CISCO ASR 920 Series Secure Development Lifecycle Factory reset
1. táblázat: Funkcióelőzmények
| Funkció neve | Kiadási információk | Leírás |
| Cisco Secure Development Lifecycle – gyári beállítások visszaállítása | Cisco IOS XE Bengaluru 17.6.1 | Ez a funkció eltávolítja az összes
a felhasználó által konfigurált adatok, amelyeket a készülék a kiszállítás időpontjától tárol. A törölt adatok közé tartozik konfigurációk, napló files, rendszerindítási változók, mag files, és a hitelesítő adatok, például a FIPS-vel kapcsolatos kulcsok. A Cisco Secure Development Lifecycle (CSDL) egy megismételhető és mérhető folyamat, amelynek célja a Cisco termék rugalmasságának és megbízhatóságának növelése. A következő új parancsok kerülnek bevezetésre: • gyári visszaállítás minden • gyári beállítások visszaállítása folyamatosan-engedélyezési információ • gyári alaphelyzetbe állítás minden biztonságos 3 lépésben |
A Cisco IOS XE 17.6.1-es kiadásától kezdődően a Cisco Secure Development Lifecycle (CSDL) – gyári alaphelyzetbe állítás funkciója eltávolítja a következő, az eszközön a szállítás óta tárolt ügyfélspecifikus adatokat:
- Konfigurációk
- Napló files
- Boot változók
- Mag files
- Hitelesítési adatok, például a FIPS-vel kapcsolatos kulcsok
Az alábbi táblázat a gyári beállítások visszaállítása során törölt és megőrzött adatok részleteit tartalmazza:
2. táblázat: A gyári beállítások visszaállítása során törölt és megőrzött adatok
| Az adatok törölve | Adatok megtartva |
| Minden Cisco IOS kép
Jegyzet A gyári alaphelyzetbe állítási folyamat biztonsági másolatot készít a rendszerindító lemezképről, ha a rendszer egy helyben tárolt képfájlról (bootflash) indul. |
Távoli terepen cserélhető egységekből (FRU) származó adatok |
| Összeomlási információk és naplók | A konfigurációs regiszter értéke |
| Felhasználói adatok, valamint indítási és futási konfiguráció | USB tartalma |
| Hitelesítési adatok, például a FIPS-vel kapcsolatos kulcsok | Hitelesítési adatok, mint például a Secure Unique Device Identifier (SUDI) tanúsítványok, a nyilvános kulcsú infrastruktúra (PKI) kulcsai |
| Onboard Failure Logging (OBFL) naplók | — |
| A felhasználó által hozzáadott ROMMON változók | — |
| Licencek | — |
Jegyzet A gyári beállítások visszaállítása után az eszköz visszaáll az alapértelmezett licenchez.
A gyári beállítások visszaállítása biztonságosan megtisztítja az összes fizikai tárhelyet, hogy tiszta állapotba kerüljön, és megvédje az érzékeny adatokat. A következő adatok törlődnek a gyári beállítások visszaállítása során:
- Minden írható file rendszerek és személyes adatok
- OBFL naplók
- Felhasználói adatok és indítási konfiguráció
- ROMMON változók
- Felhasználói hitelesítő adatok
- Licenc információk
A gyári alaphelyzetbe állítás folyamata a következő két forgatókönyvben használatos:
- Return Material Authorization (RMA) egy eszközhöz – Ha egy eszközt vissza kell küldenie a Cisco for RMA-nak, távolítsa el az összes ügyfélspecifikus adatot, mielőtt RMA-tanúsítványt szerezne az eszközhöz.
- A feltört eszköz helyreállítása – Ha az eszközön tárolt kulcsfontosságú anyagok vagy hitelesítő adatok veszélybe kerültek, állítsa vissza az eszközt a gyári konfigurációra, majd konfigurálja újra az eszközt.
Az eszköz újratölti a gyári alaphelyzetbe állítást, amelynek eredményeként az útválasztó ROMMON módba lép. A gyári beállítások visszaállítása után az eszköz törli az összes környezeti változót, beleértve a MAC_ADDRESS és az IP_ADDRESS címet is, amelyek a szoftver megtalálásához és betöltéséhez szükségesek. Hajtsa végre a visszaállítást ROMMON módban a környezeti változók automatikus beállításához. Miután a rendszer ROMMON módban történő visszaállítása befejeződött, USB-n vagy TFTP-n keresztül hozzáadhatja a Cisco IOS-képet.
- A gyári beállítások visszaállításának előfeltételei, 3. oldal
- A gyári beállítások visszaállításának korlátai, 3. oldal
- A gyári beállítások visszaállítása parancsbeállítások, 3. oldal
- Felhasználó törlése Files a Bootflashtől a gyári beállítások visszaállításakor,
A gyári beállítások visszaállításának előfeltételei
- A gyári beállítások visszaállítása előtt győződjön meg arról, hogy az összes szoftverképről, konfigurációról és személyes adatról készült biztonsági másolat.
- Győződjön meg arról, hogy az eszköz nincs halmozási módban, mivel a gyári beállítások visszaállítása csak önálló módban támogatott. Magas rendelkezésre állású moduláris váz esetén a gyári beállítások visszaállítása felügyelőnként történik.
- Győződjön meg arról, hogy a folyamat közben megszakítás nélküli áramellátás van.
- A gyári beállítások visszaállításának megkezdése előtt győződjön meg róla, hogy biztonsági másolatot készít az aktuális képről.
- A gyári alaphelyzetbe állítás megkezdése előtt győződjön meg arról, hogy sem az üzemen belüli szoftverfrissítés (ISSU), sem az üzemen belüli szoftverfrissítés (ISSD) nincs folyamatban.
Vigyázat: Az OBFL naplók eltávolítása hamphibaelemzés az RMA után. Tegye meg az óvintézkedéseket a napló törlése előtt files.
A gyári beállítások visszaállításának korlátai
- A szoftverjavítások, ha telepítve vannak az eszközre, nem állnak vissza a gyári beállítások visszaállítása után.
- Ha a gyári visszaállítási parancsot egy nagyon munkameneten keresztül adják ki, a munkamenet nem áll vissza a gyári visszaállítási folyamat befejezése után.
Gyári beállítások visszaállítása parancs opciói
- Minden adat törlése:
- Az összes adat törlése:
- Router> engedélyezése
- Router#gyári alaphelyzetbe állítás minden
- A gyári visszaállítás minden parancs a következő adatokat törli:
- Minden írható file rendszerek és személyes adatok
- OBFL naplók
- Felhasználói adatok és indítási konfiguráció
- ROMMON változók
- Felhasználói hitelesítő adatok
- Licenc információk
Törölje az összes adatot, kivéve a licencinformációkat
- Az összes adat törléséhez, kivéve a licencinformációkat:
- Router> engedélyezése
- Router#factory-reset keep-licencing-info
- A gyári alaphelyzetbe állítás Keep-licencing-info parancs a következő adatokat törli:
- Minden írható file rendszerek és személyes adatok
- OBFL naplók
- Felhasználói adatok és indítási konfiguráció
- ROMMON változók
- Felhasználói hitelesítő adatok
Minden adat törlése a DoD 5220.22-M törlési szabvány használatával:
- Az összes adat törlése a Nemzeti Iparbiztonsági Program Kezelési Kézikönyve (DoD 5220.22-M) segítségével
- Törlés szabvány:
- Router> engedélyezése
- Router#gyári alaphelyzetbe állítás minden biztonságos 3-útra
- DoD 5220.22-M
HA és önálló útválasztók esetén használja a következő lehetőségeket
- Bármely gyári visszaállítási lehetőség az image.bin fájlban megtalálható a boot flash almappájában.
- Bármilyen gyári alaphelyzetbe állításhoz a packages.conf alapú rendszerindításhoz, ha csomagok. A conf minden almappa elérési útjában megtalálható a bootflash alatt, a packages.conf és a csomagok a gyári alaphelyzetbe állítás után visszamásolódnak a bootflash gyökérútvonalába.
- Keresse meg az azonnali megszakítási eseteket, mint „Megerősítő üzenet figyelése”. A gyári visszaállítási parancsot nem szabad folytatni, ha a végső megerősítés előtt megszakítják. Ha a készenléti útválasztó nem érhető el, egy üzenetnek kell megjelennie, amely szerint a gyári visszaállítás csak az aktív útválasztón történik.
Jegyzet
- Ha a képfájlt a helyi tárhelyről indítja el, a lemezkép (.bin vagy packages.conf/packages) megmarad a gyári beállítások visszaállítása után.
- Ha a képet a TFTP-kiszolgálóról indítja el, a rendszer nem másolja a rendszerindító képet a bootflash-re.
- Csak a konfigurációs regiszter értéke marad meg. Az összes többi ROMMON változó törlődik.
Felhasználó törlése Files a Bootflashtől a gyári beállítások visszaállításakor
3. táblázat: Funkcióelőzmények
| Funkció neve | Kiadási információk | Leírás |
| Felhasználó törlése Files a Bootflashtől a gyári alaphelyzetbe állításkor, a „No Service Password Recovery” konfiguráció engedélyezve | Cisco IOS XE Cupertino 17.9.1 | Ez a funkció további biztonságot nyújt az összes felhasználó eltávolításával files a bootflash-ből a gyári visszaállítás során. Megakadályozza, hogy rosszindulatú felhasználók hozzáférjenek a konfigurációhoz files amelyek az ASR 920 sorozatú útválasztókon bootflashben vannak tárolva. |
| Ezt a funkciót csak a Cisco ASR 920-10SZ-PD, Cisco ASR-920-12CZ-A/D, Cisco ASR-920-4SZ-A/D, Cisco támogatja
ASR-920-12SZ-IM, ASR-920U-12SZ-IM, Cisco ASR-920-24SZ-IM, Cisco ASR-920-24SZ-M és Cisco ASR-920-24TZ-M útválasztók. |
A Cisco IOS XE Cupertino 17.9.1-től kezdve ez a funkció eltávolítja az összes felhasználót files a bootflash-ből a gyári alaphelyzetbe állítás során, amely az ASR 920 sorozatú routerek „nincs szervizjelszó-helyreállítás”-hoz kapcsolódik. Ezt a funkciót a ROMMON 15.6(53r)S verziója támogatja. Győződjön meg róla, hogy frissít a Cisco IOS XE 17.9.1 Cupertino kiadási verziójára, hogy automatikusan frissítse erre a speciális ROMMON verzióra. A szolgáltatás nélküli jelszó-helyreállítási konfigurációból történő helyreállítási mechanizmus során, amikor az alapértelmezett konfigurációkkal (nyomja le a CTRL+C billentyűkombinációt és az „igen” billentyűkombinációt), ez a funkció segít eltávolítani a felhasználót. files a bootflash-ből az indítási konfigurációval együtt. Megakadályozza, hogy rosszindulatú felhasználók hozzáférjenek a konfigurációhoz files amelyek a bootflashben vannak tárolva. Minden szükséges rendszer files és szoftverképek megmaradnak a rendszerindító flashben a törlési művelet során.
Dokumentumok / Források
 |
CISCO ASR 920 Series Secure Development Lifecycle Factory reset [pdf] Felhasználói útmutató ASR 920 Series Secure Development Lifecycle Factory Reset, ASR 920 Series, Secure Development Lifecycle Factory Reset, Development Lifecycle Factory Reset, Lifecycle Factory Reset, Factory Reset, Reset |