Vállalati hálózati funkciók virtualizációs infrastruktúra szoftvere
Termékinformáció
Műszaki adatok
- NFVIS szoftververzió: 3.7.1 és újabb
- RPM-aláírás és aláírás-ellenőrzés támogatott
- Biztonságos rendszerindítás elérhető (alapértelmezés szerint le van tiltva)
- Secure Unique Device Identification (SUDI) mechanizmus használt
Biztonsági szempontok
Az NFVIS szoftver különféle eszközökön keresztül biztosítja a biztonságot
mechanizmusok:
- Kép Tamper Védelem: RPM aláírás és aláírás ellenőrzés
minden RPM-csomaghoz az ISO-ban és a frissítési lemezképekben. - RPM-aláírás: Minden RPM-csomag a Cisco Enterprise NFVIS ISO-ban
és a frissítési képeket aláírják a kriptográfiai integritás és
hitelesség. - RPM-aláírás ellenőrzése: Az összes RPM-csomag aláírása
telepítés vagy frissítés előtt ellenőrizni kell. - Kép integritásának ellenőrzése: A Cisco NFVIS ISO kép kivonatolása
és a frissítési kép közzétételre kerül a további integritás biztosítása érdekében
nem RPM files. - ENCS Secure Boot: Az UEFI szabvány része, amely biztosítja, hogy a
az eszköz csak megbízható szoftverrel indul el. - Secure Unique Device Identification (SUDI): Biztosítja az eszközt
megváltoztathatatlan identitással, hogy igazolja valódiságát.
Telepítés
Az NFVIS szoftver telepítéséhez kövesse az alábbi lépéseket:
- Győződjön meg arról, hogy a szoftver képfájlja nem tampáltal származott
aláírásának és integritásának ellenőrzése. - Ha Cisco Enterprise NFVIS 3.7.1 vagy újabb verziót használ, győződjön meg róla
az aláírás ellenőrzése sikeres a telepítés során. Ha nem sikerül,
a telepítés megszakad. - Ha a Cisco Enterprise NFVIS 3.6.x verzióról Release verzióra frissít
3.7.1, az RPM-aláírások ellenőrzése a frissítés során megtörténik. Ha a
az aláírás ellenőrzése sikertelen, hiba van naplózva, de a frissítés igen
elkészült. - Ha a 3.7.1-es kiadásról későbbi kiadásokra frissít, az RPM
Az aláírások ellenőrzése a frissítési kép regisztrálásakor történik. Ha
az aláírás ellenőrzése sikertelen, a frissítés megszakad. - Ellenőrizze a Cisco NFVIS ISO-kép vagy frissítési lemezkép kivonatát
paranccsal:/usr/bin/sha512sum. Hasonlítsa össze a hash-t a közzétetttel
<image_filepath>
hash az integritás biztosítására.
Biztonságos rendszerindítás
A biztonságos rendszerindítás az ENCS-en elérhető funkció (alapértelmezés szerint le van tiltva)
amely biztosítja, hogy az eszköz csak megbízható szoftverrel induljon el. Nak nek
biztonságos rendszerindítás engedélyezése:
- További információért tekintse meg a Secure Boot of Host dokumentációt
információ. - Kövesse a kapott utasításokat a biztonságos rendszerindítás engedélyezéséhez
eszköz.
Biztonságos egyedi eszközazonosító (SUDI)
A SUDI megváltoztathatatlan identitást biztosít az NFVIS számára, igazolva ezt
ez egy eredeti Cisco termék, és biztosítja annak elismerését a
az ügyfél leltári rendszere.
GYIK
K: Mi az NFVIS?
V: Az NFVIS a Network Function Virtualization rövidítése
Infrastruktúra szoftver. Ez egy szoftverplatform, amelyet a telepítéshez használnak
és kezelheti a virtuális hálózati funkciókat.
K: Hogyan ellenőrizhetem az NFVIS ISO kép sértetlenségét ill
képfrissítés?
V: Az integritás ellenőrzéséhez használja a parancsot
/usr/bin/sha512sum <image_filepath> és hasonlítsa össze
a kivonat a Cisco által biztosított közzétett hash-sel.
K: Alapértelmezés szerint engedélyezve van a biztonságos rendszerindítás az ENCS-en?
V: Nem, a biztonságos rendszerindítás alapértelmezés szerint le van tiltva az ENCS-ben. Ez
ajánlott a biztonságos rendszerindítás engedélyezéséhez a fokozott biztonság érdekében.
K: Mi a SUDI célja az NFVIS-ben?
V: A SUDI egyedi és megváltoztathatatlan identitást biztosít az NFVIS számára,
Cisco termékként való valódiságának biztosítása és annak elősegítése
felismerése az ügyfél készletrendszerében.
Biztonsági szempontok
Ez a fejezet az NFVIS biztonsági jellemzőit és szempontjait írja le. Magas szintű átlépést adview Az NFVIS biztonsággal kapcsolatos összetevőiből, hogy biztonsági stratégiát tervezzen az Önre vonatkozó telepítésekhez. Javaslatokat is tartalmaz a legjobb biztonsági gyakorlatokra vonatkozóan a hálózati biztonság alapvető elemeinek érvényesítésére. Az NFVIS szoftver már a telepítéstől kezdve az összes szoftverrétegen keresztül beágyazott biztonsággal rendelkezik. A következő fejezetek ezekre az azonnali biztonsági szempontokra összpontosítanak, mint például a hitelesítő adatok kezelése, az integritás és aampvédelem, munkamenet-kezelés, biztonságos eszközhozzáférés és még sok más.
· Telepítés, 2. oldal · Biztonságos egyedi eszközazonosító, 3. oldal · Eszközhozzáférés, 4. oldal
Biztonsági szempontok 1
Telepítés
Biztonsági szempontok
· Infrastruktúra-felügyeleti hálózat, 22. oldal · Helyben tárolt információk védelme, 23. oldal · File Átvitel, oldalszám: 24 · Naplózás, oldalszám: 24 · Virtuálisgép-biztonság, oldal: 25 · Virtuálisgép-leválasztás és erőforrás-kiépítés, oldalszám: 26 · Biztonságos fejlesztési életciklus, oldalszám: 29
Telepítés
Annak biztosítása érdekében, hogy az NFVIS szoftvert ne tamp-vel együtt, a szoftverkép ellenőrzése telepítés előtt a következő mechanizmusok segítségével történik:
Kép Tamper Védelem
Az NFVIS támogatja az RPM-aláírást és az aláírás-ellenőrzést az összes RPM-csomaghoz az ISO-ban és a frissítési lemezképekben.
RPM aláírás
A Cisco Enterprise NFVIS ISO és a frissítési lemezképek összes RPM-csomagja alá van írva a kriptográfiai integritás és hitelesség biztosítása érdekében. Ez garantálja, hogy az RPM-csomagok nem tampés az RPM-csomagok az NFVIS-től származnak. Az RPM-csomagok aláírásához használt privát kulcsot a Cisco hozza létre és biztonságosan karbantartja.
RPM-aláírás-ellenőrzés
Az NFVIS szoftver telepítés vagy frissítés előtt ellenőrzi az összes RPM-csomag aláírását. Az alábbi táblázat a Cisco Enterprise NFVIS viselkedését írja le, amikor az aláírás-ellenőrzés sikertelen a telepítés vagy frissítés során.
Forgatókönyv
Leírás
Cisco Enterprise NFVIS 3.7.1 és újabb telepítések Ha az aláírás ellenőrzése sikertelen a Cisco Enterprise NFVIS telepítése közben, a telepítés megszakad.
A Cisco Enterprise NFVIS frissítése a 3.6.x-ről a 3.7.1-es kiadásra
Az RPM-aláírások ellenőrzése a frissítés végrehajtásakor történik. Ha az aláírás ellenőrzése sikertelen, hibaüzenet kerül naplózásra, de a frissítés befejeződött.
Cisco Enterprise NFVIS frissítés a 3.7.1-es kiadásból Az RPM-aláírások ellenőrzése a frissítés során
a későbbi kiadásokhoz
kép regisztrálva van. Ha az aláírás ellenőrzése sikertelen,
a frissítés megszakad.
Kép integritásának ellenőrzése
RPM-aláírás és aláírás-ellenőrzés csak a Cisco NFVIS ISO-ban és a frissítési lemezképekben elérhető RPM-csomagoknál végezhető el. Az összes további nem RPM integritásának biztosítása érdekében files elérhető a Cisco NFVIS ISO képfájlban, a Cisco NFVIS ISO képfájl hash-je a képpel együtt megjelenik. Hasonlóképpen, a Cisco NFVIS frissítési kép kivonatát is közzéteszik a képpel együtt. Annak ellenőrzésére, hogy a Cisco hash
Biztonsági szempontok 2
Biztonsági szempontok
ENCS Secure Boot
Az NFVIS ISO-kép vagy frissítési kép egyezik a Cisco által közzétett kivonattal, futtassa a következő parancsot, és hasonlítsa össze a kivonatot a közzétett hash-sel:
% /usr/bin/sha512sum <KépFile> c2122783efc18b039246ae1bcd4eec4e5e027526967b5b809da5632d462dfa6724a9b20ec318c74548c6bd7e9b8217ce96b5ece93dcdd74fda5e01bb382ad607
<KépFile>
ENCS Secure Boot
A biztonságos rendszerindítás az Unified Extensible Firmware Interface (UEFI) szabvány része, amely biztosítja, hogy az eszköz csak az eredeti berendezés gyártója (OEM) által megbízható szoftver használatával induljon el. Amikor az NFVIS elindul, a firmware ellenőrzi a rendszerindító szoftver és az operációs rendszer aláírását. Ha az aláírások érvényesek, az eszköz elindul, és a firmware átadja az irányítást az operációs rendszernek.
A biztonságos rendszerindítás elérhető az ENCS-en, de alapértelmezés szerint le van tiltva. A Cisco azt javasolja, hogy engedélyezze a biztonságos rendszerindítást. További információkért tekintse meg a Secure Boot of Host című részt.
Biztonságos egyedi eszközazonosító
Az NFVIS a Secure Unique Device Identification (SUDI) néven ismert mechanizmust használja, amely megváltoztathatatlan identitást biztosít számára. Ez az identitás annak ellenőrzésére szolgál, hogy az eszköz eredeti Cisco-termék-e, és hogy az eszközt jól ismeri-e az ügyfél leltári rendszere.
A SUDI egy X.509v3 tanúsítvány és egy hozzá tartozó kulcspár, amelyeket hardver véd. A SUDI-tanúsítvány tartalmazza a termékazonosítót és a sorozatszámot, és a Cisco Public Key Infrastructure-ban gyökerezik. A kulcspár és a SUDI-tanúsítvány a gyártás során bekerül a hardvermodulba, és a magánkulcs soha nem exportálható.
A SUDI-alapú identitás használható hitelesített és automatizált konfiguráció végrehajtására a Zero Touch Provisioning (ZTP) használatával. Ez lehetővé teszi az eszközök biztonságos, távoli bekapcsolását, és biztosítja, hogy a hangszerelési szerver valódi NFVIS-eszközzel kommunikáljon. A háttérrendszer kihívást jelenthet az NFVIS-eszköznek, hogy ellenőrizze identitását, és az eszköz a SUDI-alapú identitása segítségével válaszol a kihívásra. Ez lehetővé teszi a háttérrendszer számára, hogy ne csak a készlete alapján ellenőrizze, hogy a megfelelő eszköz a megfelelő helyen van-e, hanem titkosított konfigurációt is biztosít, amelyet csak az adott eszköz nyithat meg, ezáltal biztosítva a titkosságot az átvitel során.
A következő munkafolyamat-diagramok bemutatják, hogyan használja az NFVIS a SUDI-t:
Biztonsági szempontok 3
Eszközhozzáférés 1. ábra: Plug and Play (PnP) szerver hitelesítés
Biztonsági szempontok
2. ábra: Plug and Play Device Authentication and Authorization
Eszköz hozzáférés
Az NFVIS különböző hozzáférési mechanizmusokat biztosít, beleértve a konzolt, valamint a távoli hozzáférést olyan protokollokon, mint a HTTPS és az SSH. Minden hozzáférési mechanizmust alaposan meg kell újítaniviewszerkesztve és konfigurálva. Győződjön meg arról, hogy csak a szükséges hozzáférési mechanizmusok vannak engedélyezve, és azok megfelelően vannak biztosítva. Az NFVIS-hez való interaktív és felügyeleti hozzáférés biztosításának kulcsfontosságú lépései az eszközök hozzáférhetőségének korlátozása, az engedélyezett felhasználók képességeinek a szükséges mértékre való korlátozása, valamint az engedélyezett hozzáférési módok korlátozása. Az NFVIS biztosítja, hogy a hozzáférést csak a hitelesített felhasználók kapják, és csak az engedélyezett műveleteket hajtsák végre. Az eszköz-hozzáférés naplózásra kerül auditálás céljából, és az NFVIS biztosítja a helyben tárolt érzékeny adatok bizalmas kezelését. Létfontosságú a megfelelő ellenőrzések létrehozása az NFVIS-hez való jogosulatlan hozzáférés megelőzése érdekében. A következő szakaszok leírják az ehhez szükséges legjobb gyakorlatokat és konfigurációkat:
Biztonsági szempontok 4
Biztonsági szempontok
Kényszerített jelszómódosítás első bejelentkezéskor
Kényszerített jelszómódosítás első bejelentkezéskor
Az alapértelmezett hitelesítő adatok a termékbiztonsági incidensek gyakori forrásai. Az ügyfelek gyakran elfelejtik megváltoztatni az alapértelmezett bejelentkezési adatokat, így rendszerüket támadásra nyitva hagyják. Ennek megakadályozása érdekében az NFVIS felhasználó az első bejelentkezés után kénytelen megváltoztatni a jelszavát az alapértelmezett hitelesítő adatokkal (felhasználónév: admin és jelszó Admin123#). További információkért lásd: Hozzáférés az NFVIS-hez.
A bejelentkezési biztonsági rések korlátozása
A következő szolgáltatásokkal megelőzheti a szótár- és szolgáltatásmegtagadási (DoS) támadásokkal szembeni sebezhetőséget.
Erős jelszó érvényesítése
A hitelesítési mechanizmus csak annyira erős, mint a hitelesítő adatai. Emiatt fontos, hogy a felhasználók erős jelszavakkal rendelkezzenek. Az NFVIS a következő szabályok szerint ellenőrzi, hogy erős jelszó van-e beállítva: A jelszónak tartalmaznia kell:
· Legalább egy nagybetűs karakter · Legalább egy kisbetűs karakter · Legalább egy szám · A következő speciális karakterek közül legalább egy: hash (#), aláhúzás (_), kötőjel (-), csillag (*) vagy kérdés
jel (?) · Hét vagy több karakter · A jelszó hosszának 7 és 128 karakter között kell lennie.
A jelszavak minimális hosszának beállítása
A jelszavak bonyolultságának hiánya, különösen a jelszó hossza, jelentősen csökkenti a keresési teret, amikor a támadók megpróbálják kitalálni a felhasználói jelszavakat, így sokkal könnyebbé válik a brute force támadás. Az adminisztrátor beállíthatja az összes felhasználó jelszavának minimális hosszát. A minimális hosszúság 7 és 128 karakter között lehet. Alapértelmezés szerint a jelszavak minimális hossza 7 karakter. CLI:
nfvis(config)# rbac hitelesítés min-pwd-length 9
API:
/api/config/rbac/authentication/min-pwd-length
A jelszó élettartamának konfigurálása
A jelszó élettartama határozza meg, hogy mennyi ideig használható egy jelszó, mielőtt a felhasználónak meg kell változtatnia.
Biztonsági szempontok 5
Korlátozza a korábbi jelszóhasználatot
Biztonsági szempontok
Az adminisztrátor felhasználó beállíthatja az összes felhasználó jelszavának minimális és maximális élettartamát, és szabályt kényszeríthet ki az értékek ellenőrzésére. Az alapértelmezett minimális élettartam érték 1 nap, az alapértelmezett maximális élettartam érték pedig 60 nap. Ha be van állítva egy minimális élettartam-érték, a felhasználó nem módosíthatja a jelszót, amíg a megadott számú nap el nem telik. Hasonlóképpen, ha egy maximális élettartam-érték van konfigurálva, a felhasználónak meg kell változtatnia a jelszavát, mielőtt a megadott számú nap eltelik. Ha a felhasználó nem változtatja meg a jelszavát, és a megadott számú nap eltelt, értesítést küld a felhasználónak.
Megjegyzés: A minimális és maximális élettartam értékek, valamint az értékek ellenőrzésére vonatkozó szabály nem vonatkozik az adminisztrátorra.
CLI:
terminál konfigurálása rbac hitelesítés jelszó-élettartam érvényes érvényesítés igaz min-napok 2 max-nap 30 véglegesítés
API:
/api/config/rbac/authentication/password-lifetime/
Korlátozza a korábbi jelszóhasználatot
A korábbi jelszavak használatának megakadályozása nélkül a jelszó lejárata nagyrészt haszontalan, mivel a felhasználók egyszerűen megváltoztathatják a jelszót, majd visszaállíthatják az eredetire. Az NFVIS ellenőrzi, hogy az új jelszó nem egyezik-e meg az 5 korábban használt jelszó egyikével. Ez alól az egyik kivétel az, hogy az adminisztrátor módosíthatja a jelszót az alapértelmezett jelszóra, még akkor is, ha az az 5 korábban használt jelszó egyike volt.
A bejelentkezési kísérletek gyakoriságának korlátozása
Ha egy távoli partner korlátlan számú alkalommal bejelentkezhet, előfordulhat, hogy végül nyers erővel kitalálja a bejelentkezési hitelesítő adatokat. Mivel a jelszavakat gyakran könnyű kitalálni, ez egy gyakori támadás. Azáltal, hogy korlátozzuk a bejelentkezési kísérletek gyakoriságát, megakadályozzuk ezt a támadást. Azt is elkerüljük, hogy a rendszererőforrásokat feleslegesen hitelesítsük ezeknek a brute-force bejelentkezési kísérleteknek, amelyek szolgáltatásmegtagadási támadást idézhetnek elő. Az NFVIS 5 perces felhasználói zárolást kényszerít ki 10 sikertelen bejelentkezési kísérlet után.
Az inaktív felhasználói fiókok letiltása
A felhasználói tevékenységek figyelése és a nem használt vagy elavult felhasználói fiókok letiltása segít megvédeni a rendszert a bennfentes támadásoktól. A fel nem használt fiókokat végül el kell távolítani. Az adminisztrátor kényszeríthet egy szabályt a nem használt felhasználói fiókok inaktívként való megjelölésére, és beállíthatja, hogy hány nap után jelöljön meg egy nem használt felhasználói fiókot inaktívként. Az inaktívként megjelölt felhasználó nem tud bejelentkezni a rendszerbe. Ahhoz, hogy a felhasználó bejelentkezhessen a rendszerbe, az adminisztrátor aktiválhatja a felhasználói fiókot.
Megjegyzés Az inaktivitási időszak és az inaktivitási időszak ellenőrzésére vonatkozó szabály nem vonatkozik az adminisztrátor felhasználóra.
Biztonsági szempontok 6
Biztonsági szempontok
Inaktív felhasználói fiók aktiválása
A következő CLI és API használható a fiók inaktivitásának kényszerítésének konfigurálására. CLI:
terminál konfigurálása rbac hitelesítés fiók-inaktivitás érvényesítés valódi inaktivitás-napok 30 véglegesítés
API:
/api/config/rbac/authentication/account-inactivity/
Az inaktivitási napok alapértelmezett értéke 35.
Inaktív felhasználói fiók aktiválása Az adminisztrátor felhasználó aktiválhatja egy inaktív felhasználó fiókját a következő CLI és API használatával: CLI:
terminál konfigurálása rbac hitelesítés felhasználók felhasználó vendég_felhasználó commit aktiválása
API:
/api/operations/rbac/authentication/users/user/username/activate
A BIOS és a CIMC jelszavak beállításának kényszerítése
1. táblázat: Feature History Table
Funkció neve
Kiadási információk
A BIOS és a CIMC NFVIS 4.7.1 jelszavak beállításának kényszerítése
Leírás
Ez a funkció arra kényszeríti a felhasználót, hogy módosítsa a CIMC és a BIOS alapértelmezett jelszavát.
A BIOS- és CIMC-jelszavak beállításának kényszerítésére vonatkozó korlátozások
· Ez a funkció csak a Cisco Catalyst 8200 UCPE és Cisco ENCS 5400 platformokon támogatott.
· Ez a funkció csak az NFVIS 4.7.1 és újabb kiadások friss telepítése esetén támogatott. Ha az NFVIS 4.6.1-ről az NFVIS 4.7.1-re frissít, ez a funkció nem támogatott, és nem kéri a rendszer a BIOS és a CIMS jelszavak visszaállítására, még akkor sem, ha a BIOS és a CIMC jelszavak nincsenek konfigurálva.
Információk a BIOS- és CIMC-jelszavak beállításának kényszerítéséről
Ez a szolgáltatás a biztonsági hiányosságokat orvosolja azáltal, hogy kikényszeríti a BIOS és a CIMC jelszavak alaphelyzetbe állítását az NFVIS 4.7.1 új telepítése után. Az alapértelmezett CIMC-jelszó jelszó, az alapértelmezett BIOS-jelszó pedig nem jelszó.
A biztonsági hiányosság kijavítása érdekében be kell állítania a BIOS és a CIMC jelszavakat az ENCS 5400-ban. Az NFVIS 4.7.1 új telepítése során, ha a BIOS és a CIMC jelszavak nem változtak, és még mindig megvannak.
Biztonsági szempontok 7
Konfiguráció plamples a BIOS és CIMC jelszavak kényszerített visszaállításához
Biztonsági szempontok
az alapértelmezett jelszavakat, akkor a rendszer felszólítja a BIOS és a CIMC jelszavak módosítására is. Ha csak az egyiknek van szüksége alaphelyzetbe állításra, akkor a rendszer csak az adott összetevő jelszavának visszaállítását kéri. A Cisco Catalyst 8200 UCPE csak a BIOS-jelszót kéri, ezért csak a BIOS-jelszó visszaállítását kéri, ha még nincs beállítva.
Megjegyzés: Ha bármely korábbi kiadásról frissít az NFVIS 4.7.1-es vagy újabb kiadásaira, a BIOS- és CIMC-jelszavakat a hostaction change-bios-password newpassword vagy a hostaction change-cimc-password newpassword parancsokkal módosíthatja.
A BIOS- és CIMC-jelszavakkal kapcsolatos további információkért lásd: BIOS és CIMC-jelszó.
Konfiguráció plamples a BIOS és CIMC jelszavak kényszerített visszaállításához
1. Az NFVIS 4.7.1 telepítésekor először vissza kell állítania az alapértelmezett rendszergazdai jelszót.
Cisco Network Function Virtualization Infrastructure Software (NFVIS)
NFVIS verzió: 99.99.0-1009
Copyright (c) 2015-2021, Cisco Systems, Inc. A Cisco, a Cisco Systems és a Cisco Systems logó a Cisco Systems, Inc. és/vagy leányvállalatainak bejegyzett védjegyei az Egyesült Államokban és bizonyos más országokban.
A szoftverben található bizonyos művek szerzői jogai más harmadik felek tulajdonát képezik, és harmadik felek licencszerződései alapján használják és terjesztik. Ennek a szoftvernek bizonyos összetevői a GNU GPL 2.0, GPL 3.0, LGPL 2.1, LGPL 3.0 és AGPL 3.0 licenccel rendelkeznek.
az admin csatlakozott 10.24.109.102-től ssh használatával az nfvis-en admin bejelentkezve alapértelmezett hitelesítő adatokkal Kérjük, adjon meg egy jelszót, amely megfelel a következő feltételeknek:
1.Legalább egy kisbetű 2.Legalább egy nagybetű 3.Legalább egy szám 4.Legalább egy speciális karakter a # _ – * közül? 5. A hossza 7 és 128 karakter között lehet. Állítsa vissza a jelszót: Kérjük, írja be újra a jelszót:
Rendszergazdai jelszó visszaállítása
2. A Cisco Catalyst 8200 UCPE és Cisco ENCS 5400 platformokon az NFVIS 4.7.1 vagy újabb kiadások újbóli telepítése során meg kell változtatnia az alapértelmezett BIOS- és CIMC-jelszavakat. Ha a BIOS- és a CIMC-jelszavak korábban nincsenek konfigurálva, a rendszer kéri a Cisco ENCS 5400 BIOS- és CIMC-jelszavainak alaphelyzetbe állítását, a Cisco Catalyst 8200 UCPE esetében pedig csak a BIOS-jelszó visszaállítását.
Új rendszergazdai jelszó beállítva
Kérjük, adja meg a BIOS-jelszót, amely megfelel a következő feltételeknek: 1. Legalább egy kisbetűs karakter 2. Legalább egy nagybetűs karakter 3. Legalább egy szám 4. Legalább egy speciális karakter a #, @ vagy _ közül 5. A hosszúság között kell lennie. 8 és 20 karakter 6. Nem tartalmazhatja a következő karakterláncok egyikét sem (a kis- és nagybetűk megkülönböztetése): bios 7. Az első karakter nem lehet #
Biztonsági szempontok 8
Biztonsági szempontok
Ellenőrizze a BIOS és a CIMC jelszavakat
Kérjük, állítsa vissza a BIOS jelszót : Kérjük, adja meg újra a BIOS jelszót : Adja meg a CIMC jelszót, amely megfelel a következő feltételeknek:
1. Legalább egy kisbetűs karakter 2. Legalább egy nagybetűs karakter 3. Legalább egy szám 4. Legalább egy speciális karakter a #, @ vagy _ karakterekből 5. A hossza 8 és 20 karakter között lehet. 6. Nem tartalmazhat a következő karakterláncok (a kis- és nagybetűk megkülönböztetése): admin Állítsa vissza a CIMC jelszót : Adja meg újra a CIMC jelszót :
Ellenőrizze a BIOS és a CIMC jelszavakat
A BIOS- és CIMC-jelszavak sikeres módosításának ellenőrzéséhez használja az nfvis_config.log | tartalmazza a BIOS-t vagy a napló megjelenítése nfvis_config.log | tartalmazza a CIMC parancsokat:
nfvis# napló megjelenítése nfvis_config.log | tartalmazza a BIOS-t
2021-11-16 15:24:40,102 INFO
[hostaction:/system/settings] [] BIOS jelszó módosításasikeres
Letöltheti az nfvis_config.log fájlt is file és ellenőrizze, hogy a jelszavak visszaállítása sikeres volt-e.
Integráció külső AAA szerverekkel
A felhasználók az NFVIS-be ssh-n vagy a Web UI. Mindkét esetben hitelesíteni kell a felhasználókat. Ez azt jelenti, hogy a felhasználónak meg kell adnia a jelszó hitelesítő adatait a hozzáféréshez.
A felhasználó hitelesítése után az adott felhasználó által végrehajtott összes műveletet engedélyezni kell. Ez azt jelenti, hogy bizonyos felhasználók bizonyos feladatokat végrehajthatnak, míg mások nem. Ezt hívják felhatalmazásnak.
Javasoljuk, hogy egy központi AAA-kiszolgálót telepítsen a felhasználónkénti, AAA-alapú bejelentkezési hitelesítés kényszerítésére az NFVIS-hozzáféréshez. Az NFVIS támogatja a RADIUS és TACACS protokollokat a hálózati hozzáférés közvetítésére. Az AAA-szerveren csak minimális hozzáférési jogosultságokat kell biztosítani a hitelesített felhasználóknak a sajátos hozzáférési követelményeiknek megfelelően. Ez csökkenti a rosszindulatú és nem szándékos biztonsági incidenseknek való kitettséget.
A külső hitelesítéssel kapcsolatos további információkért lásd: A RADIUS konfigurálása és a TACACS+ szerver konfigurálása.
Hitelesítési gyorsítótár a külső hitelesítési kiszolgálóhoz
Funkció neve
Kiadási információk
Hitelesítési gyorsítótár külső NFVIS 4.5.1 hitelesítési kiszolgálóhoz
Leírás
Ez a funkció támogatja a TACACS hitelesítést az OTP-n keresztül az NFVIS portálon.
Az NFVIS portál ugyanazt az egyszeri jelszót (OTP) használja az összes API-híváshoz a kezdeti hitelesítés után. Az API-hívások meghiúsulnak, amint az OTP lejár. Ez a szolgáltatás támogatja a TACACS OTP hitelesítést az NFVIS portálon.
Miután sikeresen hitelesítette a TACACS szerveren keresztül egy OTP használatával, az NFVIS létrehoz egy hash bejegyzést a felhasználónév és az OTP használatával, és ezt a hash értéket helyben tárolja. Ez a helyben tárolt hash érték rendelkezik
Biztonsági szempontok 9
Szerep alapú hozzáférés-vezérlés
Biztonsági szempontok
egy lejárati idő stamp kapcsolódóan. Az idő stamp megegyezik az SSH munkamenet tétlenségi időtúllépési értékével, amely 15 perc. Az összes későbbi, ugyanazzal a felhasználónévvel rendelkező hitelesítési kérés először ehhez a helyi hash értékhez igazodik. Ha a hitelesítés meghiúsul a helyi kivonattal, az NFVIS hitelesíti ezt a kérést a TACACS szerverrel, és új hash bejegyzést hoz létre, ha a hitelesítés sikeres. Ha már létezik hash bejegyzés, annak ideje stamp visszaáll 15 percre.
Ha a portálra való sikeres bejelentkezés után eltávolítják a TACACS szerverről, akkor továbbra is használhatja a portált, amíg az NFVIS hash bejegyzése le nem jár.
Ha kifejezetten kijelentkezik az NFVIS-portálról, vagy tétlenség miatt kijelentkezik, a portál egy új API-t hív meg, hogy értesítse az NFVIS-háttérrendszert a hash-bejegyzés kiürítéséről. A hitelesítési gyorsítótár és annak összes bejegyzése törlődik az NFVIS újraindítása, a gyári beállítások visszaállítása vagy frissítése után.
Szerep alapú hozzáférés-vezérlés
A hálózati hozzáférés korlátozása fontos azoknak a szervezeteknek, amelyek sok alkalmazottat foglalkoztatnak, alvállalkozókat alkalmaznak, vagy engedélyezik a hozzáférést harmadik feleknek, például ügyfeleknek és szállítóknak. Ilyen esetben nehéz hatékonyan felügyelni a hálózati hozzáférést. Ehelyett jobb ellenőrizni, hogy mi érhető el, az érzékeny adatok és a kritikus alkalmazások védelme érdekében.
A szerepkör alapú hozzáférés-vezérlés (RBAC) a hálózati hozzáférés korlátozásának módszere az egyes felhasználók vállalaton belüli szerepei alapján. Az RBAC lehetővé teszi a felhasználóknak, hogy csak a szükséges információkhoz férhessenek hozzá, és megakadályozzák, hogy olyan információkhoz férhessenek hozzá, amelyek nem vonatkoznak rájuk.
Az alkalmazottak vállalaton belüli szerepét kell felhasználni a megadott engedélyek meghatározására annak érdekében, hogy az alacsonyabb jogosultságokkal rendelkező alkalmazottak ne férhessenek hozzá érzékeny információkhoz, és ne végezhessenek kritikus feladatokat.
A következő felhasználói szerepkörök és jogosultságok vannak meghatározva az NFVIS-ben
Felhasználói szerep
Kiváltság
Rendszergazdák
Konfigurálhatja az összes elérhető funkciót és végrehajthat minden feladatot, beleértve a felhasználói szerepek megváltoztatását. Az adminisztrátor nem törölheti az NFVIS alapvető infrastruktúráját. Az adminisztrátor szerepköre nem módosítható; mindig „adminisztrátorok”.
Üzemeltetők
Elindíthat és leállíthat egy virtuális gépet, és view minden információ.
Auditorok
Ők a legkevésbé kiváltságos felhasználók. Csak olvasási engedéllyel rendelkeznek, ezért semmilyen konfigurációt nem módosíthatnak.
Az RBAC előnyei
Az RBAC használatának számos előnye van a szükségtelen hálózati hozzáférés korlátozására az emberek szervezeten belüli szerepei alapján, többek között:
· A működési hatékonyság javítása.
Az RBAC előre definiált szerepkörei megkönnyítik a megfelelő jogosultságokkal rendelkező új felhasználók felvételét vagy a meglévő felhasználók szerepének cseréjét. Ezenkívül csökkenti a hibalehetőséget a felhasználói engedélyek hozzárendelése során.
· A megfelelés fokozása.
Biztonsági szempontok 10
Biztonsági szempontok
Szerep alapú hozzáférés-vezérlés
Minden szervezetnek meg kell felelnie a helyi, állami és szövetségi előírásoknak. A vállalatok általában előnyben részesítik az RBAC-rendszerek bevezetését, hogy megfeleljenek a titoktartási és adatvédelmi szabályozási és törvényi követelményeknek, mivel a vezetők és az IT-részlegek hatékonyabban tudják kezelni az adatok elérését és felhasználását. Ez különösen fontos az érzékeny adatokat kezelő pénzintézetek és egészségügyi cégek számára.
· Költségek csökkentése. Ha nem engedélyezik a felhasználók hozzáférését bizonyos folyamatokhoz és alkalmazásokhoz, a vállalatok költséghatékony módon megtakaríthatják vagy felhasználhatják az erőforrásokat, például a hálózati sávszélességet, a memóriát és a tárolást.
· A jogsértések és az adatszivárgás kockázatának csökkentése. Az RBAC bevezetése az érzékeny információkhoz való hozzáférés korlátozását jelenti, csökkentve ezzel az adatszivárgás vagy adatszivárgás lehetőségét.
A szerep alapú hozzáférés-vezérlési megvalósítás legjobb gyakorlatai · Rendszergazdaként határozza meg a felhasználók listáját, és rendelje hozzá a felhasználókat az előre meghatározott szerepekhez. Plample, a „networkadmin” felhasználó létrehozható és hozzáadható az „adminisztrátorok” felhasználói csoporthoz.
terminál konfigurálása rbac hitelesítés felhasználók létrehozása-felhasználónév networkadmin jelszó Test1_pass szerepkör rendszergazdák commit
Megjegyzés A felhasználói csoportokat vagy szerepköröket a rendszer hozza létre. Nem hozhat létre vagy módosíthat felhasználói csoportot. A jelszó megváltoztatásához használja az rbac authentication users user change-password parancsot globális konfigurációs módban. A felhasználói szerepkör megváltoztatásához használja az rbac authentication users user change-role parancsot globális konfigurációs módban.
· Szüntesse meg a hozzáférést már nem igénylő felhasználók fiókját.
terminál konfigurálása rbac hitelesítési felhasználók törlése-felhasználónév teszt1
· Rendszeresen végezzen auditokat a szerepkörök, a hozzájuk rendelt alkalmazottak és az egyes szerepkörökhöz engedélyezett hozzáférések értékelése érdekében. Ha úgy találják, hogy egy felhasználó szükségtelen hozzáféréssel rendelkezik egy bizonyos rendszerhez, módosítsa a felhasználó szerepét.
További részletekért lásd: Felhasználók, szerepkörök és hitelesítés
Granuláris szerepkör alapú hozzáférés-vezérlés Az NFVIS 4.7.1-től kezdve bevezetik a Granuláris szerep alapú hozzáférés-vezérlést. Ez a szolgáltatás egy új erőforráscsoport-házirendet ad hozzá, amely kezeli a virtuális gépet és a VNF-et, és lehetővé teszi a felhasználók hozzárendelését egy csoporthoz a VNF-hozzáférés vezérléséhez a VNF-telepítés során. További információkért tekintse meg a Granuláris szerepkör-alapú hozzáférés-vezérlést.
Biztonsági szempontok 11
Az eszköz hozzáférhetőségének korlátozása
Biztonsági szempontok
Az eszköz hozzáférhetőségének korlátozása
A felhasználókat többször is váratlanul értek olyan funkciók elleni támadások, amelyeket nem védtek meg, mert nem tudták, hogy ezek a funkciók engedélyezve vannak. A fel nem használt szolgáltatások általában alapértelmezett konfigurációkkal maradnak, amelyek nem mindig biztonságosak. Előfordulhat, hogy ezek a szolgáltatások alapértelmezett jelszavakat is használnak. Egyes szolgáltatások könnyű hozzáférést biztosíthatnak a támadónak a kiszolgáló működésével vagy a hálózat beállításával kapcsolatos információkhoz. A következő szakaszok leírják, hogyan kerüli el az NFVIS az ilyen biztonsági kockázatokat:
Támadásvektor csökkentése
Bármely szoftver tartalmazhat biztonsági réseket. Több szoftver több támadási lehetőséget jelent. Még akkor is, ha a felvétel időpontjában nincsenek nyilvánosan ismert sebezhetőségek, a jövőben valószínűleg felfedezik vagy nyilvánosságra hozzák azokat. Az ilyen forgatókönyvek elkerülése érdekében csak azokat a szoftvercsomagokat kell telepíteni, amelyek elengedhetetlenek az NFVIS működéséhez. Ez segít korlátozni a szoftver sérülékenységét, csökkenteni az erőforrás-felhasználást, és csökkenteni a többletmunkát, ha problémákat talál a csomagokkal. Az NFVIS-ben található összes harmadik féltől származó szoftver a Cisco központi adatbázisában van regisztrálva, így a Cisco képes vállalati szintű szervezett válaszok végrehajtására (jogi, biztonsági stb.). A szoftvercsomagokat minden kiadásban rendszeresen javítják az ismert gyakori sebezhetőségek és kitettségek (CVE-k) miatt.
Alapértelmezés szerint csak a lényeges portok engedélyezése
Alapértelmezés szerint csak azok a szolgáltatások érhetők el, amelyek feltétlenül szükségesek az NFVIS beállításához és kezeléséhez. Ezzel megszűnik a tűzfalak konfigurálásához szükséges felhasználói erőfeszítés, és megtagadja a szükségtelen szolgáltatásokhoz való hozzáférést. Az alábbiakban csak az alapértelmezés szerint engedélyezett szolgáltatások szerepelnek a megnyitott portokkal együtt.
Nyissa meg a Portot
Szolgáltatás
Leírás
22 / TCP
SSH
Secure Socket Shell az NFVIS távoli parancssori eléréséhez
80 / TCP
HTTP
Hypertext Transfer Protocol az NFVIS portál eléréséhez. Az NFVIS által fogadott összes HTTP-forgalom a HTTPS 443-as portjára kerül átirányításra
443 / TCP
HTTPS
Hypertext Transfer Protocol Secure a biztonságos NFVIS portál eléréséhez
830 / TCP
NETCONF-ssh
Port megnyitva a Network Configuration Protocol (NETCONF) számára SSH-n keresztül. A NETCONF az NFVIS automatizált konfigurálására és az NFVIS-től érkező aszinkron eseményértesítések fogadására használt protokoll.
161/UDP
SNMP
Simple Network Management Protocol (SNMP). Az NFVIS távoli hálózatfigyelő alkalmazásokkal való kommunikációra használja. További információkért lásd: Bevezetés az SNMP-ről
Biztonsági szempontok 12
Biztonsági szempontok
A jogosult szolgáltatások hozzáférésének korlátozása az engedélyezett hálózatokhoz
A jogosult szolgáltatások hozzáférésének korlátozása az engedélyezett hálózatokhoz
Csak az arra feljogosított kezdeményezők próbálkozhatnak eszközkezelési hozzáféréssel, és csak azokhoz a szolgáltatásokhoz szabad hozzáférni, amelyek használatára jogosultak. Az NFVIS úgy konfigurálható, hogy a hozzáférést az ismert, megbízható forrásokra és a várható felügyeleti forgalomra korlátozzákfiles. Ez csökkenti az illetéktelen hozzáférés kockázatát és az egyéb támadásoknak való kitettséget, mint például a nyers erő, a szótár vagy a DoS támadások.
Az NFVIS felügyeleti interfészeinek a szükségtelen és potenciálisan káros forgalomtól való védelme érdekében az adminisztrátor felhasználó hozzáférés-vezérlési listákat (ACL) hozhat létre a fogadott hálózati forgalomhoz. Ezek az ACL-ek meghatározzák a forrás IP-címeit/hálózatait, ahonnan a forgalom származik, és az ezekből a forrásokból származó forgalom típusát. Ezeket az IP-forgalmi szűrőket az NFVIS minden felügyeleti interfészére alkalmazzák. A következő paraméterek vannak konfigurálva egy IP-fogadási hozzáférés-vezérlési listában (ip-receive-acl)
Paraméter
Érték
Leírás
Forráshálózat/hálózati maszk
Hálózat/hálózati maszk. Plample: 0.0.0.0/0
172.39.162.0/24
Ez a mező határozza meg azt az IP-címet/hálózatot, amelyről a forgalom származik
Szolgáltatási művelet
https icmp netconf scpd snmp ssh elfogadja a visszautasítást
A megadott forrásból származó forgalom típusa.
A forráshálózatról érkező forgalommal kapcsolatos teendők. Az elfogadással engedélyezi az új csatlakozási kísérleteket. Elutasítás esetén a csatlakozási kísérletek nem fogadhatók el. Ha a szabály egy TCP-alapú szolgáltatásra vonatkozik, mint például a HTTPS, NETCONF, SCP, SSH, akkor a forrás egy TCP-reset (RST) csomagot kap. A nem TCP-szabályok, például az SNMP és az ICMP esetében a csomag eldobásra kerül. A droppal minden csomag azonnal eldobásra kerül, a forrásnak nem küldenek információt.
Biztonsági szempontok 13
Kiváltságos hibakeresési hozzáférés
Biztonsági szempontok
Paraméter prioritás
Érték Numerikus érték
Leírás
Az elsőbbséget a szabályokra vonatkozó parancs végrehajtására használják. A magasabb prioritási értékkel rendelkező szabályok a lánc lejjebb kerülnek hozzáadásra. Ha azt szeretné, hogy egy szabály egy másik után kerüljön hozzáadásra, használjon alacsony prioritású számot az elsőhöz, és magasabb prioritású számot a következőhöz.
A következő sampA le konfigurációk néhány olyan forgatókönyvet mutatnak be, amelyek speciális felhasználási esetekre adaptálhatók.
Az IP Receive ACL konfigurálása
Minél szigorúbb az ACL, annál korlátozottabb a jogosulatlan hozzáférési kísérletek kitettsége. A szigorúbb ACL azonban felügyeleti többletköltséget hozhat létre, és befolyásolhatja a hibaelhárításhoz szükséges hozzáférést. Következésképpen mérlegelni kell az egyensúlyt. Az egyik kompromisszum az, hogy csak a belső vállalati IP-címekre korlátozzuk a hozzáférést. Minden ügyfélnek értékelnie kell az ACL-ek megvalósítását saját biztonsági politikájával, kockázataival, kitettségével és elfogadásával kapcsolatban.
Alhálózatról érkező ssh-forgalom elutasítása:
nfvis(config)# rendszerbeállítások ip-receive-acl 171.70.63.0/24 service ssh action reject priority 1
ACL-ek eltávolítása:
Ha egy bejegyzést töröl az ip-receive-acl fájlból, az adott forráshoz tartozó összes konfiguráció törlődik, mivel a forrás IP-címe a kulcs. Ha csak egy szolgáltatást szeretne törölni, konfiguráljon újra más szolgáltatásokat.
nfvis(config)# nincs rendszerbeállítás ip-receive-acl 171.70.63.0/24
További részletekért lásd: Az IP fogadási ACL konfigurálása
Kiváltságos hibakeresési hozzáférés
Az NFVIS feletti felhasználói fiók alapértelmezés szerint le van tiltva, hogy megakadályozzon minden korlátlan, potenciálisan káros, rendszerszintű változást, és az NFVIS nem teszi közzé a rendszerhéjat a felhasználó számára.
Az NFVIS rendszer néhány nehezen hibakereshető problémája esetén azonban a Cisco Technical Assistance Center csapata (TAC) vagy a fejlesztőcsapat shell-hozzáférést kérhet az ügyfél NFVIS-éhez. Az NFVIS biztonságos feloldó infrastruktúrával rendelkezik, amely biztosítja, hogy a helyszíni eszközökhöz való kiváltságos hibakeresési hozzáférést a Cisco felhatalmazott alkalmazottai korlátozzák. A Linux rendszerhéj biztonságos eléréséhez az ilyen típusú interaktív hibakereséshez egy kihívás-válasz hitelesítési mechanizmust használnak az NFVIS és a Cisco által fenntartott interaktív hibakereső szerver között. Az adminisztrátori felhasználó jelszava is szükséges a kihívás-válasz bejegyzés mellett, hogy az eszközhöz az ügyfél beleegyezésével hozzáférhessen.
Az interaktív hibakeresés parancsértelmezőjének eléréséhez szükséges lépések:
1. Egy adminisztrátor felhasználó elindítja ezt az eljárást ezzel a rejtett paranccsal.
nfvis# rendszerhéj-hozzáférés
Biztonsági szempontok 14
Biztonsági szempontok
Biztonságos interfészek
2. A képernyőn megjelenik egy kihívás karakterlánc, plample:
Challenge String (Kérjük, másoljon át mindent a csillagsorok között):
******************************************************************************** SPH//wkAAABORlZJU0VOQ1M1NDA4L0s5AQAAABt+dcx+hB0V06r9RkdMMjEzNTgw RlHq7BxeAAA= DONE. ********************************************************************************
3. A Cisco tag beírja a Challenge karakterláncot a Cisco által karbantartott interaktív hibakeresési kiszolgálón. Ez a szerver ellenőrzi, hogy a Cisco-felhasználó jogosult-e az NFVIS hibakeresésére a shell használatával, majd visszaad egy válaszkarakterláncot.
4. Írja be a válaszkarakterláncot az alábbi képernyőn: Ha készen áll, írja be a választ:
5. Amikor a rendszer kéri, az ügyfélnek meg kell adnia a rendszergazdai jelszót. 6. Shell-hozzáférést kap, ha a jelszó érvényes. 7. A fejlesztő vagy a TAC csapat a shell segítségével folytatja a hibakeresést. 8. A shell-hozzáférésből való kilépéshez írja be az Exit parancsot.
Biztonságos interfészek
Az NFVIS felügyeleti hozzáférés az ábrán látható interfészek használatával engedélyezett. A következő szakaszok az NFVIS ezen interfészeire vonatkozó legjobb biztonsági gyakorlatokat ismertetik.
SSH konzol
A konzolport egy aszinkron soros port, amely lehetővé teszi az NFVIS CLI-hez való csatlakozást a kezdeti konfigurációhoz. A felhasználó az NFVIS-hez való fizikai hozzáféréssel vagy távoli hozzáféréssel érheti el a konzolt egy terminálkiszolgáló használatával. Ha terminálkiszolgálón keresztül konzolport hozzáférésre van szükség, konfigurálja a hozzáférési listákat a terminálkiszolgálón úgy, hogy csak a szükséges forráscímekről engedélyezze a hozzáférést.
A felhasználók hozzáférhetnek az NFVIS CLI-hez, ha az SSH-t a távoli bejelentkezés biztonságos eszközeként használják. Az NFVIS-kezelési forgalom integritása és titkossága alapvető fontosságú a felügyelt hálózat biztonsága szempontjából, mivel az adminisztrációs protokollok gyakran olyan információkat hordoznak, amelyek felhasználhatók a hálózatba való behatolásra vagy annak megzavarására.
Biztonsági szempontok 15
CLI munkamenet időtúllépés
Biztonsági szempontok
Az NFVIS az SSH 2-es verzióját használja, amely a Cisco és az Internet de facto szabványos protokollja az interaktív bejelentkezésekhez, és támogatja a Cisco Security and Trust Organisation által javasolt erős titkosítási, hash- és kulcscsere algoritmusokat.
CLI munkamenet időtúllépés
Az SSH-n keresztüli bejelentkezéssel a felhasználó munkamenetet hoz létre az NFVIS-sel. Ha a felhasználó be van jelentkezve, ha felügyelet nélkül hagyja el a bejelentkezett munkamenetet, ez biztonsági kockázatnak teheti ki a hálózatot. A munkamenet-biztonság korlátozza a belső támadások kockázatát, például egy felhasználó egy másik felhasználó munkamenetét próbálja meg használni.
Ennek a kockázatnak a csökkentése érdekében az NFVIS 15 perces inaktivitás után időtúllépést tesz lehetővé a CLI munkamenetekben. A munkamenet időkorlátjának elérésekor a felhasználó automatikusan kijelentkezett.
NETCONF
A Network Configuration Protocol (NETCONF) egy hálózatkezelési protokoll, amelyet az IETF fejlesztett ki és szabványosított a hálózati eszközök automatizált konfigurálására.
A NETCONF protokoll XML (Extensible Markup Language) alapú adatkódolást használ a konfigurációs adatokhoz és a protokollüzenetekhez. A protokoll üzenetek cseréje egy biztonságos szállítási protokollon felül történik.
A NETCONF lehetővé teszi az NFVIS számára, hogy felfedjen egy XML-alapú API-t, amelyet a hálózat üzemeltetője használhat a konfigurációs adatok és eseményértesítések biztonságos beállítására és fogadására SSH-n keresztül.
További információkért lásd: NETCONF eseményértesítések.
REST API
Az NFVIS a HTTPS-en keresztüli RESTful API használatával konfigurálható. A REST API lehetővé teszi a kérelmező rendszerek számára, hogy egységes és előre meghatározott állapot nélküli műveletek segítségével hozzáférjenek és manipulálják az NFVIS konfigurációt. Az összes REST API-val kapcsolatos részletek az NFVIS API referencia útmutatóban találhatók.
Amikor a felhasználó REST API-t ad ki, munkamenet jön létre az NFVIS-sel. A szolgáltatásmegtagadási támadásokkal kapcsolatos kockázatok korlátozása érdekében az NFVIS 100-ra korlátozza az egyidejű REST-munkamenetek számát.
NFVIS Web Portál
Az NFVIS portál a webalapú grafikus felhasználói felület, amely információkat jelenít meg az NFVIS-ről. A portál a felhasználó számára egy egyszerű eszközt kínál az NFVIS HTTPS-en keresztül történő konfigurálására és figyelésére anélkül, hogy ismernie kellene az NFVIS CLI-t és API-t.
Munkamenet menedzsment
A HTTP és HTTPS állapot nélküli jellege megköveteli a felhasználók egyedi nyomon követését egyedi munkamenet-azonosítók és cookie-k használatával.
Az NFVIS titkosítja a felhasználó munkamenetét. Az AES-256-CBC titkosítás a munkamenet tartalmának titkosítására szolgál HMAC-SHA-256 hitelesítéssel tag. Minden titkosítási művelethez egy véletlenszerű 128 bites inicializálási vektor jön létre.
A portálmunkamenet létrehozásakor egy audit rekord indul. A munkamenet információi törlődnek, amikor a felhasználó kijelentkezik, vagy amikor a munkamenet időtúllép.
A portálmunkamenetek alapértelmezett tétlenségi időkorlátja 15 perc. Ez azonban az aktuális munkamenethez 5 és 60 perc közötti értékre konfigurálható a Beállítások oldalon. Ezt követően elindul az automatikus kijelentkezés
Biztonsági szempontok 16
Biztonsági szempontok
HTTPS
HTTPS
időszak. Egy böngészőben nem engedélyezett több munkamenet. Az egyidejű munkamenetek maximális száma 30-ra van állítva. Az NFVIS portál cookie-kat használ az adatoknak a felhasználóhoz való társításához. A következő cookie-tulajdonságokat használja a fokozott biztonság érdekében:
· átmeneti annak biztosítására, hogy a cookie lejárjon a böngésző bezárásakor · httpCsak annak érdekében, hogy a cookie elérhetetlen legyen a JavaScriptből · SecureProxy annak biztosítására, hogy a cookie csak SSL-en keresztül küldhető el.
Még hitelesítés után is lehetségesek olyan támadások, mint például a Cross-Site Request Forgery (CSRF). Ebben a forgatókönyvben a végfelhasználó véletlenül nem kívánt műveleteket hajthat végre a web alkalmazás, amelyben jelenleg hitelesítve vannak. Ennek megakadályozása érdekében az NFVIS CSRF tokeneket használ az egyes munkamenetek során meghívott REST API-k érvényesítésére.
URL Átirányítás Tipikusan web szervereken, ha egy oldal nem található a web szerver, a felhasználó 404-es üzenetet kap; a létező oldalak esetében bejelentkezési oldalt kapnak. Ennek biztonsági hatása az, hogy a támadó brute force vizsgálatot hajthat végre, és könnyen észlelheti, hogy mely oldalak és mappák léteznek. Ennek megakadályozása érdekében az NFVIS-en minden nem létezik URLAz eszköz IP-címével előtagolt s 301-es állapotválaszkóddal a portál bejelentkezési oldalára kerül. Ez azt jelenti, hogy függetlenül a URL a támadó kérésére mindig megkapják a bejelentkezési oldalt, hogy hitelesítsék magukat. Minden HTTP szerver kérés át van irányítva a HTTPS-re, és a következő fejlécek vannak beállítva:
· X-Content-Type-Options · X-XSS-Protection · Tartalom-biztonsági politika · X-Frame-Options · Szigorú szállítási biztonság · Gyorsítótár-vezérlés
A portál letiltása Az NFVIS portálhoz való hozzáférés alapértelmezés szerint engedélyezve van. Ha nem tervezi a portál használatát, javasoljuk, hogy tiltsa le a portál elérését ezzel a paranccsal:
Terminál konfigurálása A rendszerportál-hozzáférés letiltva véglegesítés
Az NFVIS-re érkező és onnan érkező HTTPS-adatok TLS-t (Transport Layer Security) használnak a hálózaton keresztüli kommunikációhoz. A TLS a Secure Socket Layer (SSL) utódja.
Biztonsági szempontok 17
HTTPS
Biztonsági szempontok
A TLS kézfogás magában foglalja a hitelesítést, amelynek során a kliens ellenőrzi a kiszolgáló SSL-tanúsítványát az azt kiadó tanúsító hatósággal. Ez megerősíti, hogy a szerver az, akinek mondja magát, és hogy az ügyfél kapcsolatba lép a tartomány tulajdonosával. Alapértelmezés szerint az NFVIS önaláírt tanúsítványt használ a személyazonosságának bizonyítására ügyfelei számára. Ez a tanúsítvány 2048 bites nyilvános kulccsal rendelkezik a TLS-titkosítás biztonságának növelése érdekében, mivel a titkosítás erőssége közvetlenül kapcsolódik a kulcs méretéhez.
Tanúsítványkezelés Az NFVIS az első telepítéskor önaláírt SSL-tanúsítványt hoz létre. Biztonsági bevált gyakorlat, ha ezt a tanúsítványt egy megfelelő tanúsító hatóság (CA) által aláírt érvényes tanúsítványra cserélik. Az alapértelmezett önaláírt tanúsítvány cseréjéhez kövesse az alábbi lépéseket: 1. Hozzon létre egy tanúsítvány-aláíró kérelmet (CSR) az NFVIS-en.
A tanúsítvány aláírási kérés (CSR) a file kódolt szövegblokkkal, amelyet az SSL-tanúsítvány igénylésekor a tanúsító hatóság kap. Ez file olyan információkat tartalmaz, amelyeket szerepeltetni kell a tanúsítványban, mint például a szervezet neve, általános név (tartománynév), helység és ország. A file tartalmazza a nyilvános kulcsot is, amelyet a tanúsítványnak tartalmaznia kell. Az NFVIS 2048 bites nyilvános kulcsot használ, mivel a titkosítási erősség magasabb a kulcsméretnél. Ha CSR-t szeretne létrehozni az NFVIS-en, futtassa a következő parancsot:
nfvis# rendszertanúsítvány aláírási kérelme [köznév országkód helység szervezet szervezeti egység neve állapot]
A CSR file /data/intdatastore/download/nfvis.csr néven kerül mentésre. . 2. Szerezzen be egy SSL-tanúsítványt egy CA-tól a CSR segítségével. Külső gazdagépről az scp paranccsal töltse le a tanúsítvány-aláíró kérést.
[myhost:/tmp] > scp -P 22222 admin@:/data/intdatastore/download/nfvis.csr <cél-file-név>
Lépjen kapcsolatba a tanúsító hatósággal, hogy új SSL-kiszolgálótanúsítványt állítson ki ezzel a CSR-rel. 3. Telepítse a CA aláírt tanúsítványt.
Külső szerverről használja az scp parancsot a tanúsítvány feltöltéséhez file az NFVIS-be az adatokba/intadattárba/uploads/ könyvtárat.
[myhost:/tmp] > scp -P 22222 <tanúsítvány file> admin@:/data/intdatastore/uploads
Telepítse a tanúsítványt az NFVIS-ben a következő paranccsal.
nfvis# rendszertanúsítvány telepítési-tanúsítvány elérési útja file:///data/intdatastore/uploads/<bizonyítvány file>
4. Váltson a CA aláírt tanúsítvány használatára. A következő paranccsal kezdje meg a CA által aláírt tanúsítvány használatát az alapértelmezett önaláírt tanúsítvány helyett.
Biztonsági szempontok 18
Biztonsági szempontok
SNMP hozzáférés
nfvis(config)# rendszertanúsítvány use-cert cert-type ca-signed
SNMP hozzáférés
Az SNMP (Simple Network Management Protocol) egy szabványos internetes protokoll az IP-hálózatokon lévő felügyelt eszközökkel kapcsolatos információk összegyűjtésére és rendszerezésére, valamint ezen információk módosítására az eszközök viselkedésének megváltoztatása érdekében.
Az SNMP három jelentős verzióját fejlesztették ki. Az NFVIS támogatja az SNMP 1-es, 2c és 3-as verzióit. Az 1-es és 2-es SNMP-verzió közösségi karakterláncokat használ a hitelesítéshez, és ezeket egyszerű szövegként küldi el. Tehát a legjobb biztonsági gyakorlat az SNMP v3 használata.
Az SNMPv3 három szempont használatával biztosít biztonságos hozzáférést az eszközökhöz: – felhasználók, hitelesítés és titkosítás. Az SNMPv3 az USM-et (felhasználó-alapú biztonsági modul) használja az SNMP-n keresztül elérhető információkhoz való hozzáférés szabályozására. Az SNMP v3 felhasználó hitelesítési típussal, adatvédelmi típussal és jelmondattal van konfigurálva. A csoportot megosztó összes felhasználó ugyanazt az SNMP-verziót használja, azonban az adott biztonsági szint beállításai (jelszó, titkosítási típus stb.) felhasználónként vannak megadva.
Az alábbi táblázat összefoglalja az SNMP biztonsági beállításait
Modell
Szint
Hitelesítés
Titkosítás
Eredmény
v1
noAuthNoPriv
Közösségi karakterlánc sz
Közösséget használ
string match for
hitelesítés.
v2c
noAuthNoPriv
Közösségi karakterlánc sz
A hitelesítéshez közösségi karakterlánc-egyezést használ.
v3
noAuthNoPriv
Felhasználónév
Nem
Felhasználónevet használ
egyezik
hitelesítés.
v3
authNoPriv
Üzenetkivonat 5. sz
Biztosítja
(MD5)
hitelesítés alapú
or
a HMAC-MD5-96 ill
Biztonságos hash
HMAC-SHA-96
Algoritmus (SHA)
algoritmusok.
Biztonsági szempontok 19
Jogi értesítő bannerek
Biztonsági szempontok
Modell v3
Level authPriv
MD5 vagy SHA hitelesítés
Titkosítás
Eredmény
Adattitkosítás biztosítja
Szabványos (DES) vagy hitelesítés alapú
Fejlett
a
Titkosítási szabvány HMAC-MD5-96 vagy
(AES)
HMAC-SHA-96
algoritmusok.
DES titkosítási algoritmust biztosít titkosítási blokkláncolási módban (CBC-DES)
or
AES titkosítási algoritmus Cipher FeedBack módban (CFB), 128 bites kulcsmérettel (CFB128-AES-128)
A NIST általi elfogadása óta az AES a domináns titkosítási algoritmus lett az egész iparágban. Az iparág MD5-ről SHA-ra való átállásának követése érdekében a legjobb biztonsági gyakorlat az SNMP v3 hitelesítési protokollt SHA-ként, az adatvédelmi protokollt pedig AES-ként konfigurálni.
Az SNMP-vel kapcsolatos további részletekért lásd: Bevezetés az SNMP-ről
Jogi értesítő bannerek
Javasoljuk, hogy minden interaktív munkameneten jelen legyen egy jogi értesítő szalag, hogy a felhasználók értesítést kapjanak a biztonsági szabályzat érvényesítéséről és a rájuk vonatkozó szabályokról. Egyes joghatóságokban a rendszerbe betörő támadó polgári és/vagy büntetőjogi felelősségre vonása egyszerűbb, sőt kötelező is, ha egy jogi értesítőszalagot felmutatnak, amely tájékoztatja a jogosulatlan felhasználókat arról, hogy használatuk valójában jogosulatlan. Egyes joghatóságokban tilos lehet a jogosulatlan felhasználó tevékenységének figyelemmel kísérése is, kivéve, ha a szándékáról értesítették őket.
A jogi értesítési követelmények összetettek, és joghatóságonként és helyzetenként eltérőek. Még az egyes joghatóságokon belül is eltérőek a jogi vélemények. Beszélje meg ezt a problémát saját jogi tanácsadójával, hogy megbizonyosodjon arról, hogy az értesítési szalaghirdetés megfelel a vállalati, helyi és nemzetközi jogi követelményeknek. Ez gyakran kritikus fontosságú a megfelelő intézkedések biztosításához a biztonság megsértése esetén. A vállalati jogtanácsossal együttműködve a jogi értesítő szalaghirdetésen a következők szerepelhetnek:
· Értesítés arról, hogy a rendszerhez való hozzáférést és a rendszerhasználatot csak erre felhatalmazott személyzet engedélyezi, és esetleg tájékoztatás arról, hogy ki jogosult a használatra.
· Értesítés arról, hogy a rendszerhez való jogosulatlan hozzáférés és használat jogellenes, és polgári és/vagy büntetőjogi szankciókat vonhat maga után.
· Értesítés arról, hogy a rendszerhez való hozzáférés és a rendszer használata további értesítés nélkül naplózható vagy megfigyelhető, és az így létrejött naplók bizonyítékként használhatók fel a bíróságon.
· A helyi törvények által megkövetelt további különleges megjegyzések.
Biztonsági szempontok 20
Biztonsági szempontok
Gyári alapbeállítások visszaállítása
Inkább értékpapírból, mint jogi szempontból view, a jogi értesítő szalaghirdetés nem tartalmazhat semmilyen konkrét információt az eszközről, például annak nevét, modelljét, szoftverét, helyét, üzemeltetőjét vagy tulajdonosát, mert az ilyen jellegű információk hasznosak lehetnek a támadó számára.
A következő mintampbejelentkezés előtt megjeleníthető jogi értesítő banner:
AZ ESZKÖZHEZ AZ ESZKÖZÖL TÖRTÉNŐ NÉLKÜLI HOZZÁFÉRÉS TILOS Az eszköz eléréséhez vagy konfigurálásához kifejezett, engedélyezett engedéllyel kell rendelkeznie. Jogosulatlan hozzáférési vagy felhasználási kísérletek és műveletek
ez a rendszer polgári és/vagy büntetőjogi szankciókat vonhat maga után. Az eszközön végzett összes tevékenység naplózásra és figyelésre kerül
Megjegyzés Mutassa be a cég jogi tanácsadója által jóváhagyott jogi értesítést.
Az NFVIS lehetővé teszi a szalaghirdetés és a nap üzenetének (MOTD) konfigurálását. A szalaghirdetés a felhasználó bejelentkezése előtt jelenik meg. Miután a felhasználó bejelentkezik az NFVIS-be, egy rendszer által meghatározott szalaghirdetés az NFVIS-re vonatkozó szerzői jogi információkat tartalmaz, és megjelenik a napi üzenet (MOTD), ha be van állítva, majd a parancssori prompt vagy a portál view, a bejelentkezési módtól függően.
Javasoljuk, hogy egy bejelentkezési szalaghirdetést alkalmazzon annak biztosítására, hogy a jogi értesítés szalaghirdetése megjelenjen az összes eszközkezelési hozzáférési munkamenetben, mielőtt a bejelentkezési üzenet megjelenne. Ezzel a paranccsal konfigurálhatja a szalaghirdetést és a MOTD-t.
nfvis(config)# banner-motd banner motd
A banner paranccsal kapcsolatos további információkért lásd: Szalaghirdetés konfigurálása, Napi üzenet és Rendszeridő.
Gyári alapbeállítások visszaállítása
A gyári beállítások visszaállítása eltávolítja az összes ügyfélspecifikus adatot, amely a kiszállítás óta az eszközhöz került. A törölt adatok tartalmazzák a konfigurációkat, a naplót files, VM-képek, kapcsolódási információk és felhasználói bejelentkezési adatok.
Egyetlen parancsot biztosít az eszköz gyári beállításainak visszaállításához, és a következő esetekben hasznos:
· Anyagengedélyezés (RMA) egy eszközhöz – Ha vissza kell küldenie egy eszközt a Cisco for RMA-nak, használja a Gyári alapbeállítások visszaállítását az összes ügyfélspecifikus adat eltávolításához.
· Kompromittált eszköz helyreállítása – Ha az eszközön tárolt kulcsanyag vagy hitelesítési adatok veszélybe kerültek, állítsa vissza az eszközt a gyári konfigurációra, majd konfigurálja újra az eszközt.
· Ha ugyanazt az eszközt újra kell használni egy másik helyen egy új konfigurációval, hajtsa végre a gyári alapbeállítások visszaállítását a meglévő konfiguráció eltávolításához és tiszta állapotba hozásához.
Az NFVIS a következő lehetőségeket kínálja a gyári alaphelyzetbe állításon belül:
Gyári beállítások visszaállítása
Az adatok törölve
Adatok megtartva
minden
Összes konfiguráció, feltöltött kép Az admin fiók megmarad és
files, virtuális gépek és naplók.
a jelszó módosul a
Az eszközhöz való csatlakozás a gyári alapértelmezett jelszó lesz.
elveszett.
Biztonsági szempontok 21
Infrastruktúra menedzsment hálózat
Biztonsági szempontok
Gyári beállítások visszaállítása, a képek kivételével
minden-kivéve-képek-kapcsolat
gyártás
Az adatok törölve
Adatok megtartva
Minden konfiguráció, kivéve kép Képkonfiguráció, regisztrálva
konfigurációt, virtuális gépeket, valamint feltöltött képeket és naplókat
kép files.
Az adminisztrátori fiók megmarad és
Az eszközhöz való csatlakozás esetén a jelszó a következőre módosul
elveszett.
gyári alapértelmezett jelszó.
Minden konfiguráció, kivéve a képet, a képeket, a hálózatot és a csatlakozást
hálózat és kapcsolat
kapcsolódó konfiguráció, regisztrált
konfiguráció, virtuális gépek, feltöltött képek és naplók.
kép files.
Az adminisztrátori fiók megmarad és
Csatlakozás a készülékhez
a korábban beállított admin
elérhető.
jelszó megmarad.
Minden konfiguráció, kivéve a képkonfigurációt, a virtuális gépeket és a feltöltött képet files, és naplók.
Az eszközzel való kapcsolat megszakad.
Képhez kapcsolódó konfiguráció és regisztrált képek
Az adminisztrátori fiók megmarad, és a jelszó a gyári alapértelmezett jelszóra változik.
A felhasználónak gondosan kell kiválasztania a megfelelő opciót a gyári alapbeállítások visszaállításának célja alapján. További információkért lásd: A gyári beállítások visszaállítása.
Infrastruktúra menedzsment hálózat
Az infrastruktúra-felügyeleti hálózat az infrastruktúra-eszközök vezérlő- és felügyeleti síkforgalmát (például NTP, SSH, SNMP, syslog stb.) hordozó hálózatra utal. Az eszköz elérése történhet a konzolon, valamint az Ethernet interfészeken keresztül. Ez a vezérlési és felügyeleti sík forgalom kritikus fontosságú a hálózati műveletek szempontjából, és biztosítja a hálózat láthatóságát és vezérlését. Következésképpen a jól megtervezett és biztonságos infrastruktúra-felügyeleti hálózat kritikus fontosságú a hálózat általános biztonsága és működése szempontjából. A biztonságos infrastruktúra-menedzsment hálózat egyik legfontosabb javaslata a menedzsment és az adatforgalom szétválasztása, hogy nagy terhelés és nagy forgalmi viszonyok között is biztosítható legyen a távoli kezelhetőség. Ez egy dedikált kezelőfelület segítségével érhető el.
A következők az infrastruktúra-menedzsment hálózat megvalósítási megközelítései:
Sávon kívüli menedzsment
Az Out-of-band Management (OOB) felügyeleti hálózat egy olyan hálózatból áll, amely teljesen független és fizikailag eltér attól az adathálózattól, amelynek kezelését segíti. Ezt néha adatkommunikációs hálózatnak (DCN) is nevezik. A hálózati eszközök többféle módon csatlakozhatnak az OOB hálózathoz: Az NFVIS támogatja a beépített felügyeleti interfészt, amellyel az OOB hálózathoz lehet csatlakozni. Az NFVIS lehetővé teszi egy előre meghatározott fizikai interfész, az ENCS MGMT portjának dedikált felügyeleti interfészként történő konfigurálását. A felügyeleti csomagok kijelölt interfészekre való korlátozása nagyobb irányítást biztosít az eszköz felügyelete felett, ezáltal nagyobb biztonságot nyújt az adott eszköz számára. További előnyök közé tartozik az adatcsomagok jobb teljesítménye a nem felügyeleti interfészeken, a hálózati méretezhetőség támogatása,
Biztonsági szempontok 22
Biztonsági szempontok
Pszeudo sávon kívüli menedzsment
kevesebb hozzáférés-vezérlési listára (ACL) van szükség az eszközökhöz való hozzáférés korlátozásához, valamint a felügyeleti csomagok elárasztásának megakadályozása a CPU-hoz. A hálózati eszközök dedikált adatinterfészeken keresztül is csatlakozhatnak az OOB hálózathoz. Ebben az esetben ACL-eket kell telepíteni annak biztosítására, hogy a felügyeleti forgalmat csak a dedikált interfészek kezeljék. További információkért lásd: Az IP fogadási ACL és a 22222-es port és a felügyeleti interfész ACL konfigurálása.
Pszeudo sávon kívüli menedzsment
Egy pszeudo sávon kívüli felügyeleti hálózat ugyanazt a fizikai infrastruktúrát használja, mint az adathálózat, de logikai elválasztást biztosít a forgalom virtuális szétválasztása révén, VLAN-ok használatával. Az NFVIS támogatja a VLAN-ok és virtuális hidak létrehozását a különböző forgalomforrások azonosítása és a virtuális gépek közötti forgalom elkülönítése érdekében. A különálló hidak és VLAN-ok elkülönítik a virtuálisgép-hálózat adatforgalmát és a felügyeleti hálózatot, így biztosítva a forgalom szegmentálását a virtuális gépek és a gazdagép között. További információkért lásd: VLAN konfigurálása NFVIS felügyeleti forgalomhoz.
Sávon belüli menedzsment
A sávon belüli felügyeleti hálózat ugyanazokat a fizikai és logikai útvonalakat használja, mint az adatforgalom. Végső soron ez a hálózattervezés megköveteli a kockázatok és az előnyök és költségek vevőnkénti elemzését. Néhány általános szempont a következők:
· Az elszigetelt OOB felügyeleti hálózat maximalizálja a láthatóságot és a hálózat feletti irányítást még zavaró események esetén is.
· A hálózati telemetria OOB hálózaton keresztül történő továbbítása minimálisra csökkenti a kritikus hálózati láthatóságot biztosító információk megszakításának lehetőségét.
· A hálózati infrastruktúrához, gazdagépekhez stb. való sávon belüli felügyeleti hozzáférés ki van téve a teljes elvesztésre hálózati incidens esetén, így megszűnik a hálózat láthatósága és ellenőrzése. Megfelelő QoS-szabályozást kell bevezetni ennek az esetnek a csökkentése érdekében.
· Az NFVIS olyan interfészekkel rendelkezik, amelyek az eszközkezelésre szolgálnak, beleértve a soros konzolportokat és az Ethernet felügyeleti interfészeket.
· Az OOB felügyeleti hálózat általában ésszerű költséggel telepíthető, mivel a felügyeleti hálózati forgalom általában nem igényel nagy sávszélességet vagy nagy teljesítményű eszközöket, és csak elegendő portsűrűséget igényel az egyes infrastruktúra-eszközökhöz való kapcsolódás támogatásához.
Helyben tárolt információvédelem
Érzékeny információk védelme
Az NFVIS bizonyos érzékeny információkat helyileg tárol, beleértve a jelszavakat és a titkokat. A jelszavakat általában egy központi AAA-szervernek kell karbantartania és felügyelnie. Azonban még központi AAA-szerver telepítése esetén is szükség van bizonyos helyben tárolt jelszavakra bizonyos esetekben, például helyi tartalék esetén, ha az AAA-kiszolgálók nem érhetők el, speciális felhasználói nevek stb.
Biztonsági szempontok 23
File Átruházás
Biztonsági szempontok
Az információkat az NFVIS-ben tárolják hash-ként, így nem lehet visszaállítani az eredeti hitelesítő adatokat a rendszerből. A kivonatolás széles körben elfogadott iparági norma.
File Átruházás
FileNFVIS-eszközökre át kell vinni a VM-képet és az NFVIS-frissítést files. A biztonságos átvitel files kritikus a hálózati infrastruktúra biztonsága szempontjából. Az NFVIS támogatja a Secure Copy (SCP) funkciót, hogy garantálja a biztonságot file átruházás. Az SCP az SSH-ra támaszkodik a biztonságos hitelesítéshez és szállításhoz, lehetővé téve a biztonságos és hitelesített másolást files.
Az NFVIS biztonságos másolata az scp paranccsal kezdeményezhető. A biztonságos másolás (scp) parancs csak az adminisztrátor számára teszi lehetővé a biztonságos másolást files az NFVIS-ről egy külső rendszerre, vagy egy külső rendszerről az NFVIS-re.
Az scp parancs szintaxisa a következő:
scp
Az NFVIS SCP szerverhez a 22222-es portot használjuk. Alapértelmezés szerint ez a port zárva van, és a felhasználók nem tudják biztonságosan másolni files az NFVIS-be külső kliensről. Ha SCP-re van szükség a file külső kliensről a felhasználó a következő módon nyithatja meg a portot:
rendszerbeállítások ip-receive-acl (cím)/(maszk lenth) szolgáltatás scpd prioritás (szám) művelet elfogadás
elkövetni
Annak megakadályozása érdekében, hogy a felhasználók hozzáférjenek a rendszerkönyvtárakhoz, a biztonságos másolás csak az intdatastore:, extdatastore1:, extdatastore2:, usb: és nfs: címre vagy intdatastore: ból hajtható végre. Biztonságos másolás naplókból és technikai támogatásból is végrehajtható:
Fakitermelés
Az NFVIS hozzáférési és konfigurációs módosításai naplózási naplóként kerülnek naplózásra a következő információk rögzítéséhez: · Ki érte el az eszközt · Mikor jelentkezett be a felhasználó · Mit tett a felhasználó a gazdagép konfigurációja és a virtuális gép életciklusa tekintetében · Mikor jelentkezett be a felhasználó ki · Sikertelen hozzáférési kísérletek · Sikertelen hitelesítési kérések · Sikertelen hitelesítési kérések
Ezek az információk felbecsülhetetlen értékűek a jogosulatlan kísérletek vagy hozzáférések kriminalisztikai elemzéséhez, valamint a konfigurációmódosítási problémákhoz és a csoportadminisztrációs változtatások megtervezéséhez. Valós időben is használható a rendellenes tevékenységek azonosítására, amelyek jelezhetik, hogy támadás történik. Ez az elemzés összefüggésbe hozható további külső forrásokból, például IDS-ből és tűzfalnaplókból származó információkkal.
Biztonsági szempontok 24
Biztonsági szempontok
Virtuális gép biztonsága
Az NFVIS összes kulcsfontosságú eseménye eseményértesítésként kerül elküldésre a NETCONF előfizetőknek és rendszernaplóként a konfigurált központi naplózószervereknek. A rendszernapló-üzenetekkel és az eseményértesítésekkel kapcsolatos további információkért lásd a Függeléket.
Virtuális gép biztonsága
Ez a szakasz a virtuális gépek NFVIS-en történő regisztrációjával, telepítésével és működésével kapcsolatos biztonsági funkciókat ismerteti.
VNF biztonságos rendszerindítás
Az NFVIS támogatja az Open Virtual Machine Firmware-t (OVMF), amely lehetővé teszi az UEFI biztonságos rendszerindítást a biztonságos rendszerindítást támogató virtuális gépek számára. A VNF biztonságos rendszerindítás ellenőrzi, hogy a virtuális gép indítószoftverének minden rétege alá van-e írva, beleértve a rendszerbetöltőt, az operációs rendszer kernelt és az operációs rendszer illesztőprogramjait.
További információkért lásd: VNF-ek biztonságos rendszerbetöltése.
VNC konzol hozzáférés védelem
Az NFVIS lehetővé teszi a felhasználó számára, hogy virtuális hálózati számítástechnikai (VNC) munkamenetet hozzon létre a telepített virtuális gép távoli asztalának eléréséhez. Ennek engedélyezéséhez az NFVIS dinamikusan megnyit egy portot, amelyhez a felhasználó a saját portjával csatlakozhat web böngésző. Ez a port csak 60 másodpercig marad nyitva ahhoz, hogy egy külső kiszolgáló munkamenetet indítson a virtuális gépen. Ha ezen időn belül nem történik tevékenység, a port zárva van. A portszám dinamikusan van hozzárendelve, és így csak egyszeri hozzáférést tesz lehetővé a VNC-konzolhoz.
nfvis# vncconsole start deployment-name 1510614035 vm-name ROUTER vncconsole-url :6005/vnc_auto.html
Ha böngészőjét a https://:6005/vnc_auto.html címre mutat, az csatlakozik a ROUTER virtuális gép VNC-konzoljához.
Biztonsági szempontok 25
Titkosított virtuális gép konfigurációs adatváltozói
Biztonsági szempontok
Titkosított virtuális gép konfigurációs adatváltozói
A virtuális gép üzembe helyezése során a felhasználó 0. nap konfigurációt biztosít file a VM számára. Ez file érzékeny információkat, például jelszavakat és kulcsokat tartalmazhat. Ha ezt az információt egyértelmű szövegként adjuk át, akkor az megjelenik a naplóban files és a belső adatbázis rekordok tiszta szöveggel. Ez a szolgáltatás lehetővé teszi a felhasználó számára, hogy egy konfigurációs adatváltozót érzékenyként jelöljön meg, így az értékét AES-CFB-128 titkosítással titkosítja, mielőtt eltárolja vagy átadja a belső alrendszereknek.
További információkért lásd: Virtuálisgép-telepítési paraméterek.
Ellenőrzőösszeg ellenőrzése a távoli képregisztrációhoz
A távolról elhelyezett VNF-kép regisztrálásához a felhasználó adja meg a helyét. A képet külső forrásból, például NFS-kiszolgálóról vagy távoli HTTPS-kiszolgálóról kell letölteni.
Hogy megtudja, letöltött-e file biztonságosan telepíthető, elengedhetetlen összehasonlítani a file's ellenőrző összeget, mielőtt használná. Az ellenőrző összeg ellenőrzése segít abban, hogy a file nem sérült meg a hálózati átvitel során, és nem módosította egy rosszindulatú harmadik fél a letöltés előtt.
Az NFVIS támogatja a checksum és checksum_algorithm beállításokat, hogy a felhasználó megadja a várt ellenőrző összeget és ellenőrző összeget (SHA256 vagy SHA512) a letöltött kép ellenőrző összegének ellenőrzéséhez. A kép létrehozása sikertelen, ha az ellenőrző összeg nem egyezik.
Tanúsítvány érvényesítése a távoli képregisztrációhoz
Egy HTTPS-kiszolgálón található VNF-kép regisztrálásához a képet le kell tölteni a távoli HTTPS-kiszolgálóról. A kép biztonságos letöltéséhez az NFVIS ellenőrzi a szerver SSL-tanúsítványát. A felhasználónak meg kell adnia a tanúsítvány elérési útját file vagy a PEM formátumú tanúsítvány tartalmát a biztonságos letöltés engedélyezéséhez.
További részletek a képregisztrációs tanúsítvány érvényesítéséről szóló részben találhatók
Virtuálisgép-elkülönítés és erőforrás-kiépítés
A Network Function Virtualization (NFV) architektúra a következőkből áll:
· Virtualizált hálózati funkciók (VNF-ek), amelyek olyan virtuális gépek, amelyek olyan szoftveralkalmazásokat futtatnak, amelyek hálózati funkciókat biztosítanak, például útválasztót, tűzfalat, terheléselosztót és így tovább.
· Hálózati funkciók virtualizációs infrastruktúrája, amely az infrastruktúra összetevőiből – számítás, memória, tárolás és hálózatépítés – áll, olyan platformon, amely támogatja a szükséges szoftvert és hipervizort.
Az NFV segítségével a hálózati funkciók virtualizáltak, így több funkció is futtatható egyetlen szerveren. Ennek eredményeként kevesebb fizikai hardverre van szükség, ami lehetővé teszi az erőforrások konszolidációját. Ebben a környezetben elengedhetetlen a dedikált erőforrások szimulálása több VNF számára egyetlen fizikai hardverrendszerből. Az NFVIS használatával a virtuális gépek ellenőrzött módon telepíthetők úgy, hogy minden virtuális gép megkapja a szükséges erőforrásokat. Az erőforrások szükség szerint fel vannak osztva a fizikai környezetből a sok virtuális környezetbe. Az egyes virtuálisgép-tartományok elszigeteltek, így különálló, különálló és biztonságos környezetek, amelyek nem versengenek egymással a megosztott erőforrásokért.
A virtuális gépek nem használhatnak több erőforrást a kiépítettnél. Ezzel elkerülhető, hogy a szolgáltatásmegtagadási feltétel egy virtuális gép felemésztse az erőforrásokat. Ennek eredményeként a CPU, a memória, a hálózat és a tárhely védett.
Biztonsági szempontok 26
Biztonsági szempontok
CPU leválasztás
CPU leválasztás
Az NFVIS rendszer magokat foglal le a gazdagépen futó infrastruktúra-szoftver számára. A többi mag elérhető a virtuális gépek telepítéséhez. Ez garantálja, hogy a virtuális gép teljesítménye nem befolyásolja az NFVIS gazdagép teljesítményét. Alacsony késleltetésű virtuális gépek Az NFVIS kifejezetten dedikált magokat rendel a rajta üzembe helyezett, alacsony késleltetésű virtuális gépekhez. Ha a virtuális gép 2 vCPU-t igényel, 2 dedikált magot rendel hozzá. Ez megakadályozza a magok megosztását és túlzott előfizetését, és garantálja az alacsony késleltetésű virtuális gépek teljesítményét. Ha a rendelkezésre álló magok száma kevesebb, mint egy másik alacsony késleltetésű virtuális gép által kért vCPU-k száma, akkor a központi telepítés megakadályozásra kerül, mivel nincs elegendő erőforrásunk. Nem alacsony késleltetésű virtuális gépek Az NFVIS megosztható CPU-kat rendel hozzá a nem alacsony késleltetésű virtuális gépekhez. Ha a virtuális gép 2 vCPU-t igényel, akkor 2 CPU van hozzárendelve. Ez a 2 CPU megosztható más nem alacsony késleltetésű virtuális gépekkel. Ha az elérhető CPU-k száma kevesebb, mint egy másik, nem alacsony késleltetésű virtuális gép által kért vCPU-k száma, a központi telepítés továbbra is engedélyezett, mert ez a virtuális gép megosztja a CPU-t a meglévő, nem alacsony késleltetésű virtuális gépekkel.
Memóriakiosztás
Az NFVIS infrastruktúra bizonyos mennyiségű memóriát igényel. Egy virtuális gép üzembe helyezésekor ellenőrzik, hogy az infrastruktúrához és a korábban telepített virtuális gépekhez szükséges memória lefoglalása után rendelkezésre álló memória elegendő-e az új virtuális géphez. Nem engedélyezzük a túlzott memória-előfizetést a virtuális gépek számára.
Biztonsági szempontok 27
Tárolási elkülönítés
A virtuális gépek nem férhetnek hozzá közvetlenül a gazdagéphez file rendszer és tárolás.
Tárolási elkülönítés
Biztonsági szempontok
Az ENCS platform támogatja a belső adattárat (M2 SSD) és a külső lemezeket. Az NFVIS a belső adattárba van telepítve. A VNF-ek ezen a belső adattáron is telepíthetők. A legjobb biztonsági gyakorlat az ügyféladatok tárolása és az ügyfélalkalmazások virtuális gépeinek telepítése a külső lemezeken. Fizikailag külön lemezek a rendszer számára files vs az alkalmazás files segít megvédeni a rendszeradatokat a korrupciótól és a biztonsági problémáktól.
·
Interfész izolálása
Az egygyökérű I/O virtualizáció vagy SR-IOV egy olyan specifikáció, amely lehetővé teszi a PCI Express (PCIe) erőforrások, például az Ethernet port elkülönítését. Az SR-IOV használatával egyetlen Ethernet-port több, különálló fizikai eszközként jeleníthető meg, virtuális funkciókként. Az adapteren lévő összes VF-eszköz ugyanazon a fizikai hálózati porton osztozik. Egy vendég használhat egy vagy több ilyen virtuális függvényt. A virtuális függvény a vendég számára hálózati kártyaként jelenik meg, ugyanúgy, ahogy egy normál hálózati kártya egy operációs rendszer számára. A virtuális függvények teljesítménye közel natív, és jobb teljesítményt nyújt, mint a para-virtualizált illesztőprogramok és az emulált hozzáférés. A virtuális funkciók adatvédelmet biztosítanak a vendégek között ugyanazon a fizikai szerveren, ahol az adatokat a hardver kezeli és vezérli. Az NFVIS VNF-ek SR-IOV hálózatokat használhatnak a WAN és a LAN hátlapi portokhoz való csatlakozáshoz.
Biztonsági szempontok 28
Biztonsági szempontok
Biztonságos fejlesztési életciklus
Minden ilyen virtuális gép rendelkezik egy virtuális felülettel és a kapcsolódó erőforrásokkal, amelyek biztosítják a virtuális gépek közötti adatvédelmet.
Biztonságos fejlesztési életciklus
Az NFVIS a szoftverek biztonságos fejlesztési életciklusát (SDL) követi. Ez egy megismételhető, mérhető folyamat, amelynek célja a sebezhetőségek csökkentése, valamint a Cisco megoldások biztonságának és rugalmasságának fokozása. A Cisco SDL iparágvezető gyakorlatokat és technológiát alkalmaz, hogy megbízható megoldásokat hozzon létre, amelyekben kevesebb a helyszínen felfedezett termékbiztonsági incidens. Minden NFVIS kiadás a következő folyamatokon megy keresztül.
· A Cisco belső és piaci alapú termékbiztonsági követelményeinek betartása · Harmadik féltől származó szoftverek regisztrálása a Cisco központi tárolójában a sebezhetőségek nyomon követése érdekében · A szoftverek rendszeres javítása a CVE-k ismert javításaival. · Szoftver tervezése a biztonságot szem előtt tartva · A biztonságos kódolási gyakorlatok követése, például az ellenőrzött általános biztonsági modulok, például a CiscoSSL használata,
Statikus elemzés és bemenet-ellenőrzés végrehajtása a parancsbefecskendezés megakadályozásához stb. · Alkalmazásbiztonsági eszközök, például IBM AppScan, Nessus és más Cisco belső eszközök használata.
Biztonsági szempontok 29
Biztonságos fejlesztési életciklus
Biztonsági szempontok
Biztonsági szempontok 30
Dokumentumok / Források
 |
CISCO Enterprise Network Function virtualizációs infrastruktúra szoftver [pdf] Felhasználói útmutató Vállalati hálózati funkciók virtualizációs infrastruktúra szoftver, vállalati, hálózati funkciók virtualizációs infrastruktúra szoftver, virtualizációs infrastruktúra szoftver, infrastruktúra szoftver |
