સામગ્રી છુપાવો
1 એન્ટરપ્રાઇઝ નેટવર્ક ફંક્શન વર્ચ્યુઅલાઈઝેશન ઈન્ફ્રાસ્ટ્રક્ચર સોફ્ટવેર
2 ઉત્પાદન માહિતી
2.1 વિશિષ્ટતાઓ
2.2 સુરક્ષા વિચારણાઓ
2.3 સ્થાપન
2.4 સુરક્ષિત બુટ
2.5 સુરક્ષિત અનન્ય ઉપકરણ ઓળખ (SUDI)
2.6 FAQ
2.6.1 પ્ર: NFVIS શું છે?
2.6.2 પ્ર: હું NFVIS ISO ઇમેજ અથવા અપગ્રેડ ઇમેજની અખંડિતતાને કેવી રીતે ચકાસી શકું?
2.6.3 પ્ર: શું ENCS પર ડિફૉલ્ટ રૂપે સુરક્ષિત બૂટ સક્ષમ છે?
2.6.4 પ્ર: NFVIS માં SUDI નો હેતુ શું છે?
2.6.5 દસ્તાવેજો / સંસાધનો
2.6.5.1 સંદર્ભો
2.6.6 સંબંધિત પોસ્ટ્સ

એન્ટરપ્રાઇઝ નેટવર્ક ફંક્શન વર્ચ્યુઅલાઈઝેશન ઈન્ફ્રાસ્ટ્રક્ચર સોફ્ટવેર

ઉત્પાદન માહિતી

વિશિષ્ટતાઓ

  • NFVIS સોફ્ટવેર સંસ્કરણ: 3.7.1 અને પછીનું
  • RPM હસ્તાક્ષર અને સહી ચકાસણી સપોર્ટેડ છે
  • સુરક્ષિત બૂટ ઉપલબ્ધ (ડિફૉલ્ટ રૂપે અક્ષમ)
  • સિક્યોર યુનિક ડિવાઈસ આઈડેન્ટિફિકેશન (SUDI) મિકેનિઝમ વપરાય છે

સુરક્ષા વિચારણાઓ

NFVIS સોફ્ટવેર વિવિધ મારફતે સુરક્ષા સુનિશ્ચિત કરે છે
મિકેનિઝમ્સ:

  • છબી ટીamper રક્ષણ: RPM સહી અને સહી ચકાસણી
    બધા RPM પેકેજો માટે ISO અને અપગ્રેડ ઈમેજો.
  • RPM હસ્તાક્ષર: સિસ્કો એન્ટરપ્રાઇઝ NFVIS ISO માં બધા RPM પેકેજો
    અને અપગ્રેડ ઈમેજો ક્રિપ્ટોગ્રાફિક અખંડિતતાને સુનિશ્ચિત કરવા માટે સહી કરેલ છે અને
    અધિકૃતતા
  • RPM સહી ચકાસણી: બધા RPM પેકેજોની સહી છે
    ઇન્સ્ટોલેશન અથવા અપગ્રેડ પહેલાં ચકાસાયેલ.
  • ઇમેજ ઇન્ટિગ્રિટી વેરિફિકેશન: સિસ્કો NFVIS ISO ઇમેજનું હેશ
    અને વધારાની અખંડિતતાની ખાતરી કરવા માટે અપગ્રેડ ઇમેજ પ્રકાશિત કરવામાં આવી છે
    બિન-RPM files.
  • ENCS સિક્યોર બૂટ: UEFI સ્ટાન્ડર્ડનો ભાગ, ખાતરી કરે છે કે
    ઉપકરણ ફક્ત વિશ્વસનીય સોફ્ટવેરનો ઉપયોગ કરીને બુટ કરે છે.
  • સુરક્ષિત અનન્ય ઉપકરણ ઓળખ (SUDI): ઉપકરણ પ્રદાન કરે છે
    તેની અસલિયત ચકાસવા માટે અપરિવર્તનશીલ ઓળખ સાથે.

સ્થાપન

NFVIS સૉફ્ટવેર ઇન્સ્ટોલ કરવા માટે, આ પગલાં અનુસરો:

  1. ખાતરી કરો કે સોફ્ટવેર ઈમેજ ટી નથીampદ્વારા ered
    તેના હસ્તાક્ષર અને અખંડિતતાની ચકાસણી.
  2. જો Cisco Enterprise NFVIS 3.7.1 અને પછીના સંસ્કરણનો ઉપયોગ કરી રહ્યાં હોય, તો તેની ખાતરી કરો
    સ્થાપન દરમ્યાન સહી ચકાસણી પસાર થાય છે. જો તે નિષ્ફળ જાય,
    સ્થાપન બંધ કરવામાં આવશે.
  3. જો સિસ્કો એન્ટરપ્રાઇઝ NFVIS 3.6.x થી રીલીઝમાં અપગ્રેડ કરી રહ્યા હોય
    3.7.1, RPM હસ્તાક્ષરો અપગ્રેડ દરમિયાન ચકાસવામાં આવે છે. જો
    હસ્તાક્ષર ચકાસણી નિષ્ફળ જાય છે, એક ભૂલ લોગ થયેલ છે પરંતુ અપગ્રેડ છે
    પૂર્ણ
  4. જો પ્રકાશન 3.7.1 થી પછીના પ્રકાશનમાં સુધારો કરી રહ્યા હોય, તો RPM
    જ્યારે અપગ્રેડ ઈમેજ રજીસ્ટર થાય ત્યારે સહીઓ ચકાસવામાં આવે છે. જો
    હસ્તાક્ષર ચકાસણી નિષ્ફળ જાય છે, અપગ્રેડ રદ કરવામાં આવે છે.
  5. Cisco NFVIS ISO ઇમેજ અથવા અપગ્રેડ ઇમેજના હેશને ચકાસો
    આદેશનો ઉપયોગ કરીને: /usr/bin/sha512sum
    <image_filepath>    . પ્રકાશિત સાથે હેશની સરખામણી કરો
    અખંડિતતા સુનિશ્ચિત કરવા માટે હેશ.

સુરક્ષિત બુટ

સિક્યોર બૂટ એ ENCS પર ઉપલબ્ધ સુવિધા છે (ડિફૉલ્ટ રૂપે અક્ષમ)
જે ખાતરી કરે છે કે ઉપકરણ માત્ર વિશ્વસનીય સોફ્ટવેરનો ઉપયોગ કરીને બુટ થાય છે. પ્રતિ
સુરક્ષિત બુટ સક્ષમ કરો:

  1. વધુ માટે સિક્યોર બૂટ ઑફ હોસ્ટ પરના દસ્તાવેજોનો સંદર્ભ લો
    માહિતી
  2. તમારા પર સુરક્ષિત બુટ સક્ષમ કરવા માટે આપેલ સૂચનાઓને અનુસરો
    ઉપકરણ

સુરક્ષિત અનન્ય ઉપકરણ ઓળખ (SUDI)

SUDI NFVIS ને એક અપરિવર્તનશીલ ઓળખ પ્રદાન કરે છે, તે ચકાસીને
તે એક અસલી સિસ્કો પ્રોડક્ટ છે અને તેની ઓળખ સુનિશ્ચિત કરે છે
ગ્રાહકની ઇન્વેન્ટરી સિસ્ટમ.

FAQ

પ્ર: NFVIS શું છે?

A: NFVIS એટલે નેટવર્ક ફંક્શન વર્ચ્યુઅલાઈઝેશન
ઈન્ફ્રાસ્ટ્રક્ચર સોફ્ટવેર. તે એક સોફ્ટવેર પ્લેટફોર્મ છે જેનો ઉપયોગ તૈનાત કરવા માટે થાય છે
અને વર્ચ્યુઅલ નેટવર્ક કાર્યોનું સંચાલન કરો.

પ્ર: હું NFVIS ISO ઇમેજની અખંડિતતાને કેવી રીતે ચકાસી શકું અથવા
છબી અપગ્રેડ કરો?

A: અખંડિતતા ચકાસવા માટે, આદેશનો ઉપયોગ કરો
/usr/bin/sha512sum <image_filepath> અને સરખામણી કરો
સિસ્કો દ્વારા પ્રદાન કરાયેલ પ્રકાશિત હેશ સાથે હેશ.

પ્ર: શું ENCS પર ડિફૉલ્ટ રૂપે સુરક્ષિત બૂટ સક્ષમ છે?

A: ના, સુરક્ષિત બુટ ENCS પર મૂળભૂત રીતે અક્ષમ છે. તે છે
ઉન્નત સુરક્ષા માટે સુરક્ષિત બુટને સક્ષમ કરવા ભલામણ કરેલ.

પ્ર: NFVIS માં SUDI નો હેતુ શું છે?

A: SUDI NFVIS ને અનન્ય અને અપરિવર્તનશીલ ઓળખ પ્રદાન કરે છે,
સિસ્કો પ્રોડક્ટ તરીકે તેની અસલિયતની ખાતરી કરવી અને તેની સગવડ કરવી
ગ્રાહકની ઇન્વેન્ટરી સિસ્ટમમાં માન્યતા.

View Fullscreen

સુરક્ષા વિચારણાઓ
આ પ્રકરણ NFVIS માં સુરક્ષા લક્ષણો અને વિચારણાઓનું વર્ણન કરે છે. તે ઉચ્ચ સ્તરીય ઓવર આપે છેview તમારા માટે વિશિષ્ટ જમાવટ માટે સુરક્ષા વ્યૂહરચના બનાવવા માટે NFVIS માં સુરક્ષા સંબંધિત ઘટકો. તે નેટવર્ક સુરક્ષાના મુખ્ય ઘટકોને લાગુ કરવા માટે સુરક્ષા શ્રેષ્ઠ પ્રયાસો પર ભલામણો પણ ધરાવે છે. NFVIS સોફ્ટવેરમાં તમામ સોફ્ટવેર સ્તરો દ્વારા ઇન્સ્ટોલેશનથી જ સુરક્ષા એમ્બેડેડ છે. અનુગામી પ્રકરણો આ આઉટ-ઓફ-ધ-બોક્સ સુરક્ષા પાસાઓ પર ધ્યાન કેન્દ્રિત કરે છે જેમ કે ઓળખપત્ર વ્યવસ્થાપન, અખંડિતતા અને ટી.amper રક્ષણ, સત્ર સંચાલન, સુરક્ષિત ઉપકરણ ઍક્સેસ અને વધુ.

· ઇન્સ્ટોલેશન, પૃષ્ઠ 2 પર · સુરક્ષિત અનન્ય ઉપકરણ ઓળખ, પૃષ્ઠ 3 પર · ઉપકરણ ઍક્સેસ, પૃષ્ઠ 4 પર

સુરક્ષા વિચારણાઓ 1

સ્થાપન

સુરક્ષા વિચારણાઓ

· ઇન્ફ્રાસ્ટ્રક્ચર મેનેજમેન્ટ નેટવર્ક, પૃષ્ઠ 22 પર · સ્થાનિક રીતે સંગ્રહિત માહિતી સંરક્ષણ, પૃષ્ઠ 23 પર · File ટ્રાન્સફર, પૃષ્ઠ 24 પર · લોગીંગ, પૃષ્ઠ 24 પર · વર્ચ્યુઅલ મશીન સુરક્ષા, પૃષ્ઠ 25 પર · VM આઇસોલેશન અને સંસાધન જોગવાઈ, પૃષ્ઠ 26 પર · સુરક્ષિત વિકાસ જીવનચક્ર, પૃષ્ઠ 29 પર

સ્થાપન
તેની ખાતરી કરવા માટે કે NFVIS સોફ્ટવેર ટીampસાથે ered, નીચેની મિકેનિઝમ્સનો ઉપયોગ કરીને ઇન્સ્ટોલેશન પહેલાં સોફ્ટવેર ઈમેજ ચકાસવામાં આવે છે:

છબી ટીamper રક્ષણ
NFVIS ISO અને અપગ્રેડ ઈમેજોમાં તમામ RPM પેકેજો માટે RPM સહી અને સહી ચકાસણીને સમર્થન આપે છે.

RPM હસ્તાક્ષર

સિસ્કો એન્ટરપ્રાઇઝ NFVIS ISO અને અપગ્રેડ ઇમેજમાં તમામ RPM પેકેજો ક્રિપ્ટોગ્રાફિક અખંડિતતા અને અધિકૃતતાની ખાતરી કરવા માટે સહી કરેલ છે. આ ખાતરી આપે છે કે RPM પેકેજો ટી નથીampસાથે ered અને RPM પેકેજો NFVIS માંથી છે. RPM પેકેજો પર હસ્તાક્ષર કરવા માટે વપરાતી ખાનગી કી સિસ્કો દ્વારા બનાવવામાં અને સુરક્ષિત રીતે જાળવવામાં આવે છે.

RPM સહી ચકાસણી

NFVIS સોફ્ટવેર ઇન્સ્ટોલેશન અથવા અપગ્રેડ પહેલા તમામ RPM પેકેજોની સહી ચકાસે છે. નીચેનું કોષ્ટક સિસ્કો એન્ટરપ્રાઇઝ NFVIS વર્તણૂકનું વર્ણન કરે છે જ્યારે ઇન્સ્ટોલેશન અથવા અપગ્રેડ દરમિયાન હસ્તાક્ષર ચકાસણી નિષ્ફળ જાય છે.

દૃશ્ય

વર્ણન

Cisco Enterprise NFVIS 3.7.1 અને પછીના સ્થાપનો જો સિસ્કો એન્ટરપ્રાઇઝ NFVIS ઇન્સ્ટોલ કરતી વખતે સહી ચકાસણી નિષ્ફળ જાય, તો સ્થાપન બંધ કરવામાં આવે છે.

સિસ્કો એન્ટરપ્રાઇઝ NFVIS 3.6.x થી રિલીઝ 3.7.1 માં અપગ્રેડ

જ્યારે અપગ્રેડ કરવામાં આવી રહ્યું હોય ત્યારે RPM સહીઓ ચકાસવામાં આવે છે. જો સહી ચકાસણી નિષ્ફળ જાય, તો એક ભૂલ લોગ થયેલ છે પરંતુ અપગ્રેડ પૂર્ણ થયું છે.

સિસ્કો એન્ટરપ્રાઇઝ NFVIS રીલીઝ 3.7.1 થી અપગ્રેડ જ્યારે અપગ્રેડ થાય ત્યારે RPM હસ્તાક્ષરો ચકાસવામાં આવે છે

પછીના પ્રકાશનો માટે

છબી નોંધાયેલ છે. જો સહી ચકાસણી નિષ્ફળ જાય,

અપગ્રેડ રદ થયેલ છે.

છબી અખંડિતતા ચકાસણી
RPM હસ્તાક્ષર અને સહી ચકાસણી માત્ર સિસ્કો NFVIS ISO અને અપગ્રેડ ઈમેજોમાં ઉપલબ્ધ RPM પેકેજો માટે જ થઈ શકે છે. તમામ વધારાના બિન-RPM ની અખંડિતતાને સુનિશ્ચિત કરવા fileસિસ્કો NFVIS ISO ઈમેજમાં ઉપલબ્ધ છે, સિસ્કો NFVIS ISO ઈમેજનો હેશ ઈમેજ સાથે પ્રકાશિત થયેલ છે. એ જ રીતે, સિસ્કો NFVIS અપગ્રેડ ઈમેજની હેશ ઈમેજ સાથે પ્રકાશિત થાય છે. ચકાસવા માટે કે સિસ્કોના હેશ

સુરક્ષા વિચારણાઓ 2

સુરક્ષા વિચારણાઓ

ENCS સિક્યોર બૂટ

NFVIS ISO ઇમેજ અથવા અપગ્રેડ ઇમેજ સિસ્કો દ્વારા પ્રકાશિત હેશ સાથે મેળ ખાય છે, નીચેનો આદેશ ચલાવો અને પ્રકાશિત હેશ સાથે હેશની સરખામણી કરો:
% /usr/bin/sha512sumFile> c2122783efc18b039246ae1bcd4eec4e5e027526967b5b809da5632d462dfa6724a9b20ec318c74548c6bd7e9b8217ce96b5ece93dcdd74fda5e01bb382ad607
<ImageFile>
ENCS સિક્યોર બૂટ
સિક્યોર બૂટ એ યુનિફાઈડ એક્સ્ટેન્સિબલ ફર્મવેર ઈન્ટરફેસ (UEFI) સ્ટાન્ડર્ડનો એક ભાગ છે જે ખાતરી કરે છે કે ઉપકરણ માત્ર એવા સૉફ્ટવેરનો ઉપયોગ કરીને બૂટ થાય છે જે ઓરિજિનલ ઈક્વિપમેન્ટ મેન્યુફેક્ચરર (OEM) દ્વારા વિશ્વસનીય છે. જ્યારે NFVIS શરૂ થાય છે, ત્યારે ફર્મવેર બુટ સોફ્ટવેર અને ઓપરેટિંગ સિસ્ટમની સહી તપાસે છે. જો સહીઓ માન્ય હોય, તો ઉપકરણ બુટ થાય છે, અને ફર્મવેર ઓપરેટિંગ સિસ્ટમને નિયંત્રણ આપે છે.
સુરક્ષિત બુટ ENCS પર ઉપલબ્ધ છે પરંતુ મૂળભૂત રીતે અક્ષમ છે. સિસ્કો તમને સુરક્ષિત બુટ સક્ષમ કરવાની ભલામણ કરે છે. વધુ માહિતી માટે, યજમાનનું સુરક્ષિત બુટ જુઓ.
સુરક્ષિત અનન્ય ઉપકરણ ઓળખ
NFVIS સિક્યોર યુનિક ડિવાઇસ આઇડેન્ટિફિકેશન (SUDI) તરીકે ઓળખાતી પદ્ધતિનો ઉપયોગ કરે છે, જે તેને અપરિવર્તનશીલ ઓળખ પ્રદાન કરે છે. આ ઓળખનો ઉપયોગ એ ચકાસવા માટે થાય છે કે ઉપકરણ વાસ્તવિક સિસ્કો ઉત્પાદન છે, અને તે ખાતરી કરવા માટે કે ઉપકરણ ગ્રાહકની ઇન્વેન્ટરી સિસ્ટમ માટે જાણીતું છે.
SUDI એ X.509v3 પ્રમાણપત્ર અને સંકળાયેલ કી-જોડી છે જે હાર્ડવેરમાં સુરક્ષિત છે. SUDI પ્રમાણપત્રમાં ઉત્પાદન ઓળખકર્તા અને સીરીયલ નંબરનો સમાવેશ થાય છે અને તે સિસ્કો પબ્લિક કી ઈન્ફ્રાસ્ટ્રક્ચરમાં છે. કી જોડી અને SUDI પ્રમાણપત્રને ઉત્પાદન દરમિયાન હાર્ડવેર મોડ્યુલમાં દાખલ કરવામાં આવે છે, અને ખાનગી કી ક્યારેય નિકાસ કરી શકાતી નથી.
SUDI-આધારિત ઓળખનો ઉપયોગ ઝીરો ટચ પ્રોવિઝનિંગ (ZTP) નો ઉપયોગ કરીને પ્રમાણિત અને સ્વચાલિત ગોઠવણી કરવા માટે થઈ શકે છે. આ ઉપકરણોના સુરક્ષિત, રિમોટ ઓન-બોર્ડિંગને સક્ષમ કરે છે અને ખાતરી કરે છે કે ઓર્કેસ્ટ્રેશન સર્વર વાસ્તવિક NFVIS ઉપકરણ સાથે વાત કરી રહ્યું છે. બેકએન્ડ સિસ્ટમ NFVIS ઉપકરણને તેની ઓળખને માન્ય કરવા માટે પડકાર આપી શકે છે અને ઉપકરણ તેની SUDI આધારિત ઓળખનો ઉપયોગ કરીને પડકારનો જવાબ આપશે. આ બેકએન્ડ સિસ્ટમને માત્ર તેની ઇન્વેન્ટરી સામે ચકાસવા માટે પરવાનગી આપે છે કે યોગ્ય ઉપકરણ યોગ્ય સ્થાન પર છે પણ એનક્રિપ્ટેડ રૂપરેખાંકન પણ પ્રદાન કરે છે જે ફક્ત ચોક્કસ ઉપકરણ દ્વારા જ ખોલી શકાય છે, જેનાથી પરિવહનમાં ગોપનીયતાની ખાતરી થાય છે.
નીચેના વર્કફ્લો આકૃતિઓ દર્શાવે છે કે કેવી રીતે NFVIS SUDI નો ઉપયોગ કરે છે:

સુરક્ષા વિચારણાઓ 3

ઉપકરણ ઍક્સેસ આકૃતિ 1: પ્લગ એન્ડ પ્લે (PnP) સર્વર પ્રમાણીકરણ

સુરક્ષા વિચારણાઓ

આકૃતિ 2: પ્લગ અને પ્લે ઉપકરણ પ્રમાણીકરણ અને અધિકૃતતા

ડિવાઇસ એક્સેસ
NFVIS કન્સોલ તેમજ HTTPS અને SSH જેવા પ્રોટોકોલ પર આધારિત રિમોટ એક્સેસ સહિત વિવિધ એક્સેસ મિકેનિઝમ્સ પ્રદાન કરે છે. દરેક એક્સેસ મિકેનિઝમ કાળજીપૂર્વક ફરીથી હોવું જોઈએviewed અને રૂપરેખાંકિત. ખાતરી કરો કે ફક્ત જરૂરી એક્સેસ મિકેનિઝમ્સ જ સક્ષમ છે અને તે યોગ્ય રીતે સુરક્ષિત છે. NFVIS માં ઇન્ટરેક્ટિવ અને મેનેજમેન્ટ એક્સેસ બંનેને સુરક્ષિત કરવા માટેના મુખ્ય પગલાં એ છે કે ઉપકરણની ઍક્સેસિબિલિટીને પ્રતિબંધિત કરવી, પરવાનગી આપેલા વપરાશકર્તાઓની ક્ષમતાઓને જે જરૂરી છે તેના પર પ્રતિબંધિત કરવી અને ઍક્સેસની પરવાનગી આપેલી પદ્ધતિઓને પ્રતિબંધિત કરવી. NFVIS ખાતરી કરે છે કે ઍક્સેસ ફક્ત પ્રમાણિત વપરાશકર્તાઓને જ આપવામાં આવે છે અને તેઓ માત્ર અધિકૃત ક્રિયાઓ કરી શકે છે. ઉપકરણ ઍક્સેસ ઓડિટ માટે લોગ થયેલ છે અને NFVIS સ્થાનિક રીતે સંગ્રહિત સંવેદનશીલ ડેટાની ગોપનીયતાને સુનિશ્ચિત કરે છે. NFVIS ની અનધિકૃત ઍક્સેસને રોકવા માટે યોગ્ય નિયંત્રણો સ્થાપિત કરવા તે મહત્વપૂર્ણ છે. નીચેના વિભાગો આ હાંસલ કરવા માટેની શ્રેષ્ઠ પદ્ધતિઓ અને ગોઠવણીઓનું વર્ણન કરે છે:
સુરક્ષા વિચારણાઓ 4

સુરક્ષા વિચારણાઓ

પ્રથમ લોગિન પર પાસવર્ડ બદલાવનો અમલ

પ્રથમ લોગિન પર પાસવર્ડ બદલાવનો અમલ
ડિફૉલ્ટ ઓળખપત્ર એ ઉત્પાદન સુરક્ષા ઘટનાઓનો વારંવાર સ્ત્રોત છે. ગ્રાહકો ઘણીવાર ડિફૉલ્ટ લૉગિન ઓળખપત્રો બદલવાનું ભૂલી જાય છે અને તેમની સિસ્ટમ હુમલા માટે ખુલ્લી હોય છે. આને રોકવા માટે, NFVIS વપરાશકર્તાને ડિફોલ્ટ ઓળખપત્રો (વપરાશકર્તા નામ: એડમિન અને પાસવર્ડ Admin123#) નો ઉપયોગ કરીને પ્રથમ લોગિન પછી પાસવર્ડ બદલવાની ફરજ પાડવામાં આવે છે. વધુ માહિતી માટે, NFVIS ને ઍક્સેસ કરવું જુઓ.
લૉગિન નબળાઈઓને પ્રતિબંધિત
તમે નીચેની સુવિધાઓનો ઉપયોગ કરીને શબ્દકોશ અને ડિનાયલ ઑફ સર્વિસ (DoS) હુમલાની નબળાઈને અટકાવી શકો છો.
મજબૂત પાસવર્ડનો અમલ
પ્રમાણીકરણ મિકેનિઝમ તેના ઓળખપત્રો જેટલું જ મજબૂત છે. આ કારણોસર, વપરાશકર્તાઓ પાસે મજબૂત પાસવર્ડ છે તેની ખાતરી કરવી મહત્વપૂર્ણ છે. NFVIS તપાસે છે કે મજબૂત પાસવર્ડ નીચેના નિયમો અનુસાર ગોઠવેલ છે: પાસવર્ડમાં આ શામેલ હોવું જોઈએ:
· ઓછામાં ઓછું એક અપરકેસ કેરેક્ટર · ઓછામાં ઓછું એક લોઅરકેસ કેરેક્ટર · ઓછામાં ઓછું એક નંબર · ઓછામાં ઓછું આ ખાસ અક્ષરોમાંથી એક: હેશ (#), અન્ડરસ્કોર (_), હાઇફન (-), ફૂદડી (*), અથવા પ્રશ્ન
માર્ક (?) · સાત કે તેથી વધુ અક્ષરો · પાસવર્ડની લંબાઈ 7 થી 128 અક્ષરોની વચ્ચે હોવી જોઈએ.
પાસવર્ડ્સ માટે ન્યૂનતમ લંબાઈને ગોઠવી રહ્યું છે
પાસવર્ડની જટિલતાનો અભાવ, ખાસ કરીને પાસવર્ડની લંબાઈ, જ્યારે હુમલાખોરો વપરાશકર્તાના પાસવર્ડનું અનુમાન લગાવવાનો પ્રયાસ કરે છે ત્યારે શોધ જગ્યાને નોંધપાત્ર રીતે ઘટાડે છે, જેનાથી બ્રુટ-ફોર્સ એટેક વધુ સરળ બને છે. એડમિન વપરાશકર્તા તમામ વપરાશકર્તાઓના પાસવર્ડ માટે જરૂરી લઘુત્તમ લંબાઈને ગોઠવી શકે છે. ન્યૂનતમ લંબાઈ 7 થી 128 અક્ષરોની વચ્ચે હોવી જોઈએ. મૂળભૂત રીતે, પાસવર્ડ્સ માટે જરૂરી લઘુત્તમ લંબાઈ 7 અક્ષરો પર સેટ છે. CLI:
nfvis(config)# rbac પ્રમાણીકરણ મીન-pwd-લંબાઈ 9
API:
/api/config/rbac/authentication/min-pwd-length
પાસવર્ડ લાઇફટાઇમ ગોઠવી રહ્યું છે
પાસવર્ડ લાઇફટાઇમ નિર્ધારિત કરે છે કે વપરાશકર્તાને પાસવર્ડ બદલવાની જરૂર પડે તે પહેલાં કેટલા સમય સુધી પાસવર્ડનો ઉપયોગ કરી શકાય છે.

સુરક્ષા વિચારણાઓ 5

અગાઉના પાસવર્ડનો પુનઃઉપયોગ મર્યાદિત કરો

સુરક્ષા વિચારણાઓ

એડમિન વપરાશકર્તા બધા વપરાશકર્તાઓ માટે પાસવર્ડ્સ માટે લઘુત્તમ અને મહત્તમ આજીવન મૂલ્યો ગોઠવી શકે છે અને આ મૂલ્યોને તપાસવા માટે નિયમ લાગુ કરી શકે છે. ડિફોલ્ટ ન્યૂનતમ આજીવન મૂલ્ય 1 દિવસ પર સેટ છે અને ડિફોલ્ટ મહત્તમ આજીવન મૂલ્ય 60 દિવસ પર સેટ છે. જ્યારે લઘુત્તમ આજીવન મૂલ્ય ગોઠવવામાં આવે છે, ત્યારે ઉલ્લેખિત દિવસો પસાર ન થાય ત્યાં સુધી વપરાશકર્તા પાસવર્ડ બદલી શકતા નથી. એ જ રીતે, જ્યારે મહત્તમ આજીવન મૂલ્ય ગોઠવવામાં આવે છે, ત્યારે વપરાશકર્તાએ ઉલ્લેખિત દિવસો પસાર થાય તે પહેલાં પાસવર્ડ બદલવો આવશ્યક છે. જો વપરાશકર્તા પાસવર્ડ બદલતો નથી અને ઉલ્લેખિત દિવસો પસાર થઈ ગયા છે, તો વપરાશકર્તાને સૂચના મોકલવામાં આવે છે.
નોંધ ન્યૂનતમ અને મહત્તમ આજીવન મૂલ્યો અને આ મૂલ્યો તપાસવા માટેનો નિયમ એડમિન વપરાશકર્તા પર લાગુ થતો નથી.
CLI:
ટર્મિનલ આરબીએસી ઓથેન્ટિકેશન પાસવર્ડ-લાઇફટાઇમ ઇનફોર્સ ટ્રુ મીન-દિવસ 2 મહત્તમ-દિવસ 30 પ્રતિબદ્ધ
API:
/api/config/rbac/authentication/password-lifetime/
અગાઉના પાસવર્ડનો પુનઃઉપયોગ મર્યાદિત કરો
અગાઉના પાસફ્રેઝના ઉપયોગને અટકાવ્યા વિના, પાસવર્ડની સમાપ્તિ મોટે ભાગે નકામું છે કારણ કે વપરાશકર્તાઓ ફક્ત પાસફ્રેઝને બદલી શકે છે અને પછી તેને મૂળમાં બદલી શકે છે. NFVIS ચકાસે છે કે નવો પાસવર્ડ અગાઉ ઉપયોગમાં લેવાયેલ 5 પાસવર્ડોમાંથી એક જેવો નથી. આ નિયમનો એક અપવાદ એ છે કે એડમિન વપરાશકર્તા પાસવર્ડને ડિફોલ્ટ પાસવર્ડમાં બદલી શકે છે, પછી ભલે તે અગાઉ ઉપયોગમાં લેવાયેલ 5 પાસવર્ડમાંથી એક હોય.
લૉગિન પ્રયાસોની આવર્તનને પ્રતિબંધિત કરો
જો રિમોટ પીઅરને અમર્યાદિત સંખ્યામાં લોગિન કરવાની મંજૂરી આપવામાં આવે છે, તો તે આખરે બ્રુટ ફોર્સ દ્વારા લોગિન ઓળખપત્રોનું અનુમાન કરી શકશે. પાસફ્રેઝનું અનુમાન લગાવવું ઘણીવાર સરળ હોવાથી, આ એક સામાન્ય હુમલો છે. પીઅર લોગિનનો પ્રયાસ કરી શકે તે દરને મર્યાદિત કરીને, અમે આ હુમલાને અટકાવીએ છીએ. અમે આ બ્રુટ-ફોર્સ લોગિન પ્રયાસોને બિનજરૂરી રીતે પ્રમાણિત કરવા માટે સિસ્ટમ સંસાધનોનો ખર્ચ કરવાનું પણ ટાળીએ છીએ જે સેવાનો ઇનકાર હુમલો કરી શકે છે. NFVIS 5 નિષ્ફળ લૉગિન પ્રયાસો પછી 10 મિનિટનું વપરાશકર્તા લોકડાઉન લાગુ કરે છે.
નિષ્ક્રિય વપરાશકર્તા એકાઉન્ટ્સને અક્ષમ કરો
વપરાશકર્તાની પ્રવૃત્તિનું નિરીક્ષણ કરવું અને ન વપરાયેલ અથવા વાસી વપરાશકર્તા ખાતાઓને અક્ષમ કરવાથી સિસ્ટમને આંતરિક હુમલાઓથી સુરક્ષિત કરવામાં મદદ મળે છે. વણવપરાયેલ એકાઉન્ટ્સ આખરે દૂર કરવા જોઈએ. એડમિન વપરાશકર્તા બિનઉપયોગી વપરાશકર્તા એકાઉન્ટ્સને નિષ્ક્રિય તરીકે ચિહ્નિત કરવા માટે એક નિયમ લાગુ કરી શકે છે અને તે દિવસોની સંખ્યાને ગોઠવી શકે છે કે જેના પછી બિનઉપયોગી વપરાશકર્તા એકાઉન્ટને નિષ્ક્રિય તરીકે ચિહ્નિત કરવામાં આવે. એકવાર નિષ્ક્રિય તરીકે ચિહ્નિત થયા પછી, તે વપરાશકર્તા સિસ્ટમમાં પ્રવેશ કરી શકશે નહીં. વપરાશકર્તાને સિસ્ટમમાં લૉગિન કરવાની મંજૂરી આપવા માટે, એડમિન વપરાશકર્તા વપરાશકર્તા ખાતું સક્રિય કરી શકે છે.
નોંધ નિષ્ક્રિયતા અવધિ અને નિષ્ક્રિયતા અવધિ તપાસવા માટેનો નિયમ એડમિન વપરાશકર્તા પર લાગુ થતો નથી.

સુરક્ષા વિચારણાઓ 6

સુરક્ષા વિચારણાઓ

નિષ્ક્રિય વપરાશકર્તા ખાતું સક્રિય કરી રહ્યું છે

નીચેના CLI અને API નો ઉપયોગ એકાઉન્ટ નિષ્ક્રિયતાના અમલીકરણને ગોઠવવા માટે કરી શકાય છે. CLI:
ટર્મિનલ rbac પ્રમાણીકરણ ગોઠવો એકાઉન્ટ-નિષ્ક્રિયતા સાચી નિષ્ક્રિયતા-દિવસ 30 પ્રતિબદ્ધતા લાગુ કરો
API:
/api/config/rbac/authentication/account-inactivity/
નિષ્ક્રિયતા-દિવસો માટે ડિફોલ્ટ મૂલ્ય 35 છે.
નિષ્ક્રિય વપરાશકર્તા ખાતું સક્રિય કરવું એડમિન વપરાશકર્તા નીચેના CLI અને API નો ઉપયોગ કરીને નિષ્ક્રિય વપરાશકર્તાના ખાતાને સક્રિય કરી શકે છે: CLI:
ટર્મિનલને રૂપરેખાંકિત કરો rbac સત્તાધિકરણ વપરાશકર્તાઓ વપરાશકર્તા guest_user સક્રિય કમિટ
API:
/api/operations/rbac/authentication/users/user/username/activate

BIOS અને CIMC પાસવર્ડના સેટિંગને લાગુ કરો

કોષ્ટક 1: લક્ષણ ઇતિહાસ કોષ્ટક

લક્ષણ નામ

પ્રકાશન માહિતી

BIOS અને CIMC NFVIS 4.7.1 પાસવર્ડની સેટિંગ લાગુ કરો

વર્ણન
આ સુવિધા વપરાશકર્તાને CIMC અને BIOS માટે ડિફોલ્ટ પાસવર્ડ બદલવા માટે દબાણ કરે છે.

BIOS અને CIMC પાસવર્ડના સેટિંગને લાગુ કરવા માટેના નિયંત્રણો
· આ સુવિધા માત્ર Cisco Catalyst 8200 UCPE અને Cisco ENCS 5400 પ્લેટફોર્મ પર જ સમર્થિત છે.
· આ સુવિધા ફક્ત NFVIS 4.7.1 અને પછીના પ્રકાશનોના તાજા ઇન્સ્ટોલ પર જ સપોર્ટેડ છે. જો તમે NFVIS 4.6.1 થી NFVIS 4.7.1 માં અપગ્રેડ કરો છો, તો આ સુવિધા સમર્થિત નથી અને તમને BIOS અને CIMS પાસવર્ડ્સ રીસેટ કરવા માટે સંકેત આપવામાં આવતો નથી, પછી ભલે BIOS અને CIMC પાસવર્ડ્સ ગોઠવેલ ન હોય.

BIOS અને CIMC પાસવર્ડના સેટિંગને લાગુ કરવા વિશે માહિતી
આ લક્ષણ NFVIS 4.7.1 ના નવા ઇન્સ્ટોલેશન પછી BIOS અને CIMC પાસવર્ડના રીસેટને લાગુ કરીને સુરક્ષા તફાવતને સંબોધિત કરે છે. ડિફોલ્ટ CIMC પાસવર્ડ પાસવર્ડ છે અને ડિફોલ્ટ BIOS પાસવર્ડ કોઈ પાસવર્ડ નથી.
સિક્યોરિટી ગેપને ઠીક કરવા માટે, તમને ENCS 5400 માં BIOS અને CIMC પાસવર્ડ્સ રૂપરેખાંકિત કરવા માટે ફરજ પાડવામાં આવે છે. NFVIS 4.7.1 ના નવા ઇન્સ્ટોલ દરમિયાન, જો BIOS અને CIMC પાસવર્ડ્સ બદલાયા નથી અને હજુ પણ છે

સુરક્ષા વિચારણાઓ 7

રૂપરેખાંકન ExampBIOS અને CIMC પાસવર્ડ્સના અમલી રીસેટિંગ માટે

સુરક્ષા વિચારણાઓ

ડિફૉલ્ટ પાસવર્ડ્સ, પછી તમને BIOS અને CIMC બંને પાસવર્ડ બદલવા માટે પૂછવામાં આવશે. જો તેમાંથી માત્ર એકને રીસેટ કરવાની જરૂર હોય, તો તમને ફક્ત તે જ ઘટક માટે પાસવર્ડ રીસેટ કરવા માટે સંકેત આપવામાં આવે છે. Cisco Catalyst 8200 UCPE ને માત્ર BIOS પાસવર્ડની જરૂર છે અને તેથી જો તે પહેલાથી સેટ કરેલ ન હોય તો માત્ર BIOS પાસવર્ડ રીસેટ કરવાનો સંકેત આપવામાં આવે છે.
નોંધ જો તમે કોઈપણ અગાઉના પ્રકાશનમાંથી NFVIS 4.7.1 અથવા પછીના પ્રકાશનોમાં અપગ્રેડ કરો છો, તો તમે હોસ્ટક્શન ચેન્જ-બાયોસ-પાસવર્ડ newpassword અથવા hostaction change-cimc-password newpassword આદેશોનો ઉપયોગ કરીને BIOS અને CIMC પાસવર્ડ બદલી શકો છો.
BIOS અને CIMC પાસવર્ડ વિશે વધુ માહિતી માટે, BIOS અને CIMC પાસવર્ડ જુઓ.
રૂપરેખાંકન ExampBIOS અને CIMC પાસવર્ડ્સના અમલી રીસેટિંગ માટે
1. જ્યારે તમે NFVIS 4.7.1 ઇન્સ્ટોલ કરો છો, ત્યારે તમારે પહેલા ડિફોલ્ટ એડમિન પાસવર્ડ રીસેટ કરવો પડશે.
સિસ્કો નેટવર્ક ફંક્શન વર્ચ્યુઅલાઈઝેશન ઈન્ફ્રાસ્ટ્રક્ચર સોફ્ટવેર (NFVIS)
NFVIS સંસ્કરણ: 99.99.0-1009
Cisco Systems, Inc. દ્વારા કૉપિરાઇટ (c) 2015-2021. Cisco, Cisco Systems અને Cisco Systems લોગો એ Cisco Systems, Inc. અને/અથવા યુએસ અને અમુક અન્ય દેશોમાં તેના આનુષંગિકોના નોંધાયેલા ટ્રેડમાર્ક છે.
આ સૉફ્ટવેરમાં સમાવિષ્ટ અમુક કાર્યોના કૉપિરાઇટ્સ અન્ય તૃતીય પક્ષોની માલિકીના છે અને તૃતીય પક્ષના લાઇસન્સ કરાર હેઠળ ઉપયોગમાં લેવાય છે અને વિતરિત કરવામાં આવે છે. આ સોફ્ટવેરના અમુક ઘટકો GNU GPL 2.0, GPL 3.0, LGPL 2.1, LGPL 3.0 અને AGPL 3.0 હેઠળ લાઇસન્સ પ્રાપ્ત છે.
એડમિન 10.24.109.102 થી ssh નો ઉપયોગ કરીને nfvis એડમિન ડિફોલ્ટ ઓળખપત્રો સાથે લૉગ થયેલ છે, કૃપા કરીને એક પાસવર્ડ પ્રદાન કરો જે નીચેના માપદંડોને સંતોષે છે:
1.ઓછામાં ઓછું એક લોઅરકેસ કેરેક્ટર 2.ઓછામાં ઓછું એક અપરકેસ કેરેક્ટર 3.ઓછામાં ઓછું એક નંબર 4.# _ – * માંથી ઓછામાં ઓછું એક ખાસ અક્ષર? 5.લંબાઈ 7 થી 128 અક્ષરોની વચ્ચે હોવી જોઈએ કૃપા કરીને પાસવર્ડ રીસેટ કરો : કૃપા કરીને પાસવર્ડ ફરીથી દાખલ કરો :
એડમિન પાસવર્ડ રીસેટ કરી રહ્યા છીએ
2. Cisco Catalyst 8200 UCPE અને Cisco ENCS 5400 પ્લેટફોર્મ્સ પર જ્યારે તમે NFVIS 4.7.1 અથવા પછીના રીલીઝનું નવું ઇન્સ્ટોલ કરો છો, ત્યારે તમારે ડિફોલ્ટ BIOS અને CIMC પાસવર્ડ્સ બદલવા આવશ્યક છે. જો BIOS અને CIMC પાસવર્ડ્સ અગાઉ રૂપરેખાંકિત ન હોય, તો સિસ્ટમ તમને Cisco ENCS 5400 માટે BIOS અને CIMC પાસવર્ડ અને Cisco Catalyst 8200 UCPE માટે માત્ર BIOS પાસવર્ડને ફરીથી સેટ કરવા માટે સંકેત આપે છે.
નવો એડમિન પાસવર્ડ સેટ કર્યો છે
કૃપા કરીને BIOS પાસવર્ડ પ્રદાન કરો જે નીચેના માપદંડોને સંતોષે છે: 1. ઓછામાં ઓછું એક લોઅરકેસ અક્ષર 2. ઓછામાં ઓછું એક અપરકેસ અક્ષર 3. ઓછામાં ઓછો એક નંબર 4. #, @ અથવા _ 5 માંથી ઓછામાં ઓછો એક વિશિષ્ટ અક્ષર. લંબાઈ વચ્ચે હોવી જોઈએ 8 અને 20 અક્ષરો 6. નીચેનામાંથી કોઈપણ શબ્દમાળા (કેસ સેન્સિટિવ) ન હોવી જોઈએ: બાયોસ 7. પ્રથમ અક્ષર # ન હોઈ શકે

સુરક્ષા વિચારણાઓ 8

સુરક્ષા વિચારણાઓ

BIOS અને CIMC પાસવર્ડ્સ ચકાસો

કૃપા કરીને BIOS પાસવર્ડ રીસેટ કરો: કૃપા કરીને BIOS પાસવર્ડ ફરીથી દાખલ કરો: કૃપા કરીને CIMC પાસવર્ડ પ્રદાન કરો જે નીચેના માપદંડોને સંતોષે છે:
1. ઓછામાં ઓછો એક લોઅરકેસ અક્ષર 2. ઓછામાં ઓછો એક અપરકેસ અક્ષર 3. ઓછામાં ઓછો એક નંબર 4. #, @ અથવા _ 5માંથી ઓછામાં ઓછો એક વિશેષ અક્ષર. લંબાઈ 8 થી 20 અક્ષરોની વચ્ચે હોવી જોઈએ 6. તેમાં કોઈપણ ન હોવું જોઈએ નીચેની સ્ટ્રીંગ્સ (કેસ સેન્સિટિવ): એડમિન કૃપા કરીને CIMC પાસવર્ડ રીસેટ કરો: કૃપા કરીને CIMC પાસવર્ડ ફરીથી દાખલ કરો:

BIOS અને CIMC પાસવર્ડ્સ ચકાસો
BIOS અને CIMC પાસવર્ડ્સ સફળતાપૂર્વક બદલાઈ ગયા છે કે કેમ તે ચકાસવા માટે, show log નો ઉપયોગ કરો nfvis_config.log | BIOS નો સમાવેશ કરો અથવા લોગ બતાવો nfvis_config.log | CIMC આદેશો શામેલ કરો:

nfvis# લોગ બતાવો nfvis_config.log | BIOS નો સમાવેશ કરો

2021-11-16 15:24:40,102 INFO

[hostaction:/system/settings] [] BIOS પાસવર્ડ ફેરફાર

સફળ છે

તમે nfvis_config.log પણ ડાઉનલોડ કરી શકો છો file અને ચકાસો કે શું પાસવર્ડ્સ સફળતાપૂર્વક રીસેટ થયા છે.

બાહ્ય AAA સર્વર્સ સાથે એકીકરણ
વપરાશકર્તાઓ ssh અથવા the દ્વારા NFVIS માં લૉગિન કરે છે Web UI. કોઈપણ કિસ્સામાં, વપરાશકર્તાઓને પ્રમાણિત કરવાની જરૂર છે. એટલે કે, વપરાશકર્તાને ઍક્સેસ મેળવવા માટે પાસવર્ડ ઓળખપત્રો રજૂ કરવાની જરૂર છે.
એકવાર વપરાશકર્તા પ્રમાણિત થઈ જાય, તે વપરાશકર્તા દ્વારા કરવામાં આવતી તમામ કામગીરીઓ અધિકૃત હોવી જરૂરી છે. એટલે કે, અમુક વપરાશકર્તાઓને અમુક કાર્યો કરવાની મંજૂરી આપવામાં આવી શકે છે, જ્યારે અન્યને નથી. આને અધિકૃતતા કહેવામાં આવે છે.
NFVIS ઍક્સેસ માટે પ્રતિ-વપરાશકર્તા, AAA-આધારિત લૉગિન પ્રમાણીકરણને લાગુ કરવા માટે કેન્દ્રિય AAA સર્વરને તૈનાત કરવાની ભલામણ કરવામાં આવે છે. NFVIS નેટવર્ક એક્સેસમાં મધ્યસ્થી કરવા માટે RADIUS અને TACACS પ્રોટોકોલને સપોર્ટ કરે છે. AAA સર્વર પર, પ્રમાણિત વપરાશકર્તાઓને તેમની ચોક્કસ ઍક્સેસ આવશ્યકતાઓ અનુસાર માત્ર ન્યૂનતમ ઍક્સેસ વિશેષાધિકારો જ આપવામાં આવશે. આ દૂષિત અને અજાણતા સુરક્ષા ઘટનાઓ બંનેના સંપર્કમાં ઘટાડો કરે છે.
બાહ્ય પ્રમાણીકરણ પર વધુ માહિતી માટે, રેડિયસને ગોઠવવું અને TACACS+ સર્વરને ગોઠવવું જુઓ.

બાહ્ય પ્રમાણીકરણ સર્વર માટે પ્રમાણીકરણ કેશ

લક્ષણ નામ

પ્રકાશન માહિતી

બાહ્ય NFVIS 4.5.1 પ્રમાણીકરણ સર્વર માટે પ્રમાણીકરણ કેશ

વર્ણન
આ સુવિધા NFVIS પોર્ટલ પર OTP દ્વારા TACACS પ્રમાણીકરણને સપોર્ટ કરે છે.

NFVIS પોર્ટલ પ્રારંભિક પ્રમાણીકરણ પછી તમામ API કૉલ્સ માટે સમાન વન-ટાઇમ પાસવર્ડ (OTP) નો ઉપયોગ કરે છે. OTP સમાપ્ત થતાંની સાથે જ API કૉલ નિષ્ફળ જાય છે. આ સુવિધા NFVIS પોર્ટલ સાથે TACACS OTP પ્રમાણીકરણને સપોર્ટ કરે છે.
તમે OTP નો ઉપયોગ કરીને TACACS સર્વર દ્વારા સફળતાપૂર્વક પ્રમાણિત કર્યા પછી, NFVIS વપરાશકર્તાનામ અને OTP નો ઉપયોગ કરીને હેશ એન્ટ્રી બનાવે છે અને આ હેશ મૂલ્યને સ્થાનિક રીતે સંગ્રહિત કરે છે. આ સ્થાનિક રીતે સંગ્રહિત હેશ મૂલ્ય ધરાવે છે

સુરક્ષા વિચારણાઓ 9

ભૂમિકા આધારિત ઍક્સેસ નિયંત્રણ

સુરક્ષા વિચારણાઓ

સમાપ્તિ સમય stamp તેની સાથે સંકળાયેલ છે. સમય ધોamp SSH સત્ર નિષ્ક્રિય સમયસમાપ્તિ મૂલ્ય જે 15 મિનિટ છે તે જ મૂલ્ય ધરાવે છે. સમાન વપરાશકર્તાનામ સાથેની તમામ અનુગામી પ્રમાણીકરણ વિનંતીઓ પહેલા આ સ્થાનિક હેશ મૂલ્ય સામે પ્રમાણિત કરવામાં આવે છે. જો સ્થાનિક હેશ સાથે પ્રમાણીકરણ નિષ્ફળ જાય, તો NFVIS આ વિનંતીને TACACS સર્વર સાથે પ્રમાણિત કરે છે અને જ્યારે પ્રમાણીકરણ સફળ થાય ત્યારે નવી હેશ એન્ટ્રી બનાવે છે. જો હેશ એન્ટ્રી પહેલેથી અસ્તિત્વમાં છે, તો તેનો સમય stamp 15 મિનિટ પર ફરીથી સેટ કરવામાં આવે છે.
જો તમને પોર્ટલમાં સફળતાપૂર્વક લૉગ ઇન કર્યા પછી TACACS સર્વરમાંથી દૂર કરવામાં આવે, તો તમે NFVIS માં હેશ એન્ટ્રી સમાપ્ત ન થાય ત્યાં સુધી પોર્ટલનો ઉપયોગ કરવાનું ચાલુ રાખી શકો છો.
જ્યારે તમે NFVIS પોર્ટલમાંથી સ્પષ્ટપણે લોગ આઉટ કરો છો અથવા નિષ્ક્રિય સમયને કારણે લોગ આઉટ થાઓ છો, ત્યારે હેશ એન્ટ્રી ફ્લશ કરવા માટે NFVIS બેકએન્ડને સૂચિત કરવા માટે પોર્ટલ નવા APIને કૉલ કરે છે. પ્રમાણીકરણ કેશ અને તેની બધી એન્ટ્રીઓ NFVIS રીબૂટ, ફેક્ટરી રીસેટ અથવા અપગ્રેડ પછી સાફ થઈ જાય છે.

ભૂમિકા આધારિત ઍક્સેસ નિયંત્રણ

નેટવર્ક એક્સેસ મર્યાદિત કરવી એ સંસ્થાઓ માટે મહત્વપૂર્ણ છે કે જેઓ ઘણા કર્મચારીઓ ધરાવે છે, કોન્ટ્રાક્ટરોને રોજગારી આપે છે અથવા ગ્રાહકો અને વિક્રેતાઓ જેવા તૃતીય પક્ષોને ઍક્સેસ કરવાની પરવાનગી આપે છે. આવી સ્થિતિમાં, નેટવર્ક એક્સેસને અસરકારક રીતે મોનિટર કરવું મુશ્કેલ છે. તેના બદલે, સંવેદનશીલ ડેટા અને નિર્ણાયક એપ્લિકેશનોને સુરક્ષિત કરવા માટે, શું સુલભ છે તેને નિયંત્રિત કરવું વધુ સારું છે.
રોલ-આધારિત એક્સેસ કંટ્રોલ (RBAC) એ એન્ટરપ્રાઇઝમાં વ્યક્તિગત વપરાશકર્તાઓની ભૂમિકાના આધારે નેટવર્ક ઍક્સેસને પ્રતિબંધિત કરવાની એક પદ્ધતિ છે. RBAC વપરાશકર્તાઓને તેઓને જોઈતી માહિતીને ઍક્સેસ કરવા દે છે અને તેમને સંબંધિત ન હોય તેવી માહિતીને ઍક્સેસ કરવાથી અટકાવે છે.
એન્ટરપ્રાઇઝમાં કર્મચારીની ભૂમિકાનો ઉપયોગ મંજૂર કરાયેલ પરવાનગીઓ નક્કી કરવા માટે થવો જોઈએ, તેની ખાતરી કરવા માટે કે નીચલા વિશેષાધિકારો ધરાવતા કર્મચારીઓ સંવેદનશીલ માહિતીને ઍક્સેસ કરી શકતા નથી અથવા મહત્વપૂર્ણ કાર્યો કરી શકતા નથી.
નીચેના વપરાશકર્તા ભૂમિકાઓ અને વિશેષાધિકારો NFVIS માં વ્યાખ્યાયિત થયેલ છે

વપરાશકર્તા ભૂમિકા

વિશેષાધિકાર

સંચાલકો

તમામ ઉપલબ્ધ સુવિધાઓને રૂપરેખાંકિત કરી શકે છે અને વપરાશકર્તાની ભૂમિકા બદલવા સહિત તમામ કાર્યો કરી શકે છે. એડમિનિસ્ટ્રેટર મૂળભૂત ઈન્ફ્રાસ્ટ્રક્ચરને કાઢી શકતા નથી જે NFVIS માટે મૂળભૂત છે. એડમિન વપરાશકર્તાની ભૂમિકા બદલી શકાતી નથી; તે હંમેશા "સંચાલકો" છે.

ઓપરેટરો

VM શરૂ અને બંધ કરી શકે છે, અને view બધી માહિતી.

ઓડિટર્સ

તેઓ સૌથી ઓછા વિશેષાધિકૃત વપરાશકર્તાઓ છે. તેમની પાસે ફક્ત વાંચવા માટેની પરવાનગી છે અને તેથી, કોઈપણ ગોઠવણીને સંશોધિત કરી શકાતી નથી.

RBAC ના લાભો
સંસ્થામાં લોકોની ભૂમિકાના આધારે બિનજરૂરી નેટવર્ક ઍક્સેસને પ્રતિબંધિત કરવા માટે RBAC નો ઉપયોગ કરવાના ઘણા ફાયદા છે, જેમાં નીચેનાનો સમાવેશ થાય છે:
· ઓપરેશનલ કાર્યક્ષમતામાં સુધારો.
RBAC માં પૂર્વવ્યાખ્યાયિત ભૂમિકાઓ રાખવાથી નવા વપરાશકર્તાઓને યોગ્ય વિશેષાધિકારો સાથે સમાવી લેવાનું અથવા હાલના વપરાશકર્તાઓની ભૂમિકા બદલવાનું સરળ બને છે. જ્યારે વપરાશકર્તા પરવાનગીઓ સોંપવામાં આવી રહી હોય ત્યારે તે ભૂલની સંભાવનાને પણ ઘટાડે છે.
· અનુપાલન વધારવું.

સુરક્ષા વિચારણાઓ 10

સુરક્ષા વિચારણાઓ

ભૂમિકા આધારિત ઍક્સેસ નિયંત્રણ

દરેક સંસ્થાએ સ્થાનિક, રાજ્ય અને સંઘીય નિયમોનું પાલન કરવું આવશ્યક છે. કંપનીઓ સામાન્ય રીતે ગોપનીયતા અને ગોપનીયતા માટેની નિયમનકારી અને વૈધાનિક આવશ્યકતાઓને પૂર્ણ કરવા માટે RBAC સિસ્ટમ્સ લાગુ કરવાનું પસંદ કરે છે કારણ કે અધિકારીઓ અને IT વિભાગો ડેટાને કેવી રીતે એક્સેસ કરવામાં આવે છે અને તેનો ઉપયોગ કરવામાં આવે છે તેનું વધુ અસરકારક રીતે સંચાલન કરી શકે છે. આ ખાસ કરીને નાણાકીય સંસ્થાઓ અને હેલ્થકેર કંપનીઓ માટે મહત્વપૂર્ણ છે જે સંવેદનશીલ ડેટાનું સંચાલન કરે છે.
· ખર્ચમાં ઘટાડો. અમુક પ્રક્રિયાઓ અને એપ્લીકેશનો માટે યુઝર એક્સેસને મંજૂરી ન આપીને, કંપનીઓ ખર્ચ-અસરકારક રીતે નેટવર્ક બેન્ડવિડ્થ, મેમરી અને સ્ટોરેજ જેવા સંસાધનોનું સંરક્ષણ અથવા ઉપયોગ કરી શકે છે.
· ભંગ અને ડેટા લીક થવાનું જોખમ ઘટાડવું. RBAC ને અમલમાં મૂકવાનો અર્થ છે સંવેદનશીલ માહિતીની ઍક્સેસને પ્રતિબંધિત કરવી, આમ ડેટા ભંગ અથવા ડેટા લીક થવાની સંભાવના ઘટાડવી.
ભૂમિકા-આધારિત એક્સેસ કંટ્રોલ અમલીકરણ માટે શ્રેષ્ઠ પ્રયાસો · એડમિનિસ્ટ્રેટર તરીકે, વપરાશકર્તાઓની સૂચિ નક્કી કરો અને વપરાશકર્તાઓને પૂર્વવ્યાખ્યાયિત ભૂમિકાઓ સોંપો. માજી માટેampતેથી, વપરાશકર્તા "નેટવર્કએડમિન" બનાવી શકાય છે અને વપરાશકર્તા જૂથ "વહીવટકર્તાઓ" માં ઉમેરી શકાય છે.
રૂપરેખાંકિત ટર્મિનલ rbac પ્રમાણીકરણ વપરાશકર્તાઓ બનાવો-વપરાશકર્તા નામ નેટવર્ક એડમિન પાસવર્ડ Test1_pass ભૂમિકા સંચાલકો પ્રતિબદ્ધ
નોંધ વપરાશકર્તા જૂથો અથવા ભૂમિકાઓ સિસ્ટમ દ્વારા બનાવવામાં આવે છે. તમે વપરાશકર્તા જૂથ બનાવી અથવા સંશોધિત કરી શકતા નથી. પાસવર્ડ બદલવા માટે, વૈશ્વિક રૂપરેખાંકન મોડમાં rbac પ્રમાણીકરણ વપરાશકર્તાઓ user change-password આદેશનો ઉપયોગ કરો. વપરાશકર્તાની ભૂમિકા બદલવા માટે, વૈશ્વિક રૂપરેખાંકન મોડમાં rbac પ્રમાણીકરણ વપરાશકર્તાઓ user change-role આદેશનો ઉપયોગ કરો.
· જે વપરાશકર્તાઓને હવે ઍક્સેસની જરૂર નથી તેમના એકાઉન્ટને સમાપ્ત કરો.
રૂપરેખાંકિત ટર્મિનલ rbac પ્રમાણીકરણ વપરાશકર્તાઓ કાઢી નાખો-વપરાશકર્તા નામ test1
· ભૂમિકાઓનું મૂલ્યાંકન કરવા માટે સમયાંતરે ઓડિટ કરો, જે કર્મચારીઓ તેમને સોંપવામાં આવ્યા છે અને દરેક ભૂમિકા માટે મંજૂરી આપવામાં આવેલ ઍક્સેસ. જો કોઈ વપરાશકર્તાને ચોક્કસ સિસ્ટમની બિનજરૂરી ઍક્સેસ હોવાનું જણાય છે, તો વપરાશકર્તાની ભૂમિકા બદલો.
વધુ વિગતો માટે જુઓ, વપરાશકર્તાઓ, ભૂમિકાઓ અને પ્રમાણીકરણ
દાણાદાર ભૂમિકા-આધારિત ઍક્સેસ નિયંત્રણ NFVIS 4.7.1 થી શરૂ કરીને, દાણાદાર ભૂમિકા-આધારિત એક્સેસ કંટ્રોલ સુવિધા રજૂ કરવામાં આવી છે. આ લક્ષણ નવી સંસાધન જૂથ નીતિ ઉમેરે છે જે VM અને VNF નું સંચાલન કરે છે અને VNF જમાવટ દરમિયાન, VNF ઍક્સેસને નિયંત્રિત કરવા માટે તમને વપરાશકર્તાઓને જૂથને સોંપવાની મંજૂરી આપે છે. વધુ માહિતી માટે, ગ્રેન્યુલર રોલ-બેઝ્ડ એક્સેસ કંટ્રોલ જુઓ.

સુરક્ષા વિચારણાઓ 11

ઉપકરણની ઍક્સેસિબિલિટીને પ્રતિબંધિત કરો

સુરક્ષા વિચારણાઓ

ઉપકરણની ઍક્સેસિબિલિટીને પ્રતિબંધિત કરો
વપરાશકર્તાઓ વારંવાર એવા લક્ષણો સામે હુમલાઓ દ્વારા અજાણતા પકડાયા છે જે તેઓ સુરક્ષિત ન હતા કારણ કે તેઓ જાણતા ન હતા કે તે સુવિધાઓ સક્ષમ છે. બિનઉપયોગી સેવાઓને ડિફોલ્ટ રૂપરેખાંકનો સાથે છોડી દેવામાં આવે છે જે હંમેશા સુરક્ષિત હોતી નથી. આ સેવાઓ પણ ડિફૉલ્ટ પાસવર્ડનો ઉપયોગ કરતી હોઈ શકે છે. કેટલીક સેવાઓ હુમલાખોરને સર્વર શું ચાલી રહ્યું છે અથવા નેટવર્ક કેવી રીતે સેટઅપ છે તેની માહિતીની સરળ ઍક્સેસ આપી શકે છે. નીચેના વિભાગો વર્ણવે છે કે કેવી રીતે NFVIS આવા સુરક્ષા જોખમોને ટાળે છે:

હુમલો વેક્ટર ઘટાડો
સૉફ્ટવેરના કોઈપણ ભાગમાં સંભવિતપણે સુરક્ષા નબળાઈઓ હોઈ શકે છે. વધુ સોફ્ટવેર એટલે હુમલા માટે વધુ માર્ગો. જો સમાવેશ કરતી વખતે કોઈ સાર્વજનિક રૂપે જાણીતી નબળાઈઓ ન હોય તો પણ, નબળાઈઓ કદાચ ભવિષ્યમાં શોધવામાં આવશે અથવા જાહેર કરવામાં આવશે. આવા દૃશ્યોને ટાળવા માટે, ફક્ત તે જ સોફ્ટવેર પેકેજો કે જે NFVIS કાર્યક્ષમતા માટે જરૂરી છે તે ઇન્સ્ટોલ કરવામાં આવે છે. આ સૉફ્ટવેરની નબળાઈઓને મર્યાદિત કરવામાં, સંસાધનનો વપરાશ ઘટાડવામાં અને જ્યારે તે પેકેજોમાં સમસ્યાઓ જોવા મળે ત્યારે વધારાનું કામ ઘટાડવામાં મદદ કરે છે. NFVIS માં સમાવિષ્ટ તમામ તૃતીય-પક્ષ સોફ્ટવેર સિસ્કોમાં કેન્દ્રીય ડેટાબેઝ પર નોંધાયેલ છે જેથી સિસ્કો કંપની સ્તરે સંગઠિત પ્રતિભાવ (કાનૂની, સુરક્ષા, વગેરે) કરવા સક્ષમ બને. જાણીતી સામાન્ય નબળાઈઓ અને એક્સપોઝર (CVE) માટે સોફ્ટવેર પેકેજો સમયાંતરે દરેક પ્રકાશનમાં પેચ કરવામાં આવે છે.

ડિફૉલ્ટ રૂપે માત્ર આવશ્યક બંદરોને સક્ષમ કરી રહ્યું છે

ફક્ત તે સેવાઓ કે જે NFVIS ને સેટઅપ અને મેનેજ કરવા માટે એકદમ જરૂરી છે તે ડિફોલ્ટ રૂપે ઉપલબ્ધ છે. આ ફાયરવોલને રૂપરેખાંકિત કરવા અને બિનજરૂરી સેવાઓની ઍક્સેસને નકારવા માટે જરૂરી વપરાશકર્તા પ્રયત્નોને દૂર કરે છે. ડિફૉલ્ટ રૂપે સક્ષમ કરેલી માત્ર સેવાઓ જ તેઓ ખોલે છે તે બંદરો સાથે નીચે સૂચિબદ્ધ છે.

ઓપન પોર્ટ

સેવા

વર્ણન

22 / TCP

SSH

NFVIS માં રિમોટ કમાન્ડ-લાઇન એક્સેસ માટે સિક્યોર સોકેટ શેલ

80 / TCP

HTTP

NFVIS પોર્ટલ એક્સેસ માટે હાઇપરટેક્સ્ટ ટ્રાન્સફર પ્રોટોકોલ. NFVIS દ્વારા પ્રાપ્ત થયેલ તમામ HTTP ટ્રાફિકને HTTPS માટે પોર્ટ 443 પર રીડાયરેક્ટ કરવામાં આવે છે

443 / TCP

HTTPS

સુરક્ષિત NFVIS પોર્ટલ એક્સેસ માટે હાઇપરટેક્સ્ટ ટ્રાન્સફર પ્રોટોકોલ સિક્યોર

830 / TCP

NETCONF-ssh

SSH પર નેટવર્ક કન્ફિગરેશન પ્રોટોકોલ (NETCONF) માટે પોર્ટ ખોલવામાં આવ્યું. NETCONF એક પ્રોટોકોલ છે જેનો ઉપયોગ NFVIS ના સ્વચાલિત રૂપરેખાંકન માટે અને NFVIS તરફથી અસુમેળ ઘટના સૂચનાઓ પ્રાપ્ત કરવા માટે થાય છે.

161/UDP

SNMP

સરળ નેટવર્ક મેનેજમેન્ટ પ્રોટોકોલ (SNMP). NFVIS દ્વારા રિમોટ નેટવર્ક-મોનિટરિંગ એપ્લિકેશનો સાથે વાતચીત કરવા માટે વપરાય છે. વધુ માહિતી માટે જુઓ, SNMP વિશે પરિચય

સુરક્ષા વિચારણાઓ 12

સુરક્ષા વિચારણાઓ

અધિકૃત સેવાઓ માટે અધિકૃત નેટવર્ક્સની ઍક્સેસને પ્રતિબંધિત કરો

અધિકૃત સેવાઓ માટે અધિકૃત નેટવર્ક્સની ઍક્સેસને પ્રતિબંધિત કરો

માત્ર અધિકૃત પ્રવર્તકોને જ ઉપકરણ સંચાલન ઍક્સેસ કરવાનો પ્રયાસ કરવાની પરવાનગી હોવી જોઈએ, અને ઍક્સેસ ફક્ત તે સેવાઓનો જ હોવો જોઈએ જેનો તેઓ ઉપયોગ કરવા માટે અધિકૃત છે. NFVIS ને એવી રીતે ગોઠવી શકાય છે કે ઍક્સેસ જાણીતા, વિશ્વસનીય સ્ત્રોતો અને અપેક્ષિત મેનેજમેન્ટ ટ્રાફિક પ્રો સુધી પ્રતિબંધિત છે.files આ અનધિકૃત ઍક્સેસ અને અન્ય હુમલાઓ, જેમ કે બ્રુટ ફોર્સ, ડિક્શનરી અથવા DoS હુમલાઓનું જોખમ ઘટાડે છે.
NFVIS મેનેજમેન્ટ ઈન્ટરફેસને બિનજરૂરી અને સંભવિત હાનિકારક ટ્રાફિકથી બચાવવા માટે, એડમિન વપરાશકર્તા પ્રાપ્ત થયેલા નેટવર્ક ટ્રાફિક માટે એક્સેસ કંટ્રોલ લિસ્ટ (ACL) બનાવી શકે છે. આ ACL એ સ્રોત IP સરનામા/નેટવર્કનો ઉલ્લેખ કરે છે કે જ્યાંથી ટ્રાફિક ઉદ્દભવે છે, અને ટ્રાફિકનો પ્રકાર કે જેને આ સ્રોતોમાંથી મંજૂરી આપવામાં આવી છે અથવા નકારવામાં આવી છે. આ IP ટ્રાફિક ફિલ્ટર્સ NFVIS પરના દરેક મેનેજમેન્ટ ઇન્ટરફેસ પર લાગુ થાય છે. નીચેના પરિમાણો IP પ્રાપ્ત એક્સેસ કંટ્રોલ લિસ્ટ (ip-receive-acl) માં ગોઠવેલા છે

પરિમાણ

મૂલ્ય

વર્ણન

સોર્સ નેટવર્ક/નેટમાસ્ક

નેટવર્ક/નેટમાસ્ક. માજી માટેample: 0.0.0.0/0
172.39.162.0/24

આ ફીલ્ડ IP સરનામું/નેટવર્કનો ઉલ્લેખ કરે છે જ્યાંથી ટ્રાફિક ઉદ્ભવે છે

સેવા ક્રિયા

https icmp netconf scpd snmp ssh ડ્રોપ અસ્વીકાર સ્વીકારો

ઉલ્લેખિત સ્ત્રોતમાંથી ટ્રાફિકનો પ્રકાર.
સ્ત્રોત નેટવર્કમાંથી ટ્રાફિક પર લેવા માટેની કાર્યવાહી. સ્વીકાર સાથે, નવા કનેક્શન પ્રયાસો મંજૂર કરવામાં આવશે. અસ્વીકાર સાથે, કનેક્શન પ્રયાસો સ્વીકારવામાં આવશે નહીં. જો નિયમ HTTPS, NETCONF, SCP, SSH જેવી TCP આધારિત સેવા માટે છે, તો સ્ત્રોતને TCP રીસેટ (RST) પેકેટ મળશે. બિન-TCP નિયમો જેમ કે SNMP અને ICMP માટે, પેકેટ છોડવામાં આવશે. ડ્રોપ સાથે, બધા પેકેટો તરત જ છોડી દેવામાં આવશે, સ્ત્રોતને મોકલવામાં આવેલી કોઈ માહિતી નથી.

સુરક્ષા વિચારણાઓ 13

વિશેષાધિકૃત ડીબગ એક્સેસ

સુરક્ષા વિચારણાઓ

પરિમાણ પ્રાધાન્યતા

મૂલ્ય A સંખ્યાત્મક મૂલ્ય

વર્ણન
પ્રાધાન્યતાનો ઉપયોગ નિયમો પરના આદેશને લાગુ કરવા માટે થાય છે. પ્રાધાન્યતા માટે ઉચ્ચ આંકડાકીય મૂલ્ય ધરાવતા નિયમોને સાંકળમાં વધુ નીચે ઉમેરવામાં આવશે. જો તમે એ સુનિશ્ચિત કરવા માંગતા હોવ કે બીજા એક પછી નિયમ ઉમેરવામાં આવશે, તો પ્રથમ માટે ઓછી પ્રાધાન્યતા નંબર અને નીચેના માટે ઉચ્ચ અગ્રતા નંબરનો ઉપયોગ કરો.

નીચેના એસample રૂપરેખાંકનો અમુક દૃશ્યો દર્શાવે છે કે જે ચોક્કસ ઉપયોગ-કેસો માટે અનુકૂળ થઈ શકે છે.
IP પ્રાપ્ત ACL ને ગોઠવી રહ્યું છે
ACL જેટલું વધુ પ્રતિબંધિત, અનધિકૃત ઍક્સેસ પ્રયાસો માટે વધુ મર્યાદિત. જો કે, વધુ પ્રતિબંધિત ACL મેનેજમેન્ટ ઓવરહેડ બનાવી શકે છે, અને મુશ્કેલીનિવારણ કરવા માટે સુલભતાને અસર કરી શકે છે. પરિણામે, સંતુલન ધ્યાનમાં લેવાનું છે. એક સમાધાન એ છે કે માત્ર આંતરિક કોર્પોરેટ IP સરનામાંની ઍક્સેસને પ્રતિબંધિત કરવી. દરેક ગ્રાહકે તેમની પોતાની સુરક્ષા નીતિ, જોખમો, એક્સપોઝર અને તેની સ્વીકૃતિના સંબંધમાં ACL ના અમલીકરણનું મૂલ્યાંકન કરવું જોઈએ.
સબનેટમાંથી ssh ટ્રાફિક નકારો:

nfvis(config)# સિસ્ટમ સેટિંગ્સ ip-receive-acl 171.70.63.0/24 સેવા ssh ક્રિયા અગ્રતા 1 નકારી કાઢો

ACL ને દૂર કરવું:
જ્યારે ip-receive-acl માંથી એન્ટ્રી કાઢી નાખવામાં આવે છે, ત્યારે તે સ્ત્રોતની તમામ રૂપરેખાંકનો કાઢી નાખવામાં આવે છે કારણ કે સ્રોત IP સરનામું કી છે. માત્ર એક સેવાને કાઢી નાખવા માટે, અન્ય સેવાઓને ફરીથી ગોઠવો.

nfvis(config)# કોઈ સિસ્ટમ સેટિંગ્સ નથી ip-receive-acl 171.70.63.0/24
વધુ વિગતો માટે જુઓ, આઈપી રીસીવ એસીએલને ગોઠવી રહ્યું છે
વિશેષાધિકૃત ડીબગ એક્સેસ
NFVIS પર સુપર-યુઝર એકાઉન્ટ ડિફૉલ્ટ રૂપે અક્ષમ છે, તમામ અનિયંત્રિત, સંભવિત રૂપે પ્રતિકૂળ, સિસ્ટમ-વ્યાપી ફેરફારોને રોકવા માટે અને NFVIS સિસ્ટમ શેલને વપરાશકર્તા માટે ખુલ્લું પાડતું નથી.
જો કે, NFVIS સિસ્ટમ પર ડિબગ કરવા માટે કેટલીક મુશ્કેલ સમસ્યાઓ માટે, સિસ્કો ટેકનિકલ આસિસ્ટન્સ સેન્ટર ટીમ (TAC) અથવા ડેવલપમેન્ટ ટીમને ગ્રાહકના NFVIS પર શેલ એક્સેસની જરૂર પડી શકે છે. NFVIS પાસે એક સુરક્ષિત અનલૉક ઈન્ફ્રાસ્ટ્રક્ચર છે તેની ખાતરી કરવા માટે કે ક્ષેત્રમાં કોઈ ઉપકરણની વિશેષાધિકૃત ડીબગ ઍક્સેસ અધિકૃત સિસ્કો કર્મચારીઓ માટે પ્રતિબંધિત છે. આ પ્રકારના ઇન્ટરેક્ટિવ ડિબગીંગ માટે Linux શેલને સુરક્ષિત રીતે એક્સેસ કરવા માટે, NFVIS અને Cisco દ્વારા જાળવવામાં આવેલ ઇન્ટરેક્ટિવ ડિબગીંગ સર્વર વચ્ચે ચેલેન્જ-રિસ્પોન્સ ઓથેન્ટિકેશન મિકેનિઝમનો ઉપયોગ કરવામાં આવે છે. ગ્રાહકની સંમતિથી ઉપકરણને ઍક્સેસ કરવામાં આવે છે તેની ખાતરી કરવા માટે ચેલેન્જ-રિસ્પોન્સ એન્ટ્રી ઉપરાંત એડમિન વપરાશકર્તાનો પાસવર્ડ પણ જરૂરી છે.
ઇન્ટરેક્ટિવ ડિબગીંગ માટે શેલને ઍક્સેસ કરવાનાં પગલાં:
1. એડમિન વપરાશકર્તા આ છુપાયેલા આદેશનો ઉપયોગ કરીને આ પ્રક્રિયા શરૂ કરે છે.

nfvis# સિસ્ટમ શેલ-એક્સેસ

સુરક્ષા વિચારણાઓ 14

સુરક્ષા વિચારણાઓ

સુરક્ષિત ઈન્ટરફેસ

2. સ્ક્રીન એક પડકાર શબ્દમાળા બતાવશે, ઉદાહરણ તરીકેampલે:
ચેલેન્જ સ્ટ્રિંગ (કૃપા કરીને ફૂદડી રેખાઓ વચ્ચેની દરેક વસ્તુને વિશિષ્ટ રીતે કૉપિ કરો):
******************************************************************************** SPH//wkAAABORlZJU0VOQ1M1NDA4L0s5AQAAABt+dcx+hB0V06r9RkdMMjEzNTgw RlHq7BxeAAA= DONE. ********************************************************************************
3. સિસ્કો સભ્ય સિસ્કો દ્વારા જાળવવામાં આવતા ઇન્ટરેક્ટિવ ડીબગ સર્વર પર ચેલેન્જ સ્ટ્રિંગમાં પ્રવેશ કરે છે. આ સર્વર ચકાસે છે કે સિસ્કો વપરાશકર્તા શેલનો ઉપયોગ કરીને NFVIS ને ડિબગ કરવા માટે અધિકૃત છે, અને પછી પ્રતિભાવ સ્ટ્રિંગ પરત કરે છે.
4. આ પ્રોમ્પ્ટની નીચે સ્ક્રીન પર પ્રતિભાવ સ્ટ્રિંગ દાખલ કરો: તૈયાર થવા પર તમારો પ્રતિસાદ ઇનપુટ કરો:
5. જ્યારે પૂછવામાં આવે, ત્યારે ગ્રાહકે એડમિન પાસવર્ડ દાખલ કરવો જોઈએ. 6. જો પાસવર્ડ માન્ય હોય તો તમને શેલ-એક્સેસ મળશે. 7. વિકાસ અથવા TAC ટીમ ડિબગીંગ સાથે આગળ વધવા માટે શેલનો ઉપયોગ કરે છે. 8. શેલ-એક્સેસમાંથી બહાર નીકળવા માટે Exit ટાઈપ કરો.
સુરક્ષિત ઈન્ટરફેસ
ડાયાગ્રામમાં બતાવેલ ઈન્ટરફેસનો ઉપયોગ કરીને NFVIS મેનેજમેન્ટ એક્સેસની મંજૂરી છે. નીચેના વિભાગો NFVIS માટે આ ઈન્ટરફેસો માટે સુરક્ષા શ્રેષ્ઠ પ્રયાસોનું વર્ણન કરે છે.

કન્સોલ SSH

કન્સોલ પોર્ટ એ અસુમેળ સીરીયલ પોર્ટ છે જે તમને પ્રારંભિક રૂપરેખાંકન માટે NFVIS CLI સાથે જોડાવા માટે પરવાનગી આપે છે. વપરાશકર્તા NFVIS ની ભૌતિક ઍક્સેસ સાથે અથવા ટર્મિનલ સર્વરના ઉપયોગ દ્વારા રિમોટ એક્સેસ સાથે કન્સોલને ઍક્સેસ કરી શકે છે. જો ટર્મિનલ સર્વર દ્વારા કન્સોલ પોર્ટ એક્સેસ જરૂરી હોય, તો માત્ર જરૂરી સ્ત્રોત સરનામાંઓમાંથી જ એક્સેસને મંજૂરી આપવા માટે ટર્મિનલ સર્વર પર એક્સેસ લિસ્ટને ગોઠવો.
વપરાશકર્તાઓ રિમોટ લૉગિનના સુરક્ષિત માધ્યમ તરીકે SSH નો ઉપયોગ કરીને NFVIS CLI ઍક્સેસ કરી શકે છે. NFVIS મેનેજમેન્ટ ટ્રાફિકની અખંડિતતા અને ગોપનીયતા પ્રશાસિત નેટવર્કની સુરક્ષા માટે આવશ્યક છે કારણ કે એડમિનિસ્ટ્રેશન પ્રોટોકોલ વારંવાર માહિતી વહન કરે છે જેનો ઉપયોગ નેટવર્કમાં પ્રવેશવા અથવા વિક્ષેપિત કરવા માટે થઈ શકે છે.

સુરક્ષા વિચારણાઓ 15

CLI સત્ર સમયસમાપ્ત

સુરક્ષા વિચારણાઓ

NFVIS SSH વર્ઝન 2 નો ઉપયોગ કરે છે, જે ઇન્ટરેક્ટિવ લોગિન માટે સિસ્કો અને ઈન્ટરનેટનો ડી ફેક્ટો સ્ટાન્ડર્ડ પ્રોટોકોલ છે અને સિસ્કોની અંદર સુરક્ષા અને ટ્રસ્ટ સંસ્થા દ્વારા ભલામણ કરાયેલ મજબૂત એન્ક્રિપ્શન, હેશ અને કી એક્સચેન્જ અલ્ગોરિધમ્સને સપોર્ટ કરે છે.

CLI સત્ર સમયસમાપ્ત
SSH દ્વારા લૉગ ઇન કરીને, વપરાશકર્તા NFVIS સાથે સત્ર સ્થાપિત કરે છે. જ્યારે વપરાશકર્તા લૉગ ઇન કરે છે, જો વપરાશકર્તા લૉગ-ઇન સત્રને અડ્યા વિના છોડી દે છે, તો આ નેટવર્કને સુરક્ષા જોખમમાં મૂકી શકે છે. સત્ર સુરક્ષા આંતરિક હુમલાના જોખમને મર્યાદિત કરે છે, જેમ કે એક વપરાશકર્તા બીજા વપરાશકર્તાના સત્રનો ઉપયોગ કરવાનો પ્રયાસ કરે છે.
આ જોખમને ઓછું કરવા માટે, NFVIS 15 મિનિટની નિષ્ક્રિયતા પછી CLI સત્રોમાંથી સમય કાઢી નાખે છે. જ્યારે સત્રનો સમય સમાપ્ત થાય છે, ત્યારે વપરાશકર્તા આપમેળે લૉગ આઉટ થઈ જાય છે.

NETCONF

નેટવર્ક કન્ફિગરેશન પ્રોટોકોલ (NETCONF) નેટવર્ક ઉપકરણોના સ્વચાલિત રૂપરેખાંકન માટે IETF દ્વારા વિકસિત અને પ્રમાણિત કરાયેલ નેટવર્ક મેનેજમેન્ટ પ્રોટોકોલ છે.
NETCONF પ્રોટોકોલ રૂપરેખાંકન ડેટા તેમજ પ્રોટોકોલ સંદેશાઓ માટે એક્સ્ટેન્સિબલ માર્કઅપ લેંગ્વેજ (XML) આધારિત ડેટા એન્કોડિંગનો ઉપયોગ કરે છે. પ્રોટોકોલ સંદેશાઓ સુરક્ષિત પરિવહન પ્રોટોકોલની ટોચ પર વિનિમય કરવામાં આવે છે.
NETCONF NFVIS ને XML-આધારિત API ને ઉજાગર કરવાની મંજૂરી આપે છે જેનો ઉપયોગ નેટવર્ક ઓપરેટર SSH પર સુરક્ષિત રીતે ગોઠવણી ડેટા અને ઇવેન્ટ સૂચનાઓ સેટ કરવા અને મેળવવા માટે કરી શકે છે.
વધુ માહિતી માટે જુઓ, NETCONF ઇવેન્ટ સૂચનાઓ.

REST API

NFVIS ને HTTPS પર RESTful API નો ઉપયોગ કરીને ગોઠવી શકાય છે. REST API વિનંતી કરતી સિસ્ટમોને સ્ટેટલેસ કામગીરીના એકસમાન અને પૂર્વવ્યાખ્યાયિત સમૂહનો ઉપયોગ કરીને NFVIS રૂપરેખાંકનને ઍક્સેસ કરવા અને તેને ચાલાકી કરવાની મંજૂરી આપે છે. તમામ REST API પરની વિગતો NFVIS API સંદર્ભ માર્ગદર્શિકામાં મળી શકે છે.
જ્યારે વપરાશકર્તા REST API જારી કરે છે, ત્યારે NFVIS સાથે સત્ર સ્થાપિત થાય છે. સેવા હુમલાઓને નકારવા સંબંધિત જોખમોને મર્યાદિત કરવા માટે, NFVIS સહવર્તી REST સત્રોની કુલ સંખ્યાને 100 સુધી મર્યાદિત કરે છે.

NFVIS Web પોર્ટલ
NFVIS પોર્ટલ એ છે web-આધારિત ગ્રાફિકલ યુઝર ઈન્ટરફેસ કે જે NFVIS વિશે માહિતી દર્શાવે છે. પોર્ટલ વપરાશકર્તાને NFVIS CLI અને API ને જાણ્યા વિના HTTPS પર NFVIS ને ગોઠવવા અને મોનિટર કરવા માટે સરળ માધ્યમો સાથે રજૂ કરે છે.

સત્ર સંચાલન
HTTP અને HTTPS ની સ્ટેટલેસ પ્રકૃતિ માટે અનન્ય સત્ર IDs અને કૂકીઝના ઉપયોગ દ્વારા વપરાશકર્તાઓને અનન્ય રીતે ટ્રેક કરવાની પદ્ધતિની જરૂર છે.
NFVIS વપરાશકર્તાના સત્રને એન્ક્રિપ્ટ કરે છે. AES-256-CBC સાઇફરનો ઉપયોગ HMAC-SHA-256 પ્રમાણીકરણ સાથે સત્રની સામગ્રીઓને એન્ક્રિપ્ટ કરવા માટે થાય છે. tag. દરેક એન્ક્રિપ્શન ઓપરેશન માટે રેન્ડમ 128-બીટ ઇનિશિયલાઇઝેશન વેક્ટર જનરેટ થાય છે.
જ્યારે પોર્ટલ સત્ર બનાવવામાં આવે ત્યારે ઓડિટ રેકોર્ડ શરૂ થાય છે. જ્યારે વપરાશકર્તા લૉગ આઉટ થાય અથવા સત્રનો સમય સમાપ્ત થાય ત્યારે સત્રની માહિતી કાઢી નાખવામાં આવે છે.
પોર્ટલ સત્રો માટે ડિફોલ્ટ નિષ્ક્રિય સમયસમાપ્તિ 15 મિનિટ છે. જો કે, આ વર્તમાન સત્ર માટે સેટિંગ્સ પૃષ્ઠ પર 5 અને 60 મિનિટની વચ્ચેના મૂલ્યમાં ગોઠવી શકાય છે. આ પછી ઓટો-લોગઆઉટ શરૂ કરવામાં આવશે

સુરક્ષા વિચારણાઓ 16

સુરક્ષા વિચારણાઓ

HTTPS

HTTPS

સમયગાળો એક બ્રાઉઝરમાં બહુવિધ સત્રોની પરવાનગી નથી. સહવર્તી સત્રોની મહત્તમ સંખ્યા 30 પર સેટ છે. NFVIS પોર્ટલ વપરાશકર્તા સાથે ડેટાને સાંકળવા માટે કૂકીઝનો ઉપયોગ કરે છે. તે ઉન્નત સુરક્ષા માટે નીચેની કૂકી ગુણધર્મોનો ઉપયોગ કરે છે:
· જ્યારે બ્રાઉઝર બંધ હોય ત્યારે કૂકીની સમયસીમા સમાપ્ત થાય તેની ખાતરી કરવા માટે ક્ષણિક · http માત્ર JavaScript થી કૂકીને અગમ્ય બનાવવા માટે · સુરક્ષિત પ્રોક્સી ખાતરી કરવા માટે કે કૂકી માત્ર SSL પર મોકલી શકાય છે.
પ્રમાણીકરણ પછી પણ, ક્રોસ-સાઇટ વિનંતી ફોર્જરી (CSRF) જેવા હુમલા શક્ય છે. આ દૃશ્યમાં, અંતિમ વપરાશકર્તા અજાણતાં a પર અનિચ્છનીય ક્રિયાઓ કરી શકે છે web એપ્લિકેશન જેમાં તેઓ હાલમાં પ્રમાણિત છે. આને રોકવા માટે, NFVIS દરેક REST API ને માન્ય કરવા માટે CSRF ટોકન્સનો ઉપયોગ કરે છે જે દરેક સત્ર દરમિયાન બોલાવવામાં આવે છે.
URL રીડાયરેક્શન લાક્ષણિકમાં web સર્વર્સ, જ્યારે પર કોઈ પૃષ્ઠ મળ્યું નથી web સર્વર, વપરાશકર્તાને 404 સંદેશ મળે છે; જે પૃષ્ઠો અસ્તિત્વમાં છે, તેઓને લોગિન પૃષ્ઠ મળે છે. આની સુરક્ષા અસર એ છે કે હુમલાખોર બ્રુટ ફોર્સ સ્કેન કરી શકે છે અને સરળતાથી શોધી શકે છે કે કયા પૃષ્ઠો અને ફોલ્ડર્સ અસ્તિત્વમાં છે. NFVIS પર આને રોકવા માટે, બધા અસ્તિત્વમાં નથી URLઉપકરણ IP સાથે s ઉપસર્ગને 301 સ્ટેટસ રિસ્પોન્સ કોડ સાથે પોર્ટલ લોગિન પેજ પર રીડાયરેક્ટ કરવામાં આવે છે. આનો અર્થ એ છે કે ગમે તે હોય URL હુમલાખોર દ્વારા વિનંતી કરવામાં આવે તો, તેઓ હંમેશા પોતાની જાતને પ્રમાણિત કરવા માટે લોગિન પૃષ્ઠ મેળવશે. બધી HTTP સર્વર વિનંતીઓ HTTPS પર રીડાયરેક્ટ કરવામાં આવે છે અને નીચેના હેડરો ગોઠવેલા હોય છે:
· X-સામગ્રી-પ્રકાર-વિકલ્પો · X-XSS-પ્રોટેક્શન · સામગ્રી-સુરક્ષા-નીતિ · X-ફ્રેમ-વિકલ્પો · કડક-પરિવહન-સુરક્ષા · કેશ-નિયંત્રણ
પોર્ટલને અક્ષમ કરી રહ્યું છે NFVIS પોર્ટલ એક્સેસ ડિફોલ્ટ રૂપે સક્ષમ છે. જો તમે પોર્ટલનો ઉપયોગ કરવાનું વિચારી રહ્યા નથી, તો આ આદેશનો ઉપયોગ કરીને પોર્ટલ એક્સેસને અક્ષમ કરવાની ભલામણ કરવામાં આવે છે:
ટર્મિનલ સિસ્ટમ પોર્ટલ ઍક્સેસ અક્ષમ કમિટ ગોઠવો
NFVIS માં અને તેમાંથી તમામ HTTPS ડેટા સમગ્ર નેટવર્કમાં વાતચીત કરવા માટે ટ્રાન્સપોર્ટ લેયર સિક્યુરિટી (TLS) નો ઉપયોગ કરે છે. TLS એ સિક્યોર સોકેટ લેયર (SSL) નો અનુગામી છે.

સુરક્ષા વિચારણાઓ 17

HTTPS

સુરક્ષા વિચારણાઓ
TLS હેન્ડશેકમાં પ્રમાણીકરણનો સમાવેશ થાય છે જે દરમિયાન ક્લાયંટ સર્વરના SSL પ્રમાણપત્રને પ્રમાણપત્ર સત્તાધિકાર સાથે ચકાસે છે જેણે તેને જારી કર્યું છે. આ પુષ્ટિ કરે છે કે સર્વર તે છે જે તે કહે છે, અને ક્લાયંટ ડોમેનના માલિક સાથે ક્રિયાપ્રતિક્રિયા કરી રહ્યું છે. ડિફૉલ્ટ રૂપે, NFVIS તેના ગ્રાહકોને તેની ઓળખ સાબિત કરવા માટે સ્વ-હસ્તાક્ષરિત પ્રમાણપત્રનો ઉપયોગ કરે છે. આ પ્રમાણપત્રમાં TLS એન્ક્રિપ્શનની સુરક્ષા વધારવા માટે 2048-બીટ સાર્વજનિક કી છે, કારણ કે એન્ક્રિપ્શનની મજબૂતાઈ સીધી કીના કદ સાથે સંબંધિત છે.
સર્ટિફિકેટ મેનેજમેન્ટ NFVIS જ્યારે પહેલીવાર ઇન્સ્ટોલ થાય ત્યારે સ્વ-હસ્તાક્ષરિત SSL પ્રમાણપત્ર જનરેટ કરે છે. આ પ્રમાણપત્રને સુસંગત પ્રમાણપત્ર સત્તાધિકારી (CA) દ્વારા હસ્તાક્ષર કરેલ માન્ય પ્રમાણપત્ર સાથે બદલવું સલામતી શ્રેષ્ઠ પ્રથા છે. ડિફોલ્ટ સ્વ-હસ્તાક્ષરિત પ્રમાણપત્રને બદલવા માટે નીચેના પગલાંઓનો ઉપયોગ કરો: 1. NFVIS પર પ્રમાણપત્ર હસ્તાક્ષર વિનંતી (CSR) જનરેટ કરો.
પ્રમાણપત્ર સહી કરવાની વિનંતી (CSR) એ છે file એન્કોડેડ ટેક્સ્ટના બ્લોક સાથે જે SSL પ્રમાણપત્ર માટે અરજી કરતી વખતે પ્રમાણપત્ર અધિકારીને આપવામાં આવે છે. આ file માહિતી સમાવે છે કે જે પ્રમાણપત્રમાં સમાવિષ્ટ હોવી જોઈએ જેમ કે સંસ્થાનું નામ, સામાન્ય નામ (ડોમેન નામ), વિસ્તાર અને દેશ. આ file સાર્વજનિક કી પણ સમાવે છે જે પ્રમાણપત્રમાં સમાવિષ્ટ થવી જોઈએ. NFVIS એ 2048-બીટ સાર્વજનિક કીનો ઉપયોગ કરે છે કારણ કે ઉચ્ચ કી કદ સાથે એન્ક્રિપ્શન શક્તિ વધારે છે. NFVIS પર CSR જનરેટ કરવા માટે, નીચેનો આદેશ ચલાવો:
nfvis# સિસ્ટમ પ્રમાણપત્ર હસ્તાક્ષર-વિનંતી [સામાન્ય-નામ દેશ-કોડ સ્થાનિક સંસ્થા સંસ્થા-એકમ-નામ રાજ્ય] CSR file /data/intdatastore/download/nfvis.csr તરીકે સાચવવામાં આવે છે. . 2. CSR નો ઉપયોગ કરીને CA પાસેથી SSL પ્રમાણપત્ર મેળવો. બાહ્ય હોસ્ટમાંથી, પ્રમાણપત્ર સહી કરવાની વિનંતી ડાઉનલોડ કરવા માટે scp આદેશનો ઉપયોગ કરો.
[myhost:/tmp] > scp -P 22222 admin@ :/data/intdatastore/download/nfvis.csrfile-નામ>
આ CSR નો ઉપયોગ કરીને નવું SSL સર્વર પ્રમાણપત્ર આપવા માટે પ્રમાણપત્ર અધિકારીનો સંપર્ક કરો. 3. CA સહી કરેલ પ્રમાણપત્ર ઇન્સ્ટોલ કરો.
બાહ્ય સર્વરમાંથી, પ્રમાણપત્ર અપલોડ કરવા માટે scp આદેશનો ઉપયોગ કરો file ડેટા/ઇન્ટડેટાસ્ટોર માટે NFVIS માં/uploads/ ડિરેક્ટરી.
[myhost:/tmp] > scp -P 22222 file> admin@ :/data/intdatastore/uploads
નીચેના આદેશનો ઉપયોગ કરીને પ્રમાણપત્રને NFVIS માં ઇન્સ્ટોલ કરો.
nfvis# સિસ્ટમ પ્રમાણપત્ર ઇન્સ્ટોલ-સર્ટિ પાથ file:///data/intdatastore/uploads/<certificate file>
4. CA સહી કરેલ પ્રમાણપત્રનો ઉપયોગ કરીને સ્વિચ કરો. ડિફોલ્ટ સ્વ-હસ્તાક્ષરિત પ્રમાણપત્રને બદલે CA સહી કરેલ પ્રમાણપત્રનો ઉપયોગ શરૂ કરવા માટે નીચેના આદેશનો ઉપયોગ કરો.

સુરક્ષા વિચારણાઓ 18

સુરક્ષા વિચારણાઓ

SNMP ઍક્સેસ

nfvis(config)# સિસ્ટમ પ્રમાણપત્ર ઉપયોગ-પ્રમાણપત્ર-પ્રકાર ca- સહી કરેલ

SNMP ઍક્સેસ

સિમ્પલ નેટવર્ક મેનેજમેન્ટ પ્રોટોકોલ (SNMP) એ IP નેટવર્ક્સ પર સંચાલિત ઉપકરણો વિશેની માહિતી એકત્ર કરવા અને ગોઠવવા માટે અને ઉપકરણ વર્તન બદલવા માટે તે માહિતીને સંશોધિત કરવા માટેનો એક ઈન્ટરનેટ સ્ટાન્ડર્ડ પ્રોટોકોલ છે.
SNMP ના ત્રણ નોંધપાત્ર સંસ્કરણો વિકસાવવામાં આવ્યા છે. NFVIS SNMP સંસ્કરણ 1, સંસ્કરણ 2c અને સંસ્કરણ 3 ને સમર્થન આપે છે. SNMP સંસ્કરણ 1 અને 2 પ્રમાણીકરણ માટે સમુદાય શબ્દમાળાઓનો ઉપયોગ કરે છે, અને તે સાદા-ટેક્સ્ટમાં મોકલવામાં આવે છે. તેથી, તેના બદલે SNMP v3 નો ઉપયોગ કરવો એ સુરક્ષાની શ્રેષ્ઠ પ્રથા છે.
SNMPv3 ત્રણ પાસાઓનો ઉપયોગ કરીને ઉપકરણોને સુરક્ષિત ઍક્સેસ પ્રદાન કરે છે: - વપરાશકર્તાઓ, પ્રમાણીકરણ અને એન્ક્રિપ્શન. SNMPv3 SNMP મારફતે ઉપલબ્ધ માહિતીની ઍક્સેસને નિયંત્રિત કરવા માટે USM (યુઝર-આધારિત સુરક્ષા મોડ્યુલ) નો ઉપયોગ કરે છે. SNMP v3 વપરાશકર્તા પ્રમાણીકરણ પ્રકાર, ગોપનીયતા પ્રકાર તેમજ પાસફ્રેઝ સાથે ગોઠવેલ છે. જૂથ શેર કરતા બધા વપરાશકર્તાઓ સમાન SNMP સંસ્કરણનો ઉપયોગ કરે છે, જો કે, ચોક્કસ સુરક્ષા સ્તર સેટિંગ્સ (પાસવર્ડ, એન્ક્રિપ્શન પ્રકાર, વગેરે) પ્રતિ-વપરાશકર્તા નિર્દિષ્ટ છે.
નીચેનું કોષ્ટક SNMP માં સુરક્ષા વિકલ્પોનો સારાંશ આપે છે

મોડલ

સ્તર

પ્રમાણીકરણ

એન્સિપ્શન

પરિણામ

v1

noAuthNoPriv

સમુદાય શબ્દમાળા નં

સમુદાયનો ઉપયોગ કરે છે

માટે શબ્દમાળા મેચ

પ્રમાણીકરણ

v2c

noAuthNoPriv

સમુદાય શબ્દમાળા નં

પ્રમાણીકરણ માટે સમુદાય સ્ટ્રિંગ મેચનો ઉપયોગ કરે છે.

v3

noAuthNoPriv

વપરાશકર્તા નામ

ના

વપરાશકર્તા નામનો ઉપયોગ કરે છે

માટે મેચ

પ્રમાણીકરણ

v3

authNoPriv

સંદેશ ડાયજેસ્ટ 5 નં

પૂરી પાડે છે

(MD5)

પ્રમાણીકરણ આધારિત

or

HMAC-MD5-96 પર અથવા

સુરક્ષિત હેશ

HMAC-SHA-96

અલ્ગોરિધમ (SHA)

ગાણિતીક નિયમો

સુરક્ષા વિચારણાઓ 19

કાનૂની સૂચના બેનરો

સુરક્ષા વિચારણાઓ

મોડલ v3

લેવલ ઓથપ્રિવ

પ્રમાણીકરણ MD5 અથવા SHA

એન્સિપ્શન

પરિણામ

ડેટા એન્ક્રિપ્શન પ્રદાન કરે છે

માનક (DES) અથવા પ્રમાણીકરણ આધારિત

ઉન્નત

પર

એન્ક્રિપ્શન સ્ટાન્ડર્ડ HMAC-MD5-96 અથવા

(AES)

HMAC-SHA-96

ગાણિતીક નિયમો

સાઇફર બ્લોક ચેઇનિંગ મોડ (CBC-DES) માં DES સાઇફર અલ્ગોરિધમ પ્રદાન કરે છે

or

128-બીટ કી સાઇઝ (CFB128-AES-128) સાથે સાઇફર ફીડબેક મોડ (CFB) માં AES એન્ક્રિપ્શન અલ્ગોરિધમનો ઉપયોગ થાય છે.

NIST દ્વારા અપનાવવામાં આવ્યું ત્યારથી, AES સમગ્ર ઉદ્યોગમાં પ્રબળ એન્ક્રિપ્શન અલ્ગોરિધમ બની ગયું છે. MD5 થી દૂર અને SHA તરફ ઉદ્યોગના સ્થળાંતરને અનુસરવા માટે, SNMP v3 પ્રમાણીકરણ પ્રોટોકોલને SHA તરીકે અને ગોપનીયતા પ્રોટોકોલને AES તરીકે રૂપરેખાંકિત કરવાની સલામતી શ્રેષ્ઠ પ્રથા છે.
SNMP પર વધુ વિગતો માટે જુઓ, SNMP વિશે પરિચય

કાનૂની સૂચના બેનરો
એવી ભલામણ કરવામાં આવે છે કે તમામ ઇન્ટરેક્ટિવ સત્રો પર કાનૂની સૂચના બેનર હાજર હોય તે સુનિશ્ચિત કરવા માટે કે વપરાશકર્તાઓને સુરક્ષા નીતિ લાગુ કરવામાં આવી રહી છે અને તેઓ જેના આધીન છે તેની જાણ કરવામાં આવે. કેટલાક અધિકારક્ષેત્રોમાં, સિસ્ટમમાં ભંગ કરનાર હુમલાખોરની સિવિલ અને/અથવા ફોજદારી કાર્યવાહી સરળ છે, અથવા તો જરૂરી પણ છે, જો કાનૂની સૂચના બેનર રજૂ કરવામાં આવે, જે અનધિકૃત વપરાશકર્તાઓને જાણ કરે છે કે તેનો ઉપયોગ હકીકતમાં અનધિકૃત છે. કેટલાક અધિકારક્ષેત્રોમાં, અનધિકૃત વપરાશકર્તાની પ્રવૃત્તિ પર દેખરેખ રાખવા માટે પ્રતિબંધિત પણ હોઈ શકે છે સિવાય કે તેઓને આમ કરવાના ઈરાદા વિશે જાણ કરવામાં આવી હોય.
કાનૂની સૂચના આવશ્યકતાઓ જટિલ છે અને દરેક અધિકારક્ષેત્ર અને પરિસ્થિતિમાં બદલાય છે. અધિકારક્ષેત્રોમાં પણ, કાનૂની અભિપ્રાયો બદલાય છે. સૂચના બેનર કંપની, સ્થાનિક અને આંતરરાષ્ટ્રીય કાનૂની જરૂરિયાતોને પૂર્ણ કરે છે તેની ખાતરી કરવા માટે તમારા પોતાના કાનૂની સલાહકાર સાથે આ મુદ્દાની ચર્ચા કરો. સુરક્ષા ભંગની ઘટનામાં યોગ્ય પગલાં લેવા માટે આ ઘણીવાર મહત્વપૂર્ણ છે. કંપનીના કાનૂની સલાહકારના સહકારમાં, કાનૂની સૂચના બેનરમાં સમાવિષ્ટ નિવેદનોમાં નીચેનાનો સમાવેશ થાય છે:
· સૂચના કે સિસ્ટમની ઍક્સેસ અને ઉપયોગની પરવાનગી ફક્ત ખાસ અધિકૃત કર્મચારીઓ દ્વારા જ આપવામાં આવે છે, અને કદાચ કોણ ઉપયોગને અધિકૃત કરી શકે છે તે વિશેની માહિતી.
· સૂચના કે અનધિકૃત ઍક્સેસ અને સિસ્ટમનો ઉપયોગ ગેરકાનૂની છે, અને તે નાગરિક અને/અથવા ફોજદારી દંડને પાત્ર હોઈ શકે છે.
· સૂચના કે સિસ્ટમની ઍક્સેસ અને ઉપયોગ આગળની સૂચના વિના લોગ અથવા મોનિટર કરી શકાય છે, અને પરિણામી લોગનો ઉપયોગ કોર્ટમાં પુરાવા તરીકે થઈ શકે છે.
· ચોક્કસ સ્થાનિક કાયદાઓ દ્વારા જરૂરી વધારાની ચોક્કસ સૂચનાઓ.

સુરક્ષા વિચારણાઓ 20

સુરક્ષા વિચારણાઓ

ફેક્ટરી ડિફોલ્ટ રીસેટ

ના કાયદાકીય મુદ્દાને બદલે સુરક્ષામાંથી view, કાનૂની સૂચના બેનરમાં ઉપકરણ વિશે કોઈ વિશિષ્ટ માહિતી હોવી જોઈએ નહીં, જેમ કે તેનું નામ, મોડેલ, સૉફ્ટવેર, સ્થાન, ઑપરેટર અથવા માલિક કારણ કે આ પ્રકારની માહિતી હુમલાખોરને ઉપયોગી થઈ શકે છે.
નીચે મુજબ છેample કાનૂની સૂચના બેનર જે લૉગિન પહેલાં પ્રદર્શિત થઈ શકે છે:
આ ઉપકરણની અનધિકૃત ઍક્સેસ પ્રતિબંધિત છે તમારી પાસે આ ઉપકરણને ઍક્સેસ કરવા અથવા ગોઠવવા માટે સ્પષ્ટ, અધિકૃત પરવાનગી હોવી આવશ્યક છે. ઍક્સેસ અથવા ઉપયોગ કરવા માટે અનધિકૃત પ્રયાસો અને ક્રિયાઓ
આ સિસ્ટમ સિવિલ અને/અથવા ફોજદારી દંડમાં પરિણમી શકે છે. આ ઉપકરણ પર કરવામાં આવતી તમામ પ્રવૃત્તિઓ લોગ અને મોનિટર કરવામાં આવે છે

નોંધ કંપનીના કાનૂની સલાહકાર દ્વારા માન્ય કાનૂની સૂચના બેનર પ્રસ્તુત કરો.
NFVIS બેનર અને મેસેજ ઓફ ધ ડે (MOTD) ના રૂપરેખાંકનની મંજૂરી આપે છે. વપરાશકર્તા લૉગ ઇન થાય તે પહેલાં બૅનર પ્રદર્શિત થાય છે. એકવાર વપરાશકર્તા NFVIS માં લૉગ ઇન થઈ જાય, સિસ્ટમ-વ્યાખ્યાયિત બૅનર NFVIS વિશે કૉપિરાઇટ માહિતી પ્રદાન કરે છે, અને સંદેશ-ઓફ-ધ-ડે (MOTD), જો રૂપરેખાંકિત કરવામાં આવે છે, તે દેખાશે, ત્યારબાદ આદેશ વાક્ય પ્રોમ્પ્ટ અથવા પોર્ટલ view, લોગિન પદ્ધતિ પર આધાર રાખીને.
લોગિન પ્રોમ્પ્ટ રજૂ થાય તે પહેલા તમામ ઉપકરણ મેનેજમેન્ટ એક્સેસ સત્રો પર કાનૂની સૂચના બેનર રજૂ કરવામાં આવે તેની ખાતરી કરવા માટે લોગિન બેનર લાગુ કરવાની ભલામણ કરવામાં આવે છે. બેનર અને MOTD ને ગોઠવવા માટે આ આદેશનો ઉપયોગ કરો.
nfvis(config)# banner-motd બેનર motd
બેનર આદેશ વિશે વધુ માહિતી માટે, બેનર ગોઠવો, દિવસનો સંદેશ અને સિસ્ટમ સમય જુઓ.

ફેક્ટરી ડિફોલ્ટ રીસેટ
ફેક્ટરી રીસેટ એ તમામ ગ્રાહક વિશિષ્ટ ડેટાને દૂર કરે છે જે તેના શિપિંગના સમયથી ઉપકરણમાં ઉમેરવામાં આવ્યો છે. ભૂંસી નાખવામાં આવેલ ડેટામાં રૂપરેખાંકનો, લોગનો સમાવેશ થાય છે files, VM છબીઓ, કનેક્ટિવિટી માહિતી અને વપરાશકર્તા લૉગિન ઓળખપત્રો.
તે ઉપકરણને ફેક્ટરી-ઓરિજિનલ સેટિંગ્સ પર રીસેટ કરવા માટે એક આદેશ પૂરો પાડે છે અને નીચેની પરિસ્થિતિઓમાં ઉપયોગી છે:
ઉપકરણ માટે રીટર્ન મટીરીયલ ઓથોરાઈઝેશન (RMA) - જો તમારે RMA માટે સિસ્કોને કોઈ ઉપકરણ પરત કરવું હોય, તો તમામ ગ્રાહક-વિશિષ્ટ ડેટાને દૂર કરવા માટે ફેક્ટરી ડિફોલ્ટ રીસેટનો ઉપયોગ કરો.
· ચેડા થયેલ ઉપકરણને પુનઃપ્રાપ્ત કરવું- જો ઉપકરણ પર સંગ્રહિત મુખ્ય સામગ્રી અથવા ઓળખપત્ર સાથે ચેડા કરવામાં આવે છે, તો ઉપકરણને ફેક્ટરી ગોઠવણી પર રીસેટ કરો અને પછી ઉપકરણને ફરીથી ગોઠવો.
· જો એ જ ઉપકરણને નવી રૂપરેખાંકન સાથે બીજી સાઇટ પર ફરીથી ઉપયોગમાં લેવાની જરૂર હોય, તો હાલની ગોઠવણીને દૂર કરવા અને તેને સ્વચ્છ સ્થિતિમાં લાવવા માટે ફેક્ટરી ડિફોલ્ટ રીસેટ કરો.

NFVIS ફેક્ટરી ડિફોલ્ટ રીસેટમાં નીચેના વિકલ્પો પૂરા પાડે છે:

ફેક્ટરી રીસેટ વિકલ્પ

ડેટા ભૂંસી નાખ્યો

ડેટા જાળવી રાખ્યો

બધા

તમામ રૂપરેખાંકન, અપલોડ કરેલી છબી એડમિન એકાઉન્ટ જાળવી રાખવામાં આવે છે અને

files, VM અને લોગ.

પાસવર્ડ બદલાઈ જશે

ઉપકરણની કનેક્ટિવિટી ફેક્ટરી ડિફોલ્ટ પાસવર્ડ હશે.

હારી

સુરક્ષા વિચારણાઓ 21

ઈન્ફ્રાસ્ટ્રક્ચર મેનેજમેન્ટ નેટવર્ક

સુરક્ષા વિચારણાઓ

ફેક્ટરી રીસેટ વિકલ્પ તમામ-છબીઓ સિવાય
તમામ-સિવાય-છબીઓ-કનેક્ટિવિટી
ઉત્પાદન

ડેટા ભૂંસી નાખ્યો

ડેટા જાળવી રાખ્યો

ઇમેજ ઇમેજ કન્ફિગરેશન સિવાય તમામ રૂપરેખાંકન, રજીસ્ટર

રૂપરેખાંકન, VM, અને અપલોડ કરેલી છબીઓ અને લોગ

છબી files.

એડમિન એકાઉન્ટ જાળવી રાખવામાં આવે છે અને

ઉપકરણ સાથે કનેક્ટિવિટી હશે પાસવર્ડ બદલાઈ જશે

હારી

ફેક્ટરી ડિફોલ્ટ પાસવર્ડ.

છબી, છબીઓ, નેટવર્ક અને કનેક્ટિવિટી સિવાય તમામ ગોઠવણી

નેટવર્ક અને કનેક્ટિવિટી

સંબંધિત રૂપરેખાંકન, નોંધાયેલ

રૂપરેખાંકન, VMs, અને અપલોડ કરેલી છબીઓ અને લોગ્સ.

છબી files.

એડમિન એકાઉન્ટ જાળવી રાખવામાં આવે છે અને

ઉપકરણ સાથે કનેક્ટિવિટી છે

અગાઉ ગોઠવેલ એડમિન

ઉપલબ્ધ.

પાસવર્ડ સાચવવામાં આવશે.

છબી રૂપરેખાંકન, VMs, અપલોડ કરેલી છબી સિવાય તમામ ગોઠવણી files, અને લોગ્સ.
ઉપકરણની કનેક્ટિવિટી ખોવાઈ જશે.

છબી સંબંધિત ગોઠવણી અને નોંધાયેલ છબીઓ
એડમિન એકાઉન્ટ જાળવી રાખવામાં આવશે અને પાસવર્ડ ફેક્ટરી ડિફોલ્ટ પાસવર્ડમાં બદલાઈ જશે.

ફેક્ટરી ડિફોલ્ટ રીસેટના હેતુના આધારે વપરાશકર્તાએ યોગ્ય વિકલ્પ કાળજીપૂર્વક પસંદ કરવો જોઈએ. વધુ માહિતી માટે, ફેક્ટરી ડિફોલ્ટ પર રીસેટ કરવું જુઓ.

ઈન્ફ્રાસ્ટ્રક્ચર મેનેજમેન્ટ નેટવર્ક
ઈન્ફ્રાસ્ટ્રક્ચર મેનેજમેન્ટ નેટવર્ક એ ઈન્ફ્રાસ્ટ્રક્ચર ઉપકરણો માટે નિયંત્રણ અને સંચાલન પ્લેન ટ્રાફિક (જેમ કે NTP, SSH, SNMP, syslog, વગેરે) વહન કરતા નેટવર્કનો સંદર્ભ આપે છે. ઉપકરણની ઍક્સેસ કન્સોલ દ્વારા તેમજ ઈથરનેટ ઈન્ટરફેસ દ્વારા હોઈ શકે છે. આ નિયંત્રણ અને સંચાલન પ્લેન ટ્રાફિક નેટવર્ક કામગીરી માટે મહત્વપૂર્ણ છે, જે નેટવર્કમાં દૃશ્યતા અને નિયંત્રણ પ્રદાન કરે છે. પરિણામે, એક સારી રીતે ડિઝાઈન કરેલું અને સુરક્ષિત ઈન્ફ્રાસ્ટ્રક્ચર મેનેજમેન્ટ નેટવર્ક નેટવર્કની એકંદર સુરક્ષા અને કામગીરી માટે મહત્વપૂર્ણ છે. સુરક્ષિત ઈન્ફ્રાસ્ટ્રક્ચર મેનેજમેન્ટ નેટવર્ક માટેની ચાવીરૂપ ભલામણોમાંની એક એ મેનેજમેન્ટ અને ડેટા ટ્રાફિકને અલગ કરવાની છે જેથી કરીને ઊંચા ભાર અને ઉચ્ચ ટ્રાફિકની સ્થિતિમાં પણ રિમોટ મેનેજમેન્ટને સુનિશ્ચિત કરી શકાય. આ સમર્પિત મેનેજમેન્ટ ઇન્ટરફેસનો ઉપયોગ કરીને પ્રાપ્ત કરી શકાય છે.
નીચેના ઈન્ફ્રાસ્ટ્રક્ચર મેનેજમેન્ટ નેટવર્ક અમલીકરણ અભિગમો છે:
આઉટ ઓફ બેન્ડ મેનેજમેન્ટ
આઉટ-ઓફ-બેન્ડ મેનેજમેન્ટ (OOB) મેનેજમેન્ટ નેટવર્કમાં નેટવર્કનો સમાવેશ થાય છે જે સંપૂર્ણપણે સ્વતંત્ર હોય છે અને તે ડેટા નેટવર્કથી ભૌતિક રીતે અલગ હોય છે જેને તે સંચાલિત કરવામાં મદદ કરે છે. આને કેટલીકવાર ડેટા કોમ્યુનિકેશન નેટવર્ક (DCN) તરીકે પણ ઓળખવામાં આવે છે. નેટવર્ક ઉપકરણો OOB નેટવર્ક સાથે અલગ અલગ રીતે જોડાઈ શકે છે: NFVIS બિલ્ટ-ઇન મેનેજમેન્ટ ઈન્ટરફેસને સપોર્ટ કરે છે જેનો ઉપયોગ OOB નેટવર્ક સાથે જોડાવા માટે થઈ શકે છે. NFVIS પૂર્વવ્યાખ્યાયિત ભૌતિક ઈન્ટરફેસ, ENCS પર MGMT પોર્ટને સમર્પિત મેનેજમેન્ટ ઈન્ટરફેસ તરીકે ગોઠવવાની મંજૂરી આપે છે. નિયુક્ત ઈન્ટરફેસ સુધી મેનેજમેન્ટ પેકેટોને પ્રતિબંધિત કરવાથી ઉપકરણના સંચાલન પર વધુ નિયંત્રણ મળે છે, જેનાથી તે ઉપકરણ માટે વધુ સુરક્ષા પૂરી પાડે છે. અન્ય ફાયદાઓમાં નોન-મેનેજમેન્ટ ઈન્ટરફેસ પર ડેટા પેકેટો માટે સુધારેલ પ્રદર્શન, નેટવર્ક માપનીયતા માટે સપોર્ટ,

સુરક્ષા વિચારણાઓ 22

સુરક્ષા વિચારણાઓ

સ્યુડો આઉટ-ઓફ-બેન્ડ મેનેજમેન્ટ

ઉપકરણની ઍક્સેસને પ્રતિબંધિત કરવા માટે ઓછી એક્સેસ કંટ્રોલ લિસ્ટ્સ (ACL)ની જરૂર છે, અને CPU સુધી પહોંચતા મેનેજમેન્ટ પેકેટ ફ્લડને રોકવા માટે. નેટવર્ક ઉપકરણો સમર્પિત ડેટા ઇન્ટરફેસ દ્વારા OOB નેટવર્ક સાથે પણ કનેક્ટ થઈ શકે છે. આ કિસ્સામાં, ACL એ સુનિશ્ચિત કરવા માટે તૈનાત થવો જોઈએ કે મેનેજમેન્ટ ટ્રાફિક ફક્ત સમર્પિત ઇન્ટરફેસ દ્વારા નિયંત્રિત થાય છે. વધુ માહિતી માટે, આઈપી રીસીવ ACL અને પોર્ટ 22222 અને મેનેજમેન્ટ ઈન્ટરફેસ ACL ની ગોઠવણી જુઓ.
સ્યુડો આઉટ-ઓફ-બેન્ડ મેનેજમેન્ટ
સ્યુડો આઉટ-ઓફ-બેન્ડ મેનેજમેન્ટ નેટવર્ક ડેટા નેટવર્ક જેવા જ ભૌતિક માળખાનો ઉપયોગ કરે છે પરંતુ VLAN નો ઉપયોગ કરીને ટ્રાફિકના વર્ચ્યુઅલ વિભાજન દ્વારા તાર્કિક વિભાજન પ્રદાન કરે છે. NFVIS ટ્રાફિકના વિવિધ સ્ત્રોતો અને VM વચ્ચે અલગ ટ્રાફિકને ઓળખવામાં મદદ કરવા VLAN અને વર્ચ્યુઅલ બ્રિજ બનાવવાનું સમર્થન કરે છે. અલગ પુલ અને VLAN રાખવાથી વર્ચ્યુઅલ મશીન નેટવર્કના ડેટા ટ્રાફિક અને મેનેજમેન્ટ નેટવર્કને અલગ પાડવામાં આવે છે, આમ VM અને યજમાન વચ્ચે ટ્રાફિક સેગ્મેન્ટેશન પ્રદાન કરે છે. વધુ માહિતી માટે જુઓ NFVIS મેનેજમેન્ટ ટ્રાફિક માટે VLAN ની ગોઠવણી.
ઇન-બેન્ડ મેનેજમેન્ટ
ઇન-બેન્ડ મેનેજમેન્ટ નેટવર્ક ડેટા ટ્રાફિક જેવા જ ભૌતિક અને તાર્કિક પાથનો ઉપયોગ કરે છે. આખરે, આ નેટવર્ક ડિઝાઇનને લાભો અને ખર્ચ વિરુદ્ધ જોખમના પ્રતિ-ગ્રાહક વિશ્લેષણની જરૂર છે. કેટલાક સામાન્ય વિચારણાઓમાં નીચેનાનો સમાવેશ થાય છે:
· એક અલગ OOB મેનેજમેન્ટ નેટવર્ક વિક્ષેપજનક ઘટનાઓ દરમિયાન પણ નેટવર્ક પર દૃશ્યતા અને નિયંત્રણને મહત્તમ કરે છે.
· OOB નેટવર્ક પર નેટવર્ક ટેલિમેટ્રીનું પ્રસારણ એ ખૂબ જ માહિતીના વિક્ષેપની તકને ઘટાડે છે જે જટિલ નેટવર્ક દૃશ્યતા પ્રદાન કરે છે.
· નેટવર્ક ઈન્ફ્રાસ્ટ્રક્ચર, યજમાનો વગેરેની ઇન-બેન્ડ મેનેજમેન્ટ એક્સેસ નેટવર્ક ઘટનાના કિસ્સામાં સંપૂર્ણ નુકશાન માટે સંવેદનશીલ છે, જે તમામ નેટવર્ક દૃશ્યતા અને નિયંત્રણને દૂર કરે છે. આ ઘટનાને ઘટાડવા માટે યોગ્ય QoS નિયંત્રણો મૂકવા જોઈએ.
· NFVIS એવા ઈન્ટરફેસ ધરાવે છે જે ઉપકરણ સંચાલનને સમર્પિત છે, જેમાં સીરીયલ કન્સોલ પોર્ટ અને ઈથરનેટ મેનેજમેન્ટ ઈન્ટરફેસનો સમાવેશ થાય છે.
· એક OOB મેનેજમેન્ટ નેટવર્ક સામાન્ય રીતે વાજબી કિંમતે તૈનાત કરી શકાય છે, કારણ કે મેનેજમેન્ટ નેટવર્ક ટ્રાફિક સામાન્ય રીતે ઉચ્ચ બેન્ડવિડ્થ કે ઉચ્ચ પ્રદર્શન ઉપકરણોની માંગ કરતું નથી, અને દરેક ઈન્ફ્રાસ્ટ્રક્ચર ઉપકરણને કનેક્ટિવિટીને સમર્થન આપવા માટે માત્ર પૂરતી પોર્ટ ઘનતાની જરૂર હોય છે.
સ્થાનિક રીતે સંગ્રહિત માહિતી સંરક્ષણ
સંવેદનશીલ માહિતીનું રક્ષણ
NFVIS પાસવર્ડ્સ અને રહસ્યો સહિત સ્થાનિક રીતે કેટલીક સંવેદનશીલ માહિતીનો સંગ્રહ કરે છે. પાસવર્ડ્સ સામાન્ય રીતે કેન્દ્રિય AAA સર્વર દ્વારા જાળવવા અને નિયંત્રિત કરવા જોઈએ. જો કે, જો કેન્દ્રીયકૃત AAA સર્વર તૈનાત કરવામાં આવ્યું હોય તો પણ, કેટલાક સ્થાનિક-સંગ્રહિત પાસવર્ડ્સ અમુક ચોક્કસ કેસ માટે જરૂરી છે જેમ કે AAA સર્વર્સ ઉપલબ્ધ ન હોવાના કિસ્સામાં સ્થાનિક ફોલબેક, વિશિષ્ટ-ઉપયોગકર્તા નામો વગેરે. આ સ્થાનિક પાસવર્ડ્સ અને અન્ય સંવેદનશીલ

સુરક્ષા વિચારણાઓ 23

File ટ્રાન્સફર

સુરક્ષા વિચારણાઓ

માહિતીને NFVIS પર હેશ તરીકે સંગ્રહિત કરવામાં આવે છે જેથી કરીને સિસ્ટમમાંથી મૂળ ઓળખપત્રોને પુનઃપ્રાપ્ત કરવું શક્ય ન બને. હેશિંગ એ વ્યાપકપણે સ્વીકૃત ઉદ્યોગ ધોરણ છે.

File ટ્રાન્સફર
Files જેને NFVIS ઉપકરણોમાં સ્થાનાંતરિત કરવાની જરૂર પડી શકે છે તેમાં VM ઇમેજ અને NFVIS અપગ્રેડનો સમાવેશ થાય છે. files નું સુરક્ષિત સ્થાનાંતરણ files નેટવર્ક ઈન્ફ્રાસ્ટ્રક્ચર સુરક્ષા માટે મહત્વપૂર્ણ છે. NFVIS ની સુરક્ષા સુનિશ્ચિત કરવા માટે સિક્યોર કોપી (SCP) ને સપોર્ટ કરે છે file ટ્રાન્સફર SCP સુરક્ષિત પ્રમાણીકરણ અને પરિવહન માટે SSH પર આધાર રાખે છે, જેની સુરક્ષિત અને પ્રમાણિત નકલને સક્ષમ કરે છે files.
NFVIS માંથી સુરક્ષિત નકલ scp આદેશ દ્વારા શરૂ કરવામાં આવે છે. સુરક્ષિત નકલ (scp) આદેશ ફક્ત એડમિન વપરાશકર્તાને સુરક્ષિત રીતે નકલ કરવાની મંજૂરી આપે છે files NFVIS થી બાહ્ય સિસ્ટમમાં, અથવા બાહ્ય સિસ્ટમમાંથી NFVIS સુધી.
scp આદેશ માટે વાક્યરચના છે:
scp
અમે NFVIS SCP સર્વર માટે પોર્ટ 22222 નો ઉપયોગ કરીએ છીએ. મૂળભૂત રીતે, આ પોર્ટ બંધ છે અને વપરાશકર્તાઓ નકલ સુરક્ષિત કરી શકતા નથી fileબાહ્ય ક્લાયન્ટમાંથી NFVIS માં s. જો SCP કરવાની જરૂર હોય તો a file બાહ્ય ક્લાયંટમાંથી, વપરાશકર્તા આનો ઉપયોગ કરીને પોર્ટ ખોલી શકે છે:
સિસ્ટમ સેટિંગ્સ ip-receive-acl (સરનામું)/(માસ્ક લેન્થ) સેવા scpd અગ્રતા (નંબર) ક્રિયા સ્વીકારો
પ્રતિબદ્ધ
વપરાશકર્તાઓને સિસ્ટમ ડિરેક્ટરીઓનો ઉપયોગ કરતા અટકાવવા માટે, સુરક્ષિત નકલ ફક્ત intdatastore:, extdatastore1:, extdatastore2:, usb: અને nfs:, જો ઉપલબ્ધ હોય તો જ કરી શકાય છે. સિક્યોર કૉપિ લૉગ્સ અને ટેક સપોર્ટ: પરથી પણ કરી શકાય છે.

લોગીંગ

NFVIS ઍક્સેસ અને રૂપરેખાંકન ફેરફારો નીચેની માહિતીને રેકોર્ડ કરવા માટે ઓડિટ લોગ તરીકે લૉગ કરવામાં આવે છે: · કોણે ઉપકરણને ઍક્સેસ કર્યું · વપરાશકર્તાએ ક્યારે લૉગ ઇન કર્યું · યજમાન રૂપરેખાંકન અને VM જીવનચક્રના સંદર્ભમાં વપરાશકર્તાએ શું કર્યું · વપરાશકર્તાએ ક્યારે લૉગ કર્યું બંધ · નિષ્ફળ ઍક્સેસ પ્રયાસો · નિષ્ફળ પ્રમાણીકરણ વિનંતીઓ · નિષ્ફળ અધિકૃતતા વિનંતીઓ
આ માહિતી ફોરેન્સિક પૃથ્થકરણ માટે અનધિકૃત પ્રયાસો અથવા ઍક્સેસના કિસ્સામાં તેમજ રૂપરેખાંકન પરિવર્તન સમસ્યાઓ માટે અને જૂથ વહીવટી ફેરફારોની યોજના કરવામાં મદદ કરવા માટે અમૂલ્ય છે. તેનો વાસ્તવિક સમયનો ઉપયોગ અસામાન્ય પ્રવૃત્તિઓને ઓળખવા માટે પણ થઈ શકે છે જે સૂચવે છે કે હુમલો થઈ રહ્યો છે. આ પૃથ્થકરણને વધારાના બાહ્ય સ્ત્રોતો, જેમ કે IDS અને ફાયરવોલ લોગની માહિતી સાથે સહસંબંધિત કરી શકાય છે.

સુરક્ષા વિચારણાઓ 24

સુરક્ષા વિચારણાઓ

વર્ચ્યુઅલ મશીન સુરક્ષા

NFVIS પરની તમામ મુખ્ય ઇવેન્ટ્સ NETCONF સબ્સ્ક્રાઇબર્સને ઇવેન્ટ સૂચનાઓ તરીકે અને રૂપરેખાંકિત સેન્ટ્રલ લોગિંગ સર્વર્સ પર syslogs તરીકે મોકલવામાં આવે છે. syslog સંદેશાઓ અને ઘટના સૂચનાઓ પર વધુ માહિતી માટે, પરિશિષ્ટ જુઓ.
વર્ચ્યુઅલ મશીન સુરક્ષા
આ વિભાગ NFVIS પર વર્ચ્યુઅલ મશીનોની નોંધણી, જમાવટ અને સંચાલન સંબંધિત સુરક્ષા સુવિધાઓનું વર્ણન કરે છે.
VNF સુરક્ષિત બુટ
NFVIS વર્ચ્યુઅલ મશીનો માટે UEFI સુરક્ષિત બૂટને સક્ષમ કરવા ઓપન વર્ચ્યુઅલ મશીન ફર્મવેર (OVMF) ને સપોર્ટ કરે છે જે સુરક્ષિત બૂટને સપોર્ટ કરે છે. VNF સિક્યોર બૂટ ચકાસે છે કે VM બૂટ સૉફ્ટવેરનું દરેક સ્તર સહી થયેલ છે, જેમાં બુટલોડર, ઑપરેટિંગ સિસ્ટમ કર્નલ અને ઑપરેટિંગ સિસ્ટમ ડ્રાઇવરોનો સમાવેશ થાય છે.

વધુ માહિતી માટે જુઓ, VNF નું સુરક્ષિત બુટ.
VNC કન્સોલ એક્સેસ પ્રોટેક્શન
NFVIS યુઝરને વર્ચ્યુઅલ નેટવર્ક કમ્પ્યુટિંગ (VNC) સત્ર બનાવવા માટે પરવાનગી આપે છે જેથી કરીને VM ના રિમોટ ડેસ્કટોપને ઍક્સેસ કરી શકાય. આને સક્ષમ કરવા માટે, NFVIS ગતિશીલ રીતે એક પોર્ટ ખોલે છે જેની સાથે વપરાશકર્તા તેમના ઉપયોગથી કનેક્ટ કરી શકે છે web બ્રાઉઝર. VM પર સત્ર શરૂ કરવા માટે બાહ્ય સર્વર માટે આ પોર્ટ માત્ર 60 સેકન્ડ માટે ખુલ્લું રહે છે. જો આ સમયની અંદર કોઈ પ્રવૃત્તિ જોવા ન મળે, તો બંદર બંધ છે. પોર્ટ નંબર ગતિશીલ રીતે અસાઇન થયેલ છે અને ત્યાંથી VNC કન્સોલને માત્ર એક જ વખતની ઍક્સેસની પરવાનગી આપે છે.
nfvis# vncconsole શરૂ ડિપ્લોયમેન્ટ-નામ 1510614035 vm-નામ રાઉટર vncconsole-url :6005/vnc_auto.html
તમારા બ્રાઉઝરને https:// પર નિર્દેશિત કરવું :6005/vnc_auto.html એ ROUTER VM ના VNC કન્સોલ સાથે કનેક્ટ થશે.
સુરક્ષા વિચારણાઓ 25

એન્ક્રિપ્ટેડ VM રૂપરેખા ડેટા વેરિયેબલ

સુરક્ષા વિચારણાઓ

એન્ક્રિપ્ટેડ VM રૂપરેખા ડેટા વેરિયેબલ
VM જમાવટ દરમિયાન, વપરાશકર્તા દિવસ-0 રૂપરેખાંકન પ્રદાન કરે છે file VM માટે. આ file પાસવર્ડ અને કી જેવી સંવેદનશીલ માહિતી સમાવી શકે છે. જો આ માહિતી સ્પષ્ટ લખાણ તરીકે પસાર કરવામાં આવે, તો તે લોગમાં દેખાય છે files અને આંતરિક ડેટાબેઝ રેકોર્ડ સ્પષ્ટ લખાણમાં. આ સુવિધા વપરાશકર્તાને રૂપરેખા ડેટા વેરીએબલને સંવેદનશીલ તરીકે ફ્લેગ કરવાની મંજૂરી આપે છે જેથી તેની કિંમત આંતરિક સબસિસ્ટમમાં સંગ્રહિત અથવા પસાર થાય તે પહેલાં AES-CFB-128 એન્ક્રિપ્શનનો ઉપયોગ કરીને એન્ક્રિપ્ટ કરવામાં આવે.
વધુ માહિતી માટે જુઓ, VM ડિપ્લોયમેન્ટ પેરામીટર્સ.
રીમોટ ઈમેજ રજીસ્ટ્રેશન માટે ચેકસમ વેરીફીકેશન
દૂરસ્થ સ્થિત VNF ઇમેજ રજીસ્ટર કરવા માટે, વપરાશકર્તા તેનું સ્થાન સ્પષ્ટ કરે છે. છબીને બાહ્ય સ્ત્રોતમાંથી ડાઉનલોડ કરવાની જરૂર પડશે, જેમ કે NFS સર્વર અથવા રિમોટ HTTPS સર્વર.
ડાઉનલોડ કરેલ છે કે કેમ તે જાણવા માટે file સ્થાપિત કરવા માટે સલામત છે, તેની સરખામણી કરવી જરૂરી છે fileતેનો ઉપયોગ કરતા પહેલા ચેકસમ. ચેકસમની ચકાસણી એ ખાતરી કરવામાં મદદ કરે છે કે file નેટવર્ક ટ્રાન્સમિશન દરમિયાન દૂષિત થયું ન હતું, અથવા તમે તેને ડાઉનલોડ કરો તે પહેલાં દૂષિત તૃતીય પક્ષ દ્વારા સંશોધિત કરવામાં આવ્યું ન હતું.
NFVIS એ વપરાશકર્તાને અપેક્ષિત ચેકસમ અને ચેકસમ અલ્ગોરિધમ (SHA256 અથવા SHA512) પ્રદાન કરવા માટે ચેકસમ અને checksum_algorithm વિકલ્પોને સપોર્ટ કરે છે જેનો ઉપયોગ ડાઉનલોડ કરેલ ઈમેજના ચેકસમને ચકાસવા માટે થાય છે. જો ચેકસમ મેળ ખાતું ન હોય તો છબી બનાવટ નિષ્ફળ જાય છે.
દૂરસ્થ છબી નોંધણી માટે પ્રમાણપત્ર માન્યતા
HTTPS સર્વર પર સ્થિત VNF ઇમેજ રજીસ્ટર કરવા માટે, ઇમેજને રિમોટ HTTPS સર્વર પરથી ડાઉનલોડ કરવાની જરૂર પડશે. આ ઇમેજને સુરક્ષિત રીતે ડાઉનલોડ કરવા માટે, NFVIS સર્વરના SSL પ્રમાણપત્રની ચકાસણી કરે છે. વપરાશકર્તાને પ્રમાણપત્રનો માર્ગ સ્પષ્ટ કરવાની જરૂર છે file અથવા આ સુરક્ષિત ડાઉનલોડને સક્ષમ કરવા માટે PEM ફોર્મેટ પ્રમાણપત્ર સામગ્રીઓ.
વધુ વિગતો ઇમેજ રજીસ્ટ્રેશન માટે પ્રમાણપત્ર માન્યતા પર વિભાગ પર મળી શકે છે
VM અલગતા અને સંસાધન જોગવાઈ
નેટવર્ક ફંક્શન વર્ચ્યુઅલાઈઝેશન (NFV) આર્કિટેક્ચરમાં આનો સમાવેશ થાય છે:
· વર્ચ્યુઅલાઈઝ્ડ નેટવર્ક ફંક્શન્સ (VNFs), જે વર્ચ્યુઅલ મશીનો છે જે સોફ્ટવેર એપ્લિકેશન ચલાવે છે જે નેટવર્ક કાર્યક્ષમતા જેમ કે રાઉટર, ફાયરવોલ, લોડ બેલેન્સર વગેરે પહોંચાડે છે.
· નેટવર્ક ફંક્શન વર્ચ્યુઅલાઈઝેશન ઈન્ફ્રાસ્ટ્રક્ચર, જેમાં ઈન્ફ્રાસ્ટ્રક્ચર ઘટકોનો સમાવેશ થાય છે - ગણતરી, મેમરી, સ્ટોરેજ અને નેટવર્કિંગ, એક પ્લેટફોર્મ પર જે જરૂરી સોફ્ટવેર અને હાઈપરવાઈઝરને સપોર્ટ કરે છે.
NFV સાથે, નેટવર્ક ફંક્શન્સ વર્ચ્યુઅલાઈઝ થાય છે જેથી એક સર્વર પર બહુવિધ કાર્યો ચલાવી શકાય. પરિણામે, ઓછા ભૌતિક હાર્ડવેરની જરૂર પડે છે, જે સંસાધન એકત્રીકરણ માટે પરવાનગી આપે છે. આ વાતાવરણમાં, એક જ ભૌતિક હાર્ડવેર સિસ્ટમમાંથી બહુવિધ VNF માટે સમર્પિત સંસાધનોનું અનુકરણ કરવું આવશ્યક છે. NFVIS નો ઉપયોગ કરીને, VM ને નિયંત્રિત રીતે ગોઠવી શકાય છે જેમ કે દરેક VM તેને જરૂરી સંસાધનો પ્રાપ્ત કરે છે. ભૌતિક વાતાવરણથી ઘણા વર્ચ્યુઅલ વાતાવરણમાં જરૂરિયાત મુજબ સંસાધનોનું વિભાજન કરવામાં આવે છે. વ્યક્તિગત VM ડોમેન્સ અલગ છે તેથી તેઓ અલગ, અલગ અને સુરક્ષિત વાતાવરણ છે, જે વહેંચાયેલ સંસાધનો માટે એકબીજા સાથે સંઘર્ષ કરતા નથી.
VM જોગવાઈ કરતાં વધુ સંસાધનોનો ઉપયોગ કરી શકતા નથી. આ સંસાધનોનો ઉપયોગ કરતા એક VM તરફથી સેવાની અસ્વીકારની સ્થિતિને ટાળે છે. પરિણામે, CPU, મેમરી, નેટવર્ક અને સ્ટોરેજ સુરક્ષિત છે.

સુરક્ષા વિચારણાઓ 26

સુરક્ષા વિચારણાઓ
CPU અલગતા

CPU અલગતા

NFVIS સિસ્ટમ હોસ્ટ પર ચાલતા ઈન્ફ્રાસ્ટ્રક્ચર સોફ્ટવેર માટે કોરો અનામત રાખે છે. બાકીના કોરો VM જમાવટ માટે ઉપલબ્ધ છે. આ ખાતરી આપે છે કે VM નું પ્રદર્શન NFVIS હોસ્ટ પ્રદર્શનને અસર કરતું નથી. ઓછી વિલંબતા VMs NFVIS સ્પષ્ટપણે નીચા વિલંબિત VM ને સમર્પિત કોરો સોંપે છે જે તેના પર જમાવવામાં આવે છે. જો VM ને 2 vCPU ની જરૂર હોય, તો તેને 2 સમર્પિત કોરો સોંપવામાં આવે છે. આ કોરોના શેરિંગ અને ઓવરસબ્સ્ક્રિપ્શનને અટકાવે છે અને ઓછી વિલંબિત VM ના પ્રદર્શનની બાંયધરી આપે છે. જો ઉપલબ્ધ કોરોની સંખ્યા અન્ય ઓછી વિલંબતા VM દ્વારા વિનંતી કરાયેલ vCPU ની સંખ્યા કરતાં ઓછી હોય, તો જમાવટ અટકાવવામાં આવે છે કારણ કે અમારી પાસે પૂરતા સંસાધનો નથી. નોન-લો-લેટન્સી VMs NFVIS ઓછી લેટન્સી ન હોય તેવા VM ને શેર કરી શકાય તેવા CPU ને સોંપે છે. જો VM ને 2 vCPU ની જરૂર હોય, તો તેને 2 CPU સોંપવામાં આવે છે. આ 2 CPU અન્ય નોન લો લેટન્સી VM વચ્ચે શેર કરી શકાય તેવા છે. જો ઉપલબ્ધ CPU ની સંખ્યા અન્ય નોન-લો-લેટન્સી VM દ્વારા વિનંતી કરાયેલ vCPU ની સંખ્યા કરતાં ઓછી હોય, તો જમાવટને હજુ પણ મંજૂરી આપવામાં આવે છે કારણ કે આ VM હાલની બિન-નીચી વિલંબતા VM સાથે CPU ને શેર કરશે.
મેમરી ફાળવણી
NFVIS ઈન્ફ્રાસ્ટ્રક્ચરને ચોક્કસ માત્રામાં મેમરીની જરૂર છે. જ્યારે VM તૈનાત કરવામાં આવે છે, ત્યારે ઈન્ફ્રાસ્ટ્રક્ચર માટે જરૂરી મેમરીને આરક્ષિત કર્યા પછી ઉપલબ્ધ મેમરી અને અગાઉ જમાવવામાં આવેલ VM, નવા VM માટે પૂરતી છે તેની ખાતરી કરવા માટે તપાસ કરવામાં આવે છે. અમે VM માટે મેમરી ઓવરસબ્સ્ક્રિપ્શનને મંજૂરી આપતા નથી.
સુરક્ષા વિચારણાઓ 27

સ્ટોરેજ આઇસોલેશન
VM ને સીધા જ હોસ્ટને ઍક્સેસ કરવાની મંજૂરી નથી file સિસ્ટમ અને સંગ્રહ.
સ્ટોરેજ આઇસોલેશન

સુરક્ષા વિચારણાઓ

ENCS પ્લેટફોર્મ આંતરિક ડેટાસ્ટોર (M2 SSD) અને બાહ્ય ડિસ્કને સપોર્ટ કરે છે. NFVIS આંતરિક ડેટાસ્ટોર પર ઇન્સ્ટોલ કરેલું છે. VNF ને આ આંતરિક ડેટાસ્ટોર પર પણ જમાવી શકાય છે. ગ્રાહકના ડેટાને સંગ્રહિત કરવા અને ગ્રાહક એપ્લિકેશન વર્ચ્યુઅલ મશીનોને બાહ્ય ડિસ્ક પર જમાવવા માટે સલામતી શ્રેષ્ઠ પ્રથા છે. સિસ્ટમ માટે ભૌતિક રીતે અલગ ડિસ્ક રાખવાથી fileએપ્લિકેશન વિ files સિસ્ટમ ડેટાને ભ્રષ્ટાચાર અને સુરક્ષા સમસ્યાઓથી સુરક્ષિત કરવામાં મદદ કરે છે.
·
ઇન્ટરફેસ આઇસોલેશન
સિંગલ રુટ I/O વર્ચ્યુઅલાઈઝેશન અથવા SR-IOV એ સ્પષ્ટીકરણ છે જે PCI એક્સપ્રેસ (PCIe) સંસાધનો જેમ કે ઈથરનેટ પોર્ટને અલગ કરવાની મંજૂરી આપે છે. SR-IOV નો ઉપયોગ કરીને એક જ ઈથરનેટ પોર્ટ વર્ચ્યુઅલ ફંક્શન્સ તરીકે ઓળખાતા બહુવિધ, અલગ, ભૌતિક ઉપકરણો તરીકે દેખાઈ શકે છે. તે એડેપ્ટર પરના તમામ VF ઉપકરણો સમાન ભૌતિક નેટવર્ક પોર્ટને શેર કરે છે. અતિથિ આમાંના એક અથવા વધુ વર્ચ્યુઅલ કાર્યોનો ઉપયોગ કરી શકે છે. વર્ચ્યુઅલ ફંક્શન ગેસ્ટને નેટવર્ક કાર્ડ તરીકે દેખાય છે, તે જ રીતે સામાન્ય નેટવર્ક કાર્ડ ઓપરેટિંગ સિસ્ટમમાં દેખાય છે. વર્ચ્યુઅલ ફંક્શન્સ નજીકના મૂળ પ્રદર્શન ધરાવે છે અને પેરા-વર્ચ્યુઅલાઈઝ્ડ ડ્રાઈવરો અને એમ્યુલેટેડ એક્સેસ કરતાં વધુ સારી કામગીરી પ્રદાન કરે છે. વર્ચ્યુઅલ ફંક્શન્સ એ જ ભૌતિક સર્વર પર મહેમાનો વચ્ચે ડેટા સુરક્ષા પ્રદાન કરે છે કારણ કે ડેટા હાર્ડવેર દ્વારા સંચાલિત અને નિયંત્રિત થાય છે. NFVIS VNFs WAN અને LAN બેકપ્લેન પોર્ટ સાથે જોડાવા માટે SR-IOV નેટવર્કનો ઉપયોગ કરી શકે છે.
સુરક્ષા વિચારણાઓ 28

સુરક્ષા વિચારણાઓ

સુરક્ષિત વિકાસ જીવનચક્ર

આવા દરેક VM પાસે વર્ચ્યુઅલ ઈન્ટરફેસ અને તેના સંબંધિત સંસાધનો છે જે VM વચ્ચે ડેટા સુરક્ષા હાંસલ કરે છે.
સુરક્ષિત વિકાસ જીવનચક્ર
NFVIS સોફ્ટવેર માટે સિક્યોર ડેવલપમેન્ટ લાઇફસાઇકલ (SDL)ને અનુસરે છે. આ એક પુનરાવર્તિત, માપી શકાય તેવી પ્રક્રિયા છે જે નબળાઈઓને ઘટાડવા અને સિસ્કો સોલ્યુશન્સની સુરક્ષા અને સ્થિતિસ્થાપકતાને વધારવા માટે રચાયેલ છે. Cisco SDL વિશ્વસનીય સોલ્યુશન્સ બનાવવા માટે ઉદ્યોગ-અગ્રણી પ્રેક્ટિસ અને ટેક્નોલોજી લાગુ કરે છે જેમાં ઓછા ફીલ્ડ-શોધાયેલ ઉત્પાદન સુરક્ષા ઘટનાઓ હોય છે. દરેક NFVIS રિલીઝ નીચેની પ્રક્રિયાઓમાંથી પસાર થાય છે.
· સિસ્કો-આંતરિક અને બજાર-આધારિત ઉત્પાદન સુરક્ષા જરૂરિયાતોને અનુસરીને · નબળાઈ ટ્રેકિંગ માટે સિસ્કો ખાતે કેન્દ્રીય ભંડાર સાથે તૃતીય પક્ષ સોફ્ટવેરની નોંધણી · CVE માટે જાણીતા સુધારાઓ સાથે સમયાંતરે પેચિંગ સોફ્ટવેર. · સુરક્ષાને ધ્યાનમાં રાખીને સોફ્ટવેરની રચના કરવી · સિસ્કોએસએસએલ જેવા ચકાસાયેલ સામાન્ય સુરક્ષા મોડ્યુલોનો ઉપયોગ કરવા જેવી સુરક્ષિત કોડિંગ પ્રેક્ટિસને અનુસરીને, ચલાવવું
કમાન્ડ ઈન્જેક્શન વગેરે અટકાવવા માટે સ્ટેટિક એનાલિસિસ અને અમલીકરણ ઇનપુટ માન્યતા. · એપ્લિકેશન સુરક્ષા સાધનો જેમ કે IBM AppScan, Nessus અને અન્ય સિસ્કો આંતરિક સાધનોનો ઉપયોગ કરવો.

સુરક્ષા વિચારણાઓ 29

સુરક્ષિત વિકાસ જીવનચક્ર

સુરક્ષા વિચારણાઓ

સુરક્ષા વિચારણાઓ 30

દસ્તાવેજો / સંસાધનો

CISCO એન્ટરપ્રાઇઝ નેટવર્ક ફંક્શન વર્ચ્યુઅલાઈઝેશન ઈન્ફ્રાસ્ટ્રક્ચર સોફ્ટવેર [પીડીએફ] વપરાશકર્તા માર્ગદર્શિકા
એન્ટરપ્રાઇઝ નેટવર્ક ફંક્શન વર્ચ્યુઅલાઈઝેશન ઈન્ફ્રાસ્ટ્રક્ચર સોફ્ટવેર, એન્ટરપ્રાઈઝ, નેટવર્ક ફંક્શન વર્ચ્યુઅલાઈઝેશન ઈન્ફ્રાસ્ટ્રક્ચર સોફ્ટવેર, વર્ચ્યુઅલાઈઝેશન ઈન્ફ્રાસ્ટ્રક્ચર સોફ્ટવેર, ઈન્ફ્રાસ્ટ્રક્ચર સોફ્ટવેર

સંદર્ભો

સંબંધિત પોસ્ટ્સ

એક ટિપ્પણી મૂકો

તમારું ઇમેઇલ સરનામું પ્રકાશિત કરવામાં આવશે નહીં. જરૂરી ક્ષેત્રો ચિહ્નિત થયેલ છે *