais para unha rede segura de xestión de infraestruturas é a separación da xestión e do tráfico de datos para garantir a xestión remota incluso en condicións de alta carga e alto tráfico. Isto pódese conseguir mediante unha interface de xestión dedicada.
Os seguintes son os enfoques de implantación da rede de xestión de infraestruturas:
Xestión fóra de banda
Unha rede de xestión de xestión fóra de banda (OOB) consiste nunha rede completamente independente e físicamente diferente da rede de datos que axuda a xestionar. Ás veces tamén se denomina rede de comunicación de datos (DCN). Os dispositivos de rede poden conectarse á rede OOB de diferentes xeitos: NFVIS admite unha interface de xestión integrada que se pode usar para conectarse á rede OOB. NFVIS permite a configuración dunha interface física predefinida, o porto MGMT no ENCS, como interface de xestión dedicada. A restrición dos paquetes de xestión ás interfaces designadas proporciona un maior control sobre a xestión dun dispositivo, proporcionando así máis seguridade para ese dispositivo. Outros beneficios inclúen un rendemento mellorado para paquetes de datos en interfaces que non son de xestión, compatibilidade coa escalabilidade da rede,

Consideracións de seguridade 22

Consideracións de seguridade

Pseudo Xestión fóra de banda

necesidade de menos listas de control de acceso (ACL) para restrinxir o acceso a un dispositivo e evitar que as inundacións de paquetes de xestión cheguen á CPU. Os dispositivos de rede tamén poden conectarse á rede OOB mediante interfaces de datos dedicadas. Neste caso, as ACL deberían despregarse para garantir que o tráfico de xestión só sexa xestionado polas interfaces dedicadas. Para obter máis información, consulte Configuración da ACL de recepción IP e do porto 22222 e da ACL da interface de xestión.
Pseudo Xestión fóra de banda
Unha rede de xestión pseudo-out-of-band usa a mesma infraestrutura física que a rede de datos pero proporciona separación lóxica mediante a separación virtual do tráfico mediante VLAN. NFVIS admite a creación de VLAN e pontes virtuais para axudar a identificar diferentes fontes de tráfico e separar o tráfico entre máquinas virtuales. Ter pontes e VLAN separadas illa o tráfico de datos da rede de máquinas virtuais e a rede de xestión, proporcionando así a segmentación do tráfico entre as máquinas virtuales e o host. Para obter máis información, consulte Configuración de VLAN para o tráfico de xestión de NFVIS.
Xestión en banda
Unha rede de xestión en banda utiliza as mesmas rutas físicas e lóxicas que o tráfico de datos. En definitiva, este deseño de rede require unha análise por cliente do risco fronte aos beneficios e custos. Algunhas consideracións xerais inclúen:
· Unha rede de xestión de OOB illada maximiza a visibilidade e o control sobre a rede mesmo durante eventos perturbadores.
· A transmisión de telemetría de rede a través dunha rede OOB minimiza a posibilidade de interrupción da mesma información que proporciona visibilidade crítica da rede.
· O acceso de xestión en banda á infraestrutura de rede, hosts, etc. é vulnerable á perda total en caso de incidente na rede, eliminando toda a visibilidade e control da rede. Deben poñerse en marcha controis de QoS adecuados para mitigar esta incidencia.
· NFVIS presenta interfaces dedicadas á xestión de dispositivos, incluíndo portos de consola serie e interfaces de xestión Ethernet.
· Unha rede de xestión OOB normalmente pódese implantar a un custo razoable, xa que o tráfico da rede de xestión non adoita demandar un ancho de banda elevado nin dispositivos de alto rendemento, e só require unha densidade de portos suficiente para soportar a conectividade a cada dispositivo de infraestrutura.
Protección da información almacenada localmente
Protección da información sensible
NFVIS almacena algunha información sensible localmente, incluíndo contrasinais e segredos. Os contrasinais xeralmente deberían manterse e controlarse por un servidor AAA centralizado. Non obstante, aínda que se implante un servidor AAA centralizado, algúns contrasinais almacenados localmente son necesarios para certos casos, como unha alternativa local no caso de que os servidores AAA non estean dispoñibles, nomes de usuario de uso especial, etc. Estes contrasinais locais e outros contrasinais confidenciais.

Consideracións de seguridade 23

File Transferencia

Consideracións de seguridade

a información almacénase en NFVIS como hash para que non sexa posible recuperar as credenciais orixinais do sistema. O hashing é unha norma da industria moi aceptada.

File Transferencia
FileOs que poden ter que ser transferidos a dispositivos NFVIS inclúen imaxe de VM e actualización de NFVIS files. A transferencia segura de files é fundamental para a seguridade da infraestrutura de rede. NFVIS admite Secure Copy (SCP) para garantir a seguridade file Transferir. SCP confía en SSH para a autenticación e o transporte seguros, permitindo a copia segura e autenticada de files.
Iníciase unha copia segura de NFVIS mediante o comando scp. O comando de copia segura (scp) só permite ao usuario administrador copiar de forma segura files de NFVIS a un sistema externo ou dun sistema externo a NFVIS.
A sintaxe para o comando scp é:
scp
Usamos o porto 22222 para o servidor NFVIS SCP. Por defecto, este porto está pechado e os usuarios non poden protexer a copia files en NFVIS desde un cliente externo. Se hai necesidade de SCP a file desde un cliente externo, o usuario pode abrir o porto usando:
configuración do sistema ip-receive-acl (enderezo)/(longitude da máscara) servizo scpd prioridad (número) acción aceptar
comprometerse
Para evitar que os usuarios accedan aos directorios do sistema, só se pode realizar a copia segura desde intdatastore:, extdatastore1:, extdatastore2:, usb: e nfs:, se está dispoñible. A copia segura tamén se pode realizar desde rexistros: e soporte técnico:

Rexistro

Os cambios de acceso e configuración de NFVIS rexístranse como rexistros de auditoría para rexistrar a seguinte información: · Quen accedeu ao dispositivo · Cando iniciou sesión un usuario · Que fixo un usuario en canto á configuración do host e ao ciclo de vida da máquina virtual · Cando rexistrou un usuario. off · Intentos de acceso errados · Solicitudes de autenticación erradas · Solicitudes de autorización erradas
Esta información é inestimable para a análise forense en caso de intentos ou accesos non autorizados, así como para problemas de cambio de configuración e para axudar a planificar cambios na administración do grupo. Tamén se pode utilizar en tempo real para identificar actividades anómalas que poden indicar que se está a producir un ataque. Esta análise pódese correlacionar con información de fontes externas adicionais, como IDS e rexistros de firewall.

Consideracións de seguridade 24

Consideracións de seguridade

Seguridade da máquina virtual

Todos os eventos clave no NFVIS envíanse como notificacións de eventos aos subscritores de NETCONF e como syslog aos servidores de rexistro centrais configurados. Para obter máis información sobre mensaxes de syslog e notificacións de eventos, consulte o Apéndice.
Seguridade da máquina virtual
Esta sección describe as funcións de seguridade relacionadas co rexistro, implantación e operación de máquinas virtuais en NFVIS.
Arranque seguro VNF
NFVIS admite Open Virtual Machine Firmware (OVMF) para habilitar o arranque seguro UEFI para máquinas virtuais que admitan o arranque seguro. O arranque seguro de VNF verifica que cada capa do software de inicio de VM estea asinada, incluído o cargador de arranque, o núcleo do sistema operativo e os controladores do sistema operativo.

Para obter máis información, consulte, Secure Boot of VNFs.
Protección de acceso a consola VNC
NFVIS permite ao usuario crear unha sesión de Virtual Network Computing (VNC) para acceder ao escritorio remoto dunha máquina virtual implantada. Para activalo, NFVIS abre de forma dinámica un porto ao que o usuario pode conectarse usando o seu web navegador. Este porto só se deixa aberto durante 60 segundos para que un servidor externo inicie unha sesión na máquina virtual. Se non se observa ningunha actividade neste tempo, o porto está pechado. O número de porto asígnase de forma dinámica e, polo tanto, só permite un acceso único á consola VNC.
nfvis# nome-implementación de inicio de vncconsole 1510614035 nome-vm ROUTER vncconsole-url :6005/vnc_auto.html
Apuntando o teu navegador a https:// :6005/vnc_auto.html conectarase á consola VNC do ROUTER VM.
Consideracións de seguridade 25

Variables de datos de configuración de VM cifradas

Consideracións de seguridade

Variables de datos de configuración de VM cifradas
Durante a implementación da máquina virtual, o usuario proporciona unha configuración de día 0 file para a VM. Isto file pode conter información confidencial como contrasinais e claves. Se esta información se pasa como texto claro, aparecerá no rexistro files e rexistros internos da base de datos en texto claro. Esta función permítelle ao usuario marcar unha variable de datos de configuración como sensible para que o seu valor estea cifrado mediante o cifrado AES-CFB-128 antes de almacenalo ou pasar a subsistemas internos.
Para obter máis información, consulte Parámetros de implementación de VM.
Verificación da suma de verificación para o rexistro de imaxes remotas
Para rexistrar unha imaxe VNF localizada remotamente, o usuario especifica a súa localización. A imaxe terá que descargarse desde unha fonte externa, como un servidor NFS ou un servidor HTTPS remoto.
Para saber se está descargado file é seguro de instalar, é esencial comparar filesuma de comprobación de antes de usalo. A verificación da suma de verificación axuda a garantir que o file non foi corrompido durante a transmisión da rede, nin modificado por un terceiro malintencionado antes de descargalo.
NFVIS admite as opcións de checksum e checksum_algorithm para que o usuario proporcione a suma de verificación e o algoritmo de checksum esperado (SHA256 ou SHA512) que se utilizarán para verificar a suma de verificación da imaxe descargada. A creación da imaxe falla se a suma de verificación non coincide.
Validación da certificación para o rexistro remoto de imaxes
Para rexistrar unha imaxe VNF situada nun servidor HTTPS, a imaxe terá que ser descargada do servidor HTTPS remoto. Para descargar esta imaxe de forma segura, NFVIS verifica o certificado SSL do servidor. O usuario debe especificar o camiño ao certificado file ou o contido do certificado en formato PEM para habilitar esta descarga segura.
Pódense atopar máis detalles na Sección de validación do certificado para o rexistro da imaxe
Illamento de VM e aprovisionamento de recursos
A arquitectura de virtualización de funcións de rede (NFV) consta de:
· Funcións de rede virtualizadas (VNF), que son máquinas virtuais que executan aplicacións de software que ofrecen funcionalidades de rede como un enrutador, un firewall, un equilibrador de carga, etc.
· Infraestrutura de virtualización de funcións de rede, que consta dos compoñentes da infraestrutura: computación, memoria, almacenamento e rede, nunha plataforma que admita o software e o hipervisor necesarios.
Con NFV, as funcións de rede virtualízanse para que se poidan executar varias funcións nun único servidor. Como resultado, é necesario menos hardware físico, o que permite a consolidación de recursos. Neste entorno, é esencial simular recursos dedicados para múltiples VNF desde un único sistema de hardware físico. Usando NFVIS, as máquinas virtuales pódense implantar de forma controlada de forma que cada máquina virtual reciba os recursos que necesita. Os recursos divídense segundo sexa necesario dende o ambiente físico ata os moitos ambientes virtuais. Os dominios individuais de VM están illados polo que son ambientes separados, distintos e seguros, que non se enfrontan entre si polos recursos compartidos.
As máquinas virtuales non poden usar máis recursos dos que se aprovisionaron. Isto evita unha condición de denegación de servizo dunha máquina virtual que consume os recursos. Como resultado, a CPU, a memoria, a rede e o almacenamento están protexidos.

Consideracións de seguridade 26

Consideracións de seguridade
Illamento da CPU

Illamento da CPU

O sistema NFVIS reserva núcleos para o software de infraestrutura que se executa no host. O resto dos núcleos están dispoñibles para a implantación de VM. Isto garante que o rendemento da máquina virtual non afecta ao rendemento do servidor NFVIS. Máquinas virtuales de baixa latencia NFVIS asigna explícitamente núcleos dedicados ás máquinas virtuales de baixa latencia que se despregan nel. Se a máquina virtual require 2 vCPU, asígnaselle 2 núcleos dedicados. Isto evita o uso compartido e a subscrición excesiva de núcleos e garante o rendemento das máquinas virtuales de baixa latencia. Se o número de núcleos dispoñibles é inferior ao número de vCPU solicitado por outra máquina virtual de baixa latencia, impídese a implantación xa que non dispoñemos de recursos suficientes. Máquinas virtuales sen baixa latencia NFVIS asigna CPUs compartibles a máquinas virtuales sen baixa latencia. Se a máquina virtual require 2 vCPU, asígnaselle 2 CPU. Estas 2 CPU son compartibles entre outras máquinas virtuales sen baixa latencia. Se o número de CPU dispoñibles é inferior ao número de vCPU solicitado por outra máquina virtual sen baixa latencia, a implantación aínda está permitida porque esta máquina virtual compartirá a CPU coas máquinas virtuales existentes sen baixa latencia.
Asignación de memoria
A infraestrutura NFVIS require unha certa cantidade de memoria. Cando se desprega unha máquina virtual, hai unha comprobación para asegurarse de que a memoria dispoñible despois de reservar a memoria necesaria para a infraestrutura e as máquinas virtuales implantadas anteriormente é suficiente para a nova máquina virtual. Non permitimos a subscrición excesiva de memoria para as máquinas virtuales.
Consideracións de seguridade 27

Illamento de almacenamento
As máquinas virtuales non teñen permiso para acceder directamente ao host file sistema e almacenamento.
Illamento de almacenamento

Consideracións de seguridade

A plataforma ENCS admite un almacén de datos interno (SSD M2) e discos externos. NFVIS está instalado no almacén de datos interno. Tamén se poden implementar VNF neste almacén de datos interno. É unha boa práctica de seguridade almacenar os datos dos clientes e implementar máquinas virtuais de aplicacións de clientes nos discos externos. Ter discos fisicamente separados para o sistema files vs a aplicación files axuda a protexer os datos do sistema de problemas de corrupción e seguridade.
·
Illamento da interface
A virtualización de E/S de raíz única ou SR-IOV é unha especificación que permite o illamento de recursos PCI Express (PCIe) como un porto Ethernet. Usando SR-IOV pódese facer que un único porto Ethernet apareza como varios dispositivos físicos separados coñecidos como funcións virtuais. Todos os dispositivos VF dese adaptador comparten o mesmo porto de rede física. Un convidado pode usar unha ou máis destas funcións virtuais. Unha función virtual aparece para o convidado como unha tarxeta de rede, do mesmo xeito que unha tarxeta de rede normal aparecería para un sistema operativo. As funcións virtuais teñen un rendemento case nativo e ofrecen un mellor rendemento que os controladores paravirtualizados e o acceso emulado. As funcións virtuais proporcionan protección de datos entre hóspedes no mesmo servidor físico xa que os datos son xestionados e controlados polo hardware. Os VNF de NFVIS poden usar redes SR-IOV para conectarse a portos de backplane WAN e LAN.
Consideracións de seguridade 28

Consideracións de seguridade

Ciclo de vida de desenvolvemento seguro

Cada unha destas máquinas virtuales posúe unha interface virtual e os seus recursos relacionados para conseguir a protección de datos entre as máquinas virtuales.
Ciclo de vida de desenvolvemento seguro
NFVIS segue un ciclo de vida de desenvolvemento seguro (SDL) para o software. Este é un proceso medible e repetible deseñado para reducir as vulnerabilidades e mellorar a seguridade e a resistencia das solucións de Cisco. Cisco SDL aplica prácticas e tecnoloxía líderes no sector para crear solucións fiables que teñan menos incidentes de seguridade de produtos descubertos no campo. Cada versión de NFVIS pasa polos seguintes procesos.
· Seguindo os requisitos de seguridade do produto internos e baseados no mercado de Cisco. · Rexistrar software de terceiros cun repositorio central de Cisco para o seguimento de vulnerabilidades. · Parchear periodicamente o software con correccións coñecidas para CVE. · Deseño de software tendo en conta a seguridade · Seguir prácticas de codificación seguras, como o uso de módulos de seguridade comúns revisados ​​como CiscoSSL, a execución
Análise estática e implementación da validación de entrada para Prevención da inxección de comandos, etc. · Usando ferramentas de seguridade de aplicacións como IBM AppScan, Nessus e outras ferramentas internas de Cisco.

Consideracións de seguridade 29

Ciclo de vida de desenvolvemento seguro

Consideracións de seguridade

Consideracións de seguridade 30

Documentos/Recursos

Software de infraestrutura de virtualización de funcións de rede empresarial CISCO [pdfGuía do usuario Software de infraestrutura de virtualización da función de rede empresarial, Software de infraestrutura de virtualización da función de rede, Software de infraestrutura de virtualización, Software de infraestrutura

Referencias

• Manual de usuario