एंटरप्राइज़ नेटवर्क फ़ंक्शन वर्चुअलाइज़ेशन इंफ्रास्ट्रक्चर सॉफ़्टवेयर
उत्पाद की जानकारी
विशेष विवरण
- NFVIS सॉफ्टवेयर संस्करण: 3.7.1 और बाद के संस्करण
- RPM हस्ताक्षर और हस्ताक्षर सत्यापन समर्थित
- सुरक्षित बूट उपलब्ध (डिफ़ॉल्ट रूप से अक्षम)
- सुरक्षित विशिष्ट उपकरण पहचान (SUDI) तंत्र का उपयोग किया गया
सुरक्षा संबंधी विचार
एनएफवीआईएस सॉफ्टवेयर विभिन्न माध्यमों से सुरक्षा सुनिश्चित करता है
तंत्र:
- छवि टीamper सुरक्षा: RPM हस्ताक्षर और हस्ताक्षर सत्यापन
आईएसओ और अपग्रेड छवियों में सभी आरपीएम पैकेजों के लिए। - RPM हस्ताक्षर: Cisco Enterprise NFVIS ISO में सभी RPM पैकेज
और अपग्रेड छवियों को क्रिप्टोग्राफ़िक अखंडता सुनिश्चित करने के लिए हस्ताक्षरित किया जाता है और
प्रामाणिकता. - RPM हस्ताक्षर सत्यापन: सभी RPM पैकेजों के हस्ताक्षर सत्यापित हैं।
स्थापना या उन्नयन से पहले सत्यापित किया जाना चाहिए। - छवि अखंडता सत्यापन: सिस्को NFVIS ISO छवि का हैश
और अतिरिक्त की अखंडता सुनिश्चित करने के लिए अपग्रेड छवि प्रकाशित की जाती है
गैर-आरपीएम files. - ENCS सुरक्षित बूट: UEFI मानक का हिस्सा, यह सुनिश्चित करता है कि
डिवाइस केवल विश्वसनीय सॉफ़्टवेयर का उपयोग करके बूट होता है. - सुरक्षित विशिष्ट डिवाइस पहचान (SUDI): डिवाइस को सुरक्षा प्रदान करता है
इसकी वास्तविकता को सत्यापित करने के लिए एक अपरिवर्तनीय पहचान के साथ।
इंस्टालेशन
NFVIS सॉफ्टवेयर स्थापित करने के लिए, इन चरणों का पालन करें:
- सुनिश्चित करें कि सॉफ़्टवेयर छवि को हटाया नहीं गया हैampद्वारा ered
इसके हस्ताक्षर और सत्यनिष्ठा का सत्यापन करना। - यदि आप Cisco Enterprise NFVIS 3.7.1 या उसके बाद के संस्करण का उपयोग कर रहे हैं, तो सुनिश्चित करें कि
स्थापना के दौरान हस्ताक्षर सत्यापन पास हो जाता है। यदि यह विफल हो जाता है,
स्थापना निरस्त कर दी जाएगी. - यदि Cisco Enterprise NFVIS 3.6.x से रिलीज़ में अपग्रेड किया जा रहा है
3.7.1, अपग्रेड के दौरान RPM हस्ताक्षरों का सत्यापन किया जाता है।
हस्ताक्षर सत्यापन विफल हो जाता है, एक त्रुटि लॉग की जाती है लेकिन अपग्रेड होता है
पुरा होना। - यदि रिलीज़ 3.7.1 से बाद के रिलीज़ में अपग्रेड किया जा रहा है, तो RPM
अपग्रेड छवि पंजीकृत होने पर हस्ताक्षर सत्यापित किए जाते हैं।
हस्ताक्षर सत्यापन विफल होने पर, अपग्रेड निरस्त कर दिया जाता है। - सिस्को NFVIS ISO छवि या अपग्रेड छवि के हैश को सत्यापित करें
कमांड का उपयोग करना:/usr/bin/sha512sumहैश की तुलना प्रकाशित से करें
<image_filepath>
हैश अखंडता सुनिश्चित करने के लिए।
सुरक्षित बूट
सुरक्षित बूट ENCS पर उपलब्ध एक सुविधा है (डिफ़ॉल्ट रूप से अक्षम)
यह सुनिश्चित करता है कि डिवाइस केवल विश्वसनीय सॉफ़्टवेयर का उपयोग करके बूट हो।
सुरक्षित बूट सक्षम करें:
- अधिक जानकारी के लिए होस्ट के सुरक्षित बूट पर दस्तावेज़ देखें
जानकारी। - अपने कंप्यूटर पर सुरक्षित बूट सक्षम करने के लिए दिए गए निर्देशों का पालन करें
उपकरण।
सुरक्षित विशिष्ट डिवाइस पहचान (SUDI)
SUDI NFVIS को एक अपरिवर्तनीय पहचान प्रदान करता है, जो यह सत्यापित करता है कि
यह एक वास्तविक सिस्को उत्पाद है और इसकी मान्यता सुनिश्चित करता है
ग्राहक की इन्वेंट्री प्रणाली.
सामान्य प्रश्न
प्रश्न: एनएफवीआईएस क्या है?
उत्तर: एनएफवीआईएस का मतलब है नेटवर्क फंक्शन वर्चुअलाइजेशन
इन्फ्रास्ट्रक्चर सॉफ्टवेयर। यह एक सॉफ्टवेयर प्लेटफॉर्म है जिसका उपयोग
और वर्चुअल नेटवर्क कार्यों का प्रबंधन करें.
प्रश्न: मैं NFVIS ISO छवि या NFVIS ISO छवि की अखंडता को कैसे सत्यापित कर सकता हूं?
छवि उन्नयन?
उत्तर: अखंडता को सत्यापित करने के लिए, कमांड का उपयोग करें
/usr/bin/sha512sum <image_filepath> और तुलना करें
सिस्को द्वारा प्रदत्त प्रकाशित हैश के साथ हैश।
प्रश्न: क्या ENCS पर सुरक्षित बूट डिफ़ॉल्ट रूप से सक्षम है?
उत्तर: नहीं, ENCS पर सुरक्षित बूट डिफ़ॉल्ट रूप से अक्षम है।
बढ़ी हुई सुरक्षा के लिए सुरक्षित बूट सक्षम करने की अनुशंसा की जाती है।
प्रश्न: एनएफवीआईएस में एसयूडीआई का उद्देश्य क्या है?
उत्तर: SUDI NFVIS को एक अद्वितीय और अपरिवर्तनीय पहचान प्रदान करता है,
सिस्को उत्पाद के रूप में इसकी वास्तविकता सुनिश्चित करना और इसकी सुविधा प्रदान करना
ग्राहक की इन्वेंट्री प्रणाली में मान्यता।
सुरक्षा संबंधी विचार
यह अध्याय NFVIS में सुरक्षा सुविधाओं और विचारों का वर्णन करता है। यह एक उच्च-स्तरीय ओवरव्यू देता हैview एनएफवीआईएस में सुरक्षा संबंधी घटकों की जानकारी आपके लिए विशिष्ट तैनाती के लिए सुरक्षा रणनीति की योजना बनाने के लिए। इसमें नेटवर्क सुरक्षा के मुख्य तत्वों को लागू करने के लिए सुरक्षा सर्वोत्तम प्रथाओं पर सिफारिशें भी हैं। एनएफवीआईएस सॉफ्टवेयर में सभी सॉफ्टवेयर परतों के माध्यम से इंस्टॉलेशन से ही सुरक्षा अंतर्निहित है। बाद के अध्याय इन आउट-ऑफ-द-बॉक्स सुरक्षा पहलुओं जैसे क्रेडेंशियल प्रबंधन, अखंडता और टी पर ध्यान केंद्रित करते हैंampसुरक्षा, सत्र प्रबंधन, सुरक्षित डिवाइस पहुंच और अधिक।
· स्थापना, पृष्ठ 2 पर · सुरक्षित विशिष्ट डिवाइस पहचान, पृष्ठ 3 पर · डिवाइस एक्सेस, पृष्ठ 4 पर
सुरक्षा संबंधी विचार 1
इंस्टालेशन
सुरक्षा संबंधी विचार
· इंफ्रास्ट्रक्चर मैनेजमेंट नेटवर्क, पेज 22 पर · स्थानीय रूप से संग्रहीत सूचना सुरक्षा, पेज 23 पर · File स्थानांतरण, पृष्ठ 24 पर · लॉगिंग, पृष्ठ 24 पर · वर्चुअल मशीन सुरक्षा, पृष्ठ 25 पर · VM आइसोलेशन और संसाधन प्रावधान, पृष्ठ 26 पर · सुरक्षित विकास जीवनचक्र, पृष्ठ 29 पर
इंस्टालेशन
यह सुनिश्चित करने के लिए कि एनएफवीआईएस सॉफ्टवेयर को क्षतिग्रस्त नहीं किया गया हैampइसके साथ, स्थापना से पहले सॉफ्टवेयर छवि को निम्नलिखित तंत्रों का उपयोग करके सत्यापित किया जाता है:
छवि टीampएर सुरक्षा
एनएफवीआईएस आईएसओ और अपग्रेड छवियों में सभी आरपीएम पैकेजों के लिए आरपीएम हस्ताक्षर और हस्ताक्षर सत्यापन का समर्थन करता है।
आरपीएम हस्ताक्षर
Cisco Enterprise NFVIS ISO और अपग्रेड इमेज में सभी RPM पैकेज क्रिप्टोग्राफ़िक अखंडता और प्रामाणिकता सुनिश्चित करने के लिए हस्ताक्षरित हैं। यह गारंटी देता है कि RPM पैकेज को क्रिप्टोग्राफ़िक अखंडता और प्रामाणिकता सुनिश्चित करने के लिए हस्ताक्षरित नहीं किया गया है।ampRPM पैकेज NFVIS से हैं और RPM पैकेज पर हस्ताक्षर करने के लिए उपयोग की जाने वाली निजी कुंजी सिस्को द्वारा बनाई और सुरक्षित रूप से बनाए रखी जाती है।
आरपीएम हस्ताक्षर सत्यापन
NFVIS सॉफ़्टवेयर किसी इंस्टॉलेशन या अपग्रेड से पहले सभी RPM पैकेज के हस्ताक्षर को सत्यापित करता है। निम्न तालिका Cisco Enterprise NFVIS व्यवहार का वर्णन करती है जब इंस्टॉलेशन या अपग्रेड के दौरान हस्ताक्षर सत्यापन विफल हो जाता है।
परिदृश्य
विवरण
Cisco Enterprise NFVIS 3.7.1 और बाद के संस्करण की स्थापना यदि Cisco Enterprise NFVIS की स्थापना करते समय हस्ताक्षर सत्यापन विफल हो जाता है, तो स्थापना निरस्त कर दी जाती है।
सिस्को एंटरप्राइज एनएफवीआईएस 3.6.x से रिलीज़ 3.7.1 तक अपग्रेड
अपग्रेड किए जाने के दौरान RPM हस्ताक्षरों का सत्यापन किया जाता है। यदि हस्ताक्षर सत्यापन विफल हो जाता है, तो एक त्रुटि लॉग की जाती है लेकिन अपग्रेड पूरा हो जाता है।
रिलीज़ 3.7.1 से सिस्को एंटरप्राइज़ NFVIS अपग्रेड अपग्रेड के समय RPM हस्ताक्षर सत्यापित किए जाते हैं
बाद में रिलीज़ होने वाले
छवि पंजीकृत है। यदि हस्ताक्षर सत्यापन विफल हो जाता है,
उन्नयन निरस्त कर दिया गया है.
छवि अखंडता सत्यापन
RPM हस्ताक्षर और हस्ताक्षर सत्यापन केवल Cisco NFVIS ISO और अपग्रेड छवियों में उपलब्ध RPM पैकेजों के लिए किया जा सकता है। सभी अतिरिक्त गैर-RPM की अखंडता सुनिश्चित करने के लिए fileसिस्को एनएफवीआईएस आईएसओ छवि में उपलब्ध है, सिस्को एनएफवीआईएस आईएसओ छवि का एक हैश छवि के साथ प्रकाशित किया जाता है। इसी तरह, सिस्को एनएफवीआईएस अपग्रेड छवि का एक हैश छवि के साथ प्रकाशित किया जाता है। यह सत्यापित करने के लिए कि सिस्को का हैश
सुरक्षा संबंधी विचार 2
सुरक्षा संबंधी विचार
ENCS सुरक्षित बूट
NFVIS ISO छवि या अपग्रेड छवि Cisco द्वारा प्रकाशित हैश से मेल खाती है, तो निम्न कमांड चलाएँ और हैश की तुलना प्रकाशित हैश से करें:
% /usr/bin/sha512sumFile> c2122783efc18b039246ae1bcd4eec4e5e027526967b5b809da5632d462dfa6724a9b20ec318c74548c6bd7e9b8217ce96b5ece93dcdd74fda5e01bb382ad607
<ImageFile>
ENCS सुरक्षित बूट
सुरक्षित बूट यूनिफाइड एक्सटेंसिबल फ़र्मवेयर इंटरफ़ेस (UEFI) मानक का हिस्सा है जो सुनिश्चित करता है कि डिवाइस केवल उस सॉफ़्टवेयर का उपयोग करके बूट हो जो मूल उपकरण निर्माता (OEM) द्वारा विश्वसनीय हो। जब NFVIS शुरू होता है, तो फ़र्मवेयर बूट सॉफ़्टवेयर और ऑपरेटिंग सिस्टम के हस्ताक्षर की जाँच करता है। यदि हस्ताक्षर मान्य हैं, तो डिवाइस बूट हो जाता है, और फ़र्मवेयर ऑपरेटिंग सिस्टम को नियंत्रण देता है।
ENCS पर सुरक्षित बूट उपलब्ध है, लेकिन डिफ़ॉल्ट रूप से अक्षम है। सिस्को आपको सुरक्षित बूट सक्षम करने की सलाह देता है। अधिक जानकारी के लिए, होस्ट का सुरक्षित बूट देखें।
सुरक्षित अद्वितीय डिवाइस पहचान
NFVIS सिक्योर यूनिक डिवाइस आइडेंटिफिकेशन (SUDI) नामक एक तंत्र का उपयोग करता है, जो इसे एक अपरिवर्तनीय पहचान प्रदान करता है। इस पहचान का उपयोग यह सत्यापित करने के लिए किया जाता है कि डिवाइस एक वास्तविक सिस्को उत्पाद है, और यह सुनिश्चित करने के लिए कि डिवाइस ग्राहक की इन्वेंट्री प्रणाली के लिए अच्छी तरह से जाना जाता है।
SUDI एक X.509v3 प्रमाणपत्र और एक संबद्ध कुंजी-युग्म है जो हार्डवेयर में सुरक्षित है। SUDI प्रमाणपत्र में उत्पाद पहचानकर्ता और सीरियल नंबर होता है और यह Cisco Public Key Infrastructure में निहित होता है। कुंजी युग्म और SUDI प्रमाणपत्र को विनिर्माण के दौरान हार्डवेयर मॉड्यूल में डाला जाता है, और निजी कुंजी को कभी भी निर्यात नहीं किया जा सकता है।
SUDI-आधारित पहचान का उपयोग जीरो टच प्रोविजनिंग (ZTP) का उपयोग करके प्रमाणित और स्वचालित कॉन्फ़िगरेशन करने के लिए किया जा सकता है। यह डिवाइस की सुरक्षित, दूरस्थ ऑन-बोर्डिंग को सक्षम बनाता है, और यह सुनिश्चित करता है कि ऑर्केस्ट्रेशन सर्वर एक वास्तविक NFVIS डिवाइस से बात कर रहा है। एक बैकएंड सिस्टम NFVIS डिवाइस को उसकी पहचान को मान्य करने के लिए चुनौती जारी कर सकता है और डिवाइस अपनी SUDI आधारित पहचान का उपयोग करके चुनौती का जवाब देगा। यह बैकएंड सिस्टम को न केवल अपनी इन्वेंट्री के खिलाफ यह सत्यापित करने की अनुमति देता है कि सही डिवाइस सही स्थान पर है, बल्कि एन्क्रिप्टेड कॉन्फ़िगरेशन भी प्रदान करता है जिसे केवल विशिष्ट डिवाइस द्वारा ही खोला जा सकता है, जिससे पारगमन में गोपनीयता सुनिश्चित होती है।
निम्नलिखित कार्यप्रवाह आरेख दर्शाते हैं कि NFVIS SUDI का उपयोग कैसे करता है:
सुरक्षा संबंधी विचार 3
डिवाइस एक्सेस चित्र 1: प्लग एंड प्ले (PnP) सर्वर प्रमाणीकरण
सुरक्षा संबंधी विचार
चित्र 2: प्लग एंड प्ले डिवाइस प्रमाणीकरण और प्राधिकरण
डिवाइस एक्सेस
एनएफवीआईएस कंसोल के साथ-साथ HTTPS और SSH जैसे प्रोटोकॉल पर आधारित रिमोट एक्सेस सहित विभिन्न एक्सेस मैकेनिज्म प्रदान करता है। प्रत्येक एक्सेस मैकेनिज्म को सावधानीपूर्वक संशोधित किया जाना चाहिएviewED और कॉन्फ़िगर किया गया। सुनिश्चित करें कि केवल आवश्यक पहुँच तंत्र सक्षम हैं और वे उचित रूप से सुरक्षित हैं। NFVIS तक इंटरैक्टिव और प्रबंधन पहुँच दोनों को सुरक्षित करने के लिए मुख्य कदम डिवाइस की पहुँच को प्रतिबंधित करना, अनुमत उपयोगकर्ताओं की क्षमताओं को सीमित करना है, जो आवश्यक है, और पहुँच के अनुमत तरीकों को प्रतिबंधित करना है। NFVIS सुनिश्चित करता है कि पहुँच केवल प्रमाणित उपयोगकर्ताओं को दी जाती है और वे केवल अधिकृत कार्य ही कर सकते हैं। ऑडिटिंग के लिए डिवाइस एक्सेस लॉग किया जाता है और NFVIS स्थानीय रूप से संग्रहीत संवेदनशील डेटा की गोपनीयता सुनिश्चित करता है। NFVIS तक अनधिकृत पहुँच को रोकने के लिए उचित नियंत्रण स्थापित करना महत्वपूर्ण है। निम्न अनुभाग इसे प्राप्त करने के लिए सर्वोत्तम अभ्यास और कॉन्फ़िगरेशन का वर्णन करते हैं:
सुरक्षा संबंधी विचार 4
सुरक्षा संबंधी विचार
प्रथम लॉगिन पर अनिवार्य पासवर्ड परिवर्तन
प्रथम लॉगिन पर अनिवार्य पासवर्ड परिवर्तन
डिफ़ॉल्ट क्रेडेंशियल उत्पाद सुरक्षा घटनाओं का एक लगातार स्रोत हैं। ग्राहक अक्सर डिफ़ॉल्ट लॉगिन क्रेडेंशियल बदलना भूल जाते हैं जिससे उनके सिस्टम पर हमला होने का खतरा रहता है। इसे रोकने के लिए, NFVIS उपयोगकर्ता को डिफ़ॉल्ट क्रेडेंशियल (उपयोगकर्ता नाम: admin और पासवर्ड Admin123#) का उपयोग करके पहले लॉगिन के बाद पासवर्ड बदलने के लिए मजबूर किया जाता है। अधिक जानकारी के लिए, NFVIS तक पहुँचना देखें।
लॉगिन कमजोरियों को प्रतिबंधित करना
आप निम्नलिखित सुविधाओं का उपयोग करके शब्दकोश और सेवा अस्वीकार (DoS) हमलों की भेद्यता को रोक सकते हैं।
सशक्त पासवर्ड का प्रवर्तन
प्रमाणीकरण तंत्र उतना ही मजबूत होता है, जितना कि उसके क्रेडेंशियल। इस कारण से, यह सुनिश्चित करना महत्वपूर्ण है कि उपयोगकर्ताओं के पास मजबूत पासवर्ड हो। NFVIS जाँचता है कि एक मजबूत पासवर्ड निम्नलिखित नियमों के अनुसार कॉन्फ़िगर किया गया है: पासवर्ड में ये शामिल होना चाहिए:
· कम से कम एक अपरकेस अक्षर · कम से कम एक लोअरकेस अक्षर · कम से कम एक संख्या · इनमें से कम से कम एक विशेष अक्षर: हैश (#), अंडरस्कोर (_), हाइफ़न (-), तारांकन (*), या प्रश्न
चिह्न (?) · सात अक्षर या अधिक · पासवर्ड की लंबाई 7 से 128 अक्षरों के बीच होनी चाहिए।
पासवर्ड की न्यूनतम लंबाई कॉन्फ़िगर करना
पासवर्ड की जटिलता की कमी, विशेष रूप से पासवर्ड की लंबाई, हमलावरों द्वारा उपयोगकर्ता के पासवर्ड का अनुमान लगाने की कोशिश करने पर खोज स्थान को काफी कम कर देती है, जिससे ब्रूट-फोर्स हमले बहुत आसान हो जाते हैं। व्यवस्थापक उपयोगकर्ता सभी उपयोगकर्ताओं के पासवर्ड के लिए आवश्यक न्यूनतम लंबाई को कॉन्फ़िगर कर सकता है। न्यूनतम लंबाई 7 से 128 वर्णों के बीच होनी चाहिए। डिफ़ॉल्ट रूप से, पासवर्ड के लिए आवश्यक न्यूनतम लंबाई 7 वर्णों पर सेट की जाती है। CLI:
nfvis(config)# rbac प्रमाणीकरण min-pwd-length 9
एपीआई:
/api/config/rbac/authentication/min-pwd-length
पासवर्ड लाइफ़टाइम कॉन्फ़िगर करना
पासवर्ड का जीवनकाल यह निर्धारित करता है कि उपयोगकर्ता को पासवर्ड बदलने से पहले उसे कितने समय तक उपयोग में लाया जा सकता है।
सुरक्षा संबंधी विचार 5
पिछले पासवर्ड का पुनः उपयोग सीमित करें
सुरक्षा संबंधी विचार
व्यवस्थापक उपयोगकर्ता सभी उपयोगकर्ताओं के लिए पासवर्ड के लिए न्यूनतम और अधिकतम जीवनकाल मान कॉन्फ़िगर कर सकता है और इन मानों की जाँच करने के लिए नियम लागू कर सकता है। डिफ़ॉल्ट न्यूनतम जीवनकाल मान 1 दिन पर सेट किया गया है और डिफ़ॉल्ट अधिकतम जीवनकाल मान 60 दिन पर सेट किया गया है। जब न्यूनतम जीवनकाल मान कॉन्फ़िगर किया जाता है, तो उपयोगकर्ता निर्दिष्ट दिनों की संख्या बीत जाने तक पासवर्ड नहीं बदल सकता है। इसी तरह, जब अधिकतम जीवनकाल मान कॉन्फ़िगर किया जाता है, तो उपयोगकर्ता को निर्दिष्ट दिनों की संख्या बीत जाने से पहले पासवर्ड बदलना होगा। यदि कोई उपयोगकर्ता पासवर्ड नहीं बदलता है और निर्दिष्ट दिनों की संख्या बीत जाती है, तो उपयोगकर्ता को एक सूचना भेजी जाती है।
ध्यान दें न्यूनतम और अधिकतम जीवनकाल मान तथा इन मानों की जांच करने का नियम व्यवस्थापक उपयोगकर्ता पर लागू नहीं होता है।
सीएलआई:
टर्मिनल कॉन्फ़िगर करें rbac प्रमाणीकरण पासवर्ड-लाइफटाइम लागू करें सच न्यूनतम-दिन 2 अधिकतम-दिन 30 प्रतिबद्ध
एपीआई:
/api/config/rbac/authentication/password-लाइफटाइम/
पिछले पासवर्ड का पुनः उपयोग सीमित करें
पिछले पासफ़्रेज़ के उपयोग को रोके बिना, पासवर्ड की समाप्ति काफी हद तक बेकार है क्योंकि उपयोगकर्ता केवल पासफ़्रेज़ को बदल सकते हैं और फिर इसे मूल में बदल सकते हैं। NFVIS जाँचता है कि नया पासवर्ड पहले इस्तेमाल किए गए 5 पासवर्डों में से एक जैसा नहीं है। इस नियम का एक अपवाद यह है कि व्यवस्थापक उपयोगकर्ता पासवर्ड को डिफ़ॉल्ट पासवर्ड में बदल सकता है, भले ही वह पहले इस्तेमाल किए गए 5 पासवर्डों में से एक हो।
लॉगिन प्रयासों की आवृत्ति सीमित करें
यदि किसी दूरस्थ सहकर्मी को असीमित बार लॉगिन करने की अनुमति दी जाती है, तो वह अंततः ब्रूट फोर्स द्वारा लॉगिन क्रेडेंशियल का अनुमान लगाने में सक्षम हो सकता है। चूंकि पासफ़्रेज़ का अनुमान लगाना अक्सर आसान होता है, इसलिए यह एक सामान्य हमला है। जिस दर पर सहकर्मी लॉगिन का प्रयास कर सकता है, उसे सीमित करके, हम इस हमले को रोकते हैं। हम इन ब्रूट-फोर्स लॉगिन प्रयासों को अनावश्यक रूप से प्रमाणित करने पर सिस्टम संसाधनों को खर्च करने से भी बचते हैं जो सेवा अस्वीकार करने का हमला पैदा कर सकते हैं। NFVIS 5 असफल लॉगिन प्रयासों के बाद 10 मिनट का उपयोगकर्ता लॉकडाउन लागू करता है।
निष्क्रिय उपयोगकर्ता खाते अक्षम करें
उपयोगकर्ता गतिविधि की निगरानी करना और अप्रयुक्त या पुराने उपयोगकर्ता खातों को अक्षम करना सिस्टम को अंदरूनी हमलों से सुरक्षित करने में मदद करता है। अप्रयुक्त खातों को अंततः हटा दिया जाना चाहिए। व्यवस्थापक उपयोगकर्ता अप्रयुक्त उपयोगकर्ता खातों को निष्क्रिय के रूप में चिह्नित करने के लिए एक नियम लागू कर सकता है और उन दिनों की संख्या कॉन्फ़िगर कर सकता है जिसके बाद अप्रयुक्त उपयोगकर्ता खाते को निष्क्रिय के रूप में चिह्नित किया जाता है। एक बार निष्क्रिय के रूप में चिह्नित होने के बाद, वह उपयोगकर्ता सिस्टम में लॉग इन नहीं कर सकता है। उपयोगकर्ता को सिस्टम में लॉग इन करने की अनुमति देने के लिए, व्यवस्थापक उपयोगकर्ता उपयोगकर्ता खाते को सक्रिय कर सकता है।
ध्यान दें निष्क्रियता अवधि और निष्क्रियता अवधि की जांच करने का नियम व्यवस्थापक उपयोगकर्ता पर लागू नहीं होता है।
सुरक्षा संबंधी विचार 6
सुरक्षा संबंधी विचार
निष्क्रिय उपयोगकर्ता खाते को सक्रिय करना
खाता निष्क्रियता के प्रवर्तन को कॉन्फ़िगर करने के लिए निम्नलिखित CLI और API का उपयोग किया जा सकता है। CLI:
टर्मिनल कॉन्फ़िगर करें rbac प्रमाणीकरण खाता-निष्क्रियता सत्य लागू करें निष्क्रियता-दिन 30 प्रतिबद्ध
एपीआई:
/api/config/rbac/प्रमाणीकरण/खाता-निष्क्रियता/
निष्क्रियता-दिनों का डिफ़ॉल्ट मान 35 है।
निष्क्रिय उपयोगकर्ता खाते को सक्रिय करना व्यवस्थापक उपयोगकर्ता निम्नलिखित CLI और API का उपयोग करके निष्क्रिय उपयोगकर्ता के खाते को सक्रिय कर सकता है: CLI:
टर्मिनल कॉन्फ़िगर करें rbac प्रमाणीकरण उपयोगकर्ता उपयोगकर्ता guest_user सक्रिय करें प्रतिबद्ध करें
एपीआई:
/api/operations/rbac/authentication/users/user/username/activate
BIOS और CIMC पासवर्ड की सेटिंग लागू करें
तालिका 1: फ़ीचर इतिहास तालिका
विशेषता का नाम
रिलीज सूचना
BIOS और CIMC NFVIS 4.7.1 पासवर्ड की सेटिंग लागू करें
विवरण
यह सुविधा उपयोगकर्ता को CIMC और BIOS के लिए डिफ़ॉल्ट पासवर्ड बदलने के लिए बाध्य करती है।
BIOS और CIMC पासवर्ड की सेटिंग लागू करने के लिए प्रतिबंध
· यह सुविधा केवल Cisco Catalyst 8200 UCPE और Cisco ENCS 5400 प्लेटफॉर्म पर समर्थित है।
· यह सुविधा केवल NFVIS 4.7.1 और बाद के संस्करणों की नई स्थापना पर समर्थित है। यदि आप NFVIS 4.6.1 से NFVIS 4.7.1 में अपग्रेड करते हैं, तो यह सुविधा समर्थित नहीं है और आपको BIOS और CIMS पासवर्ड रीसेट करने के लिए संकेत नहीं दिया जाता है, भले ही BIOS और CIMC पासवर्ड कॉन्फ़िगर न किए गए हों।
BIOS और CIMC पासवर्ड की सेटिंग लागू करने के बारे में जानकारी
यह सुविधा NFVIS 4.7.1 की नई स्थापना के बाद BIOS और CIMC पासवर्ड को रीसेट करने के लिए बाध्य करके सुरक्षा अंतर को संबोधित करती है। डिफ़ॉल्ट CIMC पासवर्ड पासवर्ड है और डिफ़ॉल्ट BIOS पासवर्ड कोई पासवर्ड नहीं है।
सुरक्षा अंतर को ठीक करने के लिए, आपको ENCS 5400 में BIOS और CIMC पासवर्ड कॉन्फ़िगर करने के लिए बाध्य किया जाता है। NFVIS 4.7.1 की नई स्थापना के दौरान, यदि BIOS और CIMC पासवर्ड नहीं बदले गए हैं और अभी भी हैं
सुरक्षा संबंधी विचार 7
कॉन्फ़िगरेशन पूर्वampBIOS और CIMC पासवर्ड को जबरन रीसेट करने के लिए निर्देश
सुरक्षा संबंधी विचार
डिफ़ॉल्ट पासवर्ड, तो आपको BIOS और CIMC दोनों पासवर्ड बदलने के लिए कहा जाता है। यदि उनमें से केवल एक को रीसेट करने की आवश्यकता है, तो आपको केवल उस घटक के लिए पासवर्ड रीसेट करने के लिए कहा जाता है। सिस्को कैटालिस्ट 8200 UCPE को केवल BIOS पासवर्ड की आवश्यकता होती है और इसलिए केवल BIOS पासवर्ड रीसेट करने का संकेत दिया जाता है, यदि यह पहले से सेट नहीं किया गया है।
नोट: यदि आप किसी पिछले रिलीज़ से NFVIS 4.7.1 या बाद के रिलीज़ में अपग्रेड करते हैं, तो आप hostaction change-bios-password newpassword या hostaction change-cimc-password newpassword कमांड का उपयोग करके BIOS और CIMC पासवर्ड बदल सकते हैं।
BIOS और CIMC पासवर्ड के बारे में अधिक जानकारी के लिए, BIOS और CIMC पासवर्ड देखें।
कॉन्फ़िगरेशन पूर्वampBIOS और CIMC पासवर्ड को जबरन रीसेट करने के लिए निर्देश
1. जब आप NFVIS 4.7.1 स्थापित करते हैं, तो आपको सबसे पहले डिफ़ॉल्ट एडमिन पासवर्ड रीसेट करना होगा।
सिस्को नेटवर्क फंक्शन वर्चुअलाइजेशन इंफ्रास्ट्रक्चर सॉफ्टवेयर (NFVIS)
एनएफवीआईएस संस्करण: 99.99.0-1009
कॉपीराइट (c) 2015-2021 सिस्को सिस्टम्स, इंक. द्वारा। सिस्को, सिस्को सिस्टम्स और सिस्को सिस्टम्स लोगो सिस्को सिस्टम्स, इंक. और/या अमेरिका और कुछ अन्य देशों में इसके सहयोगियों के पंजीकृत ट्रेडमार्क हैं।
इस सॉफ़्टवेयर में शामिल कुछ कार्यों के कॉपीराइट अन्य तृतीय पक्षों के स्वामित्व में हैं और उनका उपयोग और वितरण तृतीय पक्ष लाइसेंस समझौतों के तहत किया जाता है। इस सॉफ़्टवेयर के कुछ घटक GNU GPL 2.0, GPL 3.0, LGPL 2.1, LGPL 3.0 और AGPL 3.0 के तहत लाइसेंस प्राप्त हैं।
व्यवस्थापक 10.24.109.102 से nfvis पर ssh का उपयोग करके जुड़ा हुआ है व्यवस्थापक डिफ़ॉल्ट क्रेडेंशियल्स के साथ लॉग इन है कृपया एक पासवर्ड प्रदान करें जो निम्नलिखित मानदंडों को पूरा करता है:
1. कम से कम एक लोअरकेस कैरेक्टर 2. कम से कम एक अपरकेस कैरेक्टर 3. कम से कम एक नंबर 4. # _ - * ? से कम से कम एक विशेष कैरेक्टर 5. लंबाई 7 और 128 कैरेक्टर के बीच होनी चाहिए कृपया पासवर्ड रीसेट करें: कृपया पासवर्ड पुनः दर्ज करें:
व्यवस्थापक पासवर्ड रीसेट करना
2. Cisco Catalyst 8200 UCPE और Cisco ENCS 5400 प्लेटफ़ॉर्म पर जब आप NFVIS 4.7.1 या बाद के संस्करणों की नई स्थापना करते हैं, तो आपको डिफ़ॉल्ट BIOS और CIMC पासवर्ड बदलना होगा। यदि BIOS और CIMC पासवर्ड पहले से कॉन्फ़िगर नहीं किए गए हैं, तो सिस्टम आपको Cisco ENCS 5400 के लिए BIOS और CIMC पासवर्ड रीसेट करने और Cisco Catalyst 8200 UCPE के लिए केवल BIOS पासवर्ड रीसेट करने के लिए संकेत देता है।
नया एडमिन पासवर्ड सेट किया गया है
कृपया BIOS पासवर्ड प्रदान करें जो निम्नलिखित मानदंडों को पूरा करता हो: 1. कम से कम एक लोअरकेस कैरेक्टर 2. कम से कम एक अपरकेस कैरेक्टर 3. कम से कम एक संख्या 4. #, @ या _ में से कम से कम एक विशेष कैरेक्टर 5. लंबाई 8 से 20 कैरेक्टर के बीच होनी चाहिए 6. इसमें निम्नलिखित में से कोई भी स्ट्रिंग नहीं होनी चाहिए (केस सेंसिटिव): bios 7. पहला कैरेक्टर # नहीं हो सकता
सुरक्षा संबंधी विचार 8
सुरक्षा संबंधी विचार
BIOS और CIMC पासवर्ड सत्यापित करें
कृपया BIOS पासवर्ड रीसेट करें: कृपया BIOS पासवर्ड पुनः दर्ज करें: कृपया CIMC पासवर्ड प्रदान करें जो निम्नलिखित मानदंडों को पूरा करता हो:
1. कम से कम एक लोअरकेस कैरेक्टर 2. कम से कम एक अपरकेस कैरेक्टर 3. कम से कम एक नंबर 4. #, @ या _ में से कम से कम एक विशेष कैरेक्टर 5. लंबाई 8 से 20 कैरेक्टर के बीच होनी चाहिए 6. इसमें निम्न में से कोई भी स्ट्रिंग नहीं होनी चाहिए (केस सेंसिटिव): admin कृपया CIMC पासवर्ड रीसेट करें: कृपया CIMC पासवर्ड पुनः दर्ज करें:
BIOS और CIMC पासवर्ड सत्यापित करें
यह सत्यापित करने के लिए कि क्या BIOS और CIMC पासवर्ड सफलतापूर्वक बदले गए हैं, show log nfvis_config.log | include BIOS या show log nfvis_config.log | include CIMC कमांड का उपयोग करें:
nfvis# शो लॉग nfvis_config.log | BIOS शामिल करें
2021-11-16 15:24:40,102 INFO
[hostaction:/system/settings] [] BIOS पासवर्ड बदलेंसफल है
आप nfvis_config.log भी डाउनलोड कर सकते हैं file और सत्यापित करें कि पासवर्ड सफलतापूर्वक रीसेट हो गए हैं या नहीं।
बाहरी AAA सर्वरों के साथ एकीकरण
उपयोगकर्ता ssh या के माध्यम से NFVIS में लॉगिन करते हैं Web यूआई। किसी भी मामले में, उपयोगकर्ताओं को प्रमाणित करने की आवश्यकता होती है। यानी, उपयोगकर्ता को पहुँच प्राप्त करने के लिए पासवर्ड क्रेडेंशियल प्रस्तुत करने की आवश्यकता होती है।
एक बार जब कोई उपयोगकर्ता प्रमाणित हो जाता है, तो उस उपयोगकर्ता द्वारा किए जाने वाले सभी कार्यों को अधिकृत करने की आवश्यकता होती है। यानी, कुछ उपयोगकर्ताओं को कुछ कार्य करने की अनुमति दी जा सकती है, जबकि अन्य को नहीं। इसे प्राधिकरण कहा जाता है।
यह अनुशंसा की जाती है कि NFVIS पहुँच के लिए प्रति-उपयोगकर्ता, AAA-आधारित लॉगिन प्रमाणीकरण लागू करने के लिए एक केंद्रीकृत AAA सर्वर तैनात किया जाए। NFVIS नेटवर्क पहुँच को मध्यस्थ करने के लिए RADIUS और TACACS प्रोटोकॉल का समर्थन करता है। AAA सर्वर पर, प्रमाणित उपयोगकर्ताओं को उनकी विशिष्ट पहुँच आवश्यकताओं के अनुसार केवल न्यूनतम पहुँच विशेषाधिकार दिए जाने चाहिए। इससे दुर्भावनापूर्ण और अनजाने सुरक्षा घटनाओं के जोखिम को कम किया जा सकता है।
बाह्य प्रमाणीकरण पर अधिक जानकारी के लिए, RADIUS कॉन्फ़िगर करना और TACACS+ सर्वर कॉन्फ़िगर करना देखें।
बाह्य प्रमाणीकरण सर्वर के लिए प्रमाणीकरण कैश
विशेषता का नाम
रिलीज सूचना
बाह्य NFVIS 4.5.1 प्रमाणीकरण सर्वर के लिए प्रमाणीकरण कैश
विवरण
यह सुविधा NFVIS पोर्टल पर OTP के माध्यम से TACACS प्रमाणीकरण का समर्थन करती है।
एनएफवीआईएस पोर्टल प्रारंभिक प्रमाणीकरण के बाद सभी एपीआई कॉल के लिए एक ही वन-टाइम पासवर्ड (ओटीपी) का उपयोग करता है। ओटीपी समाप्त होते ही एपीआई कॉल विफल हो जाती है। यह सुविधा एनएफवीआईएस पोर्टल के साथ टीएसीएसीएस ओटीपी प्रमाणीकरण का समर्थन करती है।
जब आप OTP का उपयोग करके TACACS सर्वर के माध्यम से सफलतापूर्वक प्रमाणित हो जाते हैं, तो NFVIS उपयोगकर्ता नाम और OTP का उपयोग करके एक हैश प्रविष्टि बनाता है और इस हैश मान को स्थानीय रूप से संग्रहीत करता है। यह स्थानीय रूप से संग्रहीत हैश मान है
सुरक्षा संबंधी विचार 9
भूमिका आधारित पहुँच नियंत्रण
सुरक्षा संबंधी विचार
समाप्ति समय stamp इसके साथ जुड़े समय सेंटamp SSH सत्र निष्क्रिय समय समाप्ति मान के समान मान है जो 15 मिनट है। समान उपयोगकर्ता नाम वाले सभी बाद के प्रमाणीकरण अनुरोधों को पहले इस स्थानीय हैश मान के विरुद्ध प्रमाणित किया जाता है। यदि स्थानीय हैश के साथ प्रमाणीकरण विफल हो जाता है, तो NFVIS इस अनुरोध को TACACS सर्वर के साथ प्रमाणित करता है और प्रमाणीकरण सफल होने पर एक नई हैश प्रविष्टि बनाता है। यदि कोई हैश प्रविष्टि पहले से मौजूद है, तो उसका समय समाप्त हो जाता हैamp 15 मिनट पर रीसेट किया जाता है.
यदि पोर्टल में सफलतापूर्वक लॉग इन करने के बाद आपको TACACS सर्वर से हटा दिया जाता है, तो आप NFVIS में हैश प्रविष्टि समाप्त होने तक पोर्टल का उपयोग जारी रख सकते हैं।
जब आप NFVIS पोर्टल से स्पष्ट रूप से लॉग आउट करते हैं या निष्क्रिय समय के कारण लॉग आउट होते हैं, तो पोर्टल NFVIS बैकएंड को हैश प्रविष्टि को फ्लश करने के लिए सूचित करने के लिए एक नया API कॉल करता है। NFVIS रीबूट, फ़ैक्टरी रीसेट या अपग्रेड के बाद प्रमाणीकरण कैश और इसकी सभी प्रविष्टियाँ साफ़ हो जाती हैं।
भूमिका आधारित पहुँच नियंत्रण
नेटवर्क एक्सेस को सीमित करना उन संगठनों के लिए महत्वपूर्ण है जिनके पास कई कर्मचारी हैं, ठेकेदारों को नियुक्त करते हैं या ग्राहकों और विक्रेताओं जैसे तीसरे पक्ष को एक्सेस की अनुमति देते हैं। ऐसे परिदृश्य में, नेटवर्क एक्सेस की प्रभावी रूप से निगरानी करना मुश्किल है। इसके बजाय, संवेदनशील डेटा और महत्वपूर्ण अनुप्रयोगों को सुरक्षित करने के लिए, जो सुलभ है उसे नियंत्रित करना बेहतर है।
भूमिका-आधारित पहुँच नियंत्रण (RBAC) किसी उद्यम के भीतर व्यक्तिगत उपयोगकर्ताओं की भूमिकाओं के आधार पर नेटवर्क पहुँच को प्रतिबंधित करने की एक विधि है। RBAC उपयोगकर्ताओं को केवल उस जानकारी तक पहुँचने देता है जिसकी उन्हें आवश्यकता होती है, और उन्हें ऐसी जानकारी तक पहुँचने से रोकता है जो उनसे संबंधित नहीं है।
उद्यम में किसी कर्मचारी की भूमिका का उपयोग दी गई अनुमतियों को निर्धारित करने के लिए किया जाना चाहिए, ताकि यह सुनिश्चित किया जा सके कि कम विशेषाधिकार वाले कर्मचारी संवेदनशील जानकारी तक नहीं पहुंच सकें या महत्वपूर्ण कार्य न कर सकें।
एनएफवीआईएस में निम्नलिखित उपयोगकर्ता भूमिकाएं और विशेषाधिकार परिभाषित हैं
उपयोगकर्ता भूमिका
विशेषाधिकार
व्यवस्थापकों
सभी उपलब्ध सुविधाओं को कॉन्फ़िगर कर सकते हैं और उपयोगकर्ता भूमिकाओं को बदलने सहित सभी कार्य कर सकते हैं। व्यवस्थापक बुनियादी ढांचे को नहीं हटा सकता जो NFVIS के लिए मौलिक है। व्यवस्थापक उपयोगकर्ता की भूमिका नहीं बदली जा सकती; यह हमेशा "व्यवस्थापक" होता है।
ऑपरेटर्स
VM को शुरू और बंद कर सकते हैं, और view संपूर्ण जानकारी।
लेखा परीक्षकों
वे सबसे कम विशेषाधिकार प्राप्त उपयोगकर्ता हैं। उनके पास केवल पढ़ने की अनुमति है और इसलिए, वे किसी भी कॉन्फ़िगरेशन को संशोधित नहीं कर सकते हैं।
आरबीएसी के लाभ
किसी संगठन में लोगों की भूमिकाओं के आधार पर अनावश्यक नेटवर्क पहुंच को प्रतिबंधित करने के लिए RBAC का उपयोग करने के कई लाभ हैं, जिनमें शामिल हैं:
· परिचालन दक्षता में सुधार.
आरबीएसी में पूर्वनिर्धारित भूमिकाएँ होने से नए उपयोगकर्ताओं को सही विशेषाधिकारों के साथ शामिल करना या मौजूदा उपयोगकर्ताओं की भूमिकाएँ बदलना आसान हो जाता है। यह उपयोगकर्ता अनुमतियाँ आवंटित करते समय त्रुटि की संभावना को भी कम करता है।
· अनुपालन बढ़ाना.
सुरक्षा संबंधी विचार 10
सुरक्षा संबंधी विचार
भूमिका आधारित पहुँच नियंत्रण
हर संगठन को स्थानीय, राज्य और संघीय विनियमों का पालन करना चाहिए। कंपनियाँ आम तौर पर गोपनीयता और निजता के लिए विनियामक और वैधानिक आवश्यकताओं को पूरा करने के लिए RBAC सिस्टम को लागू करना पसंद करती हैं क्योंकि अधिकारी और IT विभाग अधिक प्रभावी ढंग से प्रबंधित कर सकते हैं कि डेटा तक कैसे पहुँचा जाए और उसका उपयोग कैसे किया जाए। यह वित्तीय संस्थानों और स्वास्थ्य सेवा कंपनियों के लिए विशेष रूप से महत्वपूर्ण है जो संवेदनशील डेटा का प्रबंधन करते हैं।
· लागत में कमी लाना। उपयोगकर्ता को कुछ प्रक्रियाओं और अनुप्रयोगों तक पहुँच की अनुमति न देकर, कंपनियाँ लागत-प्रभावी तरीके से नेटवर्क बैंडविड्थ, मेमोरी और भंडारण जैसे संसाधनों का संरक्षण या उपयोग कर सकती हैं।
· उल्लंघन और डेटा लीक होने का जोखिम कम करना। आरबीएसी को लागू करने का मतलब है संवेदनशील जानकारी तक पहुंच को प्रतिबंधित करना, जिससे डेटा उल्लंघन या डेटा लीक होने की संभावना कम हो जाती है।
भूमिका-आधारित पहुँच नियंत्रण कार्यान्वयन के लिए सर्वोत्तम अभ्यास · एक व्यवस्थापक के रूप में, उपयोगकर्ताओं की सूची निर्धारित करें और उपयोगकर्ताओं को पूर्वनिर्धारित भूमिकाएँ सौंपें। उदाहरण के लिएampले, उपयोगकर्ता “नेटवर्कएडमिन” बनाया जा सकता है और उपयोगकर्ता समूह “व्यवस्थापक” में जोड़ा जा सकता है।
टर्मिनल कॉन्फ़िगर करें rbac प्रमाणीकरण उपयोगकर्ता create-user नाम networkadmin पासवर्ड Test1_pass भूमिका व्यवस्थापक प्रतिबद्ध
नोट उपयोगकर्ता समूह या भूमिकाएँ सिस्टम द्वारा बनाई जाती हैं। आप उपयोगकर्ता समूह नहीं बना सकते या उसे संशोधित नहीं कर सकते। पासवर्ड बदलने के लिए, वैश्विक कॉन्फ़िगरेशन मोड में rbac authentication users user change-password कमांड का उपयोग करें। उपयोगकर्ता भूमिका बदलने के लिए, वैश्विक कॉन्फ़िगरेशन मोड में rbac authentication users user change-role कमांड का उपयोग करें।
· उन उपयोगकर्ताओं के खाते समाप्त करें जिन्हें अब पहुंच की आवश्यकता नहीं है।
टर्मिनल rbac प्रमाणीकरण उपयोगकर्ता हटाएं उपयोगकर्ता नाम test1 कॉन्फ़िगर करें
· भूमिकाओं, उन्हें सौंपे गए कर्मचारियों और प्रत्येक भूमिका के लिए अनुमत पहुँच का मूल्यांकन करने के लिए समय-समय पर ऑडिट आयोजित करें। यदि किसी उपयोगकर्ता के पास किसी निश्चित सिस्टम तक अनावश्यक पहुँच पाई जाती है, तो उपयोगकर्ता की भूमिका बदलें।
अधिक जानकारी के लिए देखें, उपयोगकर्ता, भूमिकाएं और प्रमाणीकरण
ग्रैन्युलर रोल-बेस्ड एक्सेस कंट्रोल NFVIS 4.7.1 से शुरू होकर, ग्रैन्युलर रोल-बेस्ड एक्सेस कंट्रोल फीचर पेश किया गया है। यह सुविधा एक नई संसाधन समूह नीति जोड़ती है जो VM और VNF को प्रबंधित करती है और आपको VNF परिनियोजन के दौरान VNF एक्सेस को नियंत्रित करने के लिए उपयोगकर्ताओं को एक समूह में असाइन करने की अनुमति देती है। अधिक जानकारी के लिए, ग्रैन्युलर रोल-बेस्ड एक्सेस कंट्रोल देखें।
सुरक्षा संबंधी विचार 11
डिवाइस की पहुंच प्रतिबंधित करें
सुरक्षा संबंधी विचार
डिवाइस की पहुंच प्रतिबंधित करें
उपयोगकर्ता बार-बार उन सुविधाओं के विरुद्ध हमलों से अनजान रह गए हैं जिन्हें उन्होंने सुरक्षित नहीं किया था क्योंकि उन्हें नहीं पता था कि वे सुविधाएँ सक्षम थीं। अप्रयुक्त सेवाओं को डिफ़ॉल्ट कॉन्फ़िगरेशन के साथ छोड़ दिया जाता है जो हमेशा सुरक्षित नहीं होते हैं। ये सेवाएँ डिफ़ॉल्ट पासवर्ड का उपयोग भी कर सकती हैं। कुछ सेवाएँ हमलावर को सर्वर पर चल रही जानकारी या नेटवर्क सेटअप के बारे में आसानी से जानकारी दे सकती हैं। निम्नलिखित अनुभाग बताते हैं कि NFVIS ऐसे सुरक्षा जोखिमों से कैसे बचता है:
आक्रमण वेक्टर में कमी
किसी भी सॉफ्टवेयर में संभावित रूप से सुरक्षा कमज़ोरियाँ हो सकती हैं। अधिक सॉफ्टवेयर का मतलब है हमले के लिए अधिक अवसर। भले ही समावेशन के समय कोई सार्वजनिक रूप से ज्ञात कमज़ोरियाँ न हों, लेकिन भविष्य में कमज़ोरियों की खोज या खुलासा होने की संभावना है। ऐसे परिदृश्यों से बचने के लिए, केवल वे सॉफ़्टवेयर पैकेज इंस्टॉल किए जाते हैं जो NFVIS कार्यक्षमता के लिए आवश्यक हैं। इससे सॉफ़्टवेयर कमज़ोरियों को सीमित करने, संसाधन खपत को कम करने और उन पैकेजों में समस्याएँ पाए जाने पर अतिरिक्त काम को कम करने में मदद मिलती है। NFVIS में शामिल सभी तृतीय-पक्ष सॉफ़्टवेयर सिस्को में एक केंद्रीय डेटाबेस में पंजीकृत हैं ताकि सिस्को कंपनी स्तर पर संगठित प्रतिक्रिया (कानूनी, सुरक्षा, आदि) करने में सक्षम हो। सॉफ़्टवेयर पैकेजों को ज्ञात सामान्य कमज़ोरियों और जोखिमों (CVE) के लिए हर रिलीज़ में समय-समय पर पैच किया जाता है।
डिफ़ॉल्ट रूप से केवल आवश्यक पोर्ट सक्षम करना
केवल वे सेवाएँ जो NFVIS को सेटअप और प्रबंधित करने के लिए बिल्कुल आवश्यक हैं, डिफ़ॉल्ट रूप से उपलब्ध हैं। इससे फ़ायरवॉल को कॉन्फ़िगर करने और अनावश्यक सेवाओं तक पहुँच को अस्वीकार करने के लिए आवश्यक उपयोगकर्ता प्रयास समाप्त हो जाता है। डिफ़ॉल्ट रूप से सक्षम की गई एकमात्र सेवाएँ नीचे सूचीबद्ध हैं, साथ ही उनके द्वारा खोले जाने वाले पोर्ट भी।
खुला बंदरगाह
सेवा
विवरण
22/टीसीपी
एसएसएच
NFVIS तक दूरस्थ कमांड-लाइन पहुंच के लिए सुरक्षित सॉकेट शेल
80/टीसीपी
एचटीटीपी
NFVIS पोर्टल एक्सेस के लिए हाइपरटेक्स्ट ट्रांसफर प्रोटोकॉल। NFVIS द्वारा प्राप्त सभी HTTP ट्रैफ़िक को HTTPS के लिए पोर्ट 443 पर रीडायरेक्ट किया जाता है
443/टीसीपी
HTTPS के
सुरक्षित NFVIS पोर्टल पहुंच के लिए हाइपरटेक्स्ट ट्रांसफर प्रोटोकॉल सिक्योर
830/टीसीपी
NETCONF-ssh
SSH पर नेटवर्क कॉन्फ़िगरेशन प्रोटोकॉल (NETCONF) के लिए पोर्ट खोला गया। NETCONF एक प्रोटोकॉल है जिसका उपयोग NFVIS के स्वचालित कॉन्फ़िगरेशन और NFVIS से एसिंक्रोनस ईवेंट नोटिफिकेशन प्राप्त करने के लिए किया जाता है।
161/यूडीपी
एसएनएमपी
सरल नेटवर्क प्रबंधन प्रोटोकॉल (SNMP)। दूरस्थ नेटवर्क-निगरानी अनुप्रयोगों के साथ संचार करने के लिए NFVIS द्वारा उपयोग किया जाता है। अधिक जानकारी के लिए, SNMP के बारे में परिचय देखें
सुरक्षा संबंधी विचार 12
सुरक्षा संबंधी विचार
अधिकृत सेवाओं के लिए अधिकृत नेटवर्क तक पहुंच प्रतिबंधित करें
अधिकृत सेवाओं के लिए अधिकृत नेटवर्क तक पहुंच प्रतिबंधित करें
केवल अधिकृत स्रोतकर्ताओं को ही डिवाइस प्रबंधन तक पहुंच का प्रयास करने की अनुमति दी जानी चाहिए, और पहुंच केवल उन सेवाओं तक होनी चाहिए जिनके उपयोग के लिए वे अधिकृत हैं। NFVIS को इस तरह से कॉन्फ़िगर किया जा सकता है कि पहुंच ज्ञात, विश्वसनीय स्रोतों और अपेक्षित प्रबंधन ट्रैफ़िक प्रो तक ही सीमित होfileइससे अनाधिकृत पहुंच का जोखिम कम हो जाता है और अन्य हमलों, जैसे कि बल प्रयोग, शब्दकोश या DoS हमलों का जोखिम कम हो जाता है।
NFVIS प्रबंधन इंटरफ़ेस को अनावश्यक और संभावित रूप से हानिकारक ट्रैफ़िक से बचाने के लिए, एक व्यवस्थापक उपयोगकर्ता प्राप्त होने वाले नेटवर्क ट्रैफ़िक के लिए एक्सेस कंट्रोल लिस्ट (ACL) बना सकता है। ये ACL स्रोत IP पते/नेटवर्क निर्दिष्ट करते हैं जिनसे ट्रैफ़िक उत्पन्न होता है, और ट्रैफ़िक का प्रकार जिसे इन स्रोतों से अनुमति दी जाती है या अस्वीकार किया जाता है। ये IP ट्रैफ़िक फ़िल्टर NFVIS पर प्रत्येक प्रबंधन इंटरफ़ेस पर लागू होते हैं। IP प्राप्त एक्सेस कंट्रोल लिस्ट (ip-receive-acl) में निम्नलिखित पैरामीटर कॉन्फ़िगर किए गए हैं
पैरामीटर
कीमत
विवरण
स्रोत नेटवर्क/नेटमास्क
नेटवर्क/नेटमास्क. उदाहरण के लिएampले: 0.0.0.0/0
172.39.162.0/24
यह फ़ील्ड उस IP पते/नेटवर्क को निर्दिष्ट करता है जहां से ट्रैफ़िक उत्पन्न होता है
सेवा कार्य
https icmp netconf scpd snmp ssh स्वीकार ड्रॉप अस्वीकार
निर्दिष्ट स्रोत से ट्रैफ़िक का प्रकार.
स्रोत नेटवर्क से ट्रैफ़िक पर की जाने वाली कार्रवाई। स्वीकार करने पर, नए कनेक्शन प्रयासों को अनुमति दी जाएगी। अस्वीकार करने पर, कनेक्शन प्रयासों को स्वीकार नहीं किया जाएगा। यदि नियम HTTPS, NETCONF, SCP, SSH जैसी TCP आधारित सेवा के लिए है, तो स्रोत को TCP रीसेट (RST) पैकेट मिलेगा। SNMP और ICMP जैसे गैर-TCP नियमों के लिए, पैकेट को छोड़ दिया जाएगा। ड्रॉप के साथ, सभी पैकेट तुरंत छोड़ दिए जाएंगे, स्रोत को कोई सूचना नहीं भेजी जाएगी।
सुरक्षा संबंधी विचार 13
विशेषाधिकार प्राप्त डीबग पहुँच
सुरक्षा संबंधी विचार
पैरामीटर प्राथमिकता
मान एक संख्यात्मक मान
विवरण
प्राथमिकता का उपयोग नियमों पर एक आदेश लागू करने के लिए किया जाता है। प्राथमिकता के लिए उच्च संख्यात्मक मान वाले नियम श्रृंखला में आगे जोड़े जाएंगे। यदि आप यह सुनिश्चित करना चाहते हैं कि एक नियम दूसरे के बाद जोड़ा जाएगा, तो पहले के लिए कम प्राथमिकता संख्या और उसके बाद के लिए उच्च प्राथमिकता संख्या का उपयोग करें।
निम्नलिखित एसampये विन्यास कुछ परिदृश्यों को दर्शाते हैं जिन्हें विशिष्ट उपयोग-मामलों के लिए अनुकूलित किया जा सकता है।
IP रिसीव ACL को कॉन्फ़िगर करना
ACL जितना अधिक प्रतिबंधात्मक होगा, अनधिकृत पहुँच प्रयासों के लिए जोखिम उतना ही सीमित होगा। हालाँकि, अधिक प्रतिबंधात्मक ACL प्रबंधन ओवरहेड बना सकता है, और समस्या निवारण करने के लिए पहुँच को प्रभावित कर सकता है। नतीजतन, विचार करने के लिए एक संतुलन है। एक समझौता केवल आंतरिक कॉर्पोरेट IP पतों तक पहुँच को प्रतिबंधित करना है। प्रत्येक ग्राहक को अपनी स्वयं की सुरक्षा नीति, जोखिम, जोखिम और उसकी स्वीकृति के संबंध में ACL के कार्यान्वयन का मूल्यांकन करना चाहिए।
सबनेट से ssh ट्रैफ़िक अस्वीकार करें:
nfvis(config)# सिस्टम सेटिंग्स ip-receive-acl 171.70.63.0/24 सेवा ssh कार्रवाई अस्वीकार प्राथमिकता 1
ACL हटाना:
जब ip-receive-acl से कोई प्रविष्टि हटाई जाती है, तो उस स्रोत के सभी कॉन्फ़िगरेशन हटा दिए जाते हैं क्योंकि स्रोत IP पता ही कुंजी है। केवल एक सेवा को हटाने के लिए, अन्य सेवाओं को फिर से कॉन्फ़िगर करें।
nfvis(config)# कोई सिस्टम सेटिंग नहीं ip-receive-acl 171.70.63.0/24
अधिक जानकारी के लिए देखें, IP रिसीव ACL कॉन्फ़िगर करना
विशेषाधिकार प्राप्त डीबग पहुँच
एनएफवीआईएस पर सुपर-यूजर खाता डिफॉल्ट रूप से अक्षम रहता है, ताकि सभी अप्रतिबंधित, संभावित प्रतिकूल, सिस्टम-व्यापी परिवर्तनों को रोका जा सके और एनएफवीआईएस सिस्टम शेल को उपयोगकर्ता के समक्ष प्रदर्शित नहीं करता है।
हालाँकि, NFVIS सिस्टम पर कुछ मुश्किल डीबग मुद्दों के लिए, सिस्को तकनीकी सहायता केंद्र टीम (TAC) या विकास टीम को ग्राहक के NFVIS तक शेल एक्सेस की आवश्यकता हो सकती है। NFVIS के पास एक सुरक्षित अनलॉक इंफ्रास्ट्रक्चर है जो यह सुनिश्चित करता है कि क्षेत्र में किसी डिवाइस तक विशेषाधिकार प्राप्त डीबग एक्सेस अधिकृत सिस्को कर्मचारियों तक ही सीमित है। इस तरह के इंटरैक्टिव डीबगिंग के लिए लिनक्स शेल तक सुरक्षित रूप से पहुँचने के लिए, NFVIS और सिस्को द्वारा बनाए गए इंटरैक्टिव डीबगिंग सर्वर के बीच एक चुनौती-प्रतिक्रिया प्रमाणीकरण तंत्र का उपयोग किया जाता है। यह सुनिश्चित करने के लिए कि डिवाइस को ग्राहक की सहमति से एक्सेस किया जाता है, चुनौती-प्रतिक्रिया प्रविष्टि के अलावा व्यवस्थापक उपयोगकर्ता का पासवर्ड भी आवश्यक है।
इंटरैक्टिव डिबगिंग के लिए शेल तक पहुंचने के चरण:
1. एक एडमिन उपयोगकर्ता इस छुपे हुए कमांड का उपयोग करके इस प्रक्रिया को आरंभ करता है।
nfvis# सिस्टम शेल-एक्सेस
सुरक्षा संबंधी विचार 14
सुरक्षा संबंधी विचार
सुरक्षित इंटरफेस
2. स्क्रीन पर एक चुनौती स्ट्रिंग दिखाई देगी, उदाहरण के लिएampपर:
चुनौती स्ट्रिंग (कृपया तारांकन रेखाओं के बीच की सभी चीज़ें विशेष रूप से कॉपी करें):
******************************************************************************** SPH//wkAAABORlZJU0VOQ1M1NDA4L0s5AQAAABt+dcx+hB0V06r9RkdMMjEzNTgw RlHq7BxeAAA= DONE. ********************************************************************************
3. सिस्को सदस्य सिस्को द्वारा बनाए गए इंटरएक्टिव डीबग सर्वर पर चैलेंज स्ट्रिंग दर्ज करता है। यह सर्वर सत्यापित करता है कि सिस्को उपयोगकर्ता शेल का उपयोग करके NFVIS को डीबग करने के लिए अधिकृत है, और फिर एक प्रतिक्रिया स्ट्रिंग लौटाता है।
4. इस प्रॉम्प्ट के नीचे स्क्रीन पर प्रतिक्रिया स्ट्रिंग दर्ज करें: तैयार होने पर अपनी प्रतिक्रिया दर्ज करें:
5. जब संकेत दिया जाए, तो ग्राहक को एडमिन पासवर्ड दर्ज करना चाहिए। 6. यदि पासवर्ड वैध है, तो आपको शेल-एक्सेस मिलता है। 7. विकास या TAC टीम डिबगिंग के साथ आगे बढ़ने के लिए शेल का उपयोग करती है। 8. शेल-एक्सेस से बाहर निकलने के लिए Exit टाइप करें।
सुरक्षित इंटरफेस
आरेख में दिखाए गए इंटरफ़ेस का उपयोग करके NFVIS प्रबंधन पहुँच की अनुमति दी जाती है। निम्नलिखित अनुभाग NFVIS के लिए इन इंटरफ़ेस के लिए सुरक्षा सर्वोत्तम प्रथाओं का वर्णन करते हैं।
कंसोल एसएसएच
कंसोल पोर्ट एक एसिंक्रोनस सीरियल पोर्ट है जो आपको आरंभिक कॉन्फ़िगरेशन के लिए NFVIS CLI से कनेक्ट करने की अनुमति देता है। उपयोगकर्ता NFVIS तक भौतिक पहुँच या टर्मिनल सर्वर के उपयोग के माध्यम से दूरस्थ पहुँच के साथ कंसोल तक पहुँच सकता है। यदि टर्मिनल सर्वर के माध्यम से कंसोल पोर्ट एक्सेस की आवश्यकता है, तो टर्मिनल सर्वर पर एक्सेस सूचियों को केवल आवश्यक स्रोत पतों से ही एक्सेस की अनुमति देने के लिए कॉन्फ़िगर करें।
उपयोगकर्ता दूरस्थ लॉगिन के सुरक्षित साधन के रूप में SSH का उपयोग करके NFVIS CLI तक पहुँच सकते हैं। NFVIS प्रबंधन ट्रैफ़िक की अखंडता और गोपनीयता प्रशासित नेटवर्क की सुरक्षा के लिए आवश्यक है क्योंकि प्रशासन प्रोटोकॉल अक्सर ऐसी जानकारी ले जाते हैं जिसका उपयोग नेटवर्क में घुसपैठ करने या उसे बाधित करने के लिए किया जा सकता है।
सुरक्षा संबंधी विचार 15
CLI सत्र समय समाप्त
सुरक्षा संबंधी विचार
एनएफवीआईएस एसएसएच संस्करण 2 का उपयोग करता है, जो कि सिस्को और इंटरनेट का इंटरैक्टिव लॉगिन के लिए वास्तविक मानक प्रोटोकॉल है और सिस्को के भीतर सुरक्षा और ट्रस्ट संगठन द्वारा अनुशंसित मजबूत एन्क्रिप्शन, हैश और कुंजी एक्सचेंज एल्गोरिदम का समर्थन करता है।
CLI सत्र समय समाप्त
SSH के माध्यम से लॉग इन करके, उपयोगकर्ता NFVIS के साथ एक सत्र स्थापित करता है। जब उपयोगकर्ता लॉग इन होता है, तो यदि उपयोगकर्ता लॉग-इन सत्र को बिना देखे छोड़ देता है, तो इससे नेटवर्क को सुरक्षा जोखिम हो सकता है। सत्र सुरक्षा आंतरिक हमलों के जोखिम को सीमित करती है, जैसे कि एक उपयोगकर्ता दूसरे उपयोगकर्ता के सत्र का उपयोग करने का प्रयास करता है।
इस जोखिम को कम करने के लिए, NFVIS 15 मिनट की निष्क्रियता के बाद CLI सत्रों का समय समाप्त कर देता है। जब सत्र का समय समाप्त हो जाता है, तो उपयोगकर्ता स्वचालित रूप से लॉग आउट हो जाता है।
नेटकॉन्फ
नेटवर्क कॉन्फ़िगरेशन प्रोटोकॉल (NETCONF) एक नेटवर्क प्रबंधन प्रोटोकॉल है जिसे नेटवर्क उपकरणों के स्वचालित कॉन्फ़िगरेशन के लिए IETF द्वारा विकसित और मानकीकृत किया गया है।
NETCONF प्रोटोकॉल कॉन्फ़िगरेशन डेटा के साथ-साथ प्रोटोकॉल संदेशों के लिए एक्सटेंसिबल मार्कअप लैंग्वेज (XML) आधारित डेटा एन्कोडिंग का उपयोग करता है। प्रोटोकॉल संदेशों का आदान-प्रदान एक सुरक्षित ट्रांसपोर्ट प्रोटोकॉल के शीर्ष पर किया जाता है।
NETCONF, NFVIS को XML-आधारित API प्रदान करने की अनुमति देता है, जिसका उपयोग नेटवर्क ऑपरेटर SSH पर सुरक्षित रूप से कॉन्फ़िगरेशन डेटा और ईवेंट नोटिफिकेशन सेट करने और प्राप्त करने के लिए कर सकता है।
अधिक जानकारी के लिए, NETCONF इवेंट अधिसूचनाएँ देखें।
रेस्ट एपीआई
NFVIS को HTTPS पर RESTful API का उपयोग करके कॉन्फ़िगर किया जा सकता है। REST API अनुरोध करने वाले सिस्टम को स्टेटलेस ऑपरेशन के एक समान और पूर्वनिर्धारित सेट का उपयोग करके NFVIS कॉन्फ़िगरेशन तक पहुँचने और उसमें हेरफेर करने की अनुमति देता है। सभी REST API के बारे में विवरण NFVIS API संदर्भ गाइड में पाया जा सकता है।
जब उपयोगकर्ता REST API जारी करता है, तो NFVIS के साथ एक सत्र स्थापित होता है। सेवा अस्वीकार हमलों से संबंधित जोखिमों को सीमित करने के लिए, NFVIS समवर्ती REST सत्रों की कुल संख्या को 100 तक सीमित करता है।
एनएफवीआईएस Web पोर्टल
एनएफवीआईएस पोर्टल एक web-आधारित ग्राफिकल यूजर इंटरफेस जो NFVIS के बारे में जानकारी प्रदर्शित करता है। पोर्टल उपयोगकर्ता को NFVIS CLI और API को जाने बिना HTTPS पर NFVIS को कॉन्फ़िगर और मॉनिटर करने का एक आसान तरीका प्रदान करता है।
सत्र प्रबंधन
HTTP और HTTPS की स्टेटलेस प्रकृति के लिए विशिष्ट सत्र आईडी और कुकीज़ के उपयोग के माध्यम से उपयोगकर्ताओं को विशिष्ट रूप से ट्रैक करने की विधि की आवश्यकता होती है।
NFVIS उपयोगकर्ता के सत्र को एन्क्रिप्ट करता है। AES-256-CBC सिफर का उपयोग HMAC-SHA-256 प्रमाणीकरण के साथ सत्र सामग्री को एन्क्रिप्ट करने के लिए किया जाता है tagप्रत्येक एन्क्रिप्शन ऑपरेशन के लिए एक यादृच्छिक 128-बिट इनिशियलाइज़ेशन वेक्टर उत्पन्न किया जाता है।
जब पोर्टल सत्र बनाया जाता है तो ऑडिट रिकॉर्ड शुरू हो जाता है। जब उपयोगकर्ता लॉग आउट करता है या सत्र का समय समाप्त हो जाता है तो सत्र जानकारी हटा दी जाती है।
पोर्टल सत्रों के लिए डिफ़ॉल्ट निष्क्रिय समय सीमा 15 मिनट है। हालाँकि, इसे वर्तमान सत्र के लिए सेटिंग पृष्ठ पर 5 से 60 मिनट के बीच के मान पर कॉन्फ़िगर किया जा सकता है। इसके बाद ऑटो-लॉगआउट शुरू हो जाएगा
सुरक्षा संबंधी विचार 16
सुरक्षा संबंधी विचार
HTTPS के
HTTPS के
अवधि। एक ही ब्राउज़र में कई सत्रों की अनुमति नहीं है। समवर्ती सत्रों की अधिकतम संख्या 30 निर्धारित की गई है। NFVIS पोर्टल उपयोगकर्ता के साथ डेटा को संबद्ध करने के लिए कुकीज़ का उपयोग करता है। यह बढ़ी हुई सुरक्षा के लिए निम्नलिखित कुकी गुणों का उपयोग करता है:
· ephemeral यह सुनिश्चित करने के लिए कि ब्राउज़र बंद होने पर कुकी समाप्त हो जाती है · httpOnly यह सुनिश्चित करने के लिए कि कुकी को JavaScript से अप्राप्य बनाया जाए · secureProxy यह सुनिश्चित करने के लिए कि कुकी को केवल SSL पर ही भेजा जा सके।
प्रमाणीकरण के बाद भी, क्रॉस-साइट रिक्वेस्ट फ़ोर्जरी (CSRF) जैसे हमले संभव हैं। इस परिदृश्य में, अंतिम उपयोगकर्ता अनजाने में किसी साइट पर अवांछित क्रियाएँ निष्पादित कर सकता है web जिस एप्लिकेशन में वे वर्तमान में प्रमाणित हैं। इसे रोकने के लिए, NFVIS प्रत्येक सत्र के दौरान लागू किए जाने वाले प्रत्येक REST API को मान्य करने के लिए CSRF टोकन का उपयोग करता है।
URL पुनर्निर्देशन सामान्यतः web सर्वर, जब कोई पेज नहीं मिलता web सर्वर पर, उपयोगकर्ता को 404 संदेश मिलता है; मौजूद पृष्ठों के लिए, उन्हें एक लॉगिन पृष्ठ मिलता है। इसका सुरक्षा प्रभाव यह है कि एक हमलावर ब्रूट फोर्स स्कैन कर सकता है और आसानी से पता लगा सकता है कि कौन से पृष्ठ और फ़ोल्डर मौजूद हैं। NFVIS पर इसे रोकने के लिए, सभी गैर-मौजूद URLडिवाइस आईपी के साथ उपसर्ग किए गए सभी डिवाइसों को 301 स्टेटस रिस्पॉन्स कोड के साथ पोर्टल लॉगिन पेज पर रीडायरेक्ट किया जाता है। इसका मतलब यह है कि चाहे जो भी हो URL हमलावर द्वारा अनुरोध किए जाने पर, उन्हें हमेशा खुद को प्रमाणित करने के लिए लॉगिन पेज मिलेगा। सभी HTTP सर्वर अनुरोध HTTPS पर पुनर्निर्देशित किए जाते हैं और निम्नलिखित हेडर कॉन्फ़िगर किए जाते हैं:
· X-सामग्री-प्रकार-विकल्प · X-XSS-सुरक्षा · सामग्री-सुरक्षा-नीति · X-फ़्रेम-विकल्प · सख्त-परिवहन-सुरक्षा · कैश-नियंत्रण
पोर्टल को अक्षम करना NFVIS पोर्टल एक्सेस डिफ़ॉल्ट रूप से सक्षम है। यदि आप पोर्टल का उपयोग करने की योजना नहीं बना रहे हैं, तो इस कमांड का उपयोग करके पोर्टल एक्सेस को अक्षम करने की अनुशंसा की जाती है:
टर्मिनल कॉन्फ़िगर करें सिस्टम पोर्टल एक्सेस अक्षम प्रतिबद्ध
NFVIS से आने-जाने वाला सभी HTTPS डेटा नेटवर्क पर संचार करने के लिए ट्रांसपोर्ट लेयर सिक्योरिटी (TLS) का उपयोग करता है। TLS, सिक्योर सॉकेट लेयर (SSL) का उत्तराधिकारी है।
सुरक्षा संबंधी विचार 17
HTTPS के
सुरक्षा संबंधी विचार
TLS हैंडशेक में प्रमाणीकरण शामिल होता है जिसके दौरान क्लाइंट सर्वर के SSL प्रमाणपत्र को उसे जारी करने वाले प्रमाणपत्र प्राधिकरण के साथ सत्यापित करता है। यह पुष्टि करता है कि सर्वर वही है जो वह कहता है, और क्लाइंट डोमेन के स्वामी के साथ बातचीत कर रहा है। डिफ़ॉल्ट रूप से, NFVIS अपने क्लाइंट को अपनी पहचान साबित करने के लिए एक स्व-हस्ताक्षरित प्रमाणपत्र का उपयोग करता है। इस प्रमाणपत्र में TLS एन्क्रिप्शन की सुरक्षा बढ़ाने के लिए 2048-बिट सार्वजनिक कुंजी है, क्योंकि एन्क्रिप्शन की ताकत सीधे कुंजी के आकार से संबंधित है।
प्रमाणपत्र प्रबंधन NFVIS पहली बार इंस्टॉल होने पर एक स्व-हस्ताक्षरित SSL प्रमाणपत्र बनाता है। इस प्रमाणपत्र को अनुपालन प्रमाणपत्र प्राधिकरण (CA) द्वारा हस्ताक्षरित वैध प्रमाणपत्र से बदलना सुरक्षा का सबसे अच्छा अभ्यास है। डिफ़ॉल्ट स्व-हस्ताक्षरित प्रमाणपत्र को बदलने के लिए निम्न चरणों का उपयोग करें: 1. NFVIS पर प्रमाणपत्र हस्ताक्षर अनुरोध (CSR) बनाएँ।
प्रमाणपत्र हस्ताक्षर अनुरोध (सीएसआर) एक file एसएसएल प्रमाणपत्र के लिए आवेदन करते समय प्रमाणपत्र प्राधिकारी को दिए जाने वाले एन्कोडेड पाठ के एक ब्लॉक के साथ। यह file इसमें वह जानकारी शामिल है जो प्रमाणपत्र में शामिल होनी चाहिए जैसे संगठन का नाम, सामान्य नाम (डोमेन नाम), इलाका और देश। file इसमें वह सार्वजनिक कुंजी भी शामिल है जिसे प्रमाणपत्र में शामिल किया जाना चाहिए। NFVIS 2048-बिट सार्वजनिक कुंजी का उपयोग करता है क्योंकि एन्क्रिप्शन शक्ति उच्च कुंजी आकार के साथ अधिक होती है। NFVIS पर CSR उत्पन्न करने के लिए, निम्न आदेश चलाएँ:
nfvis# सिस्टम प्रमाणपत्र हस्ताक्षर-अनुरोध [सामान्य-नाम देश-कोड स्थान संगठन संगठन-इकाई-नाम राज्य] सीएसआर file /data/intdatastore/download/nfvis.csr के रूप में सहेजा गया है। 2. CSR का उपयोग करके CA से SSL प्रमाणपत्र प्राप्त करें। बाहरी होस्ट से, प्रमाणपत्र हस्ताक्षर अनुरोध डाउनलोड करने के लिए scp कमांड का उपयोग करें।
[myhost:/tmp] > scp -P 22222 admin@ :/डेटा/intdatastore/download/nfvis.csrfile-नाम>
इस CSR का उपयोग करके नया SSL सर्वर प्रमाणपत्र जारी करने के लिए प्रमाणपत्र प्राधिकारी से संपर्क करें। 3. CA हस्ताक्षरित प्रमाणपत्र स्थापित करें।
किसी बाहरी सर्वर से प्रमाणपत्र अपलोड करने के लिए scp कमांड का उपयोग करें file NFVIS में डेटा/intdatastore में/uploads/ निर्देशिका.
[myhost:/tmp] > scp -P 22222 file> एडमिन@ :/डेटा/intdatastore/अपलोड
निम्नलिखित आदेश का उपयोग करके NFVIS में प्रमाणपत्र स्थापित करें।
nfvis# सिस्टम प्रमाणपत्र इंस्टॉल-प्रमाणपत्र पथ file:///डेटा/intdatastore/uploads/<प्रमाणपत्र file>
4. CA हस्ताक्षरित प्रमाणपत्र का उपयोग करना शुरू करें। डिफ़ॉल्ट स्व-हस्ताक्षरित प्रमाणपत्र के बजाय CA हस्ताक्षरित प्रमाणपत्र का उपयोग शुरू करने के लिए निम्न आदेश का उपयोग करें।
सुरक्षा संबंधी विचार 18
सुरक्षा संबंधी विचार
एसएनएमपी एक्सेस
nfvis(config)# सिस्टम प्रमाणपत्र use-cert प्रमाणपत्र-प्रकार ca-signed
एसएनएमपी एक्सेस
सरल नेटवर्क प्रबंधन प्रोटोकॉल (एसएनएमपी) एक इंटरनेट मानक प्रोटोकॉल है, जो आईपी नेटवर्क पर प्रबंधित उपकरणों के बारे में जानकारी एकत्रित करने और व्यवस्थित करने, तथा उपकरण व्यवहार को बदलने के लिए उस जानकारी को संशोधित करने के लिए उपयोग किया जाता है।
SNMP के तीन महत्वपूर्ण संस्करण विकसित किए गए हैं। NFVIS SNMP संस्करण 1, संस्करण 2c और संस्करण 3 का समर्थन करता है। SNMP संस्करण 1 और 2 प्रमाणीकरण के लिए सामुदायिक स्ट्रिंग का उपयोग करते हैं, और इन्हें सादे-पाठ में भेजा जाता है। इसलिए, इसके बजाय SNMP v3 का उपयोग करना सुरक्षा का सबसे अच्छा अभ्यास है।
SNMPv3 तीन पहलुओं का उपयोग करके डिवाइस तक सुरक्षित पहुँच प्रदान करता है: - उपयोगकर्ता, प्रमाणीकरण और एन्क्रिप्शन। SNMPv3 SNMP के माध्यम से उपलब्ध जानकारी तक पहुँच को नियंत्रित करने के लिए USM (उपयोगकर्ता-आधारित सुरक्षा मॉड्यूल) का उपयोग करता है। SNMP v3 उपयोगकर्ता को प्रमाणीकरण प्रकार, गोपनीयता प्रकार और साथ ही पासफ़्रेज़ के साथ कॉन्फ़िगर किया गया है। समूह साझा करने वाले सभी उपयोगकर्ता एक ही SNMP संस्करण का उपयोग करते हैं, हालाँकि, विशिष्ट सुरक्षा स्तर सेटिंग्स (पासवर्ड, एन्क्रिप्शन प्रकार, आदि) प्रति उपयोगकर्ता निर्दिष्ट की जाती हैं।
निम्न तालिका SNMP के भीतर सुरक्षा विकल्पों का सारांश प्रस्तुत करती है
नमूना
स्तर
प्रमाणीकरण
एन्क्रिप्शन
नतीजा
v1
noAuthNoPriv
समुदाय स्ट्रिंग नं.
समुदाय का उपयोग करता है
स्ट्रिंग मैच के लिए
प्रमाणीकरण.
वी2सी
noAuthNoPriv
समुदाय स्ट्रिंग नं.
प्रमाणीकरण के लिए समुदाय स्ट्रिंग मिलान का उपयोग करता है.
v3
noAuthNoPriv
उपयोगकर्ता नाम
नहीं
उपयोगकर्ता नाम का उपयोग करता है
के लिए मैच
प्रमाणीकरण.
v3
authNoPriv
संदेश डाइजेस्ट 5 नं
प्रदान
(एमडी5)
प्रमाणीकरण आधारित
or
HMAC-MD5-96 पर या
सुरक्षित हैश
एचएमएसी-एसएचए-96
एल्गोरिथ्म (SHA)
एल्गोरिदम.
सुरक्षा संबंधी विचार 19
कानूनी अधिसूचना बैनर
सुरक्षा संबंधी विचार
मॉडल v3
स्तर authPriv
प्रमाणीकरण MD5 या SHA
एन्क्रिप्शन
नतीजा
डेटा एन्क्रिप्शन प्रदान करता है
मानक (DES) या प्रमाणीकरण आधारित
विकसित
पर
एन्क्रिप्शन मानक HMAC-MD5-96 या
(एईएस)
एचएमएसी-एसएचए-96
एल्गोरिदम.
सिफर ब्लॉक चेनिंग मोड (CBC-DES) में DES सिफर एल्गोरिदम प्रदान करता है
or
सिफर फीडबैक मोड (CFB) में प्रयुक्त AES एन्क्रिप्शन एल्गोरिथ्म, 128-बिट कुंजी आकार (CFB128-AES-128) के साथ
NIST द्वारा अपनाए जाने के बाद से, AES पूरे उद्योग में प्रमुख एन्क्रिप्शन एल्गोरिथम बन गया है। MD5 से हटकर SHA की ओर उद्योग के प्रवास का अनुसरण करने के लिए, SNMP v3 प्रमाणीकरण प्रोटोकॉल को SHA और गोपनीयता प्रोटोकॉल को AES के रूप में कॉन्फ़िगर करना एक सुरक्षा सर्वोत्तम अभ्यास है।
एसएनएमपी पर अधिक जानकारी के लिए देखें, एसएनएमपी के बारे में परिचय
कानूनी अधिसूचना बैनर
यह अनुशंसा की जाती है कि सभी इंटरैक्टिव सत्रों पर एक कानूनी अधिसूचना बैनर मौजूद हो ताकि यह सुनिश्चित किया जा सके कि उपयोगकर्ताओं को लागू की जा रही सुरक्षा नीति और उनके अधीन होने के बारे में सूचित किया जाए। कुछ अधिकार क्षेत्रों में, सिस्टम में सेंध लगाने वाले हमलावर के खिलाफ दीवानी और/या आपराधिक मुकदमा चलाना आसान होता है, या यहां तक कि आवश्यक भी होता है, अगर एक कानूनी अधिसूचना बैनर प्रस्तुत किया जाता है, जो अनधिकृत उपयोगकर्ताओं को सूचित करता है कि उनका उपयोग वास्तव में अनधिकृत है। कुछ अधिकार क्षेत्रों में, अनधिकृत उपयोगकर्ता की गतिविधि की निगरानी करना भी प्रतिबंधित हो सकता है जब तक कि उन्हें ऐसा करने के इरादे के बारे में सूचित न किया गया हो।
कानूनी अधिसूचना की आवश्यकताएं जटिल हैं और प्रत्येक क्षेत्राधिकार और स्थिति में भिन्न होती हैं। यहां तक कि क्षेत्राधिकार के भीतर भी, कानूनी राय अलग-अलग होती है। यह सुनिश्चित करने के लिए कि अधिसूचना बैनर कंपनी, स्थानीय और अंतर्राष्ट्रीय कानूनी आवश्यकताओं को पूरा करता है, इस मुद्दे पर अपने स्वयं के कानूनी सलाहकार से चर्चा करें। सुरक्षा उल्लंघन की स्थिति में उचित कार्रवाई सुनिश्चित करने के लिए यह अक्सर महत्वपूर्ण होता है। कंपनी के कानूनी सलाहकार के सहयोग से, कानूनी अधिसूचना बैनर में शामिल किए जा सकने वाले कथनों में शामिल हैं:
· अधिसूचना कि सिस्टम तक पहुंच और उपयोग की अनुमति केवल विशेष रूप से अधिकृत कर्मियों को ही है, और संभवतः इस बारे में जानकारी कि कौन उपयोग को अधिकृत कर सकता है।
· अधिसूचना कि सिस्टम तक अनाधिकृत पहुंच और उपयोग गैरकानूनी है, तथा इसके लिए सिविल और/या आपराधिक दंड का प्रावधान हो सकता है।
· अधिसूचना कि सिस्टम तक पहुंच और उपयोग को बिना किसी अग्रिम सूचना के लॉग किया जा सकता है या निगरानी की जा सकती है, तथा परिणामी लॉग का उपयोग अदालत में साक्ष्य के रूप में किया जा सकता है।
· विशिष्ट स्थानीय कानूनों द्वारा अपेक्षित अतिरिक्त विशिष्ट सूचनाएं।
सुरक्षा संबंधी विचार 20
सुरक्षा संबंधी विचार
फ़ैक्टरी डिफ़ॉल्ट रीसेट
कानूनी दृष्टिकोण से नहीं बल्कि सुरक्षा के दृष्टिकोण से viewकानूनी अधिसूचना बैनर में डिवाइस के बारे में कोई विशिष्ट जानकारी नहीं होनी चाहिए, जैसे उसका नाम, मॉडल, सॉफ्टवेयर, स्थान, ऑपरेटर या मालिक, क्योंकि इस तरह की जानकारी हमलावर के लिए उपयोगी हो सकती है।
निम्नलिखित इस प्रकार हैampकानूनी अधिसूचना बैनर जो लॉगिन से पहले प्रदर्शित किया जा सकता है:
इस डिवाइस तक अनधिकृत पहुंच निषिद्ध है इस डिवाइस तक पहुंचने या कॉन्फ़िगर करने के लिए आपके पास स्पष्ट, अधिकृत अनुमति होनी चाहिए। इस डिवाइस तक पहुंचने या उपयोग करने के लिए अनधिकृत प्रयास और क्रियाएं
इस सिस्टम के परिणामस्वरूप सिविल और/या आपराधिक दंड हो सकता है। इस डिवाइस पर की गई सभी गतिविधियों को लॉग किया जाता है और उनकी निगरानी की जाती है
ध्यान दें: कंपनी के कानूनी सलाहकार द्वारा अनुमोदित कानूनी अधिसूचना बैनर प्रस्तुत करें।
NFVIS बैनर और मैसेज ऑफ द डे (MOTD) के कॉन्फ़िगरेशन की अनुमति देता है। बैनर उपयोगकर्ता के लॉग इन करने से पहले प्रदर्शित होता है। एक बार जब उपयोगकर्ता NFVIS में लॉग इन करता है, तो सिस्टम-परिभाषित बैनर NFVIS के बारे में कॉपीराइट जानकारी प्रदान करता है, और यदि कॉन्फ़िगर किया गया है, तो मैसेज-ऑफ-द-डे (MOTD) दिखाई देगा, उसके बाद कमांड लाइन प्रॉम्प्ट या पोर्टल दिखाई देगा। view, लॉगिन विधि पर निर्भर करता है।
यह अनुशंसा की जाती है कि लॉगिन बैनर लागू किया जाए ताकि यह सुनिश्चित हो सके कि लॉगिन प्रॉम्प्ट प्रस्तुत किए जाने से पहले सभी डिवाइस प्रबंधन एक्सेस सत्रों पर एक कानूनी अधिसूचना बैनर प्रस्तुत किया जाए। बैनर और MOTD को कॉन्फ़िगर करने के लिए इस कमांड का उपयोग करें।
nfvis(config)# बैनर-motd बैनर मोटडी
बैनर कमांड के बारे में अधिक जानकारी के लिए बैनर, दिन का संदेश और सिस्टम समय कॉन्फ़िगर करें देखें.
फ़ैक्टरी डिफ़ॉल्ट रीसेट
फ़ैक्टरी रीसेट से वह सभी ग्राहक-विशिष्ट डेटा हटा दिया जाता है जो डिवाइस में शिपिंग के समय से जोड़ा गया है। मिटाए गए डेटा में कॉन्फ़िगरेशन, लॉग शामिल हैं files, VM छवियाँ, कनेक्टिविटी जानकारी और उपयोगकर्ता लॉगिन क्रेडेंशियल।
यह डिवाइस को फ़ैक्टरी-मूल सेटिंग्स पर रीसेट करने के लिए एक कमांड प्रदान करता है, और निम्नलिखित परिदृश्यों में उपयोगी है:
· किसी डिवाइस के लिए रिटर्न मटेरियल ऑथराइजेशन (RMA) - यदि आपको RMA के लिए सिस्को को कोई डिवाइस वापस करना है, तो सभी ग्राहक-विशिष्ट डेटा को हटाने के लिए फैक्टरी डिफ़ॉल्ट रीसेट का उपयोग करें।
· क्षतिग्रस्त डिवाइस को पुनः प्राप्त करना - यदि डिवाइस पर संग्रहीत मुख्य सामग्री या क्रेडेंशियल्स क्षतिग्रस्त हो गए हैं, तो डिवाइस को फ़ैक्टरी कॉन्फ़िगरेशन पर रीसेट करें और फिर डिवाइस को पुनः कॉन्फ़िगर करें।
· यदि उसी डिवाइस को नए कॉन्फ़िगरेशन के साथ किसी भिन्न स्थान पर पुनः उपयोग करने की आवश्यकता हो, तो मौजूदा कॉन्फ़िगरेशन को हटाने और उसे साफ़ स्थिति में लाने के लिए फ़ैक्टरी डिफ़ॉल्ट रीसेट करें।
NFVIS फ़ैक्टरी डिफ़ॉल्ट रीसेट के अंतर्गत निम्नलिखित विकल्प प्रदान करता है:
फ़ैक्टरी रीसेट विकल्प
डेटा मिटा दिया गया
डेटा संरक्षित
सभी
सभी कॉन्फ़िगरेशन, अपलोड की गई छवि व्यवस्थापक खाता बनाए रखा जाता है और
fileएस, वीएम और लॉग।
पासवर्ड बदल दिया जाएगा
डिवाइस से कनेक्टिविटी फ़ैक्टरी डिफ़ॉल्ट पासवर्ड होगी।
खो गया।
सुरक्षा संबंधी विचार 21
बुनियादी ढांचा प्रबंधन नेटवर्क
सुरक्षा संबंधी विचार
फैक्टरी रीसेट विकल्प all-except-images
सभी-छवियों-को-छोड़कर-कनेक्टिविटी
उत्पादन
डेटा मिटा दिया गया
डेटा संरक्षित
छवि को छोड़कर सभी कॉन्फ़िगरेशन छवि कॉन्फ़िगरेशन, पंजीकृत
कॉन्फ़िगरेशन, VMs, और अपलोड की गई छवियाँ और लॉग
छवि files.
व्यवस्थापक खाता बरकरार रखा जाता है और
डिवाइस से कनेक्टिविटी के लिए पासवर्ड बदल दिया जाएगा
खो गया।
फ़ैक्टरी डिफ़ॉल्ट पासवर्ड.
छवि, छवियां, नेटवर्क और कनेक्टिविटी को छोड़कर सभी कॉन्फ़िगरेशन
नेटवर्क और कनेक्टिविटी
संबंधित कॉन्फ़िगरेशन, पंजीकृत
कॉन्फ़िगरेशन, वीएम, और अपलोड की गई छवियां, और लॉग।
छवि files.
व्यवस्थापक खाता बरकरार रखा जाता है और
डिवाइस से कनेक्टिविटी है
पहले से कॉन्फ़िगर किया गया व्यवस्थापक
उपलब्ध।
पासवर्ड सुरक्षित रखा जाएगा.
छवि कॉन्फ़िगरेशन, VMs, अपलोड की गई छवि को छोड़कर सभी कॉन्फ़िगरेशन fileएस, और लॉग.
डिवाइस से कनेक्टिविटी ख़त्म हो जाएगी.
छवि से संबंधित कॉन्फ़िगरेशन और पंजीकृत छवियाँ
व्यवस्थापक खाता बरकरार रखा जाएगा और पासवर्ड को फ़ैक्टरी डिफ़ॉल्ट पासवर्ड में बदल दिया जाएगा।
उपयोगकर्ता को फ़ैक्टरी डिफ़ॉल्ट रीसेट के उद्देश्य के आधार पर सावधानीपूर्वक उचित विकल्प चुनना चाहिए। अधिक जानकारी के लिए, फ़ैक्टरी डिफ़ॉल्ट पर रीसेट करना देखें।
बुनियादी ढांचा प्रबंधन नेटवर्क
इंफ्रास्ट्रक्चर मैनेजमेंट नेटवर्क इंफ्रास्ट्रक्चर डिवाइस के लिए कंट्रोल और मैनेजमेंट प्लेन ट्रैफ़िक (जैसे NTP, SSH, SNMP, syslog, आदि) ले जाने वाले नेटवर्क को संदर्भित करता है। डिवाइस एक्सेस कंसोल के माध्यम से, साथ ही ईथरनेट इंटरफेस के माध्यम से भी हो सकता है। यह कंट्रोल और मैनेजमेंट प्लेन ट्रैफ़िक नेटवर्क संचालन के लिए महत्वपूर्ण है, जो नेटवर्क में दृश्यता और नियंत्रण प्रदान करता है। नतीजतन, एक अच्छी तरह से डिज़ाइन किया गया और सुरक्षित इंफ्रास्ट्रक्चर मैनेजमेंट नेटवर्क एक नेटवर्क की समग्र सुरक्षा और संचालन के लिए महत्वपूर्ण है। एक सुरक्षित इंफ्रास्ट्रक्चर मैनेजमेंट नेटवर्क के लिए प्रमुख सिफारिशों में से एक प्रबंधन और डेटा ट्रैफ़िक को अलग करना है ताकि उच्च लोड और उच्च ट्रैफ़िक स्थितियों के तहत भी दूरस्थ प्रबंधन सुनिश्चित किया जा सके। इसे एक समर्पित प्रबंधन इंटरफ़ेस का उपयोग करके प्राप्त किया जा सकता है।
बुनियादी ढांचा प्रबंधन नेटवर्क कार्यान्वयन दृष्टिकोण निम्नलिखित हैं:
आउट-ऑफ-बैंड प्रबंधन
आउट-ऑफ-बैंड मैनेजमेंट (OOB) प्रबंधन नेटवर्क में एक ऐसा नेटवर्क होता है जो पूरी तरह से स्वतंत्र होता है और उस डेटा नेटवर्क से शारीरिक रूप से अलग होता है जिसे यह प्रबंधित करने में मदद करता है। इसे कभी-कभी डेटा संचार नेटवर्क (DCN) भी कहा जाता है। नेटवर्क डिवाइस OOB नेटवर्क से विभिन्न तरीकों से कनेक्ट हो सकते हैं: NFVIS एक अंतर्निहित प्रबंधन इंटरफ़ेस का समर्थन करता है जिसका उपयोग OOB नेटवर्क से कनेक्ट करने के लिए किया जा सकता है। NFVIS एक पूर्वनिर्धारित भौतिक इंटरफ़ेस, ENCS पर MGMT पोर्ट को एक समर्पित प्रबंधन इंटरफ़ेस के रूप में कॉन्फ़िगर करने की अनुमति देता है। प्रबंधन पैकेट को निर्दिष्ट इंटरफेस तक सीमित करने से डिवाइस के प्रबंधन पर अधिक नियंत्रण मिलता है, जिससे उस डिवाइस के लिए अधिक सुरक्षा मिलती है। अन्य लाभों में गैर-प्रबंधन इंटरफेस पर डेटा पैकेट के लिए बेहतर प्रदर्शन, नेटवर्क स्केलेबिलिटी के लिए समर्थन शामिल हैं,
सुरक्षा संबंधी विचार 22
सुरक्षा संबंधी विचार
छद्म आउट-ऑफ-बैंड प्रबंधन
डिवाइस तक पहुँच को प्रतिबंधित करने के लिए कम एक्सेस कंट्रोल लिस्ट (ACL) की आवश्यकता होती है, और CPU तक पहुँचने से प्रबंधन पैकेट बाढ़ को रोका जाता है। नेटवर्क डिवाइस समर्पित डेटा इंटरफ़ेस के माध्यम से OOB नेटवर्क से भी जुड़ सकते हैं। इस मामले में, यह सुनिश्चित करने के लिए ACL को तैनात किया जाना चाहिए कि प्रबंधन ट्रैफ़िक को केवल समर्पित इंटरफ़ेस द्वारा ही नियंत्रित किया जाए। अधिक जानकारी के लिए, IP रिसीव ACL और पोर्ट 22222 और प्रबंधन इंटरफ़ेस ACL को कॉन्फ़िगर करना देखें।
छद्म आउट-ऑफ-बैंड प्रबंधन
एक छद्म आउट-ऑफ-बैंड प्रबंधन नेटवर्क डेटा नेटवर्क के समान ही भौतिक अवसंरचना का उपयोग करता है, लेकिन VLAN का उपयोग करके ट्रैफ़िक के वर्चुअल पृथक्करण के माध्यम से तार्किक पृथक्करण प्रदान करता है। NFVIS ट्रैफ़िक के विभिन्न स्रोतों की पहचान करने और VM के बीच ट्रैफ़िक को अलग करने में मदद करने के लिए VLAN और वर्चुअल ब्रिज बनाने का समर्थन करता है। अलग-अलग ब्रिज और VLAN होने से वर्चुअल मशीन नेटवर्क का डेटा ट्रैफ़िक और प्रबंधन नेटवर्क अलग हो जाता है, इस प्रकार VM और होस्ट के बीच ट्रैफ़िक विभाजन प्रदान करता है। अधिक जानकारी के लिए NFVIS प्रबंधन ट्रैफ़िक के लिए VLAN कॉन्फ़िगर करना देखें।
इन-बैंड प्रबंधन
इन-बैंड प्रबंधन नेटवर्क डेटा ट्रैफ़िक के समान ही भौतिक और तार्किक पथों का उपयोग करता है। अंततः, इस नेटवर्क डिज़ाइन के लिए जोखिम बनाम लाभ और लागतों के प्रति-ग्राहक विश्लेषण की आवश्यकता होती है। कुछ सामान्य विचारों में शामिल हैं:
· एक पृथक OOB प्रबंधन नेटवर्क विघटनकारी घटनाओं के दौरान भी नेटवर्क पर दृश्यता और नियंत्रण को अधिकतम करता है।
· OOB नेटवर्क पर नेटवर्क टेलीमेट्री प्रेषित करने से उस सूचना के बाधित होने की संभावना न्यूनतम हो जाती है जो महत्वपूर्ण नेटवर्क दृश्यता प्रदान करती है।
· नेटवर्क इंफ्रास्ट्रक्चर, होस्ट आदि तक इन-बैंड प्रबंधन पहुंच नेटवर्क घटना की स्थिति में पूरी तरह से नष्ट होने की संभावना है, जिससे नेटवर्क की सभी दृश्यता और नियंत्रण समाप्त हो जाता है। इस घटना को कम करने के लिए उचित QoS नियंत्रण लागू किए जाने चाहिए।
· एनएफवीआईएस में ऐसे इंटरफेस हैं जो डिवाइस प्रबंधन के लिए समर्पित हैं, जिनमें सीरियल कंसोल पोर्ट और ईथरनेट प्रबंधन इंटरफेस शामिल हैं।
· एक OOB प्रबंधन नेटवर्क को आमतौर पर उचित लागत पर तैनात किया जा सकता है, क्योंकि प्रबंधन नेटवर्क ट्रैफ़िक के लिए आमतौर पर उच्च बैंडविड्थ या उच्च प्रदर्शन वाले उपकरणों की आवश्यकता नहीं होती है, और प्रत्येक अवसंरचना उपकरण से कनेक्टिविटी का समर्थन करने के लिए केवल पर्याप्त पोर्ट घनत्व की आवश्यकता होती है।
स्थानीय रूप से संग्रहीत सूचना संरक्षण
संवेदनशील जानकारी की सुरक्षा
NFVIS कुछ संवेदनशील जानकारी स्थानीय रूप से संग्रहीत करता है, जिसमें पासवर्ड और रहस्य शामिल हैं। पासवर्ड को आम तौर पर एक केंद्रीकृत AAA सर्वर द्वारा बनाए रखा और नियंत्रित किया जाना चाहिए। हालाँकि, भले ही एक केंद्रीकृत AAA सर्वर तैनात किया गया हो, कुछ स्थानीय रूप से संग्रहीत पासवर्ड कुछ मामलों के लिए आवश्यक हैं जैसे कि AAA सर्वर उपलब्ध न होने की स्थिति में स्थानीय फ़ॉलबैक, विशेष-उपयोग उपयोगकर्ता नाम, आदि। ये स्थानीय पासवर्ड और अन्य संवेदनशील
सुरक्षा संबंधी विचार 23
File स्थानांतरण
सुरक्षा संबंधी विचार
जानकारी को NFVIS पर हैश के रूप में संग्रहीत किया जाता है ताकि सिस्टम से मूल क्रेडेंशियल्स को पुनर्प्राप्त करना संभव न हो। हैशिंग एक व्यापक रूप से स्वीकृत उद्योग मानदंड है।
File स्थानांतरण
Fileजिन फ़ाइलों को NFVIS डिवाइस में स्थानांतरित करने की आवश्यकता हो सकती है उनमें VM छवि और NFVIS अपग्रेड शामिल हैं files. सुरक्षित हस्तांतरण fileनेटवर्क इंफ्रास्ट्रक्चर सुरक्षा के लिए यह बहुत महत्वपूर्ण है। NFVIS सुरक्षा सुनिश्चित करने के लिए सिक्योर कॉपी (SCP) का समर्थन करता है। file स्थानांतरण। एससीपी सुरक्षित प्रमाणीकरण और परिवहन के लिए एसएसएच पर निर्भर करता है, जिससे सुरक्षित और प्रमाणीकृत प्रतिलिपि बनाना संभव हो जाता है। files.
NFVIS से सुरक्षित प्रतिलिपि scp कमांड के माध्यम से शुरू की जाती है। सुरक्षित प्रतिलिपि (scp) कमांड केवल व्यवस्थापक उपयोगकर्ता को सुरक्षित रूप से प्रतिलिपि बनाने की अनुमति देता है fileएनएफवीआईएस से बाह्य प्रणाली में, या बाह्य प्रणाली से एनएफवीआईएस में।
scp कमांड का सिंटैक्स है:
एससीपी
हम NFVIS SCP सर्वर के लिए पोर्ट 22222 का उपयोग करते हैं। डिफ़ॉल्ट रूप से, यह पोर्ट बंद रहता है और उपयोगकर्ता सुरक्षित कॉपी नहीं कर सकते हैं fileबाहरी क्लाइंट से NFVIS में SCP की आवश्यकता है। file बाहरी क्लाइंट से, उपयोगकर्ता निम्नलिखित का उपयोग करके पोर्ट खोल सकता है:
सिस्टम सेटिंग्स आईपी-रिसीव-एसीएल (पता)/(मास्क लंबाई) सेवा एससीपीडी प्राथमिकता (संख्या) कार्रवाई स्वीकार
प्रतिबद्ध
उपयोगकर्ताओं को सिस्टम निर्देशिकाओं तक पहुँचने से रोकने के लिए, सुरक्षित प्रतिलिपि केवल intdatastore:, extdatastore1:, extdatastore2:, usb: और nfs: से या उनसे ही की जा सकती है, यदि उपलब्ध हो। सुरक्षित प्रतिलिपि लॉग्स: और techsupport: से भी की जा सकती है।
लॉगिंग
NFVIS एक्सेस और कॉन्फ़िगरेशन परिवर्तनों को ऑडिट लॉग के रूप में लॉग किया जाता है ताकि निम्नलिखित जानकारी रिकॉर्ड की जा सके: · डिवाइस तक किसने पहुँच बनाई · उपयोगकर्ता ने कब लॉग इन किया · होस्ट कॉन्फ़िगरेशन और VM जीवनचक्र के संदर्भ में उपयोगकर्ता ने क्या किया · उपयोगकर्ता ने कब लॉग ऑफ किया · असफल एक्सेस प्रयास · असफल प्रमाणीकरण अनुरोध · असफल प्राधिकरण अनुरोध
यह जानकारी अनधिकृत प्रयासों या पहुँच के मामले में फोरेंसिक विश्लेषण के लिए, साथ ही कॉन्फ़िगरेशन परिवर्तन मुद्दों के लिए और समूह प्रशासन परिवर्तनों की योजना बनाने में मदद करने के लिए अमूल्य है। इसका उपयोग वास्तविक समय में असामान्य गतिविधियों की पहचान करने के लिए भी किया जा सकता है जो संकेत दे सकते हैं कि कोई हमला हो रहा है। इस विश्लेषण को अतिरिक्त बाहरी स्रोतों, जैसे कि IDS और फ़ायरवॉल लॉग से प्राप्त जानकारी के साथ सहसंबंधित किया जा सकता है।
सुरक्षा संबंधी विचार 24
सुरक्षा संबंधी विचार
वर्चुअल मशीन सुरक्षा
NFVIS पर सभी मुख्य ईवेंट NETCONF सब्सक्राइबर को ईवेंट नोटिफिकेशन के रूप में और कॉन्फ़िगर किए गए सेंट्रल लॉगिंग सर्वर को syslogs के रूप में भेजे जाते हैं। syslog संदेशों और ईवेंट नोटिफिकेशन के बारे में अधिक जानकारी के लिए, परिशिष्ट देखें।
वर्चुअल मशीन सुरक्षा
यह अनुभाग NFVIS पर वर्चुअल मशीनों के पंजीकरण, परिनियोजन और संचालन से संबंधित सुरक्षा सुविधाओं का वर्णन करता है।
VNF सुरक्षित बूट
NFVIS ओपन वर्चुअल मशीन फ़र्मवेयर (OVMF) का समर्थन करता है, ताकि सुरक्षित बूट का समर्थन करने वाली वर्चुअल मशीनों के लिए UEFI सुरक्षित बूट सक्षम किया जा सके। VNF सुरक्षित बूट सत्यापित करता है कि VM बूट सॉफ़्टवेयर की प्रत्येक परत हस्ताक्षरित है, जिसमें बूटलोडर, ऑपरेटिंग सिस्टम कर्नेल और ऑपरेटिंग सिस्टम ड्राइवर शामिल हैं।
अधिक जानकारी के लिए, VNFs का सुरक्षित बूट देखें।
VNC कंसोल एक्सेस सुरक्षा
NFVIS उपयोगकर्ता को तैनात VM के रिमोट डेस्कटॉप तक पहुँचने के लिए एक वर्चुअल नेटवर्क कंप्यूटिंग (VNC) सत्र बनाने की अनुमति देता है। इसे सक्षम करने के लिए, NFVIS गतिशील रूप से एक पोर्ट खोलता है जिससे उपयोगकर्ता अपने डिवाइस का उपयोग करके कनेक्ट कर सकता है। web ब्राउज़र। यह पोर्ट केवल 60 सेकंड के लिए खुला छोड़ा जाता है ताकि बाहरी सर्वर VM पर सत्र शुरू कर सके। यदि इस समय के भीतर कोई गतिविधि नहीं देखी जाती है, तो पोर्ट बंद कर दिया जाता है। पोर्ट नंबर को गतिशील रूप से असाइन किया जाता है और इस प्रकार VNC कंसोल तक केवल एक बार की पहुँच की अनुमति देता है।
nfvis# vncconsole प्रारंभ परिनियोजन-नाम 1510614035 vm-नाम राउटर vncconsole-url :6005/vnc_auto.html
अपने ब्राउज़र को https:// पर इंगित करें :6005/vnc_auto.html ROUTER VM के VNC कंसोल से कनेक्ट होगा।
सुरक्षा संबंधी विचार 25
एन्क्रिप्टेड VM कॉन्फ़िगरेशन डेटा वैरिएबल
सुरक्षा संबंधी विचार
एन्क्रिप्टेड VM कॉन्फ़िगरेशन डेटा वैरिएबल
VM परिनियोजन के दौरान, उपयोगकर्ता एक दिन-0 कॉन्फ़िगरेशन प्रदान करता है file VM के लिए यह file इसमें पासवर्ड और कुंजियाँ जैसी संवेदनशील जानकारी हो सकती है। यदि यह जानकारी स्पष्ट पाठ के रूप में भेजी जाती है, तो यह लॉग में दिखाई देती है files और आंतरिक डेटाबेस रिकॉर्ड को स्पष्ट पाठ में बदलें। यह सुविधा उपयोगकर्ता को कॉन्फ़िगरेशन डेटा वैरिएबल को संवेदनशील के रूप में चिह्नित करने की अनुमति देती है ताकि इसका मान आंतरिक सबसिस्टम में संग्रहीत या पास किए जाने से पहले AES-CFB-128 एन्क्रिप्शन का उपयोग करके एन्क्रिप्ट किया जा सके।
अधिक जानकारी के लिए, VM परिनियोजन पैरामीटर्स देखें.
रिमोट इमेज पंजीकरण के लिए चेकसम सत्यापन
दूरस्थ रूप से स्थित VNF छवि को पंजीकृत करने के लिए, उपयोगकर्ता उसका स्थान निर्दिष्ट करता है। छवि को किसी बाहरी स्रोत, जैसे कि NFS सर्वर या दूरस्थ HTTPS सर्वर से डाउनलोड करने की आवश्यकता होगी।
यह जानने के लिए कि क्या कोई डाउनलोड किया गया है file स्थापित करने के लिए सुरक्षित है, यह तुलना करने के लिए आवश्यक है fileचेकसम का उपयोग करने से पहले उसका चेकसम सत्यापित करें। चेकसम की पुष्टि करने से यह सुनिश्चित करने में मदद मिलती है कि file नेटवर्क ट्रांसमिशन के दौरान दूषित नहीं हुआ था, या आपके द्वारा डाउनलोड करने से पहले किसी दुर्भावनापूर्ण तृतीय पक्ष द्वारा संशोधित नहीं किया गया था।
NFVIS उपयोगकर्ता के लिए चेकसम और चेकसम_एल्गोरिदम विकल्पों का समर्थन करता है ताकि डाउनलोड की गई छवि के चेकसम को सत्यापित करने के लिए उपयोग किए जाने वाले अपेक्षित चेकसम और चेकसम एल्गोरिदम (SHA256 या SHA512) प्रदान किए जा सकें। यदि चेकसम मेल नहीं खाता है तो छवि निर्माण विफल हो जाता है।
दूरस्थ छवि पंजीकरण के लिए प्रमाणन सत्यापन
HTTPS सर्वर पर स्थित VNF इमेज को पंजीकृत करने के लिए, इमेज को दूरस्थ HTTPS सर्वर से डाउनलोड करना होगा। इस इमेज को सुरक्षित रूप से डाउनलोड करने के लिए, NFVIS सर्वर के SSL प्रमाणपत्र की पुष्टि करता है। उपयोगकर्ता को प्रमाणपत्र के लिए पथ निर्दिष्ट करने की आवश्यकता होती है file या PEM प्रारूप प्रमाणपत्र सामग्री को इस सुरक्षित डाउनलोड को सक्षम करने के लिए।
अधिक जानकारी छवि पंजीकरण के लिए प्रमाणपत्र सत्यापन अनुभाग में पाई जा सकती है
वीएम अलगाव और संसाधन प्रावधान
नेटवर्क फ़ंक्शन वर्चुअलाइज़ेशन (NFV) आर्किटेक्चर में निम्नलिखित शामिल हैं:
· वर्चुअलाइज्ड नेटवर्क फंक्शन (वीएनएफ), जो वर्चुअल मशीनें हैं जो सॉफ्टवेयर अनुप्रयोगों को चलाती हैं जो नेटवर्क कार्यक्षमता प्रदान करती हैं जैसे राउटर, फ़ायरवॉल, लोड बैलेंसर, इत्यादि।
· नेटवर्क फ़ंक्शन वर्चुअलाइज़ेशन अवसंरचना, जिसमें अवसंरचना घटक - कंप्यूट, मेमोरी, स्टोरेज और नेटवर्किंग शामिल हैं, एक ऐसे प्लेटफ़ॉर्म पर जो आवश्यक सॉफ़्टवेयर और हाइपरवाइज़र का समर्थन करता है।
NFV के साथ, नेटवर्क फ़ंक्शन वर्चुअलाइज़ किए जाते हैं ताकि एक ही सर्वर पर कई फ़ंक्शन चलाए जा सकें। परिणामस्वरूप, कम भौतिक हार्डवेयर की आवश्यकता होती है, जिससे संसाधन समेकन की अनुमति मिलती है। इस वातावरण में, एक ही भौतिक हार्डवेयर सिस्टम से कई VNF के लिए समर्पित संसाधनों का अनुकरण करना आवश्यक है। NFVIS का उपयोग करके, VM को नियंत्रित तरीके से तैनात किया जा सकता है ताकि प्रत्येक VM को उसके लिए आवश्यक संसाधन प्राप्त हों। भौतिक वातावरण से लेकर कई वर्चुअल वातावरणों तक आवश्यकतानुसार संसाधनों का विभाजन किया जाता है। व्यक्तिगत VM डोमेन अलग-थलग हैं, इसलिए वे अलग, विशिष्ट और सुरक्षित वातावरण हैं, जो साझा संसाधनों के लिए एक-दूसरे के साथ प्रतिस्पर्धा नहीं कर रहे हैं।
VMs प्रावधानित संसाधनों से अधिक संसाधनों का उपयोग नहीं कर सकते। इससे संसाधनों का उपभोग करने वाले एक VM से सेवा अस्वीकार की स्थिति से बचा जा सकता है। परिणामस्वरूप, CPU, मेमोरी, नेटवर्क और स्टोरेज सुरक्षित रहते हैं।
सुरक्षा संबंधी विचार 26
सुरक्षा संबंधी विचार
सीपीयू अलगाव
सीपीयू अलगाव
NFVIS सिस्टम होस्ट पर चल रहे इंफ्रास्ट्रक्चर सॉफ़्टवेयर के लिए कोर आरक्षित रखता है। शेष कोर VM परिनियोजन के लिए उपलब्ध हैं। यह गारंटी देता है कि VM का प्रदर्शन NFVIS होस्ट के प्रदर्शन को प्रभावित नहीं करता है। कम विलंबता वाले VM NFVIS स्पष्ट रूप से उस पर परिनियोजित कम विलंबता वाले VM को समर्पित कोर प्रदान करता है। यदि VM को 2 vCPU की आवश्यकता है, तो उसे 2 समर्पित कोर प्रदान किए जाते हैं। यह कोर के साझाकरण और ओवरसब्सक्रिप्शन को रोकता है और कम विलंबता वाले VM के प्रदर्शन की गारंटी देता है। यदि उपलब्ध कोर की संख्या किसी अन्य कम विलंबता वाले VM द्वारा अनुरोधित vCPU की संख्या से कम है, तो परिनियोजन रोका जाता है क्योंकि हमारे पास पर्याप्त संसाधन नहीं हैं। यदि उपलब्ध CPU की संख्या किसी अन्य गैर-निम्न विलंबता VM द्वारा अनुरोधित vCPU की संख्या से कम है, तो भी परिनियोजन की अनुमति है, क्योंकि यह VM मौजूदा गैर-निम्न विलंबता VM के साथ CPU को साझा करेगा।
स्मृति आवंटन
NFVIS इंफ्रास्ट्रक्चर को एक निश्चित मात्रा में मेमोरी की आवश्यकता होती है। जब कोई VM तैनात किया जाता है, तो यह सुनिश्चित करने के लिए एक जाँच की जाती है कि इंफ्रास्ट्रक्चर और पहले से तैनात VM के लिए आवश्यक मेमोरी आरक्षित करने के बाद उपलब्ध मेमोरी, नए VM के लिए पर्याप्त है। हम VM के लिए मेमोरी ओवरसब्सक्रिप्शन की अनुमति नहीं देते हैं।
सुरक्षा संबंधी विचार 27
भंडारण अलगाव
VM को होस्ट तक सीधे पहुंचने की अनुमति नहीं है file प्रणाली और भंडारण.
भंडारण अलगाव
सुरक्षा संबंधी विचार
ENCS प्लेटफ़ॉर्म एक आंतरिक डेटास्टोर (M2 SSD) और बाहरी डिस्क का समर्थन करता है। NFVIS आंतरिक डेटास्टोर पर स्थापित है। VNF को इस आंतरिक डेटास्टोर पर भी तैनात किया जा सकता है। बाहरी डिस्क पर ग्राहक डेटा संग्रहीत करना और ग्राहक एप्लिकेशन वर्चुअल मशीन तैनात करना सुरक्षा का सबसे अच्छा अभ्यास है। सिस्टम के लिए भौतिक रूप से अलग डिस्क होना fileएस बनाम आवेदन fileयह सिस्टम डेटा को भ्रष्टाचार और सुरक्षा समस्याओं से बचाने में मदद करता है।
·
इंटरफ़ेस अलगाव
सिंगल रूट I/O वर्चुअलाइजेशन या SR-IOV एक विनिर्देश है जो PCI Express (PCIe) संसाधनों जैसे ईथरनेट पोर्ट को अलग करने की अनुमति देता है। SR-IOV का उपयोग करके एक एकल ईथरनेट पोर्ट को कई अलग-अलग भौतिक उपकरणों के रूप में प्रदर्शित किया जा सकता है जिन्हें वर्चुअल फ़ंक्शन के रूप में जाना जाता है। उस एडाप्टर पर सभी VF डिवाइस समान भौतिक नेटवर्क पोर्ट साझा करते हैं। एक अतिथि इन वर्चुअल फ़ंक्शन में से एक या अधिक का उपयोग कर सकता है। एक वर्चुअल फ़ंक्शन अतिथि को नेटवर्क कार्ड के रूप में दिखाई देता है, ठीक उसी तरह जैसे एक सामान्य नेटवर्क कार्ड एक ऑपरेटिंग सिस्टम को दिखाई देता है। वर्चुअल फ़ंक्शन का प्रदर्शन लगभग मूल होता है और यह पैरा-वर्चुअलाइज़्ड ड्राइवरों और इम्यूलेटेड एक्सेस की तुलना में बेहतर प्रदर्शन प्रदान करता है। वर्चुअल फ़ंक्शन समान भौतिक सर्वर पर अतिथियों के बीच डेटा सुरक्षा प्रदान करते हैं क्योंकि डेटा को हार्डवेयर द्वारा प्रबंधित और नियंत्रित किया जाता है। NFVIS VNF WAN और LAN बैकप्लेन पोर्ट से कनेक्ट करने के लिए SR-IOV नेटवर्क का उपयोग कर सकते हैं।
सुरक्षा संबंधी विचार 28
सुरक्षा संबंधी विचार
सुरक्षित विकास जीवनचक्र
प्रत्येक VM के पास एक वर्चुअल इंटरफ़ेस और उससे संबंधित संसाधन होते हैं, जो VMs के बीच डेटा सुरक्षा सुनिश्चित करते हैं।
सुरक्षित विकास जीवनचक्र
NFVIS सॉफ़्टवेयर के लिए सुरक्षित विकास जीवनचक्र (SDL) का पालन करता है। यह एक दोहराने योग्य, मापने योग्य प्रक्रिया है जिसे कमजोरियों को कम करने और सिस्को समाधानों की सुरक्षा और लचीलापन बढ़ाने के लिए डिज़ाइन किया गया है। सिस्को SDL उद्योग-अग्रणी प्रथाओं और प्रौद्योगिकी को लागू करता है ताकि भरोसेमंद समाधान बनाए जा सकें जिनमें कम क्षेत्र-खोजे गए उत्पाद सुरक्षा घटनाएँ हों। प्रत्येक NFVIS रिलीज़ निम्नलिखित प्रक्रियाओं से गुज़रती है।
· सिस्को-आंतरिक और बाजार-आधारित उत्पाद सुरक्षा आवश्यकताओं का पालन करना। · भेद्यता ट्रैकिंग के लिए सिस्को में एक केंद्रीय भंडार के साथ तीसरे पक्ष के सॉफ्टवेयर को पंजीकृत करना। · सीवीई के लिए ज्ञात सुधारों के साथ समय-समय पर सॉफ्टवेयर को पैच करना। · सुरक्षा को ध्यान में रखते हुए सॉफ्टवेयर डिजाइन करना। · सिस्कोएसएसएल जैसे जांचे-परखे सामान्य सुरक्षा मॉड्यूल का उपयोग करने जैसे सुरक्षित कोडिंग प्रथाओं का पालन करना,
कमांड इंजेक्शन आदि को रोकने के लिए स्थैतिक विश्लेषण और इनपुट सत्यापन को लागू करना। · आईबीएम ऐपस्कैन, नेसस और अन्य सिस्को आंतरिक उपकरणों जैसे एप्लिकेशन सुरक्षा उपकरणों का उपयोग करना।
सुरक्षा संबंधी विचार 29
सुरक्षित विकास जीवनचक्र
सुरक्षा संबंधी विचार
सुरक्षा संबंधी विचार 30
दस्तावेज़ / संसाधन
 |
सिस्को एंटरप्राइज़ नेटवर्क फ़ंक्शन वर्चुअलाइज़ेशन इंफ्रास्ट्रक्चर सॉफ़्टवेयर [पीडीएफ] उपयोगकर्ता गाइड एंटरप्राइज़ नेटवर्क फ़ंक्शन वर्चुअलाइज़ेशन इंफ्रास्ट्रक्चर सॉफ़्टवेयर, एंटरप्राइज़, नेटवर्क फ़ंक्शन वर्चुअलाइज़ेशन इंफ्रास्ट्रक्चर सॉफ़्टवेयर, वर्चुअलाइज़ेशन इंफ्रास्ट्रक्चर सॉफ़्टवेयर, इंफ्रास्ट्रक्चर सॉफ़्टवेयर |
