Кәсіпорынның желілік функциясын виртуализациялау инфрақұрылымының бағдарламалық құралы
Өнім туралы ақпарат
Техникалық сипаттамалар
- NFVIS бағдарламалық құралының нұсқасы: 3.7.1 және одан кейінгі
- RPM қол қоюға және қолтаңбаны тексеруге қолдау көрсетіледі
- Қауіпсіз жүктеу қол жетімді (әдепкі бойынша өшірілген)
- Қауіпсіз бірегей құрылғыны анықтау (SUDI) механизмі пайдаланылады
Қауіпсіздікті қарастыру
NFVIS бағдарламалық құралы қауіпсіздікті әртүрлі жолдармен қамтамасыз етеді
механизмдері:
- Сурет Тamper Қорғау: RPM қол қою және қолтаңбаны тексеру
ISO ішіндегі барлық RPM пакеттері үшін және кескіндерді жаңарту. - RPM қол қою: Cisco Enterprise NFVIS ISO ішіндегі барлық RPM пакеттері
және жаңарту кескіндеріне криптографиялық тұтастықты қамтамасыз ету үшін қол қойылады және
түпнұсқалық. - RPM қолтаңбасын тексеру: барлық RPM пакеттерінің қолы болып табылады
орнату немесе жаңарту алдында тексеріледі. - Кескіннің тұтастығын тексеру: Cisco NFVIS ISO кескінінің хэші
және жаңарту кескіні қосымшаның тұтастығын қамтамасыз ету үшін жарияланады
RPM емес files. - ENCS Secure Boot: UEFI стандартының бөлігі болып табылады
құрылғы тек сенімді бағдарламалық құралды пайдаланып жүктеледі. - Secure Unique Device Identification (SUDI): Құрылғыны қамтамасыз етеді
оның шынайылығын тексеру үшін өзгермейтін сәйкестікпен.
Орнату
NFVIS бағдарламалық құралын орнату үшін мына қадамдарды орындаңыз:
- Бағдарламалық құрал кескіні t болмағанына көз жеткізіңізampқұрастырған
оның қолтаңбасы мен тұтастығын тексеру. - Cisco Enterprise NFVIS 3.7.1 және одан кейінгі нұсқасын пайдалансаңыз, соған көз жеткізіңіз
орнату кезінде қолтаңбаны тексеру өтеді. Сәтсіз болса,
орнату тоқтатылады. - Cisco Enterprise NFVIS 3.6.x нұсқасынан Release нұсқасына дейін жаңартсаңыз
3.7.1, RPM қолтаңбалары жаңарту кезінде тексеріледі. Егер
қолтаңбаны тексеру сәтсіз аяқталды, қате тіркелді, бірақ жаңарту
аяқталды. - 3.7.1 шығарылымынан кейінгі шығарылымдарға жаңартылса, RPM
қолтаңбалар жаңарту кескіні тіркелген кезде тексеріледі. Егер
қолтаңбаны тексеру сәтсіз аяқталды, жаңарту тоқтатылады. - Cisco NFVIS ISO кескінінің хэшін тексеріңіз немесе кескінді жаңарту
пәрменін пайдалану:/usr/bin/sha512sum. Хэшті жарияланғанмен салыстырыңыз
<image_filepath>
тұтастығын қамтамасыз ету үшін хэш.
Қауіпсіз жүктеу
Қауіпсіз жүктеу - ENCS жүйесінде қолжетімді мүмкіндік (әдепкі бойынша өшірілген)
бұл құрылғының тек сенімді бағдарламалық құрал арқылы жүктелуін қамтамасыз етеді. Кімге
қауіпсіз жүктеуді қосыңыз:
- Қосымша ақпарат алу үшін Хосттың қауіпсіз жүктелуіне қатысты құжаттаманы қараңыз
ақпарат. - Құрылғыңызда қауіпсіз жүктеуді қосу үшін берілген нұсқауларды орындаңыз
құрылғы.
Қауіпсіз бірегей құрылғы идентификациясы (SUDI)
SUDI оны растайтын NFVIS-ке өзгермейтін сәйкестікті береді
бұл шынайы Cisco өнімі және оның әлемде танылуын қамтамасыз етеді
тұтынушының түгендеу жүйесі.
Жиі қойылатын сұрақтар
Q: NFVIS дегеніміз не?
A: NFVIS желілік функцияны виртуалдандыру дегенді білдіреді
Инфрақұрылымдық бағдарламалық қамтамасыз ету. Бұл орналастыру үшін пайдаланылатын бағдарламалық қамтамасыз ету платформасы
және виртуалды желі функцияларын басқару.
С: NFVIS ISO кескінінің тұтастығын қалай тексеруге болады немесе
суретті жаңарту керек пе?
Ж: Тұтастығын тексеру үшін пәрменді пайдаланыңыз
/usr/bin/sha512sum <image_filepath> және салыстырыңыз
Cisco ұсынған жарияланған хэшпен хэш.
С: Қауіпсіз жүктеу ENCS жүйесінде әдепкі бойынша қосылған ба?
Ж: Жоқ, қауіпсіз жүктеу ENCS жүйесінде әдепкі бойынша өшірілген. Бұл
күшейтілген қауіпсіздік үшін қауіпсіз жүктеуді қосу ұсынылады.
Q: NFVIS жүйесіндегі SUDI мақсаты қандай?
A: SUDI NFVIS бірегей және өзгермейтін сәйкестендірумен қамтамасыз етеді,
Cisco өнімі ретінде оның шынайылығын қамтамасыз ету және оны жеңілдету
тұтынушының түгендеу жүйесінде тану.
Қауіпсіздікті қарастыру
Бұл тарауда NFVIS жүйесіндегі қауіпсіздік мүмкіндіктері мен ескертпелері сипатталған. Ол жоғары деңгей бередіview Сізге арнайы орналастырулар үшін қауіпсіздік стратегиясын жоспарлау үшін NFVIS жүйесіндегі қауіпсіздікке қатысты құрамдастардың. Сондай-ақ ол желі қауіпсіздігінің негізгі элементтерін орындау үшін қауіпсіздіктің ең жақсы тәжірибелері бойынша ұсыныстарды қамтиды. NFVIS бағдарламалық құралы орнатудан бастап барлық бағдарламалық жасақтама қабаттары арқылы енгізілген қауіпсіздікке ие. Келесі тараулар тіркелгі деректерін басқару, тұтастық және т.ampқорғау, сеансты басқару, құрылғыға қауіпсіз кіру және т.б.
· Орнату, 2-бетте · Қауіпсіз бірегей құрылғы идентификациясы, 3-бетте · Құрылғыға қол жеткізу, 4-бетте
Қауіпсіздік мәселелері 1
Орнату
Қауіпсіздікті қарастыру
· Инфрақұрылымды басқару желісі, 22-бетте · Жергілікті сақталған ақпаратты қорғау, 23-бетте · File Тасымалдау, 24-бетте · Журнал жүргізу, 24-бетте · Виртуалды машина қауіпсіздігі, 25-бетте · VM оқшаулау және ресурстарды қамтамасыз ету, 26-бетте · Қауіпсіз әзірлеудің өмірлік циклі, 29-бетте
Орнату
NFVIS бағдарламалық құралының tampарқылы орнатылса, бағдарламалық құралдың кескіні келесі механизмдер арқылы орнату алдында тексеріледі:
Сурет Тamper қорғау
NFVIS ISO және жаңарту кескіндеріндегі барлық RPM пакеттері үшін RPM қол қоюды және қолтаңбаны тексеруді қолдайды.
RPM қол қою
Cisco Enterprise NFVIS ISO және жаңарту кескіндеріндегі барлық RPM пакеттері криптографиялық тұтастық пен түпнұсқалықты қамтамасыз ету үшін қол қойылған. Бұл RPM пакеттерінің t болмағанына кепілдік бередіampжәне RPM пакеттері NFVIS-тен алынған. RPM бумаларына қол қою үшін пайдаланылатын жеке кілт Cisco арқылы жасалады және қауіпсіз түрде сақталады.
RPM қолтаңбаны тексеру
NFVIS бағдарламалық құралы орнату немесе жаңарту алдында барлық RPM бумаларының қолтаңбасын тексереді. Келесі кесте орнату немесе жаңарту кезінде қолтаңбаны тексеру сәтсіз болған кезде Cisco Enterprise NFVIS әрекетін сипаттайды.
Сценарий
Сипаттама
Cisco Enterprise NFVIS 3.7.1 және кейінгі орнатулары Cisco Enterprise NFVIS орнату кезінде қолтаңбаны тексеру сәтсіз аяқталса, орнату тоқтатылады.
Cisco Enterprise NFVIS нұсқасын 3.6.x нұсқасынан 3.7.1 шығарылымына дейін жаңарту
RPM қолтаңбалары жаңарту орындалып жатқанда тексеріледі. Қолтаңбаны тексеру сәтсіз аяқталса, қате тіркеледі, бірақ жаңарту аяқталды.
3.7.1 шығарылымынан Cisco Enterprise NFVIS жаңартуы жаңарту кезінде RPM қолтаңбалары тексеріледі.
кейінгі шығарылымдарға
сурет тіркелген. Қолтаңбаны тексеру сәтсіз аяқталса,
жаңарту тоқтатылады.
Кескіннің тұтастығын тексеру
RPM қол қою және қолтаңбаны тексеру тек Cisco NFVIS ISO және жаңарту кескіндерінде қол жетімді RPM пакеттері үшін жасалуы мүмкін. Барлық қосымша емес RPM тұтастығын қамтамасыз ету files Cisco NFVIS ISO кескінінде қол жетімді, Cisco NFVIS ISO кескінінің хэші кескінмен бірге жарияланады. Сол сияқты, Cisco NFVIS жаңарту кескінінің хэші кескінмен бірге жарияланады. Cisco хэшін тексеру үшін
Қауіпсіздік мәселелері 2
Қауіпсіздікті қарастыру
ENCS Secure Boot
NFVIS ISO кескіні немесе жаңарту кескіні Cisco жариялаған хэшке сәйкес келеді, келесі пәрменді орындаңыз және хэшті жарияланған хэшпен салыстырыңыз:
% /usr/bin/sha512sumFile> c2122783efc18b039246ae1bcd4eec4e5e027526967b5b809da5632d462dfa6724a9b20ec318c74548c6bd7e9b8217ce96b5ece93dcdd74fda5e01bb382ad607
<СуретFile>
ENCS Secure Boot
Қауіпсіз жүктеу құрылғының тек түпнұсқалық жабдық өндірушісі (OEM) сенетін бағдарламалық құралды пайдаланып жүктелуін қамтамасыз ететін Бірыңғай кеңейтілетін микробағдарлама интерфейсі (UEFI) стандартының бөлігі болып табылады. NFVIS іске қосылғанда, микробағдарлама жүктеу бағдарламалық құралы мен операциялық жүйенің қолтаңбасын тексереді. Қолтаңбалар жарамды болса, құрылғы жүктеледі және микробағдарлама басқаруды операциялық жүйеге береді.
Қауіпсіз жүктеу ENCS жүйесінде қол жетімді, бірақ әдепкі бойынша өшірілген. Cisco қауіпсіз жүктеуді қосуды ұсынады. Қосымша ақпаратты Хосттың қауіпсіз жүктелуі бөлімінен қараңыз.
Қауіпсіз бірегей құрылғы идентификациясы
NFVIS оны өзгермейтін сәйкестендірумен қамтамасыз ететін Secure Unique Device Identification (SUDI) деп аталатын механизмді пайдаланады. Бұл сәйкестендіру құрылғының шынайы Cisco өнімі екенін тексеру және құрылғының тұтынушының түгендеу жүйесіне жақсы таныс екенін тексеру үшін пайдаланылады.
SUDI - X.509v3 сертификаты және аппараттық құралда қорғалған байланысты кілттер жұбы. SUDI сертификатында өнім идентификаторы мен сериялық нөмірі бар және Cisco Public Key Infrastructure жүйесіне негізделген. Кілттер жұбы және SUDI сертификаты өндіріс кезінде аппараттық модульге енгізіледі және жеке кілт ешқашан экспортталмайды.
SUDI негізіндегі сәйкестікті Zero Touch Provisioning (ZTP) арқылы аутентификацияланған және автоматтандырылған конфигурацияны орындау үшін пайдалануға болады. Бұл құрылғыларды қауіпсіз, қашықтан қосуға мүмкіндік береді және оркестрлік сервердің шынайы NFVIS құрылғысымен сөйлесетінін қамтамасыз етеді. Сервер жүйесі NFVIS құрылғысына оның идентификациясын растау үшін тапсырма бере алады және құрылғы SUDI негізіндегі сәйкестендіруді пайдалана отырып, шақыруға жауап береді. Бұл серверлік жүйеге дұрыс құрылғының дұрыс жерде екенін оның түгендеуімен тексеріп қана қоймай, сонымен қатар тек арнайы құрылғы ашатын шифрланған конфигурацияны қамтамасыз етуге мүмкіндік береді, осылайша транзит кезінде құпиялылықты қамтамасыз етеді.
Келесі жұмыс процесі диаграммалары NFVIS SUDI қалай пайдаланатынын көрсетеді:
Қауіпсіздік мәселелері 3
Құрылғыға кіру 1-сурет: Plug and Play (PnP) серверінің аутентификациясы
Қауіпсіздікті қарастыру
2-сурет: Plug and Play құрылғысының аутентификациясы және авторизациясы
Құрылғыға кіру
NFVIS әртүрлі қатынас механизмдерін, соның ішінде консольді, сондай-ақ HTTPS және SSH сияқты протоколдарға негізделген қашықтан қол жеткізуді қамтамасыз етеді. Әрбір қол жеткізу механизмін мұқият қайта қарау керекviewөңделген және конфигурацияланған. Тек қажетті кіру механизмдері қосылғанына және олардың дұрыс қорғалғанына көз жеткізіңіз. NFVIS жүйесіне интерактивті және басқару қатынасын қамтамасыз етудің негізгі қадамдары құрылғының қол жетімділігін шектеу, рұқсат етілген пайдаланушылардың мүмкіндіктерін талап етілетінге шектеу және рұқсат етілген қатынас әдістерін шектеу болып табылады. NFVIS рұқсаттың тек аутентификацияланған пайдаланушыларға берілуін және олар тек рұқсат етілген әрекеттерді орындай алатынын қамтамасыз етеді. Құрылғыға кіру аудит үшін журналға жазылады және NFVIS жергілікті сақталған құпия деректердің құпиялылығын қамтамасыз етеді. NFVIS рұқсатсыз кіруді болдырмау үшін тиісті басқару элементтерін орнату өте маңызды. Келесі бөлімдер бұған жету үшін ең жақсы тәжірибелер мен конфигурацияларды сипаттайды:
Қауіпсіздік мәселелері 4
Қауіпсіздікті қарастыру
Бірінші кіру кезінде құпия сөзді мәжбүрлеп өзгерту
Бірінші кіру кезінде құпия сөзді мәжбүрлеп өзгерту
Әдепкі тіркелгі деректері өнім қауіпсіздігі оқиғаларының жиі көзі болып табылады. Тұтынушылар әдепкі кіру тіркелгі деректерін өзгертуді жиі ұмытып, жүйелерін шабуылға ашық қалдырады. Бұған жол бермеу үшін NFVIS пайдаланушысы әдепкі тіркелгі деректерін (пайдаланушы аты: әкімші және құпия сөз Admin123#) пайдаланып бірінші рет кіргеннен кейін құпия сөзді өзгертуге мәжбүр болады. Қосымша ақпаратты NFVIS жүйесіне кіру бөлімінен қараңыз.
Жүйеге кіру осалдықтарын шектеу
Келесі мүмкіндіктерді пайдалану арқылы сөздікке және Қызмет көрсетуден бас тартуға (DoS) шабуылдардың осалдығын болдырмауға болады.
Күшті құпия сөзді қолдану
Аутентификация механизмі оның тіркелгі деректері сияқты күшті. Осы себепті пайдаланушылардың күшті құпия сөздері болуын қамтамасыз ету маңызды. NFVIS күшті құпия сөздің келесі ережелерге сәйкес конфигурацияланғанын тексереді: Құпия сөз мыналарды қамтуы керек:
· Кемінде бір бас әріп · Кемінде бір кіші әріп · Кемінде бір сан · Осы арнайы таңбалардың кем дегенде біреуі: хэш (#), астын сызу (_), сызықша (-), жұлдызша (*) немесе сұрақ
(?) белгілеңіз · Жеті таңба немесе одан көп · Құпия сөз ұзындығы 7 және 128 таңба арасында болуы керек.
Құпия сөздер үшін ең аз ұзындықты конфигурациялау
Құпия сөздің күрделілігінің, әсіресе құпия сөздің ұзындығының болмауы, шабуылдаушылар пайдаланушы құпия сөздерін табуға тырысқанда іздеу кеңістігін айтарлықтай азайтады, бұл дөрекі шабуылдарды әлдеқайда жеңілдетеді. Әкімші пайдаланушы барлық пайдаланушылардың құпия сөздері үшін қажетті ең аз ұзындықты теңшей алады. Ең аз ұзындық 7 және 128 таңба арасында болуы керек. Әдепкі бойынша, құпия сөздерге қажетті ең аз ұзындық 7 таңбаға орнатылған. CLI:
nfvis(config)# rbac аутентификациясы min-pwd-length 9
API:
/api/config/rbac/authentication/min-pwd-length
Құпиясөздің қызмет ету мерзімін конфигурациялау
Құпия сөздің қызмет ету мерзімі пайдаланушы оны өзгертуді талап етпес бұрын құпия сөзді қанша уақыт пайдалануға болатындығын анықтайды.
Қауіпсіздік мәселелері 5
Бұрынғы құпия сөзді қайта пайдалануды шектеңіз
Қауіпсіздікті қарастыру
Әкімші пайдаланушы барлық пайдаланушылар үшін құпия сөздердің минималды және максималды өмірлік мәндерін теңшей алады және осы мәндерді тексеру үшін ережені қолдана алады. Әдепкі ең аз қызмет ету мерзімі мәні 1 күнге және әдепкі ең көп өмір сүру ұзақтығы мәні 60 күнге орнатылған. Ең аз өмірлік мән конфигурацияланған кезде, пайдаланушы құпия сөзді көрсетілген күндер саны өткенше өзгерте алмайды. Сол сияқты, максималды өмірлік мән конфигурацияланған кезде, пайдаланушы құпия сөзді көрсетілген күндер саны өткенге дейін өзгертуі керек. Егер пайдаланушы парольді өзгертпесе және көрсетілген күндер саны өтсе, пайдаланушыға хабарлама жіберіледі.
Ескертпе Ең төменгі және ең көп өмір сүру уақытының мәндері және осы мәндерді тексеру ережесі әкімші пайдаланушысына қолданылмайды.
CLI:
терминалды конфигурациялау rbac аутентификациясы пароль-өмір бойына орындау шынайы минимум күн 2 максимум-күн 30 міндеттеме
API:
/api/config/rbac/authentication/password-lifetime/
Бұрынғы құпия сөзді қайта пайдалануды шектеңіз
Алдыңғы құпия фразаларды пайдалануды болдырмай, құпия сөздің жарамдылық мерзімі негізінен пайдасыз, өйткені пайдаланушылар жай ғана құпия фразаны өзгерте алады, содан кейін оны түпнұсқаға өзгерте алады. NFVIS жаңа құпия сөз бұрын қолданылған 5 құпия сөздің бірімен бірдей емес екенін тексереді. Бұл ереженің бір ерекшелігі - әкімші пайдаланушы құпия сөзді әдепкі құпия сөзге өзгерте алады, тіпті егер ол бұрын пайдаланылған 5 құпия сөздің бірі болса да.
Жүйеге кіру әрекеттерінің жиілігін шектеу
Егер қашықтағы серіктеске шектеусіз рет кіруге рұқсат етілсе, ол ақыр соңында дөрекі күш арқылы кіру тіркелгі деректерін болжауы мүмкін. Құпия фразаларды табу жиі оңай болғандықтан, бұл әдеттегі шабуыл. Қатысушылардың кіруге әрекет жасау жылдамдығын шектеу арқылы біз бұл шабуылдың алдын аламыз. Сондай-ақ біз жүйе ресурстарын «Қызмет көрсетуден бас тарту» шабуылын тудыруы мүмкін осы қатал күшпен кіру әрекеттерін қажетсіз аутентификациялауға жұмсаудан аулақпыз. NFVIS 5 сәтсіз кіру әрекетінен кейін пайдаланушыны 10 минуттық құлыптауды жүзеге асырады.
Белсенді емес пайдаланушы тіркелгілерін өшіріңіз
Пайдаланушы әрекетін бақылау және пайдаланылмаған немесе ескірген пайдаланушы тіркелгілерін өшіру жүйені инсайдерлік шабуылдардан қорғауға көмектеседі. Пайдаланылмаған есептік жазбалар ақырында жойылуы керек. Әкімші пайдаланушы пайдаланылмаған пайдаланушы тіркелгілерін белсенді емес деп белгілеу және пайдаланылмаған пайдаланушы тіркелгісі белсенді емес деп белгіленген күндер санын конфигурациялау ережесін орындай алады. Белсенді емес деп белгіленгеннен кейін бұл пайдаланушы жүйеге кіре алмайды. Пайдаланушыға жүйеге кіруге рұқсат беру үшін әкімші пайдаланушы пайдаланушы тіркелгісін белсендіре алады.
Ескерту Әрекетсіздік кезеңі мен әрекетсіздік кезеңін тексеру ережесі әкімші пайдаланушысына қолданылмайды.
Қауіпсіздік мәселелері 6
Қауіпсіздікті қарастыру
Белсенді емес пайдаланушы тіркелгісін белсендіру
Келесі CLI және API тіркелгі әрекетсіздігінің күшіне енуін конфигурациялау үшін пайдаланылуы мүмкін. CLI:
терминалды конфигурациялау rbac аутентификация тіркелгісінің әрекетсіздігі шынайы әрекетсіздік-күндер 30 орындау
API:
/api/config/rbac/authentication/count-inactivity/
Әрекетсіздік күндері үшін әдепкі мән 35 болып табылады.
Белсенді емес пайдаланушы тіркелгісін белсендіру Әкімші пайдаланушы келесі CLI және API арқылы белсенді емес пайдаланушының тіркелгісін белсендіре алады: CLI:
терминалды конфигурациялау rbac аутентификация пайдаланушылары пайдаланушы guest_user міндеттемені белсендіру
API:
/api/operations/rbac/authentication/users/user/username/activate
BIOS және CIMC құпия сөздерін орнатуды орындау
1-кесте: мүмкіндіктер тарихы кестесі
Мүмкіндік атауы
Шығарылым туралы ақпарат
BIOS және CIMC NFVIS 4.7.1 Құпиясөздер параметрлерін орындау
Сипаттама
Бұл мүмкіндік пайдаланушыны CIMC және BIOS үшін әдепкі құпия сөзді өзгертуге мәжбүр етеді.
BIOS және CIMC құпия сөздерін орнатуды орындауға арналған шектеулер
· Бұл мүмкіндікке тек Cisco Catalyst 8200 UCPE және Cisco ENCS 5400 платформаларында қолдау көрсетіледі.
· Бұл мүмкіндікке тек NFVIS 4.7.1 және одан кейінгі шығарылымдардың жаңа орнатылымында қолдау көрсетіледі. NFVIS 4.6.1 нұсқасынан NFVIS 4.7.1 нұсқасына жаңартсаңыз, бұл мүмкіндікке қолдау көрсетілмейді және BIOS және CIMC құпия сөздері конфигурацияланбаған болса да, BIOS және CIMS құпия сөздерін ысыру сұралмайды.
BIOS және CIMC құпия сөздерін орнатуды енгізу туралы ақпарат
Бұл мүмкіндік NFVIS 4.7.1 нұсқасын жаңадан орнатқаннан кейін BIOS және CIMC құпия сөздерін қалпына келтіруді енгізу арқылы қауіпсіздік олқылығын қарастырады. Әдепкі CIMC құпия сөзі - құпия сөз және әдепкі BIOS құпия сөзі - құпия сөз емес.
Қауіпсіздік олқылығын түзету үшін ENCS 5400 жүйесінде BIOS және CIMC құпия сөздерін конфигурациялау қажет. NFVIS 4.7.1 жаңадан орнату кезінде, BIOS және CIMC құпия сөздері өзгертілмесе және әлі де болса
Қауіпсіздік мәселелері 7
Конфигурация МысampBIOS және CIMC құпия сөздерін мәжбүрлеп қалпына келтіруге арналған
Қауіпсіздікті қарастыру
әдепкі құпия сөздерді таңдасаңыз, BIOS және CIMC құпия сөздерінің екеуін де өзгерту сұралады. Егер олардың біреуі ғана қалпына келтіруді қажет етсе, сізден тек сол құрамдас үшін құпия сөзді қалпына келтіру сұралады. Cisco Catalyst 8200 UCPE тек BIOS құпия сөзін қажет етеді, сондықтан ол әлі орнатылмаған болса, тек BIOS құпия сөзін қалпына келтіру сұралады.
Ескертпе Кез келген алдыңғы шығарылымнан NFVIS 4.7.1 немесе одан кейінгі шығарылымдарға жаңартсаңыз, BIOS және CIMC құпия сөздерін hostaction change-bios-password newpassword немесе hostaction change-cimc-password newpassword newpassword пәрмендері арқылы өзгертуге болады.
BIOS және CIMC құпия сөздері туралы қосымша ақпаратты BIOS және CIMC құпия сөзін қараңыз.
Конфигурация МысampBIOS және CIMC құпия сөздерін мәжбүрлеп қалпына келтіруге арналған
1. NFVIS 4.7.1 нұсқасын орнатқан кезде алдымен әдепкі әкімші құпия сөзін қалпына келтіру керек.
Cisco Network Function Virtualization Infrastructure Software (NFVIS)
NFVIS нұсқасы: 99.99.0-1009
Авторлық құқық (c) 2015-2021 Cisco Systems, Inc. Cisco, Cisco Systems және Cisco Systems логотипі Cisco Systems, Inc. және/немесе оның АҚШ пен кейбір басқа елдердегі еншілес компанияларының тіркелген сауда белгілері болып табылады.
Осы бағдарламалық құралда қамтылған кейбір жұмыстарға авторлық құқықтар басқа үшінші тұлғаларға тиесілі және үшінші тарап лицензиялық келісімдері бойынша пайдаланылады және таратылады. Бұл бағдарламалық құралдың кейбір құрамдас бөліктері GNU GPL 2.0, GPL 3.0, LGPL 2.1, LGPL 3.0 және AGPL 3.0 бойынша лицензияланған.
admin 10.24.109.102 nfvis жүйесінде ssh арқылы қосылды admin әдепкі тіркелгі деректерімен жүйеге кірді Келесі критерийлерге сәйкес келетін құпия сөзді беріңіз:
1.Кемінде бір кіші әріп 2.Кем дегенде бір бас әріп 3.Кем дегенде бір сан 4.# _ – * дан кем дегенде бір арнайы таңба ? 5.Ұзындығы 7 және 128 таңба арасында болуы керек Құпия сөзді қалпына келтіріңіз: Құпия сөзді қайта енгізіңіз:
Әкімші құпия сөзі қалпына келтірілуде
2. Cisco Catalyst 8200 UCPE және Cisco ENCS 5400 платформаларында NFVIS 4.7.1 немесе одан кейінгі нұсқаларды жаңадан орнатқанда, әдепкі BIOS және CIMC құпия сөздерін өзгерту керек. BIOS және CIMC құпия сөздері бұрын конфигурацияланбаған болса, жүйе Cisco ENCS 5400 үшін BIOS және CIMC құпия сөздерін және тек Cisco Catalyst 8200 UCPE үшін BIOS құпия сөзін қалпына келтіруді ұсынады.
Жаңа әкімші құпия сөзі орнатылды
Төмендегі шарттарды қанағаттандыратын BIOS құпия сөзін беріңіз: 1. Кем дегенде бір кіші таңба 2. Кемінде бір бас әріп 3. Кем дегенде бір сан 4. #, @ немесе _ 5-тен кем дегенде бір арнайы таңба. Ұзындығы арасында болуы керек. 8 және 20 таңба 6. Келесі жолдардың ешқайсысы болмауы керек (әрі қарай): bios 7. Бірінші таңба # болуы мүмкін емес.
Қауіпсіздік мәселелері 8
Қауіпсіздікті қарастыру
BIOS және CIMC құпия сөздерін тексеріңіз
BIOS құпия сөзін қалпына келтіріңіз : BIOS құпия сөзін қайта енгізіңіз : Келесі критерийлерге сәйкес келетін CIMC құпия сөзін беріңіз:
1. Кемінде бір кіші таңба 2. Кем дегенде бір бас әріп 3. Кем дегенде бір сан 4. #, @ немесе _ таңбаларынан кем дегенде бір арнайы таңба 5. Ұзындығы 8 және 20 таңба арасында болуы керек 6. Ешбіреуі болмауы керек. келесі жолдар (регистрді ескереді): admin CIMC құпия сөзін қалпына келтіріңіз : CIMC құпия сөзін қайта енгізіңіз :
BIOS және CIMC құпия сөздерін тексеріңіз
BIOS және CIMC құпия сөздерінің сәтті өзгертілгенін тексеру үшін nfvis_config.log | көрсету журналын пайдаланыңыз. BIOS қосу немесе nfvis_config.log | журналын көрсету CIMC командаларын қамтиды:
nfvis# журналды көрсету nfvis_config.log | BIOS кіреді
2021-11-16 15:24:40,102 INFO
[хостакция:/жүйе/параметрлер] [] BIOS құпия сөзін өзгертутабысты
Сондай-ақ nfvis_config.log жүктеп алуға болады file және құпия сөздердің сәтті қалпына келтірілгенін тексеріңіз.
Сыртқы AAA серверлерімен интеграция
Пайдаланушылар NFVIS жүйесіне ssh немесе арқылы кіреді Web UI. Кез келген жағдайда пайдаланушылар аутентификациядан өтуі керек. Яғни, пайдаланушы рұқсат алу үшін құпия сөздің тіркелгі деректерін көрсетуі керек.
Пайдаланушы аутентификациядан кейін сол пайдаланушы орындайтын барлық әрекеттер авторизациялануы керек. Яғни, кейбір пайдаланушыларға белгілі бір тапсырмаларды орындауға рұқсат етілсе, басқаларына рұқсат етілмейді. Бұл авторизация деп аталады.
Орталықтандырылған AAA серверін NFVIS қатынасы үшін әр пайдаланушыға, AAA негізіндегі кіру аутентификациясын енгізу үшін қолдану ұсынылады. NFVIS желіге кіруге делдалдық жасау үшін RADIUS және TACACS протоколдарын қолдайды. AAA серверінде аутентификациядан өткен пайдаланушыларға олардың арнайы рұқсат талаптарына сәйкес минималды қатынас артықшылықтары ғана берілуі керек. Бұл зиянды және қасақана емес қауіпсіздік оқиғаларының әсерін азайтады.
Сыртқы аутентификация туралы қосымша ақпаратты RADIUS конфигурациялау және TACACS+ серверін теңшеу бөлімін қараңыз.
Сыртқы аутентификация серверіне арналған аутентификация кэші
Мүмкіндік атауы
Шығарылым туралы ақпарат
Сыртқы NFVIS 4.5.1 Аутентификация серверіне арналған аутентификация кэші
Сипаттама
Бұл мүмкіндік NFVIS порталында OTP арқылы TACACS аутентификациясын қолдайды.
NFVIS порталы бастапқы аутентификациядан кейін барлық API қоңыраулары үшін бірдей бір реттік құпия сөзді (OTP) пайдаланады. API қоңыраулары OTP мерзімі біткен бойда сәтсіз аяқталады. Бұл мүмкіндік NFVIS порталымен TACACS OTP аутентификациясын қолдайды.
OTP көмегімен TACACS сервері арқылы сәтті аутентификациядан кейін NFVIS пайдаланушы аты мен OTP арқылы хэш жазбасын жасайды және осы хэш мәнін жергілікті түрде сақтайды. Бұл жергілікті сақталған хэш мәні бар
Қауіпсіздік мәселелері 9
Рөлге негізделген қатынасты басқару
Қауіпсіздікті қарастыру
жарамдылық мерзімі стamp онымен байланысты. Уақыт стamp 15 минут болатын SSH сеансының күту күту уақыты мәнімен бірдей мәнге ие. Бірдей пайдаланушы аты бар барлық кейінгі аутентификация сұраулары алдымен осы жергілікті хэш мәніне қарсы аутентификацияланады. Егер аутентификация жергілікті хэшпен орындалмаса, NFVIS бұл сұрауды TACACS серверімен аутентификациялайды және аутентификация сәтті болған кезде жаңа хэш жазбасын жасайды. Егер хэш жазбасы әлдеқашан бар болса, оның уақыты стamp 15 минутқа қалпына келтіріледі.
Порталға сәтті кіргеннен кейін TACACS серверінен жойылсаңыз, NFVIS жүйесіндегі хэш жазбасының мерзімі аяқталғанша порталды пайдалануды жалғастыра аласыз.
NFVIS порталынан нақты шыққанда немесе бос тұру уақытына байланысты жүйеден шыққан кезде, портал хэш жазбасын тазарту үшін NFVIS серверіне хабарлау үшін жаңа API шақырады. Аутентификация кэші және оның барлық жазбалары NFVIS қайта жүктелгеннен, зауыттық параметрлерге қайтарылғаннан немесе жаңартылғаннан кейін тазаланады.
Рөлге негізделген қатынасты басқару
Желіге кіруді шектеу көптеген қызметкерлері бар, мердігерлерді жалдайтын немесе тұтынушылар мен жеткізушілер сияқты үшінші тараптарға рұқсат беретін ұйымдар үшін маңызды. Мұндай сценарийде желіге кіруді тиімді бақылау қиын. Оның орнына құпия деректер мен маңызды қолданбаларды қорғау үшін қол жетімді нәрсені басқарған дұрыс.
Рөлге негізделген қол жеткізуді басқару (RBAC) – кәсіпорындағы жеке пайдаланушылардың рөлдеріне негізделген желіге кіруді шектеу әдісі. RBAC пайдаланушыларға қажетті ақпаратқа қол жеткізуге мүмкіндік береді және оларға қатысты емес ақпаратқа қол жеткізуге жол бермейді.
Артықшылықтары төмен қызметкерлер құпия ақпаратқа қол жеткізе алмауын немесе маңызды тапсырмаларды орындамауын қамтамасыз ету үшін берілген рұқсаттарды анықтау үшін қызметкердің кәсіпорындағы рөлін пайдалану керек.
Келесі пайдаланушы рөлдері мен артықшылықтары NFVIS жүйесінде анықталған
Пайдаланушы рөлі
Артықшылық
Әкімшілер
Барлық қолжетімді мүмкіндіктерді конфигурациялай алады және пайдаланушы рөлдерін өзгертуді қоса алғанда, барлық тапсырмаларды орындай алады. Әкімші NFVIS үшін негізгі болып табылатын негізгі инфрақұрылымды жоя алмайды. Әкімші пайдаланушысының рөлін өзгерту мүмкін емес; бұл әрқашан «әкімшілер».
Операторлар
VM іске қосу және тоқтату мүмкін, және view барлық ақпарат.
Аудиторлар
Олар ең аз артықшылықты пайдаланушылар. Олардың тек оқуға рұқсаты бар, сондықтан кез келген конфигурацияны өзгерте алмайды.
RBAC артықшылықтары
Ұйымдағы адамдардың рөлдеріне негізделген желіге қажетсіз қатынауды шектеу үшін RBAC пайдаланудың бірқатар артықшылықтары бар, соның ішінде:
· Жұмыс тиімділігін арттыру.
RBAC жүйесінде алдын ала анықталған рөлдердің болуы дұрыс артықшылықтарға ие жаңа пайдаланушыларды қосуды немесе бар пайдаланушылардың рөлдерін ауыстыруды жеңілдетеді. Ол сондай-ақ пайдаланушы рұқсаттары тағайындалған кезде қате ықтималдығын азайтады.
· Сәйкестікті арттыру.
Қауіпсіздік мәселелері 10
Қауіпсіздікті қарастыру
Рөлге негізделген қатынасты басқару
Әрбір ұйым жергілікті, штаттық және федералды ережелерге сай болуы керек. Компаниялар әдетте құпиялылық пен құпиялылыққа қатысты нормативтік және заңдық талаптарды қанағаттандыру үшін RBAC жүйелерін енгізуді жөн көреді, өйткені басшылар мен АТ департаменттері деректерге қол жеткізу және пайдалану жолын тиімдірек басқара алады. Бұл құпия деректерді басқаратын қаржы институттары мен денсаулық сақтау компаниялары үшін әсіресе маңызды.
· Шығындарды азайту. Пайдаланушыға белгілі бір процестер мен қолданбаларға кіруге рұқсат бермей, компаниялар желі өткізу қабілеті, жад және сақтау сияқты ресурстарды үнемді түрде үнемдей немесе пайдалана алады.
· Бұзушылықтар мен деректердің ағып кету қаупін азайту. RBAC енгізу құпия ақпаратқа қол жеткізуді шектеуді білдіреді, осылайша деректердің бұзылуы немесе деректердің ағып кетуі ықтималдығын азайтады.
Рөлге негізделген қатынасты басқаруды іске асыру үшін ең жақсы тәжірибелер · Әкімші ретінде пайдаланушылар тізімін анықтаңыз және пайдаланушыларды алдын ала анықталған рөлдерге тағайындаңыз. Мысалыample, «желі әкімшісі» пайдаланушысын жасауға және «әкімшілер» пайдаланушы тобына қосуға болады.
терминалды конфигурациялау rbac аутентификация пайдаланушылары жасау-пайдаланушы атын желі әкімшісінің құпия сөзі Test1_pass рөлі әкімшілер орындауы
Ескерту Пайдаланушы топтары немесе рөлдері жүйе арқылы жасалады. Пайдаланушы тобын жасау немесе өзгерту мүмкін емес. Құпия сөзді өзгерту үшін жаһандық конфигурация режимінде rbac аутентификация пайдаланушылары пайдаланушы өзгерту-құпия сөз пәрменін пайдаланыңыз. Пайдаланушы рөлін өзгерту үшін жаһандық конфигурация режимінде rbac аутентификация пайдаланушыларының пайдаланушы өзгерту рөлі пәрменін пайдаланыңыз.
· Енді кіруді қажет етпейтін пайдаланушылар үшін тіркелгілерді тоқтатыңыз.
rbac аутентификация терминалын конфигурациялау пайдаланушылары жою-пайдаланушы атын тест1
· Рөлдерді, оларға тағайындалған қызметкерлерді және әрбір рөл үшін рұқсат етілген қатынасты бағалау үшін мерзімді түрде аудит жүргізіңіз. Пайдаланушының белгілі бір жүйеге қажетсіз қатынасы бар екені анықталса, пайдаланушы рөлін өзгертіңіз.
Қосымша мәліметтер алу үшін Пайдаланушылар, Рөлдер және Аутентификация бөлімін қараңыз
Түйіршіктелген рөлге негізделген қатынасты басқару NFVIS 4.7.1 нұсқасынан бастап, Рөлге негізделген қатынасты басқарудың түйіршіктелген мүмкіндігі енгізіледі. Бұл мүмкіндік VM және VNF басқаратын және VNF қолдану кезінде VNF қатынасын басқару үшін пайдаланушыларды топқа тағайындауға мүмкіндік беретін жаңа ресурс тобы саясатын қосады. Қосымша ақпаратты Түйіршіктелген рөлге негізделген қатынасты басқару бөлімін қараңыз.
Қауіпсіздік мәселелері 11
Құрылғының қол жетімділігін шектеу
Қауіпсіздікті қарастыру
Құрылғының қол жетімділігін шектеу
Пайдаланушылар бұл мүмкіндіктердің қосылғанын білмегендіктен, олар қорғалмаған мүмкіндіктерге қарсы шабуылдардан бірнеше рет байқамай қалды. Пайдаланылмаған қызметтер әрқашан қауіпсіз бола бермейтін әдепкі конфигурациялармен қалады. Бұл қызметтер әдепкі құпия сөздерді де пайдалануы мүмкін. Кейбір қызметтер шабуылдаушыға сервер не істеп жатқаны немесе желі қалай орнатылғаны туралы ақпаратқа оңай қол жеткізуге мүмкіндік береді. Келесі бөлімдер NFVIS қауіпсіздік тәуекелдерін қалай болдырмау керектігін сипаттайды:
Шабуыл векторын азайту
Кез келген бағдарламалық құралда қауіпсіздік осалдықтары болуы мүмкін. Көбірек бағдарламалық жасақтама шабуыл үшін көбірек жолды білдіреді. Қосылу кезінде жалпыға белгілі осалдықтар болмаса да, осалдықтар болашақта табылуы немесе ашылуы мүмкін. Мұндай сценарийлерді болдырмау үшін тек NFVIS функционалдығы үшін маңызды бағдарламалық пакеттер орнатылады. Бұл бағдарламалық жасақтаманың осалдықтарын шектеуге, ресурстарды тұтынуды азайтуға және сол пакеттерде ақаулар табылған кезде қосымша жұмысты азайтуға көмектеседі. NFVIS жүйесіне кіретін барлық үшінші тарап бағдарламалық құралы Cisco компаниясының ұйымдық жауап беруін (заңды, қауіпсіздік, т.б.) орындай алуы үшін Cisco орталық дерекқорында тіркелген. Бағдарламалық құрал пакеттері белгілі жалпы осалдықтар мен әсерлерге (CVEs) арналған әрбір шығарылымда мерзімді түрде түзетіледі.
Әдепкі бойынша тек маңызды порттарды қосу
NFVIS орнату және басқару үшін өте қажет қызметтер ғана әдепкі бойынша қол жетімді. Бұл желіаралық қалқандарды конфигурациялауға және қажетсіз қызметтерге кіруге тыйым салуға қажет пайдаланушы күш-жігерін жояды. Әдепкі бойынша қосылған жалғыз қызметтер ашылатын порттармен бірге төменде берілген.
Портты ашу
Қызмет
Сипаттама
22 / TCP
SSH
NFVIS жүйесіне қашықтан пәрмен жолы арқылы кіруге арналған Secure Socket Shell
80 / TCP
HTTP
NFVIS порталына кіруге арналған гипермәтінді тасымалдау протоколы. NFVIS арқылы алынған барлық HTTP трафигі HTTPS үшін 443 портына қайта бағытталады
443 / TCP
HTTPS
NFVIS порталына қауіпсіз кіруге арналған Гипермәтінді тасымалдау протоколы Secure
830 / TCP
NETCONF-ssh
SSH арқылы желіні конфигурациялау протоколы (NETCONF) үшін ашылған порт. NETCONF — NFVIS автоматтандырылған конфигурациялау үшін және NFVIS-тен асинхронды оқиғалар туралы хабарландыруларды алу үшін пайдаланылатын протокол.
161/UDP
SNMP
Қарапайым желіні басқару протоколы (SNMP). NFVIS қашықтағы желіні бақылау қолданбаларымен байланысу үшін пайдаланылады. Қосымша ақпаратты SNMP туралы кіріспе бөлімінен қараңыз
Қауіпсіздік мәселелері 12
Қауіпсіздікті қарастыру
Рұқсат етілген қызметтер үшін рұқсат етілген желілерге кіруді шектеңіз
Рұқсат етілген қызметтер үшін рұқсат етілген желілерге кіруді шектеңіз
Тек уәкілетті авторларға құрылғыны басқаруға кіруге әрекеттенуге рұқсат етілуі керек, ал кіру рұқсаты бар қызметтерге ғана рұқсат етілуі керек. NFVIS қол жеткізу белгілі, сенімді көздерге және күтілетін трафикті басқаруға шектелетіндей конфигурациялануы мүмкінfileс. Бұл рұқсат етілмеген қол жеткізу және басқа шабуылдарға, мысалы, дөрекі күш, сөздік немесе DoS шабуылдарына ұшырау қаупін азайтады.
NFVIS басқару интерфейстерін қажетсіз және ықтимал зиянды трафиктен қорғау үшін әкімші пайдаланушы қабылданған желі трафигі үшін қол жеткізуді басқару тізімдерін (ACL) жасай алады. Бұл ACL трафик басталатын бастапқы IP мекенжайларын/желілерді және осы көздерден рұқсат етілген немесе қабылданбаған трафик түрін көрсетеді. Бұл IP трафик сүзгілері NFVIS жүйесіндегі әрбір басқару интерфейсіне қолданылады. Келесі параметрлер IP қабылдау рұқсатын басқару тізімінде конфигурацияланады (ip-receive-acl)
Параметр
Мән
Сипаттама
Бастапқы желі/Желі маскасы
Желі/желі маскасы. Мысалыample: 0.0.0.0/0
172.39.162.0/24
Бұл өріс трафик басталатын IP мекенжайын/желісін көрсетеді
Қызмет көрсету әрекеті
https icmp netconf scpd snmp ssh қабылдамауды қабылдамау
Көрсетілген көзден трафик түрі.
Бастапқы желіден трафикке қатысты әрекет. Қабылдау арқылы жаңа қосылу әрекеттері рұқсат етіледі. Қабылдамау арқылы қосылу әрекеттері қабылданбайды. Ереже HTTPS, NETCONF, SCP, SSH сияқты TCP негізіндегі қызметке арналған болса, көз TCP қалпына келтіру (RST) пакетін алады. SNMP және ICMP сияқты TCP емес ережелер үшін пакет жойылады. Түсіру кезінде барлық пакеттер дереу жойылады, дереккөзге ешқандай ақпарат жіберілмейді.
Қауіпсіздік мәселелері 13
Артықшылықты түзету рұқсаты
Қауіпсіздікті қарастыру
Параметр басымдылығы
Мән Сандық мән
Сипаттама
Басымдылық ережелер бойынша бұйрықты орындау үшін пайдаланылады. Басымдық үшін жоғарырақ сандық мәнге ие ережелер тізбекте одан әрі төменде қосылады. Ереженің екіншісінен кейін қосылатынына көз жеткізгіңіз келсе, бірінші үшін төмен басымдықты, ал келесі үшін жоғарырақ нөмірді пайдаланыңыз.
Келесі сampконфигурациялар нақты пайдалану жағдайларына бейімделуі мүмкін кейбір сценарийлерді суреттейді.
IP қабылдау ACL конфигурациялау
ACL неғұрлым шектеулі болса, рұқсат етілмеген кіру әрекеттерінің әсер ету мүмкіндігі соғұрлым шектеледі. Дегенмен, неғұрлым шектеулі ACL басқарудың үстеме шығындарын жасай алады және ақауларды жоюды орындау үшін қол жетімділікке әсер етуі мүмкін. Демек, тепе-теңдікті ескеру қажет. Бір компромисс тек ішкі корпоративтік IP мекенжайларына кіруді шектеу болып табылады. Әрбір тұтынушы өзінің қауіпсіздік саясатына, тәуекелдерге, әсер ету дәрежесіне және оларды қабылдауға қатысты ACL енгізуін бағалауы керек.
Ішкі желіден ssh трафигін қабылдамау:
nfvis(config)# жүйе параметрлері ip-receive-acl 171.70.63.0/24 қызметі ssh әрекеті 1 басымдылықты қабылдамау
ACL жою:
Жазба ip-receive-acl ішінен жойылғанда, бастапқы IP мекенжайы кілт болғандықтан, сол көздің барлық конфигурациялары жойылады. Тек бір қызметті жою үшін басқа қызметтерді қайта конфигурациялаңыз.
nfvis(config)# жүйе параметрлері жоқ ip-receive-acl 171.70.63.0/24
Қосымша мәліметтер алу үшін IP қабылдау ACL конфигурациясын қараңыз
Артықшылықты түзету рұқсаты
NFVIS жүйесіндегі супер-пайдаланушы тіркелгісі әдепкі бойынша өшірілген, барлық шектеусіз, ықтимал қолайсыз, жүйелік өзгерістердің алдын алу және NFVIS пайдаланушыға жүйе қабығын көрсетпеу үшін.
Дегенмен, NFVIS жүйесіндегі кейбір түзету қиын мәселелер үшін Cisco техникалық көмек орталығының командасы (TAC) немесе әзірлеу тобы тұтынушының NFVIS жүйесіне қабықша қатынасын талап етуі мүмкін. NFVIS жүйесінде өрістегі құрылғыға артықшылықты жөндеу рұқсаты рұқсат етілген Cisco қызметкерлерімен шектелгенін қамтамасыз ету үшін қауіпсіз құлыпты ашу инфрақұрылымы бар. Интерактивті жөндеудің осы түріне арналған Linux қабығына қауіпсіз қол жеткізу үшін NFVIS және Cisco қолдайтын интерактивті жөндеу сервері арасында шақыруға жауап беретін аутентификация механизмі пайдаланылады. Тұтынушының келісімімен құрылғыға қол жеткізуді қамтамасыз ету үшін шақыру-жауап жазбасына қосымша әкімші пайдаланушысының құпия сөзі де қажет.
Интерактивті жөндеуге арналған қабықшаға кіру қадамдары:
1. Әкімші пайдаланушы осы жасырын пәрменді пайдаланып бұл процедураны бастайды.
nfvis# жүйелік қабықша қатынасы
Қауіпсіздік мәселелері 14
Қауіпсіздікті қарастыру
Қауіпсіз интерфейстер
2. Экранда сынақ жолы көрсетіледі, мысалыampле:
Сынақ жолы (тек жұлдызшалар арасындағы барлығын көшіріңіз):
******************************************************************************** SPH//wkAAABORlZJU0VOQ1M1NDA4L0s5AQAAABt+dcx+hB0V06r9RkdMMjEzNTgw RlHq7BxeAAA= DONE. ********************************************************************************
3. Cisco мүшесі Cisco қолдайтын Interactive Debug серверіндегі Challenge жолына кіреді. Бұл сервер Cisco пайдаланушысы қабықшаны пайдаланып NFVIS күйін жөндеуге рұқсаты бар екенін тексереді, содан кейін жауап жолын қайтарады.
4. Осы сұраудың астындағы экранға жауап жолын енгізіңіз: Дайын болған кезде жауапыңызды енгізіңіз:
5. Сұралған кезде тұтынушы әкімші құпия сөзін енгізуі керек. 6. Құпия сөз жарамды болса, сіз қабықшаға қол жеткізе аласыз. 7. Әзірлеу немесе TAC тобы жөндеуді жалғастыру үшін қабықты пайдаланады. 8. Shell-access түрін шығару үшін Exit.
Қауіпсіз интерфейстер
NFVIS басқару рұқсатына диаграммада көрсетілген интерфейстер арқылы рұқсат етіледі. Келесі бөлімдер NFVIS интерфейсіне арналған қауіпсіздіктің ең жақсы тәжірибелерін сипаттайды.
Консоль SSH
Консоль порты бастапқы конфигурациялау үшін NFVIS CLI жүйесіне қосылуға мүмкіндік беретін асинхронды сериялық порт болып табылады. Пайдаланушы консольге NFVIS-ке физикалық қол жеткізу немесе терминал серверін пайдалану арқылы қашықтан қол жеткізу арқылы қол жеткізе алады. Консоль портына кіру терминал сервері арқылы қажет болса, терминал серверіндегі кіру тізімдерін тек қажетті бастапқы мекенжайлардан кіруге рұқсат ету үшін теңшеңіз.
Пайдаланушылар NFVIS CLI жүйесіне қашықтан кірудің қауіпсіз құралы ретінде SSH пайдалану арқылы қол жеткізе алады. NFVIS басқару трафигінің тұтастығы мен құпиялылығы басқарылатын желінің қауіпсіздігі үшін өте маңызды, өйткені басқару протоколдары желіге ену немесе оны бұзу үшін пайдаланылуы мүмкін ақпаратты жиі тасымалдайды.
Қауіпсіздік мәселелері 15
CLI сеансының күту уақыты
Қауіпсіздікті қарастыру
NFVIS SSH 2 нұсқасын пайдаланады, бұл интерактивті кіруге арналған Cisco және Интернеттің іс жүзінде стандартты протоколы болып табылады және Cisco ішіндегі Қауіпсіздік және сенім ұйымы ұсынған күшті шифрлау, хэш және кілт алмасу алгоритмдерін қолдайды.
CLI сеансының күту уақыты
SSH арқылы кіру арқылы пайдаланушы NFVIS сеансын орнатады. Пайдаланушы жүйеге кірген кезде, егер пайдаланушы жүйеге кірген сеансты қараусыз қалдырса, бұл желіге қауіпсіздік қаупін тудыруы мүмкін. Сеанс қауіпсіздігі ішкі шабуылдар қаупін шектейді, мысалы, бір пайдаланушы басқа пайдаланушының сеансын пайдалануға тырысады.
Бұл тәуекелді азайту үшін NFVIS 15 минут әрекетсіздіктен кейін CLI сеанстарын өшіреді. Сеанс күту уақытына жеткенде, пайдаланушы жүйеден автоматты түрде шығады.
NETCONF
Network Configuration Protocol (NETCONF) — желілік құрылғылардың автоматтандырылған конфигурациясы үшін IETF әзірлеген және стандарттаған желіні басқару протоколы.
NETCONF протоколы конфигурация деректері мен хаттама хабарлары үшін Extensible Markup Language (XML) негізіндегі деректерді кодтауды пайдаланады. Протокол хабарламалары қауіпсіз тасымалдау протоколының үстіне алмасады.
NETCONF NFVIS желісі операторы SSH арқылы конфигурация деректері мен оқиға хабарландыруларын қауіпсіз орнату және алу үшін пайдалана алатын XML негізіндегі API ашуға мүмкіндік береді.
Қосымша ақпаратты NETCONF оқиға туралы хабарландырулар бөлімінен қараңыз.
REST API
NFVIS HTTPS арқылы RESTful API арқылы конфигурациялануы мүмкін. REST API сұраушы жүйелерге азаматтығы жоқ операциялардың біркелкі және алдын ала анықталған жиынын пайдалану арқылы NFVIS конфигурациясына қол жеткізуге және оны басқаруға мүмкіндік береді. Барлық REST API интерфейстері туралы мәліметтерді NFVIS API анықтамалық нұсқаулығынан табуға болады.
Пайдаланушы REST API шығарған кезде NFVIS көмегімен сеанс орнатылады. Қызмет көрсету шабуылдарынан бас тартуға байланысты тәуекелдерді шектеу үшін NFVIS бір мезгілде REST сеанстарының жалпы санын 100-ге дейін шектейді.
NFVIS Web Портал
NFVIS порталы а webNFVIS туралы ақпаратты көрсететін графикалық пайдаланушы интерфейсіне негізделген. Портал пайдаланушыға NFVIS CLI және API интерфейсін білмей-ақ HTTPS арқылы NFVIS конфигурациялау және бақылаудың оңай құралын ұсынады.
Сеансты басқару
HTTP және HTTPS-тің азаматтығы жоқ табиғаты бірегей сеанс идентификаторлары мен cookie файлдарын пайдалану арқылы пайдаланушыларды бірегей қадағалау әдісін талап етеді.
NFVIS пайдаланушы сеансын шифрлайды. AES-256-CBC шифры HMAC-SHA-256 аутентификациясымен сеанс мазмұнын шифрлау үшін пайдаланылады. tag. Әрбір шифрлау әрекеті үшін кездейсоқ 128 биттік инициализация векторы жасалады.
Тексеру жазбасы портал сеансы жасалғанда басталады. Сеанс туралы ақпарат пайдаланушы жүйеден шыққанда немесе сеанс уақыты біткен кезде жойылады.
Портал сеанстары үшін әдепкі күту күту уақыты 15 минут. Дегенмен, оны ағымдағы сеанс үшін Параметрлер бетіндегі 5 және 60 минут арасындағы мәнге теңшеуге болады. Осыдан кейін жүйеден автоматты түрде шығу басталады
Қауіпсіздік мәселелері 16
Қауіпсіздікті қарастыру
HTTPS
HTTPS
кезең. Бір шолғышта бірнеше сеанстарға рұқсат етілмейді. Бір мезгілде сеанстардың ең көп саны 30-ға орнатылған. NFVIS порталы деректерді пайдаланушымен байланыстыру үшін cookie файлдарын пайдаланады. Ол қауіпсіздікті арттыру үшін келесі cookie сипаттарын пайдаланады:
· шолғыш жабылған кезде cookie файлының мерзімінің аяқталуын қамтамасыз ету үшін уақытша · http тек cookie файлын JavaScript арқылы қолжетімсіз ету үшін · cookie файлын тек SSL арқылы жіберуге болатынын қамтамасыз ету үшін secureProxy.
Аутентификациядан кейін де сайттар аралық сұрауды жалған жасау (CSRF) сияқты шабуылдар мүмкін. Бұл сценарийде соңғы пайдаланушы абайсызда а файлында қалаусыз әрекеттерді орындауы мүмкін web олар қазіргі уақытта аутентификацияланған қолданба. Бұған жол бермеу үшін NFVIS әрбір сеанс кезінде шақырылатын әрбір REST API тексеру үшін CSRF таңбалауыштарын пайдаланады.
URL Қайта бағыттау әдеттегідей web серверлерде бет табылмаған кезде web сервер, пайдаланушы 404 хабарламасын алады; бар беттер үшін олар кіру бетін алады. Қауіпсіздікке әсері - шабуылдаушы дөрекі күшпен сканерлеуді орындап, қай беттер мен қалталардың бар екенін оңай анықтай алады. Мұның алдын алу үшін NFVIS жүйесінде бәрі жоқ URLҚұрылғының IP префиксі бар s 301 күй жауап коды бар порталдың кіру бетіне қайта бағытталады. Бұл дегеніміз, қарамастан URL шабуылдаушы сұраса, олар әрқашан өздерінің аутентификациясы үшін кіру бетін алады. Барлық HTTP сервер сұраулары HTTPS серверіне қайта бағытталады және келесі тақырыптар конфигурацияланады:
· X-Content-Type-Options · X-XSS-Protection · Content-Security-Policy · X-Frame-Options · Strict- Transport-Security · Cache-Control
Порталды өшіру NFVIS порталына кіру әдепкі бойынша қосылады. Порталды пайдалануды жоспарламасаңыз, мына пәрменді пайдаланып порталға кіруді өшіру ұсынылады:
Терминалды конфигурациялау Жүйе порталына кіру рұқсатын өшіру
NFVIS-ке және одан шығатын барлық HTTPS деректері желі арқылы байланысу үшін Transport Layer Security (TLS) қызметін пайдаланады. TLS - Secure Socket Layer (SSL) ізбасары.
Қауіпсіздік мәселелері 17
HTTPS
Қауіпсіздікті қарастыру
TLS қол алысуы аутентификацияны қамтиды, оның барысында клиент сервердің SSL сертификатын оны шығарған сертификат органымен тексереді. Бұл сервердің кім екенін және клиенттің домен иесімен өзара әрекеттесетінін растайды. Әдепкі бойынша, NFVIS өз клиенттеріне сәйкестікті растау үшін өздігінен қол қойылған сертификатты пайдаланады. Бұл сертификатта TLS шифрлауының қауіпсіздігін арттыру үшін 2048 биттік ашық кілт бар, өйткені шифрлау күші кілт өлшеміне тікелей байланысты.
Сертификатты басқару NFVIS бірінші рет орнатылған кезде өздігінен қол қойылған SSL сертификатын жасайды. Бұл сертификатты сәйкес сертификаттар орталығы (CA) қол қойған жарамды сертификатпен ауыстыру қауіпсіздіктің ең жақсы тәжірибесі болып табылады. Әдепкі өздігінен қол қойылған сертификатты ауыстыру үшін келесі қадамдарды пайдаланыңыз: 1. NFVIS жүйесінде сертификатқа қол қою сұрауын (CSR) жасаңыз.
Сертификатқа қол қою сұрауы (CSR) – а file SSL сертификатына өтініш беру кезінде сертификаттау орталығына берілетін кодталған мәтін блогымен. Бұл file ұйым атауы, жалпы атау (домендік атау), елді мекен және ел сияқты сертификатқа қосылуы керек ақпаратты қамтиды. The file сонымен қатар сертификатқа қосылуы керек ашық кілтті қамтиды. NFVIS 2048 биттік ашық кілтті пайдаланады, себебі кілт өлшемі үлкенірек шифрлау күші жоғарырақ. NFVIS жүйесінде CSR жасау үшін келесі пәрменді орындаңыз:
nfvis# жүйе сертификатына қол қою-сұрау [жалпы атау-ел-код-жергілікті ұйым ұйым-бірлік атауы-мемлекет] CSR file /data/intdatastore/download/nfvis.csr ретінде сақталады. . 2. CSR арқылы CA-дан SSL сертификатын алыңыз. Сыртқы хосттан сертификатқа қол қою сұрауын жүктеп алу үшін scp пәрменін пайдаланыңыз.
[myhost:/tmp] > scp -P 22222 admin@ :/data/intdatastore/download/nfvis.csrfile-аты>
Осы CSR арқылы жаңа SSL сервер сертификатын шығару үшін Сертификат орталығына хабарласыңыз. 3. CA қол қойылған сертификатты орнатыңыз.
Сыртқы серверден сертификатты жүктеп салу үшін scp пәрменін пайдаланыңыз file NFVIS ішіне деректер/intdatastore/uploads/ каталог.
[myhost:/tmp] > scp -P 22222 file> admin@ :/data/intdatastore/uploads
NFVIS жүйесінде сертификатты келесі пәрмен арқылы орнатыңыз.
nfvis# жүйе сертификатын орнату-куәлік жолы file:///data/intdatastore/uploads/<сертификат file>
4. CA қол қойылған сертификатты пайдалануға ауысыңыз. Әдепкі өздігінен қол қойылған куәліктің орнына CA қол қойылған куәлікті пайдалануды бастау үшін келесі пәрменді пайдаланыңыз.
Қауіпсіздік мәселелері 18
Қауіпсіздікті қарастыру
SNMP қатынасы
nfvis(config)# жүйелік сертификатты пайдалану-cert cert-type ca-қол қойылған
SNMP қатынасы
Simple Network Management Protocol (SNMP) — IP желілеріндегі басқарылатын құрылғылар туралы ақпаратты жинауға және ұйымдастыруға және құрылғы әрекетін өзгерту үшін сол ақпаратты өзгертуге арналған Интернет стандартты протоколы.
SNMP үш маңызды нұсқасы әзірленді. NFVIS SNMP 1 нұсқасын, 2c нұсқасын және 3 нұсқасын қолдайды. SNMP 1 және 2 нұсқалары аутентификация үшін қауымдастық жолдарын пайдаланады және олар кәдімгі мәтін түрінде жіберіледі. Осылайша, оның орнына SNMP v3 пайдалану қауіпсіздіктің ең жақсы тәжірибесі болып табылады.
SNMPv3 үш аспектіні пайдалану арқылы құрылғыларға қауіпсіз қол жеткізуді қамтамасыз етеді: – пайдаланушылар, аутентификация және шифрлау. SNMPv3 SNMP арқылы қолжетімді ақпаратқа қол жеткізуді басқару үшін USM (пайдаланушыға негізделген қауіпсіздік модулі) пайдаланады. SNMP v3 пайдаланушысы аутентификация түрімен, құпиялылық түрімен және құпия сөзбен конфигурацияланған. Топты ортақ пайдаланатын барлық пайдаланушылар бірдей SNMP нұсқасын пайдаланады, дегенмен қауіпсіздік деңгейінің арнайы параметрлері (құпия сөз, шифрлау түрі, т.б.) әр пайдаланушы үшін көрсетіледі.
Келесі кестеде SNMP ішіндегі қауіпсіздік опциялары жинақталған
Үлгі
Деңгей
Аутентификация
Энципция
Нәтиже
v1
noAuthNoPriv
Қауымдастық жолының №
Қауымдастықты пайдаланады
үшін жол сәйкестігі
аутентификация.
v2c
noAuthNoPriv
Қауымдастық жолының №
Аутентификация үшін қауымдастық жолының сәйкестігін пайдаланады.
v3
noAuthNoPriv
Пайдаланушы аты
Жоқ
Пайдаланушы атын пайдаланады
сәйкес келеді
аутентификация.
v3
authNoPriv
Хабарлама дайджест 5 №
қамтамасыз етеді
(MD5)
аутентификацияға негізделген
or
HMAC-MD5-96 немесе
Қауіпсіз хэш
HMAC-SHA-96
Алгоритм (SHA)
алгоритмдер.
Қауіпсіздік мәселелері 19
Құқықтық хабарландыру баннерлері
Қауіпсіздікті қарастыру
v3 үлгісі
Devel authPriv
MD5 немесе SHA аутентификациясы
Энципция
Нәтиже
Деректерді шифрлауды қамтамасыз етеді
Стандартты (DES) немесе аутентификация негізінде
Жетілдірілген
бойынша
Шифрлау стандарты HMAC-MD5-96 немесе
(AES)
HMAC-SHA-96
алгоритмдер.
Cipher Block Chaining режимінде (CBC-DES) DES шифр алгоритмін қамтамасыз етеді
or
128 биттік кілт өлшемімен (CFB128-AES-128) шифрмен кері байланыс режимінде (CFB) пайдаланылатын AES шифрлау алгоритмі
NIST қабылдағаннан бері AES бүкіл салада шифрлаудың басым алгоритміне айналды. Саланың MD5-тен алыс және SHA-ға көшуін қадағалау үшін SNMP v3 аутентификация протоколын SHA және құпиялылық протоколын AES ретінде конфигурациялау қауіпсіздіктің ең жақсы тәжірибесі болып табылады.
SNMP туралы қосымша мәліметтер алу үшін SNMP туралы кіріспе бөлімін қараңыз
Құқықтық хабарландыру баннерлері
Пайдаланушылардың орындалып жатқан қауіпсіздік саясаты және олар қолданылатын қауіпсіздік саясаты туралы хабардар болуын қамтамасыз ету үшін барлық интерактивті сеанстарда заңды хабарландыру баннері болуы ұсынылады. Кейбір юрисдикцияларда жүйені бұзған шабуылдаушыны азаматтық және/немесе қылмыстық қудалау оңайырақ немесе тіпті рұқсат етілмеген пайдаланушыларға оларды пайдаланудың рұқсат етілмегендігі туралы хабарлайтын заңды хабарландыру баннері ұсынылса, тіпті талап етіледі. Кейбір юрисдикцияларда рұқсат етілмеген пайдаланушының әрекетін бақылауға, егер олар мұны істеу ниеті туралы хабарламаса, тыйым салынуы мүмкін.
Құқықтық хабарландыру талаптары күрделі және әр юрисдикция мен жағдайда әртүрлі. Тіпті юрисдикциялардың ішінде де құқықтық пікірлер әртүрлі. Хабарландыру баннерінің компания, жергілікті және халықаралық заң талаптарына сәйкес келетініне көз жеткізу үшін бұл мәселені өзіңіздің заң кеңесшіңізбен талқылаңыз. Бұл қауіпсіздік бұзылған жағдайда тиісті әрекетті қамтамасыз ету үшін жиі маңызды. Компанияның заң кеңесшісімен бірлесе отырып, құқықтық хабарландыру баннеріне қосылуы мүмкін мәлімдемелер мыналарды қамтиды:
· Жүйеге кіруге және пайдалануға тек арнайы рұқсаты бар қызметкерлер рұқсат ететіні туралы хабарлама және мүмкін пайдалануға рұқсат беретін адамдар туралы ақпарат.
· Жүйеге рұқсатсыз кіру және пайдалану заңсыз болып табылатыны және азаматтық және/немесе қылмыстық жазаға тартылуы мүмкін екендігі туралы хабарлама.
· Жүйеге қол жеткізу мен пайдалануды қосымша ескертусіз тіркеуге немесе бақылауға болатындығы туралы хабарлама және алынған журналдар сотта дәлел ретінде пайдаланылуы мүмкін.
· Арнайы жергілікті заңдар талап ететін қосымша арнайы ескертулер.
Қауіпсіздік мәселелері 20
Қауіпсіздікті қарастыру
Зауыттық параметрлерді қалпына келтіру
Құқықтық тұрғыдан емес, қауіпсіздік тұрғысынан view, заңды хабарландыру баннерінде құрылғы туралы оның атауы, үлгісі, бағдарламалық құралы, орны, операторы немесе иесі сияқты нақты ақпарат болмауы керек, себебі мұндай ақпарат шабуылдаушы үшін пайдалы болуы мүмкін.
ТөмендегідейampЖүйеге кірер алдында көрсетілетін заңды хабарландыру баннері:
БҰЛ ҚҰРЫЛҒЫҒА РҰҚСАТСЫЗ ҚОЛДАНУҒА ТЫЙЫМ САЛЫНҒАН Бұл құрылғыға қол жеткізу немесе конфигурациялау үшін сізде нақты рұқсат етілген рұқсат болуы керек. Қол жеткізуге немесе пайдалануға рұқсат етілмеген әрекеттер мен әрекеттер
бұл жүйе азаматтық және/немесе қылмыстық жазаға әкелуі мүмкін. Осы құрылғыда орындалған барлық әрекеттер журналға жазылады және бақыланады
Ескертпе Компанияның заң кеңесшісі бекіткен заңдық хабарландыру баннерін ұсыныңыз.
NFVIS баннер мен күн хабарламасын (MOTD) конфигурациялауға мүмкіндік береді. Баннер пайдаланушы жүйеге кірмес бұрын көрсетіледі. Пайдаланушы NFVIS жүйесіне кіргеннен кейін жүйе анықтайтын баннер NFVIS туралы авторлық құқық туралы ақпаратты береді және конфигурацияланған болса, күннің хабары (MOTD) пайда болады, содан кейін пәрмен жолы шақыруы немесе портал view, кіру әдісіне байланысты.
Жүйеге кіру шақыруының көрсетілуіне дейін құрылғыны басқарудың барлық кіру сеанстарында заңды хабарландыру баннерінің ұсынылуын қамтамасыз ету үшін кіру баннерін енгізу ұсынылады. Бұл пәрменді баннер мен MOTD конфигурациялау үшін пайдаланыңыз.
nfvis(config)# banner-motd баннері motd
Баннер пәрмені туралы қосымша ақпаратты Баннерді конфигурациялау, күн хабары және жүйе уақыты бөлімінен қараңыз.
Зауыттық параметрлерді қалпына келтіру
Зауыттық параметрлерді қалпына келтіру құрылғыға жеткізілген кезден бастап қосылған тұтынушыға қатысты барлық деректерді жояды. Өшірілген деректер конфигурацияларды, журналды қамтиды files, VM кескіндері, қосылым ақпараты және пайдаланушының кіру тіркелгі деректері.
Ол құрылғыны зауыттық параметрлерге қалпына келтіру үшін бір пәрменді береді және келесі сценарийлерде пайдалы:
· Құрылғы үшін материалды қайтару авторизациясы (RMA) – RMA үшін Cisco құрылғысына құрылғыны қайтару қажет болса, тұтынушыға қатысты барлық деректерді жою үшін зауыттық әдепкі параметрлерді қалпына келтіруді пайдаланыңыз.
· Бұзылған құрылғыны қалпына келтіру – Құрылғыда сақталған негізгі материал немесе тіркелгі деректері бұзылса, құрылғыны зауыттық конфигурацияға қайтарыңыз, содан кейін құрылғыны қайта конфигурациялаңыз.
· Бір құрылғыны жаңа конфигурациямен басқа сайтта қайта пайдалану қажет болса, бар конфигурацияны жою және оны таза күйге келтіру үшін зауыттық әдепкі параметрлерді қалпына келтіруді орындаңыз.
NFVIS зауыттық әдепкі қалпына келтіру ішінде келесі опцияларды қамтамасыз етеді:
Зауыттық параметрлерді қалпына келтіру опциясы
Деректер өшірілді
Сақталған деректер
барлығы
Барлық конфигурация, жүктеп салынған сурет Әкімші тіркелгісі сақталады және
files, VM және журналдар.
құпия сөзге өзгертіледі
Құрылғыға қосылу зауыттық әдепкі құпия сөз болады.
жоғалған.
Қауіпсіздік мәселелері 21
Инфрақұрылымды басқару желісі
Қауіпсіздікті қарастыру
Барлық кескіндерден басқа зауыттық параметрлерді қалпына келтіру опциясы
барлық-бейнелерден-басқа-байланыс
өндіріс
Деректер өшірілді
Сақталған деректер
Кескін конфигурациясынан басқа барлық конфигурациялар тіркелген
конфигурация, VM және жүктеп салынған кескіндер мен журналдар
сурет files.
Әкімші тіркелгісі сақталады және
Құрылғыға қосылу құпия сөзге өзгертіледі
жоғалған.
зауыттық әдепкі құпия сөз.
Кескін, кескіндер, желі және қосылымнан басқа барлық конфигурация
желі және қосылу мүмкіндігі
қатысты конфигурация, тіркелген
конфигурация, VM және жүктеп салынған кескіндер мен журналдар.
сурет files.
Әкімші тіркелгісі сақталады және
Құрылғыға қосылу мүмкіндігі
бұрын конфигурацияланған әкімші
қолжетімді.
құпия сөз сақталады.
Кескін конфигурациясы, VM, жүктеп салынған кескіннен басқа барлық конфигурация files, және журналдар.
Құрылғымен байланыс жоғалады.
Кескінге қатысты конфигурация және тіркелген кескіндер
Әкімші тіркелгісі сақталады және құпия сөз зауыттық әдепкі құпия сөзге өзгертіледі.
Пайдаланушы зауыттық параметрлерді қалпына келтіру мақсатына негізделген сәйкес опцияны мұқият таңдауы керек. Қосымша ақпаратты Зауыттық әдепкіге қайтару бөлімін қараңыз.
Инфрақұрылымды басқару желісі
Инфрақұрылымды басқару желісі инфрақұрылым құрылғылары үшін басқару және басқару трафикті (NTP, SSH, SNMP, syslog және т.б. сияқты) тасымалдайтын желіні білдіреді. Құрылғыға қол жеткізу консоль арқылы, сондай-ақ Ethernet интерфейстері арқылы болуы мүмкін. Бұл басқару және басқару жазықтығы трафигі желіге көрінуді және оны басқаруды қамтамасыз ететін желілік операциялар үшін өте маңызды. Демек, жақсы жобаланған және қауіпсіз инфрақұрылымды басқару желісі желінің жалпы қауіпсіздігі мен жұмысы үшін өте маңызды. Қауіпсіз инфрақұрылымды басқару желісі бойынша негізгі ұсыныстардың бірі тіпті жоғары жүктеме және жоғары трафик жағдайында қашықтан басқару мүмкіндігін қамтамасыз ету үшін басқару мен деректер трафигін бөлу болып табылады. Бұған арнайы басқару интерфейсі арқылы қол жеткізуге болады.
Төменде инфрақұрылымды басқару желісін іске асыру тәсілдері берілген:
Жолақтан тыс басқару
Жолақтан тыс басқару (OOB) басқару желісі толығымен тәуелсіз және басқаруға көмектесетін деректер желісінен физикалық тұрғыдан ерекшеленетін желіден тұрады. Мұны кейде деректер байланысы желісі (DCN) деп те атайды. Желілік құрылғылар OOB желісіне әртүрлі жолдармен қосыла алады: NFVIS OOB желісіне қосылу үшін пайдалануға болатын кірістірілген басқару интерфейсін қолдайды. NFVIS арнайы басқару интерфейсі ретінде алдын ала анықталған физикалық интерфейсті, ENCS жүйесіндегі MGMT портын конфигурациялауға мүмкіндік береді. Басқару пакеттерін тағайындалған интерфейстермен шектеу құрылғыны басқаруға көбірек бақылауды қамтамасыз етеді, осылайша сол құрылғының қауіпсіздігін қамтамасыз етеді. Басқа артықшылықтарға басқарылмайтын интерфейстердегі деректер пакеттері үшін жақсартылған өнімділік, желінің ауқымдылығын қолдау,
Қауіпсіздік мәселелері 22
Қауіпсіздікті қарастыру
Жалған диапазоннан тыс басқару
құрылғыға қол жеткізуді шектеу үшін қол жеткізуді басқару тізімдерінің (ACL) аз болуы және басқару пакетінің тасқынының орталық процессорға жетуіне жол бермеу. Желілік құрылғылар арнайы деректер интерфейстері арқылы OOB желісіне қосыла алады. Бұл жағдайда басқару трафигі тек арнайы интерфейстер арқылы өңделетінін қамтамасыз ету үшін ACLs орналастырылуы керек. Қосымша ақпарат алу үшін IP қабылдау ACL мен 22222 портын конфигурациялау және ACL басқару интерфейсін қараңыз.
Жалған диапазоннан тыс басқару
Жалған диапазоннан тыс басқару желісі деректер желісі сияқты физикалық инфрақұрылымды пайдаланады, бірақ VLAN арқылы трафикті виртуалды бөлу арқылы логикалық бөлуді қамтамасыз етеді. NFVIS әртүрлі трафик көздерін анықтауға және виртуалды құрылғылар арасындағы трафикті бөлуге көмектесу үшін VLAN және виртуалды көпірлерді құруды қолдайды. Бөлек көпірлер мен VLAN желілерінің болуы виртуалды машина желісінің деректер трафигі мен басқару желісін оқшаулайды, осылайша VM және хост арасында трафик сегментациясын қамтамасыз етеді. Қосымша ақпаратты NFVIS басқару трафигі үшін VLAN конфигурациялау бөлімінен қараңыз.
Топ ішіндегі басқару
Жолақты басқару желісі деректер трафигі сияқты физикалық және логикалық жолдарды пайдаланады. Сайып келгенде, бұл желілік дизайн тәуекел мен пайда мен шығындарды тұтынушыға талдауды талап етеді. Кейбір жалпы ойларға мыналар жатады:
· Оқшауланған OOB басқару желісі үзіліс тудыратын оқиғалар кезінде де желіні көруді және бақылауды барынша арттырады.
· Желілік телеметрияны OOB желісі арқылы жіберу маңызды желінің көрінуін қамтамасыз ететін ақпараттың бұзылу мүмкіндігін азайтады.
· Желілік инфрақұрылымға, хосттарға және т.б. жолақты басқаруға қол жеткізу желі оқиғасы кезінде толық жоғалтуға осал болып, барлық желінің көрінуін және басқаруды жояды. Бұл жағдайды азайту үшін тиісті QoS басқару элементтерін орнату керек.
· NFVIS құрылғыларды басқаруға арналған интерфейстерді, соның ішінде сериялық консоль порттарын және Ethernet басқару интерфейстерін ұсынады.
· OOB басқару желісін әдетте ақылға қонымды бағамен орналастыруға болады, өйткені басқару желісінің трафигі әдетте жоғары өткізу қабілеттілігін немесе жоғары өнімді құрылғыларды талап етпейді және тек әрбір инфрақұрылым құрылғысына қосылуды қолдау үшін жеткілікті порт тығыздығын қажет етеді.
Жергілікті сақталатын ақпаратты қорғау
Сезімтал ақпаратты қорғау
NFVIS кейбір құпия ақпаратты, соның ішінде құпия сөздерді және құпияларды жергілікті түрде сақтайды. Құпиясөздер әдетте орталықтандырылған AAA сервері арқылы сақталуы және басқарылуы керек. Дегенмен, орталықтандырылған AAA сервері қолданылса да, кейбір жағдайларда жергілікті сақталған құпия сөздер қажет, мысалы, AAA серверлері қол жетімді болмаған жағдайда жергілікті қалпына келтіру, арнайы пайдаланушы аттары және т.б. Бұл жергілікті құпия сөздер және басқа да құпия сөздер
Қауіпсіздік мәселелері 23
File Тасымалдау
Қауіпсіздікті қарастыру
ақпарат NFVIS жүйесінде хэштер ретінде сақталады, сондықтан жүйеден бастапқы тіркелгі деректерін қалпына келтіру мүмкін емес. Хэшинг - бұл кеңінен қабылданған салалық норма.
File Тасымалдау
FileNFVIS құрылғыларына тасымалдау қажет болуы мүмкін VM кескінін және NFVIS жаңартуын қамтиды fileс. қауіпсіз тасымалдау files желілік инфрақұрылым қауіпсіздігі үшін өте маңызды. NFVIS қауіпсіздігін қамтамасыз ету үшін Secure Copy (SCP) мүмкіндігін қолдайды file аудару. SCP қауіпсіз аутентификация және тасымалдау үшін SSH-ге сүйенеді, бұл files.
NFVIS жүйесінен қауіпсіз көшірме scp пәрмені арқылы іске қосылады. Қауіпсіз көшірме (scp) пәрмені тек әкімші пайдаланушыға қауіпсіз көшіруге мүмкіндік береді fileNFVIS-тен сыртқы жүйеге немесе сыртқы жүйеден NFVIS-ке.
scp пәрменінің синтаксисі:
scp
NFVIS SCP сервері үшін 22222 портын қолданамыз. Әдепкі бойынша, бұл порт жабық және пайдаланушылар көшірмені қорғай алмайды fileсыртқы клиенттен NFVIS жүйесіне. SCP қажет болған жағдайда а file сыртқы клиенттен пайдаланушы портты аша алады:
жүйе параметрлері ip-receive-acl (адрес)/(маска лента) қызметі scpd басымдылығы (саны) әрекетін қабылдау
міндеттеу
Пайдаланушылардың жүйелік каталогтарға кіруіне жол бермеу үшін қауіпсіз көшірмені тек intdatastore:, extdatastore1:, extdatastore2:, usb: және nfs:, бар болса немесе одан орындауға болады. Қауіпсіз көшірмені журналдардан да орындауға болады: және техникалық қолдау:
Тіркеу
NFVIS қатынасы мен конфигурациясының өзгерістері келесі ақпаратты жазу үшін аудит журналдары ретінде тіркеледі: · Құрылғыға кім кірді · Пайдаланушы қашан кірді · Пайдаланушы хост конфигурациясы және VM өмірлік циклі тұрғысынан не істеді · Пайдаланушы журналы қашан өшірулі · Сәтсіз қол жеткізу әрекеттері · Сәтсіз аутентификация сұраулары · Сәтсіз авторизация сұраулары
Бұл ақпарат рұқсат етілмеген әрекеттер немесе қол жеткізу жағдайында сот сараптамасы үшін, сондай-ақ конфигурацияны өзгерту мәселелері үшін және топ әкімшілігінің өзгерістерін жоспарлауға көмектесу үшін баға жетпес. Ол сондай-ақ шабуылдың орын алып жатқанын көрсетуі мүмкін аномальды әрекеттерді анықтау үшін нақты уақытта қолданылуы мүмкін. Бұл талдауды IDS және желіаралық қалқан журналдары сияқты қосымша сыртқы көздерден алынған ақпаратпен байланыстыруға болады.
Қауіпсіздік мәселелері 24
Қауіпсіздікті қарастыру
Виртуалды машина қауіпсіздігі
NFVIS жүйесіндегі барлық негізгі оқиғалар оқиға туралы хабарландырулар ретінде NETCONF жазылушыларына және конфигурацияланған орталық тіркеу серверлеріне жүйе журналдары ретінде жіберіледі. Syslog хабарлары және оқиға хабарландырулары туралы қосымша ақпаратты Қосымшаны қараңыз.
Виртуалды машина қауіпсіздігі
Бұл бөлім NFVIS жүйесінде Виртуалды машиналарды тіркеуге, орналастыруға және пайдалануға қатысты қауіпсіздік мүмкіндіктерін сипаттайды.
VNF қауіпсіз жүктеу
NFVIS қауіпсіз жүктеуді қолдайтын виртуалды машиналар үшін UEFI қауіпсіз жүктеуді қосу үшін Open Virtual Machine микробағдарламасын (OVMF) қолдайды. VNF Secure жүктеу VM жүктеу бағдарламалық құралының әрбір қабаты, соның ішінде жүктеуші, операциялық жүйе ядросы және операциялық жүйе драйверлері қол қойылғанын тексереді.
Қосымша ақпаратты VNF файлдарының қауіпсіз жүктелуі бөлімінен қараңыз.
VNC консоліне кіруді қорғау
NFVIS пайдаланушыға орналастырылған VM қашықтағы жұмыс үстеліне кіру үшін виртуалды желілік есептеу (VNC) сеансын жасауға мүмкіндік береді. Мұны қосу үшін NFVIS пайдаланушы өзінің көмегімен қосылатын портты динамикалық түрде ашады web браузер. Бұл порт VM сеансын бастау үшін сыртқы сервер үшін тек 60 секунд ашық қалдырылады. Осы уақыт ішінде әрекет байқалмаса, порт жабылады. Порт нөмірі динамикалық түрде тағайындалады және осылайша VNC консоліне тек бір реттік кіруге мүмкіндік береді.
nfvis# vncconsole іске қосу-атауы 1510614035 vm-атауы ROUTER vncconsole-url :6005/vnc_auto.html
Браузерді https:// мекенжайына бағыттау :6005/vnc_auto.html ROUTER VM VNC консоліне қосылады.
Қауіпсіздік мәселелері 25
Шифрланған VM конфигурация деректерінің айнымалы мәндері
Қауіпсіздікті қарастыру
Шифрланған VM конфигурация деректерінің айнымалы мәндері
VM қолдану кезінде пайдаланушы 0-күн конфигурациясын қамтамасыз етеді file VM үшін. Бұл file құпия сөздер мен кілттер сияқты құпия ақпаратты қамтуы мүмкін. Бұл ақпарат анық мәтін ретінде берілсе, ол журналда пайда болады files және ішкі дерекқор жазбалары анық мәтінде. Бұл мүмкіндік пайдаланушыға конфигурация деректерінің айнымалы мәнін сақтаудан немесе ішкі ішкі жүйелерге беруден бұрын оның мәні AES-CFB-128 шифрлау арқылы шифрлануы үшін сезімтал деп белгілеуге мүмкіндік береді.
Қосымша ақпаратты VM қолдану параметрлері бөлімінен қараңыз.
Кескінді қашықтан тіркеу үшін бақылау сомасын тексеру
Қашықтан орналасқан VNF кескінін тіркеу үшін пайдаланушы оның орнын көрсетеді. Кескінді NFS сервері немесе қашықтағы HTTPS сервері сияқты сыртқы көзден жүктеп алу қажет болады.
Жүктелгенін білу үшін file орнату қауіпсіз, оны салыстыру өте маңызды fileпайдалану алдында бақылау сомасы. Бақылау сомасын тексеру мынаны қамтамасыз етеді file желіні жіберу кезінде бүлінбеген немесе оны жүктеп алмас бұрын зиянды үшінші тарап өзгертпеген.
NFVIS жүктелген кескіннің бақылау сомасын тексеру үшін пайдаланылатын күтілетін бақылау сомасы мен бақылау сомасы алгоритмін (SHA256 немесе SHA512) қамтамасыз ету үшін пайдаланушыға бақылау сомасы және бақылау сомасы_алгоритмі опцияларын қолдайды. Бақылау сомасы сәйкес келмесе, кескін жасау сәтсіз аяқталады.
Кескінді қашықтан тіркеу үшін сертификаттауды тексеру
HTTPS серверінде орналасқан VNF кескінін тіркеу үшін кескінді қашықтағы HTTPS серверінен жүктеп алу қажет. Бұл кескінді қауіпсіз жүктеп алу үшін NFVIS сервердің SSL сертификатын тексереді. Пайдаланушы сертификатқа жолды көрсетуі керек file немесе осы қауіпсіз жүктеуді қосу үшін PEM пішіміндегі сертификат мазмұны.
Толық ақпаратты суретті тіркеу үшін сертификатты тексеру бөлімінен табуға болады
VM оқшаулау және ресурстарды қамтамасыз ету
Желілік функцияларды виртуалдандыру (NFV) архитектурасы мыналардан тұрады:
· Виртуалды желі функциялары (VNFs), олар маршрутизатор, брандмауэр, жүктеме балансы және т.б. сияқты желілік функцияларды қамтамасыз ететін бағдарламалық жасақтама қолданбаларын басқаратын Виртуалды машиналар болып табылады.
· Қажетті бағдарламалық жасақтаманы және гипервизорды қолдайтын платформада инфрақұрылымдық құрамдас бөліктерден – есептеу, жад, сақтау және желіден тұратын желілік функцияларды виртуалдандыру инфрақұрылымы.
NFV көмегімен желі функциялары бір серверде бірнеше функцияларды іске қосу үшін виртуалдандырылған. Нәтижесінде ресурстарды біріктіруге мүмкіндік беретін физикалық жабдықты азырақ қажет етеді. Бұл ортада бір физикалық аппараттық жүйеден бірнеше VNF үшін бөлінген ресурстарды модельдеу маңызды. NFVIS көмегімен виртуалды құрылғыларды әрбір VM өзіне қажетті ресурстарды алатындай басқарылатын түрде орналастыруға болады. Ресурстар қажетінше физикалық ортадан көптеген виртуалды орталарға бөлінеді. Жеке VM домендері оқшауланған, сондықтан олар ортақ ресурстар үшін бір-бірімен таласпайтын бөлек, ерекше және қауіпсіз орталар болып табылады.
VM құрылғылары қамтамасыз етілгеннен көбірек ресурстарды пайдалана алмайды. Бұл ресурстарды тұтынатын бір VM қызмет көрсетуден бас тарту жағдайын болдырмайды. Нәтижесінде процессор, жад, желі және жад қорғалған.
Қауіпсіздік мәселелері 26
Қауіпсіздікті қарастыру
CPU оқшаулау
CPU оқшаулау
NFVIS жүйесі хостта жұмыс істейтін инфрақұрылымдық бағдарламалық құрал үшін өзектерді сақтайды. Қалған ядролар VM қолдану үшін қол жетімді. Бұл VM өнімділігі NFVIS хост өнімділігіне әсер етпейтініне кепілдік береді. Төмен кідіріс VMs NFVIS арнайы ядроларды онда орналастырылған төмен кідіріс VM-ге нақты тағайындайды. Егер виртуалды компьютерге 2 vCPU қажет болса, оған 2 арнайы ядро тағайындалады. Бұл ядроларды ортақ пайдалануды және артық жазылуды болдырмайды және кідірісі төмен VM жұмысына кепілдік береді. Қол жетімді ядролардың саны басқа төмен кідіріс VM сұраған vCPU санынан аз болса, бізде жеткілікті ресурстар болмағандықтан, орналастыруға жол берілмейді. Төмен кідіріссіз виртуалды құрылғылар NFVIS ортақ процессорларды кешігуі төмен виртуалды құрылғыларға тағайындайды. Егер виртуалды компьютерге 2 vCPU қажет болса, оған 2 процессор тағайындалады. Бұл 2 процессорды басқа кідіріссіз VM құрылғыларымен бөлісуге болады. Қол жетімді процессорлар саны басқа кідіріссіз VM сұраған vCPU санынан аз болса, орналастыруға әлі де рұқсат етіледі, себебі бұл VM орталық процессорды бұрыннан бар кідірісі төмен VM құрылғыларымен бөліседі.
Жадты бөлу
NFVIS инфрақұрылымы белгілі бір жад көлемін қажет етеді. VM қолданылғанда, инфрақұрылымға және бұрын орналастырылған VM құрылғыларына қажетті жадты сақтағаннан кейін қол жетімді жадтың жаңа VM үшін жеткілікті екендігін тексеру үшін тексеру бар. VM құрылғылары үшін жадтың артық жазылуына рұқсат бермейміз.
Қауіпсіздік мәселелері 27
Сақтау оқшаулау
VM құрылғыларына хостқа тікелей кіруге рұқсат етілмейді file жүйе және сақтау.
Сақтау оқшаулау
Қауіпсіздікті қарастыру
ENCS платформасы ішкі деректер қоймасын (M2 SSD) және сыртқы дискілерді қолдайды. NFVIS ішкі деректер қоймасында орнатылған. VNFs осы ішкі деректер қоймасында да орналастырылуы мүмкін. Бұл тұтынушы деректерін сақтау және тұтынушы қолданбасының Виртуалды машиналарын сыртқы дискілерде орналастырудың ең жақсы қауіпсіздік тәжірибесі. Жүйе үшін физикалық бөлек дискілердің болуы files қолданбаға қарсы files жүйе деректерін сыбайлас жемқорлық пен қауіпсіздік мәселелерінен қорғауға көмектеседі.
·
Интерфейсті оқшаулау
Бір түбірлік енгізу/шығару виртуализациясы немесе SR-IOV — Ethernet порты сияқты PCI Express (PCIe) ресурстарын оқшаулауға мүмкіндік беретін спецификация. SR-IOV көмегімен жалғыз Ethernet портын Виртуалды функциялар деп аталатын бірнеше, бөлек, физикалық құрылғылар ретінде көрсетуге болады. Осы адаптердегі барлық VF құрылғылары бірдей физикалық желі портын бөліседі. Қонақ осы Виртуалды функциялардың біреуін немесе бірнешеуін пайдалана алады. Виртуалды функция қонаққа желілік карта ретінде, операциялық жүйеге әдеттегі желі картасы сияқты көрінеді. Виртуалды функциялар жергілікті өнімділікке жақын және паравиртуалды драйверлер мен эмуляцияланған қатынасқа қарағанда жақсы өнімділікті қамтамасыз етеді. Виртуалды функциялар деректер аппараттық құрал арқылы басқарылатын және басқарылатын бір физикалық сервердегі қонақтар арасында деректерді қорғауды қамтамасыз етеді. NFVIS VNF құрылғылары WAN және LAN Backplane порттарына қосылу үшін SR-IOV желілерін пайдалана алады.
Қауіпсіздік мәселелері 28
Қауіпсіздікті қарастыру
Қауіпсіз дамудың өмірлік циклі
Әрбір осындай VM виртуалды интерфейске және VM арасында деректерді қорғауға қол жеткізетін оның қатысты ресурстарына ие.
Қауіпсіз дамудың өмірлік циклі
NFVIS бағдарламалық қамтамасыз ету үшін қауіпсіз дамудың өмірлік циклін (SDL) бақылайды. Бұл осалдықтарды азайтуға және Cisco шешімдерінің қауіпсіздігі мен тұрақтылығын арттыруға арналған қайталанатын, өлшенетін процесс. Cisco SDL өрісте табылған өнім қауіпсіздігі инциденттері аз болатын сенімді шешімдерді құру үшін жетекші салалық тәжірибелер мен технологияларды қолданады. Әрбір NFVIS шығарылымы келесі процестерден өтеді.
· Cisco-ның ішкі және нарыққа негізделген өнім қауіпсіздігі талаптарын орындау • осалдықты бақылау үшін Cisco орталық репозиторийінде үшінші тарап бағдарламалық құралын тіркеу · CVE үшін белгілі түзетулері бар бағдарламалық құралды мерзімді түрде түзету. · Қауіпсіздікті ескере отырып бағдарламалық құралды жобалау · CiscoSSL сияқты тексерілген жалпы қауіпсіздік модульдерін пайдалану, іске қосу сияқты қауіпсіз кодтау тәжірибелеріне сүйену.
Статикалық талдау және пәрменді енгізуді болдырмау үшін енгізуді тексеруді жүзеге асыру, т.б. · IBM AppScan, Nessus және басқа Cisco ішкі құралдары сияқты қолданбалы қауіпсіздік құралдарын пайдалану.
Қауіпсіздік мәселелері 29
Қауіпсіз дамудың өмірлік циклі
Қауіпсіздікті қарастыру
Қауіпсіздік мәселелері 30
Құжаттар / Ресурстар
 |
CISCO Enterprise Network Function Виртуализация инфрақұрылымының бағдарламалық құралы [pdf] Пайдаланушы нұсқаулығы Кәсіпорынның желілік функциясын виртуалдандыру инфрақұрылымының бағдарламалық жасақтамасы, кәсіпорынның, желілік функциясының виртуалды инфрақұрылымының бағдарламалық құралы, виртуализацияның инфрақұрылымының бағдарламалық құралы, инфрақұрылымның бағдарламалық құралы |
