Softueri i Infrastrukturës së Virtualizimit të Funksionit të Rrjetit të Ndërmarrjeve
Informacioni i produktit
Specifikimet
- Versioni i softuerit NFVIS: 3.7.1 dhe më vonë
- Mbështet nënshkrimi i RPM dhe verifikimi i nënshkrimit
- Disponohet nisja e sigurt (e çaktivizuar si parazgjedhje)
- Përdoret mekanizmi Secure Unique Device Identification (SUDI).
Konsideratat e Sigurisë
Softueri NFVIS siguron siguri përmes të ndryshmeve
mekanizmat:
- Imazhi TampMbrojtja: Nënshkrimi i RPM dhe verifikimi i nënshkrimit
për të gjitha paketat RPM në ISO dhe përmirësimin e imazheve. - Nënshkrimi RPM: Të gjitha paketat RPM në Cisco Enterprise NFVIS ISO
dhe imazhet e përmirësimit janë nënshkruar për të siguruar integritetin kriptografik dhe
autenticiteti. - Verifikimi i Nënshkrimit RPM: Nënshkrimi i të gjitha paketave RPM është
verifikuar përpara instalimit ose përmirësimit. - Verifikimi i integritetit të imazhit: Hash i imazhit ISO të Cisco NFVIS
dhe imazhi i përditësimit publikohet për të siguruar integritetin e shtesës
jo-RPM files. - ENCS Secure Boot: Pjesë e standardit UEFI, siguron që
pajisja nis vetëm duke përdorur softuer të besuar. - Secure Unique Device Identification (SUDI): Ofron pajisjen
me një identitet të pandryshueshëm për të verifikuar vërtetësinë e tij.
Instalimi
Për të instaluar softuerin NFVIS, ndiqni këto hapa:
- Sigurohuni që imazhi i softuerit të mos jetë tampered me nga
duke verifikuar nënshkrimin dhe integritetin e tij. - Nëse përdorni Cisco Enterprise NFVIS 3.7.1 e më të reja, sigurohuni që
verifikimi i nënshkrimit kalon gjatë instalimit. Nëse dështon,
instalimi do të ndërpritet. - Nëse përmirësohet nga Cisco Enterprise NFVIS 3.6.x në Release
3.7.1, nënshkrimet RPM verifikohen gjatë përmirësimit. Nëse
verifikimi i nënshkrimit dështon, një gabim është regjistruar, por përmirësimi është
përfunduar. - Nëse përmirësohet nga versioni 3.7.1 në versionet e mëvonshme, RPM
nënshkrimet verifikohen kur regjistrohet imazhi i përmirësimit. Nëse
verifikimi i nënshkrimit dështon, përmirësimi ndërpritet. - Verifikoni hash-in e imazhit ISO të Cisco NFVIS ose imazhin e përditësimit
duke përdorur komandën:/usr/bin/sha512sum. Krahasoni hash-in me atë të publikuar
<image_filepath>
hash për të siguruar integritetin.
Çizme e sigurt
Nisja e sigurt është një veçori e disponueshme në ENCS (e çaktivizuar si parazgjedhje)
kjo siguron që pajisja të nis vetëm duke përdorur softuer të besuar. te
aktivizoni nisjen e sigurt:
- Për më shumë, referojuni dokumentacionit në Secure Boot of Host
informacion. - Ndiqni udhëzimet e dhëna për të aktivizuar nisjen e sigurt në tuaj
pajisje.
Identifikimi i sigurt i pajisjes unike (SUDI)
SUDI i siguron NFVIS një identitet të pandryshueshëm, duke e verifikuar atë
është një produkt i vërtetë Cisco dhe siguron njohjen e tij në
sistemi i inventarit të klientit.
FAQ
Pyetje: Çfarë është NFVIS?
Përgjigje: NFVIS do të thotë Virtualizimi i Funksionit të Rrjetit
Software Infrastrukture. Është një platformë softuerike që përdoret për t'u vendosur
dhe menaxhoni funksionet e rrjetit virtual.
Pyetje: Si mund të verifikoj integritetin e imazhit NFVIS ISO ose
përmirësoni imazhin?
Përgjigje: Për të verifikuar integritetin, përdorni komandën
/usr/bin/sha512sum <image_filepath> dhe krahasoni
hash me hash-in e publikuar të ofruar nga Cisco.
Pyetje: A është aktivizuar si parazgjedhje nisja e sigurt në ENCS?
Përgjigje: Jo, nisja e sigurt është çaktivizuar si parazgjedhje në ENCS. është
rekomandohet për të aktivizuar nisjen e sigurt për siguri të shtuar.
Pyetje: Cili është qëllimi i SUDI në NFVIS?
Përgjigje: SUDI i siguron NFVIS një identitet unik dhe të pandryshueshëm,
sigurimin e origjinalitetit të tij si produkt Cisco dhe lehtësimin e tij
njohja në sistemin e inventarit të klientit.
Konsideratat e Sigurisë
Ky kapitull përshkruan veçoritë dhe konsideratat e sigurisë në NFVIS. Ajo jep një nivel të lartë mbiview të komponentëve të lidhur me sigurinë në NFVIS për të planifikuar një strategji sigurie për vendosjet specifike për ju. Ai gjithashtu ka rekomandime për praktikat më të mira të sigurisë për zbatimin e elementeve thelbësore të sigurisë së rrjetit. Softueri NFVIS ka siguri të integruar që nga instalimi përmes të gjitha shtresave të softuerit. Kapitujt vijues përqendrohen në këto aspekte të sigurisë jashtë kutisë si menaxhimi i kredencialeve, integriteti dhe tampmbrojtja, menaxhimi i sesioneve, aksesi i sigurt i pajisjes dhe më shumë.
· Instalimi, në faqen 2 · Identifikimi unik i Sigurt i pajisjes, në faqen 3 · Qasja në pajisje, në faqen 4
Konsideratat e sigurisë 1
Instalimi
Konsideratat e Sigurisë
· Rrjeti i menaxhimit të infrastrukturës, në faqen 22 · Mbrojtja e informacionit të ruajtur në vend, në faqen 23 · File Transferimi, në faqen 24 · Regjistrimi, në faqen 24 · Siguria e makinës virtuale, në faqen 25 · Izolimi i VM dhe sigurimi i burimeve, në faqen 26 · Cikli i jetës së zhvillimit të sigurt, në faqen 29
Instalimi
Për të siguruar që softueri NFVIS nuk është tampme , imazhi i softuerit verifikohet përpara instalimit duke përdorur mekanizmat e mëposhtëm:
Imazhi Tamper Mbrojtja
NFVIS mbështet nënshkrimin RPM dhe verifikimin e nënshkrimit për të gjitha paketat RPM në ISO dhe imazhet e përditësimit.
Nënshkrimi RPM
Të gjitha paketat RPM në Cisco Enterprise NFVIS ISO dhe imazhet e përditësuara janë nënshkruar për të siguruar integritetin dhe origjinalitetin kriptografik. Kjo garanton që paketat RPM nuk janë tampme dhe paketat RPM janë nga NFVIS. Çelësi privat i përdorur për nënshkrimin e paketave RPM është krijuar dhe mirëmbajtur në mënyrë të sigurt nga Cisco.
Verifikimi i Nënshkrimit RPM
Softueri NFVIS verifikon nënshkrimin e të gjitha paketave RPM përpara një instalimi ose përmirësimi. Tabela e mëposhtme përshkruan sjelljen e Cisco Enterprise NFVIS kur verifikimi i nënshkrimit dështon gjatë një instalimi ose përmirësimi.
Skenari
Përshkrimi
Cisco Enterprise NFVIS 3.7.1 dhe instalimet e mëvonshme Nëse verifikimi i nënshkrimit dështon gjatë instalimit të Cisco Enterprise NFVIS, instalimi ndërpritet.
Përmirësimi i Cisco Enterprise NFVIS nga 3.6.x në versionin 3.7.1
Nënshkrimet RPM verifikohen kur po kryhet përmirësimi. Nëse verifikimi i nënshkrimit dështon, regjistrohet një gabim, por përmirësimi ka përfunduar.
Përmirësimi i Cisco Enterprise NFVIS nga Release 3.7.1 Nënshkrimet RPM verifikohen kur përmirësohet
për publikimet e mëvonshme
imazhi është i regjistruar. Nëse verifikimi i nënshkrimit dështon,
përmirësimi është ndërprerë.
Verifikimi i integritetit të imazhit
Nënshkrimi i RPM dhe verifikimi i nënshkrimit mund të bëhet vetëm për paketat RPM të disponueshme në Cisco NFVIS ISO dhe imazhet e përditësuara. Për të siguruar integritetin e të gjitha jo-RPM shtesë fileNë dispozicion në imazhin Cisco NFVIS ISO, një hash i imazhit Cisco NFVIS ISO publikohet së bashku me imazhin. Në mënyrë të ngjashme, një hash i imazhit të azhurnimit të Cisco NFVIS publikohet së bashku me imazhin. Për të verifikuar se hash-i i Cisco-s
Konsideratat e sigurisë 2
Konsideratat e Sigurisë
ENCS Secure Boot
Imazhi ISO NFVIS ose imazhi i përmirësimit përputhet me hash-in e publikuar nga Cisco, ekzekutoni komandën e mëposhtme dhe krahasoni hash-in me hash-in e publikuar:
% /usr/bin/sha512sumFile> c2122783efc18b039246ae1bcd4eec4e5e027526967b5b809da5632d462dfa6724a9b20ec318c74548c6bd7e9b8217ce96b5ece93dcdd74fda5e01bb382ad607
<ImageFile>
ENCS Secure Boot
Nisja e sigurt është pjesë e standardit të Unified Extensible Firmware Interface (UEFI) i cili siguron që një pajisje të niset vetëm duke përdorur një softuer që i besohet Prodhuesi i Pajisjeve Origjinale (OEM). Kur NFVIS fillon, firmware kontrollon nënshkrimin e softuerit të nisjes dhe sistemit operativ. Nëse nënshkrimet janë të vlefshme, pajisja niset dhe firmware i jep kontrollin sistemit operativ.
Nisja e sigurt është e disponueshme në ENCS, por është çaktivizuar si parazgjedhje. Cisco ju rekomandon të aktivizoni nisjen e sigurt. Për më shumë informacion, shihni Secure Boot of Host.
Identifikimi i sigurt i pajisjes unike
NFVIS përdor një mekanizëm të njohur si Secure Unique Device Identification (SUDI), i cili i siguron atij një identitet të pandryshueshëm. Ky identitet përdoret për të verifikuar që pajisja është një produkt i vërtetë Cisco dhe për të siguruar që pajisja është e njohur për sistemin e inventarit të klientit.
SUDI është një certifikatë X.509v3 dhe një çift çelësash të lidhur që mbrohen në harduer. Certifikata SUDI përmban identifikuesin e produktit dhe numrin serial dhe është i rrënjosur në Cisco Public Key Infrastructure. Çifti i çelësave dhe certifikata SUDI futen në modulin e harduerit gjatë prodhimit dhe çelësi privat nuk mund të eksportohet kurrë.
Identiteti i bazuar në SUDI mund të përdoret për të kryer konfigurimin e vërtetuar dhe të automatizuar duke përdorur Zero Touch Provisioning (ZTP). Kjo mundëson hipjen e sigurt, në distancë të pajisjeve dhe siguron që serveri i orkestrimit po flet me një pajisje të vërtetë NFVIS. Një sistem mbështetës mund të lëshojë një sfidë për pajisjen NFVIS për të vërtetuar identitetin e saj dhe pajisja do t'i përgjigjet sfidës duke përdorur identitetin e saj të bazuar në SUDI. Kjo lejon që sistemi mbështetës jo vetëm të verifikojë me inventarin e tij që pajisja e duhur është në vendndodhjen e duhur, por gjithashtu të sigurojë konfigurim të koduar që mund të hapet vetëm nga pajisja specifike, duke siguruar kështu konfidencialitetin në tranzit.
Diagramet e mëposhtme të rrjedhës së punës ilustrojnë se si NFVIS përdor SUDI:
Konsideratat e sigurisë 3
Qasja në pajisje Figura 1: Autentifikimi i serverit Plug and Play (PnP).
Konsideratat e Sigurisë
Figura 2: Autentifikimi dhe autorizimi i pajisjes Plug and Play
Aksesi në pajisje
NFVIS ofron mekanizma të ndryshëm aksesi duke përfshirë konsolën, si dhe aksesin në distancë të bazuar në protokolle si HTTPS dhe SSH. Çdo mekanizëm aksesi duhet të rishikohet me kujdesviewed dhe konfiguruar. Sigurohuni që vetëm mekanizmat e kërkuar të aksesit janë aktivizuar dhe se ato janë të siguruara siç duhet. Hapat kryesorë për të siguruar aksesin ndërveprues dhe menaxhues në NFVIS janë kufizimi i aksesit të pajisjes, kufizimi i aftësive të përdoruesve të lejuar në atë që kërkohet dhe kufizimi i metodave të lejuara të aksesit. NFVIS siguron që aksesi u jepet vetëm përdoruesve të vërtetuar dhe ata mund të kryejnë vetëm veprimet e autorizuara. Qasja në pajisje regjistrohet për auditim dhe NFVIS siguron konfidencialitetin e të dhënave sensitive të ruajtura në vend. Është thelbësore të vendosen kontrollet e duhura për të parandaluar aksesin e paautorizuar në NFVIS. Seksionet e mëposhtme përshkruajnë praktikat dhe konfigurimet më të mira për të arritur këtë:
Konsideratat e sigurisë 4
Konsideratat e Sigurisë
Ndryshim i detyrueshëm i fjalëkalimit në hyrjen e parë
Ndryshim i detyrueshëm i fjalëkalimit në hyrjen e parë
Kredencialet e paracaktuara janë një burim i shpeshtë i incidenteve të sigurisë së produktit. Klientët shpesh harrojnë të ndryshojnë kredencialet e paracaktuar të hyrjes duke i lënë sistemet e tyre të hapura për të sulmuar. Për të parandaluar këtë, përdoruesi i NFVIS detyrohet të ndryshojë fjalëkalimin pas hyrjes së parë duke përdorur kredencialet e paracaktuara (emri i përdoruesit: admin dhe fjalëkalimi Admin123#). Për më shumë informacion, shihni Qasja në NFVIS.
Kufizimi i dobësive të hyrjes
Ju mund të parandaloni cenueshmërinë ndaj sulmeve të fjalorit dhe të mohimit të shërbimit (DoS) duke përdorur veçoritë e mëposhtme.
Zbatimi i fjalëkalimit të fortë
Një mekanizëm vërtetimi është po aq i fortë sa kredencialet e tij. Për këtë arsye, është e rëndësishme të siguroheni që përdoruesit të kenë fjalëkalime të forta. NFVIS kontrollon nëse një fjalëkalim i fortë është konfiguruar sipas rregullave të mëposhtme: Fjalëkalimi duhet të përmbajë:
· Të paktën një karakter të madh · Të paktën një karakter të vogël · Të paktën një numër · Të paktën një nga këto karaktere speciale: hash (#), nënvizim (_), vizë (-), yll (*) ose pyetje
shenjë (?) · Shtatë karaktere ose më shumë · Gjatësia e fjalëkalimit duhet të jetë midis 7 dhe 128 karaktere.
Konfigurimi i gjatësisë minimale për fjalëkalimet
Mungesa e kompleksitetit të fjalëkalimit, veçanërisht gjatësia e fjalëkalimit, redukton ndjeshëm hapësirën e kërkimit kur sulmuesit përpiqen të hamendësojnë fjalëkalimet e përdoruesve, duke i bërë sulmet me forcë brutale shumë më të lehtë. Përdoruesi i administratorit mund të konfigurojë gjatësinë minimale të kërkuar për fjalëkalimet e të gjithë përdoruesve. Gjatësia minimale duhet të jetë ndërmjet 7 dhe 128 karaktere. Si parazgjedhje, gjatësia minimale e kërkuar për fjalëkalimet është vendosur në 7 karaktere. CLI:
nfvis(config)# vërtetimi rbac min-pwd-gjatësi 9
API:
/api/config/rbac/authentication/min-pwd-length
Konfigurimi i jetëgjatësisë së fjalëkalimit
Jetëgjatësia e fjalëkalimit përcakton se sa kohë mund të përdoret një fjalëkalim përpara se përdoruesit t'i kërkohet ta ndryshojë atë.
Konsideratat e sigurisë 5
Kufizoni ripërdorimin e mëparshëm të fjalëkalimit
Konsideratat e Sigurisë
Përdoruesi i administratorit mund të konfigurojë vlerat minimale dhe maksimale të jetëgjatësisë për fjalëkalimet për të gjithë përdoruesit dhe të zbatojë një rregull për të kontrolluar këto vlera. Vlera e paracaktuar minimale e jetëgjatësisë është vendosur në 1 ditë dhe vlera maksimale e paracaktuar e jetëgjatësisë është vendosur në 60 ditë. Kur konfigurohet një vlerë minimale e jetëgjatësisë, përdoruesi nuk mund ta ndryshojë fjalëkalimin derisa të ketë kaluar numri i caktuar i ditëve. Në mënyrë të ngjashme, kur konfigurohet një vlerë maksimale e jetëgjatësisë, një përdorues duhet të ndryshojë fjalëkalimin përpara se të kalojë numri i caktuar i ditëve. Nëse një përdorues nuk e ndryshon fjalëkalimin dhe numri i caktuar i ditëve ka kaluar, një njoftim i dërgohet përdoruesit.
Shënim Vlerat minimale dhe maksimale të jetëgjatësisë dhe rregulli për të kontrolluar këto vlera nuk zbatohen për përdoruesin e administratorit.
CLI:
konfiguro autentifikimin e terminalit rbac me fjalëkalim-gjatë jetës zbato min-ditë të vërteta 2 maksimum ditë 30 kryerje
API:
/api/config/rbac/authentication/password-lifetime/
Kufizoni ripërdorimin e mëparshëm të fjalëkalimit
Pa parandaluar përdorimin e frazave të mëparshme të kalimit, skadimi i fjalëkalimit është kryesisht i padobishëm pasi përdoruesit thjesht mund të ndryshojnë frazën e kalimit dhe më pas ta ndryshojnë atë në origjinal. NFVIS kontrollon që fjalëkalimi i ri nuk është i njëjtë me një nga 5 fjalëkalimet e përdorura më parë. Një përjashtim nga ky rregull është që përdoruesi i administratorit mund të ndryshojë fjalëkalimin në fjalëkalimin e paracaktuar edhe nëse ai ishte një nga 5 fjalëkalimet e përdorura më parë.
Kufizoni frekuencën e përpjekjeve për hyrje
Nëse një peer në distancë lejohet të identifikohet një numër të pakufizuar herë, ai përfundimisht mund të jetë në gjendje të hamendësojë kredencialet e hyrjes me forcë brutale. Meqenëse frazat kalimtare janë shpesh të lehta për t'u hamendësuar, ky është një sulm i zakonshëm. Duke kufizuar shkallën me të cilën kolegët mund të tentojnë hyrjen, ne e parandalojmë këtë sulm. Ne gjithashtu shmangim shpenzimin e burimeve të sistemit për vërtetimin e panevojshëm të këtyre përpjekjeve të hyrjes me forcë brutale, të cilat mund të krijojnë një sulm të mohimit të shërbimit. NFVIS zbaton një bllokim prej 5 minutash të përdoruesit pas 10 përpjekjeve të dështuara për hyrje.
Çaktivizo llogaritë joaktive të përdoruesve
Monitorimi i aktivitetit të përdoruesve dhe çaktivizimi i llogarive të përdoruesve të papërdorura ose të vjetruara ndihmon në sigurimin e sistemit nga sulmet e brendshme. Llogaritë e papërdorura duhet të hiqen përfundimisht. Përdoruesi i administratorit mund të zbatojë një rregull për të shënuar llogaritë e përdoruesve të papërdorura si joaktive dhe të konfigurojë numrin e ditëve pas të cilave një llogari përdoruesi e papërdorur shënohet si joaktive. Pasi të shënohet si joaktiv, ai përdorues nuk mund të identifikohet në sistem. Për të lejuar përdoruesin të identifikohet në sistem, përdoruesi i administratorit mund të aktivizojë llogarinë e përdoruesit.
Shënim Periudha e pasivitetit dhe rregulli për të kontrolluar periudhën e pasivitetit nuk zbatohen për përdoruesin e administratorit.
Konsideratat e sigurisë 6
Konsideratat e Sigurisë
Aktivizimi i një llogarie përdoruesi joaktive
CLI dhe API e mëposhtme mund të përdoren për të konfiguruar zbatimin e pasivitetit të llogarisë. CLI:
konfiguro terminalin e vërtetimit rbac të llogarisë-mosaktivitet zbato inaktivitetin e vërtetë-ditët 30 kryerja
API:
/api/config/rbac/authentication/account-inactivity/
Vlera e paracaktuar për ditët e pasivitetit është 35.
Aktivizimi i një llogarie përdoruesi joaktive Përdoruesi i administratorit mund të aktivizojë llogarinë e një përdoruesi joaktiv duke përdorur CLI dhe API të mëposhtme: CLI:
konfiguro terminalin rbac authentication user user guest_user activate commit
API:
/api/operations/rbac/authentication/users/user/username/activate
Zbatoni vendosjen e fjalëkalimeve të BIOS dhe CIMC
Tabela 1: Tabela e Historisë së Veçorive
Emri i veçorisë
Informacioni i publikimit
Zbatoni cilësimin e fjalëkalimeve BIOS dhe CIMC NFVIS 4.7.1
Përshkrimi
Kjo veçori e detyron përdoruesin të ndryshojë fjalëkalimin e paracaktuar për CIMC dhe BIOS.
Kufizime për zbatimin e përcaktimit të fjalëkalimeve të BIOS dhe CIMC
· Ky funksion mbështetet vetëm në platformat Cisco Catalyst 8200 UCPE dhe Cisco ENCS 5400.
· Ky funksion mbështetet vetëm në një instalim të ri të NFVIS 4.7.1 dhe versionet e mëvonshme. Nëse përmirësoni nga NFVIS 4.6.1 në NFVIS 4.7.1, kjo veçori nuk mbështetet dhe nuk ju kërkohet të rivendosni fjalëkalimet e BIOS dhe CIMS, edhe nëse fjalëkalimet BIOS dhe CIMC nuk janë të konfiguruara.
Informacion rreth zbatimit të cilësimeve të fjalëkalimeve BIOS dhe CIMC
Kjo veçori trajton një boshllëk sigurie duke zbatuar rivendosjen e fjalëkalimeve të BIOS dhe CIMC pas një instalimi të ri të NFVIS 4.7.1. Fjalëkalimi i parazgjedhur i CIMC është fjalëkalimi dhe fjalëkalimi i parazgjedhur i BIOS-it është pa fjalëkalim.
Për të rregulluar boshllëkun e sigurisë, ju detyroheni të konfiguroni fjalëkalimet BIOS dhe CIMC në ENCS 5400. Gjatë një instalimi të ri të NFVIS 4.7.1, nëse fjalëkalimet BIOS dhe CIMC nuk janë ndryshuar dhe janë ende
Konsideratat e sigurisë 7
Konfigurimi p.shamples për rivendosjen e detyrueshme të fjalëkalimeve BIOS dhe CIMC
Konsideratat e Sigurisë
fjalëkalimet e paracaktuara, atëherë do t'ju kërkohet të ndryshoni fjalëkalimet e BIOS dhe CIMC. Nëse vetëm njëri prej tyre kërkon rivendosje, do t'ju kërkohet të rivendosni fjalëkalimin vetëm për atë komponent. Cisco Catalyst 8200 UCPE kërkon vetëm fjalëkalimin e BIOS-it dhe për këtë arsye kërkohet vetëm rivendosja e fjalëkalimit të BIOS-it, nëse nuk është vendosur tashmë.
Shënim Nëse përmirësoni nga çdo version i mëparshëm në NFVIS 4.7.1 ose versione të mëvonshme, mund të ndryshoni fjalëkalimet e BIOS dhe CIMC duke përdorur komandat e hostaction change-bios-password newpassword ose hostaction change-cimc-password newpassword.
Për më shumë informacion rreth fjalëkalimeve BIOS dhe CIMC, shihni Fjalëkalimi BIOS dhe CIMC.
Konfigurimi p.shamples për rivendosjen e detyrueshme të fjalëkalimeve BIOS dhe CIMC
1. Kur instaloni NFVIS 4.7.1, fillimisht duhet të rivendosni fjalëkalimin e paracaktuar të administratorit.
Softueri i Infrastrukturës së Virtualizimit të Funksionit të Rrjetit Cisco (NFVIS)
Versioni NFVIS: 99.99.0-1009
E drejta e autorit (c) 2015-2021 nga Cisco Systems, Inc. Cisco, Cisco Systems dhe logoja e Cisco Systems janë marka tregtare të regjistruara të Cisco Systems, Inc. dhe/ose filialeve të saj në SHBA dhe disa vende të tjera.
Të drejtat e autorit për disa vepra të përfshira në këtë softuer janë në pronësi të palëve të treta dhe përdoren dhe shpërndahen sipas marrëveshjeve të licencës së palëve të treta. Disa komponentë të këtij softueri janë të licencuar sipas GNU GPL 2.0, GPL 3.0, LGPL 2.1, LGPL 3.0 dhe AGPL 3.0.
administratori i lidhur nga 10.24.109.102 duke përdorur ssh në nfvis administratori i regjistruar me kredencialet e paracaktuar Ju lutemi jepni një fjalëkalim që plotëson kriteret e mëposhtme:
1. Të paktën një karakter të vogël 2. Të paktën një karakter i madh 3. Të paktën një numër 4. Të paktën një karakter special nga # _ – * ? 5.Gjatësia duhet të jetë midis 7 dhe 128 karaktere Ju lutemi rivendosni fjalëkalimin: Ju lutemi rifusni fjalëkalimin:
Rivendosja e fjalëkalimit të administratorit
2. Në platformat Cisco Catalyst 8200 UCPE dhe Cisco ENCS 5400 kur kryeni një instalim të ri të NFVIS 4.7.1 ose versioneve të mëvonshme, duhet të ndryshoni fjalëkalimet e paracaktuar të BIOS dhe CIMC. Nëse fjalëkalimet BIOS dhe CIMC nuk janë konfiguruar më parë, sistemi ju kërkon të rivendosni fjalëkalimet BIOS dhe CIMC për Cisco ENCS 5400 dhe vetëm fjalëkalimin BIOS për Cisco Catalyst 8200 UCPE.
Është vendosur fjalëkalimi i ri i administratorit
Ju lutemi jepni fjalëkalimin e BIOS-it i cili plotëson kriteret e mëposhtme: 1. Të paktën një karakter të vogël 2. Të paktën një karakter të madh 3. Të paktën një numër 4. Të paktën një karakter special nga #, @ ose _ 5. Gjatësia duhet të jetë ndërmjet 8 dhe 20 karaktere 6. Nuk duhet të përmbajë asnjë nga vargjet e mëposhtme (të ndjeshme ndaj shkronjave të vogla): bios 7. Karakteri i parë nuk mund të jetë një #
Konsideratat e sigurisë 8
Konsideratat e Sigurisë
Verifikoni fjalëkalimet e BIOS dhe CIMC
Ju lutemi rivendosni fjalëkalimin e BIOS-it: Ju lutemi rifusni fjalëkalimin e BIOS-it: Ju lutemi jepni fjalëkalimin CIMC i cili plotëson kriteret e mëposhtme:
1. Të paktën një karakter të vogël 2. Të paktën një karakter të madh 3. Të paktën një numër 4. Të paktën një karakter special nga #, @ ose _ 5. Gjatësia duhet të jetë ndërmjet 8 dhe 20 karaktere 6. Nuk duhet të përmbajë asnjë nga vargjet e mëposhtme (të ndjeshme ndaj shkronjave të vogla): admin Ju lutemi rivendosni fjalëkalimin CIMC: Ju lutemi rifusni fjalëkalimin CIMC:
Verifikoni fjalëkalimet e BIOS dhe CIMC
Për të verifikuar nëse fjalëkalimet e BIOS dhe CIMC janë ndryshuar me sukses, përdorni regjistrin e shfaqjes nfvis_config.log | përfshini BIOS-in ose shfaqni regjistrin nfvis_config.log | përfshijnë komandat CIMC:
nfvis# tregoni regjistrin nfvis_config.log | përfshijnë BIOS
2021-11-16 15:24:40,102 INFO
[hostaction:/system/settings] [] Ndryshimi i fjalëkalimit të BIOSështë i suksesshëm
Ju gjithashtu mund të shkarkoni nfvis_config.log file dhe verifikoni nëse fjalëkalimet janë rivendosur me sukses.
Integrimi me serverë të jashtëm AAA
Përdoruesit identifikohen në NFVIS përmes ssh ose Web UI. Në secilin rast, përdoruesit duhet të vërtetohen. Kjo do të thotë, një përdorues duhet të paraqesë kredencialet e fjalëkalimit në mënyrë që të ketë akses.
Pasi një përdorues është vërtetuar, të gjitha operacionet e kryera nga ai përdorues duhet të autorizohen. Kjo do të thotë, përdorues të caktuar mund të lejohen të kryejnë detyra të caktuara, ndërsa të tjerë jo. Ky quhet autorizim.
Rekomandohet që të vendoset një server i centralizuar AAA për të zbatuar vërtetimin e identifikimit të bazuar në AAA për çdo përdorues për aksesin NFVIS. NFVIS mbështet protokollet RADIUS dhe TACACS për të ndërmjetësuar aksesin në rrjet. Në serverin AAA, vetëm privilegjet minimale të aksesit duhet t'u jepen përdoruesve të vërtetuar sipas kërkesave të tyre specifike të aksesit. Kjo zvogëlon ekspozimin ndaj incidenteve me qëllim të keq dhe të paqëllimshëm të sigurisë.
Për më shumë informacion mbi vërtetimin e jashtëm, shihni Konfigurimi i RADIUS-it dhe konfigurimi i një serveri TACACS+.
Cache e vërtetimit për serverin e jashtëm të vërtetimit
Emri i veçorisë
Informacioni i publikimit
Cache e vërtetimit për serverin e jashtëm NFVIS 4.5.1
Përshkrimi
Ky funksion mbështet vërtetimin TACACS përmes OTP në portalin NFVIS.
Portali NFVIS përdor të njëjtin fjalëkalim një herë (OTP) për të gjitha thirrjet API pas vërtetimit fillestar. Thirrjet API dështojnë sapo OTP skadon. Ky funksion mbështet vërtetimin TACACS OTP me portalin NFVIS.
Pasi të keni vërtetuar me sukses përmes serverit TACACS duke përdorur një OTP, NFVIS krijon një hyrje hash duke përdorur emrin e përdoruesit dhe OTP dhe e ruan këtë vlerë hash në nivel lokal. Kjo vlerë hash e ruajtur në nivel lokal ka
Konsideratat e sigurisë 9
Kontrolli i aksesit i bazuar në role
Konsideratat e Sigurisë
një kohë skadimi rramp lidhur me të. Koha rramp ka të njëjtën vlerë me vlerën e skadimit të seancës SSH e cila është 15 minuta. Të gjitha kërkesat e mëpasshme të vërtetimit me të njëjtin emër përdoruesi vërtetohen fillimisht me këtë vlerë hash lokale. Nëse vërtetimi dështon me hash-in lokal, NFVIS vërteton këtë kërkesë me serverin TACACS dhe krijon një hyrje të re hash kur vërtetimi është i suksesshëm. Nëse një hyrje hash ekziston tashmë, koha është rramp rivendoset në 15 minuta.
Nëse jeni hequr nga serveri TACACS pasi keni hyrë me sukses në portal, mund të vazhdoni të përdorni portalin derisa të skadojë hyrja hash në NFVIS.
Kur dilni në mënyrë të qartë nga portali NFVIS ose jeni loguar për shkak të kohës së papunë, portali thërret një API të re për të njoftuar backend-in NFVIS për të pastruar hyrjen e hash-it. Memoria e fshehtë e vërtetimit dhe të gjitha hyrjet e saj pastrohen pas rindezjes së NFVIS, rivendosjes së fabrikës ose përmirësimit.
Kontrolli i aksesit i bazuar në role
Kufizimi i aksesit në rrjet është i rëndësishëm për organizatat që kanë shumë punonjës, punësojnë kontraktorë ose lejojnë aksesin tek palët e treta, si klientët dhe shitësit. Në një skenar të tillë, është e vështirë të monitorohet në mënyrë efektive aksesi në rrjet. Në vend të kësaj, është më mirë të kontrollohet ajo që është e aksesueshme, në mënyrë që të sigurohen të dhënat e ndjeshme dhe aplikacionet kritike.
Kontrolli i aksesit i bazuar në role (RBAC) është një metodë e kufizimit të aksesit në rrjet bazuar në rolet e përdoruesve individualë brenda një ndërmarrje. RBAC i lejon përdoruesit të aksesojnë vetëm informacionin që u nevojitet dhe i pengon ata të kenë akses në informacione që nuk u përkasin atyre.
Roli i një punonjësi në ndërmarrje duhet të përdoret për të përcaktuar lejet e dhëna, në mënyrë që të sigurohet që punonjësit me privilegje më të ulëta të mos kenë akses në informacione të ndjeshme ose të kryejnë detyra kritike.
Rolet dhe privilegjet e mëposhtme të përdoruesve janë përcaktuar në NFVIS
Roli i përdoruesit
Privilegj
Administratorët
Mund të konfigurojë të gjitha veçoritë e disponueshme dhe të kryejë të gjitha detyrat duke përfshirë ndryshimin e roleve të përdoruesit. Administratori nuk mund të fshijë infrastrukturën bazë që është thelbësore për NFVIS. Roli i përdoruesit të administratorit nuk mund të ndryshohet; është gjithmonë “administratorë”.
Operatorët
Mund të nisë dhe ndalojë një VM, dhe view të gjitha informacionet.
Auditorët
Ata janë përdoruesit më pak të privilegjuar. Ata kanë leje vetëm për lexim dhe për këtë arsye, nuk mund të modifikojnë asnjë konfigurim.
Përfitimet e RBAC
Ka një sërë përfitimesh nga përdorimi i RBAC për të kufizuar aksesin e panevojshëm në rrjet bazuar në rolet e njerëzve brenda një organizate, duke përfshirë:
· Përmirësimi i efikasitetit operacional.
Pasja e roleve të paracaktuara në RBAC e bën të lehtë përfshirjen e përdoruesve të rinj me privilegjet e duhura ose ndërrimin e roleve të përdoruesve ekzistues. Ai gjithashtu zvogëlon mundësinë e gabimit kur caktohen lejet e përdoruesit.
· Rritja e pajtueshmërisë.
Konsideratat e sigurisë 10
Konsideratat e Sigurisë
Kontrolli i aksesit i bazuar në role
Çdo organizatë duhet të jetë në përputhje me rregulloret lokale, shtetërore dhe federale. Në përgjithësi, kompanitë preferojnë të zbatojnë sistemet RBAC për të përmbushur kërkesat rregullatore dhe statutore për konfidencialitetin dhe privatësinë, sepse drejtuesit dhe departamentet e IT-së mund të menaxhojnë në mënyrë më efektive se si aksesohen dhe përdoren të dhënat. Kjo është veçanërisht e rëndësishme për institucionet financiare dhe kompanitë e kujdesit shëndetësor që menaxhojnë të dhëna të ndjeshme.
· Reduktimi i kostove. Duke mos lejuar aksesin e përdoruesit në procese dhe aplikacione të caktuara, kompanitë mund të ruajnë ose përdorin burime të tilla si gjerësia e brezit të rrjetit, memoria dhe ruajtja në një mënyrë me kosto efektive.
· Ulja e rrezikut të shkeljeve dhe rrjedhjes së të dhënave. Zbatimi i RBAC nënkupton kufizimin e aksesit në informacione të ndjeshme, duke reduktuar kështu mundësinë për shkelje të të dhënave ose rrjedhje të të dhënave.
Praktikat më të mira për zbatimin e kontrollit të aksesit të bazuar në role · Si administrator, përcaktoni listën e përdoruesve dhe caktoni përdoruesit në rolet e paracaktuara. Për shembullampLe, përdoruesi “networkadmin” mund të krijohet dhe të shtohet në grupin e përdoruesve “administratorë”.
konfiguro terminalin e vërtetimit rbac përdoruesit krijojnë-emrin e përdoruesit fjalëkalimi i rrjetitadmin Test1_pass roli i administratorëve angazhohen
Shënim Grupet ose rolet e përdoruesve krijohen nga sistemi. Ju nuk mund të krijoni ose modifikoni një grup përdoruesish. Për të ndryshuar fjalëkalimin, përdorni komandën e ndryshimit të fjalëkalimit të përdoruesve të autentifikimit rbac në modalitetin e konfigurimit global. Për të ndryshuar rolin e përdoruesit, përdorni komandën e ndryshimit të rolit të përdoruesit për autentifikimin rbac të përdoruesve në modalitetin e konfigurimit global.
· Përfundoni llogaritë për përdoruesit që nuk kërkojnë më akses.
konfiguroni terminalin e vërtetimit rbac të përdoruesve të fshirjes-emrit të përdoruesit test1
· Kryeni periodikisht auditime për të vlerësuar rolet, punonjësit që u janë caktuar dhe aksesin që lejohet për secilin rol. Nëse zbulohet se një përdorues ka akses të panevojshëm në një sistem të caktuar, ndryshoni rolin e përdoruesit.
Për më shumë detaje shihni, Përdoruesit, Rolet dhe Autentifikimi
Kontrolli i aksesit i bazuar në role granulare Duke filluar nga NFVIS 4.7.1, prezantohet veçoria Granular Role Based Access Control. Ky funksion shton një politikë të re të grupit të burimeve që menaxhon VM dhe VNF dhe ju lejon të caktoni përdoruesit në një grup për të kontrolluar aksesin VNF, gjatë vendosjes së VNF. Për më shumë informacion, shihni Kontrollin e Qasjes së Bazuar në Role Granular.
Konsideratat e sigurisë 11
Kufizo aksesueshmërinë e pajisjes
Konsideratat e Sigurisë
Kufizo aksesueshmërinë e pajisjes
Përdoruesit janë kapur vazhdimisht të pavetëdijshëm nga sulmet kundër veçorive që nuk i kishin mbrojtur, sepse nuk e dinin që ato veçori ishin aktivizuar. Shërbimet e papërdorura priren të lihen me konfigurime të paracaktuara të cilat nuk janë gjithmonë të sigurta. Këto shërbime mund të përdorin gjithashtu fjalëkalime të paracaktuara. Disa shërbime mund t'i japin një sulmuesi akses të lehtë në informacionin se çfarë funksionon serveri ose se si është konfiguruar rrjeti. Seksionet e mëposhtme përshkruajnë se si NFVIS shmang rreziqe të tilla sigurie:
Reduktimi i vektorit të sulmit
Çdo pjesë e softuerit potencialisht mund të përmbajë dobësi sigurie. Më shumë softuer do të thotë më shumë rrugë për sulm. Edhe nëse nuk ka dobësi të njohura publikisht në kohën e përfshirjes, dobësitë ndoshta do të zbulohen ose zbulohen në të ardhmen. Për të shmangur skenarë të tillë, instalohen vetëm ato paketa softuerike që janë thelbësore për funksionalitetin NFVIS. Kjo ndihmon për të kufizuar dobësitë e softuerit, për të zvogëluar konsumin e burimeve dhe për të zvogëluar punën shtesë kur gjenden probleme me ato paketa. I gjithë softueri i palëve të treta i përfshirë në NFVIS regjistrohet në një bazë të dhënash qendrore në Cisco në mënyrë që Cisco të jetë në gjendje të kryejë një përgjigje të organizuar në nivel kompanie (Ligjore, Siguri, etj). Paketat e softuerit rregullohen periodikisht në çdo version për dobësitë dhe ekspozimet e zakonshme të njohura (CVE).
Aktivizimi i vetëm porteve thelbësore si parazgjedhje
Vetëm ato shërbime që janë absolutisht të nevojshme për të konfiguruar dhe menaxhuar NFVIS janë të disponueshme si parazgjedhje. Kjo heq përpjekjen e përdoruesit që nevojitet për të konfiguruar muret e zjarrit dhe për të mohuar aksesin në shërbimet e panevojshme. Të vetmet shërbime që janë aktivizuar si parazgjedhje janë renditur më poshtë së bashku me portat që hapin.
Porta e hapur
Shërbimi
Përshkrimi
22/TCP
SSH
Secure Socket Shell për qasje në distancë në linjën e komandës në NFVIS
80/TCP
HTTP
Protokolli i Transferimit të Hipertekstit për hyrjen në portalin NFVIS. I gjithë trafiku HTTP i marrë nga NFVIS ridrejtohet në portin 443 për HTTPS
443/TCP
HTTPS
Protokolli i transferimit të hipertekstit i sigurt për qasje të sigurt në portalin NFVIS
830/TCP
NETCONF-ssh
Porta e hapur për Protokollin e Konfigurimit të Rrjetit (NETCONF) mbi SSH. NETCONF është një protokoll i përdorur për konfigurimin e automatizuar të NFVIS dhe për marrjen e njoftimeve të ngjarjeve asinkrone nga NFVIS.
161/UDP
SNMP
Protokolli i thjeshtë i menaxhimit të rrjetit (SNMP). Përdoret nga NFVIS për të komunikuar me aplikacione të monitorimit të rrjetit në distancë. Për më shumë informacion, shihni, Hyrje rreth SNMP
Konsideratat e sigurisë 12
Konsideratat e Sigurisë
Kufizoni aksesin në rrjetet e autorizuara për shërbimet e autorizuara
Kufizoni aksesin në rrjetet e autorizuara për shërbimet e autorizuara
Vetëm autorët e autorizuar duhet të lejohen të tentojnë të kenë qasje në menaxhimin e pajisjes dhe qasja duhet të jetë vetëm në shërbimet që ata janë të autorizuar të përdorin. NFVIS mund të konfigurohet në mënyrë të tillë që qasja të kufizohet në burime të njohura, të besueshme dhe të pritshme të menaxhimit të trafikut.files. Kjo zvogëlon rrezikun e aksesit të paautorizuar dhe ekspozimit ndaj sulmeve të tjera, të tilla si forca brutale, fjalori ose sulmet DoS.
Për të mbrojtur ndërfaqet e menaxhimit NFVIS nga trafiku i panevojshëm dhe potencialisht i dëmshëm, një përdorues administratori mund të krijojë Listat e Kontrollit të Aksesit (ACL) për trafikun e rrjetit që merret. Këto ACL specifikojnë adresat/rrjetet IP të burimit nga e kanë origjinën trafiku dhe llojin e trafikut që lejohet ose refuzohet nga këto burime. Këto filtra të trafikut IP aplikohen në secilën ndërfaqe të menaxhimit në NFVIS. Parametrat e mëposhtëm janë konfiguruar në një listë të kontrollit të aksesit të marrë IP (ip-receive-acl)
Parametri
Vlera
Përshkrimi
Rrjeti burimor/Netmask
Rrjeti/maskë rrjeti. Për shembullample: 0.0.0.0/0
172.39.162.0/24
Kjo fushë specifikon adresën/rrjetin IP nga i cili buron trafiku
Veprimi i Shërbimit
https icmp netconf scpd snmp ssh prano refuzimin e rënies
Lloji i trafikut nga burimi i specifikuar.
Veprimet që duhen ndërmarrë në trafikun nga rrjeti burimor. Me pranim, do të jepen përpjekje të reja për lidhje. Me refuzimin, përpjekjet për lidhje nuk do të pranohen. Nëse rregulli është për një shërbim të bazuar në TCP si HTTPS, NETCONF, SCP, SSH, burimi do të marrë një paketë të rivendosur TCP (RST). Për rregullat jo-TCP si SNMP dhe ICMP, paketa do të hiqet. Me rënie, të gjitha paketat do të hidhen menjëherë, nuk ka asnjë informacion të dërguar në burim.
Konsideratat e sigurisë 13
Qasje e privilegjuar e korrigjimit
Konsideratat e Sigurisë
Prioriteti i parametrit
Vlera Një vlerë numerike
Përshkrimi
Prioriteti përdoret për të zbatuar një urdhër mbi rregullat. Rregullat me një vlerë numerike më të lartë për përparësi do të shtohen më poshtë në zinxhir. Nëse dëshironi të siguroheni që një rregull do të shtohet pas një tjetri, përdorni një numër me përparësi të ulët për të parën dhe një numër me përparësi më të lartë për të mëposhtmet.
Në vijim sampkonfigurimet ilustrojnë disa skenarë që mund të përshtaten për raste të veçanta përdorimi.
Konfigurimi i IP-së Marrë ACL
Sa më kufizues një ACL, aq më i kufizuar është ekspozimi ndaj përpjekjeve për akses të paautorizuar. Sidoqoftë, një ACL më kufizuese mund të krijojë një shpenzim të përgjithshëm menaxhimi dhe mund të ndikojë në aksesueshmërinë për të kryer zgjidhjen e problemeve. Rrjedhimisht, duhet të merret parasysh një ekuilibër. Një kompromis është kufizimi i aksesit vetëm në adresat IP të brendshme të korporatës. Çdo klient duhet të vlerësojë zbatimin e ACL-ve në lidhje me politikën e tij të sigurisë, rreziqet, ekspozimin dhe pranimin e tyre.
Refuzoni trafikun ssh nga një nënrrjet:
nfvis(config)# cilësimet e sistemit ip-receive-acl 171.70.63.0/24 shërbimi ssh veprim refuzo prioritetin 1
Heqja e ACL-ve:
Kur një hyrje fshihet nga ip-receive-acl, të gjitha konfigurimet në atë burim fshihen pasi adresa IP e burimit është çelësi. Për të fshirë vetëm një shërbim, konfiguroni sërish shërbimet e tjera.
nfvis(config)# nuk ka cilësime të sistemit ip-receive-acl 171.70.63.0/24
Për më shumë detaje shihni, Konfigurimi i IP-së Marrë ACL
Qasje e privilegjuar e korrigjimit
Llogaria e super-përdoruesit në NFVIS është çaktivizuar si parazgjedhje, për të parandaluar të gjitha ndryshimet e pakufizuara, potencialisht të pafavorshme, në të gjithë sistemin dhe NFVIS nuk e ekspozon guaskën e sistemit tek përdoruesi.
Megjithatë, për disa çështje të vështira për t'u korrigjuar në sistemin NFVIS, ekipi i Qendrës së Asistencës Teknike të Cisco (TAC) ose ekipi i zhvillimit mund të kërkojë qasje shell në NFVIS të klientit. NFVIS ka një infrastrukturë të sigurt zhbllokimi për të siguruar që qasja e privilegjuar e korrigjimit të një pajisjeje në terren është e kufizuar për punonjësit e autorizuar të Cisco-s. Për të aksesuar në mënyrë të sigurt guaskën Linux për këtë lloj korrigjimi ndërveprues, përdoret një mekanizëm vërtetimi i përgjigjes sfiduese midis NFVIS dhe serverit të korrigjimit interaktiv të mirëmbajtur nga Cisco. Fjalëkalimi i përdoruesit të administratorit kërkohet gjithashtu përveç hyrjes së përgjigjes ndaj sfidës për të siguruar që pajisja të aksesohet me pëlqimin e klientit.
Hapat për të hyrë në guaskën për korrigjim ndërveprues:
1. Një përdorues administratori fillon këtë procedurë duke përdorur këtë komandë të fshehur.
nfvis# sistem shell-access
Konsideratat e sigurisë 14
Konsideratat e Sigurisë
Ndërfaqe të sigurta
2. Ekrani do të shfaqë një varg sfidash, p.shampe:
Sfida e vargut (Ju lutemi, kopjoni ekskluzivisht gjithçka midis rreshtave të yjeve):
******************************************************************************** SPH//wkAAABORlZJU0VOQ1M1NDA4L0s5AQAAABt+dcx+hB0V06r9RkdMMjEzNTgw RlHq7BxeAAA= DONE. ********************************************************************************
3. Anëtari i Cisco-s hyn në vargun e sfidave në një server të korrigjimit interaktiv të mbajtur nga Cisco. Ky server verifikon që përdoruesi i Cisco-s është i autorizuar të korrigjojë gabimet NFVIS duke përdorur shell-in dhe më pas kthen një varg përgjigjeje.
4. Futni vargun e përgjigjes në ekran nën këtë kërkesë: Futni përgjigjen tuaj kur të jeni gati:
5. Kur kërkohet, klienti duhet të vendosë fjalëkalimin e administratorit. 6. Ju merrni shell-access nëse fjalëkalimi është i vlefshëm. 7. Ekipi i zhvillimit ose TAC përdor guaskën për të vazhduar me korrigjimin. 8. Për të dalë nga shell-access, shkruani Exit.
Ndërfaqe të sigurta
Qasja e menaxhimit të NFVIS lejohet duke përdorur ndërfaqet e treguara në diagram. Seksionet e mëposhtme përshkruajnë praktikat më të mira të sigurisë për këto ndërfaqe me NFVIS.
Konsol SSH
Porta e konsolës është një port serial asinkron që ju lejon të lidheni me NFVIS CLI për konfigurimin fillestar. Një përdorues mund të hyjë në tastierë ose me qasje fizike në NFVIS ose me qasje në distancë nëpërmjet përdorimit të një serveri terminal. Nëse kërkohet qasja në portin e konsolës nëpërmjet një serveri terminal, konfiguroni listat e aksesit në serverin e terminalit për të lejuar aksesin vetëm nga adresat e kërkuara të burimit.
Përdoruesit mund të hyjnë në NFVIS CLI duke përdorur SSH si një mjet të sigurt të hyrjes në distancë. Integriteti dhe konfidencialiteti i trafikut të menaxhimit NFVIS është thelbësor për sigurinë e rrjetit të administruar pasi protokollet e administrimit shpesh mbajnë informacione që mund të përdoren për të depërtuar ose ndërprerë rrjetin.
Konsideratat e sigurisë 15
Koha e seancës CLI mbaroi
Konsideratat e Sigurisë
NFVIS përdor versionin 2 të SSH, i cili është protokolli standard de facto i Cisco-s dhe i Internetit për hyrjet interaktive dhe mbështet enkriptim të fortë, hash dhe algoritme të shkëmbimit të çelësave të rekomanduara nga Organizata e Sigurisë dhe Mirëbesimit brenda Cisco-s.
Koha e seancës CLI mbaroi
Duke u identifikuar nëpërmjet SSH, një përdorues krijon një seancë me NFVIS. Ndërsa përdoruesi është i identifikuar, nëse përdoruesi e lë seancën e identifikuar pa mbikëqyrje, kjo mund ta ekspozojë rrjetin ndaj një rreziku sigurie. Siguria e sesionit kufizon rrezikun e sulmeve të brendshme, si p.sh. një përdorues që përpiqet të përdorë sesionin e një përdoruesi tjetër.
Për të zbutur këtë rrezik, NFVIS i anulon seancat CLI pas 15 minutash pasiviteti. Kur përfundon koha e seancës, përdoruesi del automatikisht.
NETCONF
Protokolli i konfigurimit të rrjetit (NETCONF) është një protokoll i menaxhimit të rrjetit i zhvilluar dhe standardizuar nga IETF për konfigurimin e automatizuar të pajisjeve të rrjetit.
Protokolli NETCONF përdor një kodim të të dhënave të bazuara në gjuhën e shënjimit të zgjeruar (XML) për të dhënat e konfigurimit, si dhe për mesazhet e protokollit. Mesazhet e protokollit shkëmbehen në krye të një protokolli të sigurt transporti.
NETCONF lejon NFVIS të ekspozojë një API të bazuar në XML që operatori i rrjetit mund të përdorë për të vendosur dhe marrë të dhënat e konfigurimit dhe njoftimet e ngjarjeve në mënyrë të sigurt mbi SSH.
Për më shumë informacion, shihni NETCONF Njoftimet e Ngjarjeve.
REST API
NFVIS mund të konfigurohet duke përdorur API RESTful mbi HTTPS. API REST lejon sistemet kërkuese të aksesojnë dhe të manipulojnë konfigurimin NFVIS duke përdorur një grup të njëtrajtshëm dhe të paracaktuar të operacioneve pa shtetësi. Detajet për të gjitha API-të REST mund të gjenden në udhëzuesin e referencës së NFVIS API.
Kur përdoruesi lëshon një API REST, krijohet një seancë me NFVIS. Për të kufizuar rreziqet që lidhen me sulmet e mohimit të shërbimit, NFVIS kufizon numrin total të seancave REST të njëkohshme në 100.
NFVIS Web Portali
Portali NFVIS është një web-Ndërfaqja grafike e përdoruesit me bazë që shfaq informacione rreth NFVIS. Portali i paraqet përdoruesit një mjet të thjeshtë për të konfiguruar dhe monitoruar NFVIS mbi HTTPS pa pasur nevojë të njohë NFVIS CLI dhe API.
Menaxhimi i sesionit
Natyra pa shtetësi e HTTP dhe HTTPS kërkon një metodë të ndjekjes unike të përdoruesve përmes përdorimit të ID-ve unike të sesioneve dhe kukit.
NFVIS kodon sesionin e përdoruesit. Shifra AES-256-CBC përdoret për të enkriptuar përmbajtjen e sesionit me një vërtetim HMAC-SHA-256 tag. Një vektor inicializimi i rastësishëm 128-bit gjenerohet për çdo operacion enkriptimi.
Një regjistrim auditimi fillon kur krijohet një sesion portali. Informacioni i sesionit fshihet kur përdoruesi del nga llogaria ose kur përfundon koha e sesionit.
Koha e parazgjedhur e papunësisë për seancat e portalit është 15 minuta. Megjithatë, kjo mund të konfigurohet për sesionin aktual në një vlerë midis 5 dhe 60 minutash në faqen e Cilësimeve. Dalja automatike do të fillojë pas kësaj
Konsideratat e sigurisë 16
Konsideratat e Sigurisë
HTTPS
HTTPS
periudhë. Sesionet e shumta nuk lejohen në një shfletues të vetëm. Numri maksimal i seancave të njëkohshme është caktuar në 30. Portali NFVIS përdor kuki për të lidhur të dhënat me përdoruesin. Ai përdor karakteristikat e mëposhtme të cookie-ve për siguri të shtuar:
· kalimtare për të siguruar që cookie-t skadon kur shfletuesi mbyllet · httpVetëm për ta bërë skedarin të paarritshëm nga JavaScript · Proxy i sigurt për të siguruar që cookie-t mund të dërgohen vetëm përmes SSL.
Edhe pas vërtetimit, sulme të tilla si Falsifikimi i Kërkesave Ndër-Site (CSRF) janë të mundshme. Në këtë skenar, një përdorues fundor mund të kryejë pa dashje veprime të padëshiruara në a web aplikacion në të cilin ato janë vërtetuar aktualisht. Për të parandaluar këtë, NFVIS përdor shenjat CSRF për të vërtetuar çdo API REST që thirret gjatë çdo sesioni.
URL Ridrejtimi Në tipike web serverët, kur një faqe nuk gjendet në web server, përdoruesi merr një mesazh 404; për faqet që ekzistojnë, ata marrin një faqe identifikimi. Ndikimi i sigurisë i kësaj është se një sulmues mund të kryejë një skanim të forcës brutale dhe të zbulojë lehtësisht se cilat faqe dhe dosje ekzistojnë. Për të parandaluar këtë në NFVIS, të gjitha nuk ekzistojnë URLs të prefiksuara me IP të pajisjes ridrejtohen në faqen e hyrjes së portalit me një kod përgjigjeje statusi 301. Kjo do të thotë se pavarësisht nga URL të kërkuara nga një sulmues, ata gjithmonë do të marrin faqen e hyrjes për të vërtetuar veten. Të gjitha kërkesat e serverit HTTP ridrejtohen në HTTPS dhe kanë të konfiguruar titujt e mëposhtëm:
· Opsionet e llojit të përmbajtjes X · Mbrojtja X-XSS · Politika e sigurisë së përmbajtjes · Opsionet e kornizës X · Siguria e rreptë e transportit · kontrolli i memories së fshehtë
Çaktivizimi i Portalit Qasja në portalin NFVIS është aktivizuar si parazgjedhje. Nëse nuk planifikoni të përdorni portalin, rekomandohet të çaktivizoni aksesin në portal duke përdorur këtë komandë:
Konfiguro terminalin e hyrjes në portalin e sistemit të çaktivizuar
Të gjitha të dhënat HTTPS drejt dhe nga NFVIS përdorin Sigurinë e Shtresës së Transportit (TLS) për të komunikuar nëpër rrjet. TLS është pasardhësi i Secure Socket Layer (SSL).
Konsideratat e sigurisë 17
HTTPS
Konsideratat e Sigurisë
Shtrëngimi i duarve TLS përfshin vërtetimin gjatë të cilit klienti verifikon certifikatën SSL të serverit me autoritetin e certifikatës që e ka lëshuar atë. Kjo konfirmon që serveri është ai që thotë se është dhe se klienti po ndërvepron me pronarin e domenit. Si parazgjedhje, NFVIS përdor një certifikatë të vetë-nënshkruar për të provuar identitetin e saj për klientët e saj. Kjo certifikatë ka një çelës publik 2048-bit për të rritur sigurinë e kriptimit TLS, pasi forca e kriptimit lidhet drejtpërdrejt me madhësinë e çelësit.
Menaxhimi i Certifikatës NFVIS gjeneron një certifikatë SSL të vetë-nënshkruar kur instalohet për herë të parë. Është një praktikë më e mirë e sigurisë zëvendësimi i kësaj certifikate me një certifikatë të vlefshme të nënshkruar nga një Autoritet Certifikues (CA) i përputhshëm. Përdorni hapat e mëposhtëm për të zëvendësuar certifikatën e paracaktuar të vetë-nënshkruar: 1. Gjeneroni një kërkesë për nënshkrimin e certifikatës (CSR) në NFVIS.
Një kërkesë për nënshkrimin e certifikatës (CSR) është a file me një bllok teksti të koduar që i jepet një Autoriteti Certifikues kur aplikoni për një Certifikatë SSL. Kjo file përmban informacione që duhet të përfshihen në certifikatë si emri i organizatës, emri i përbashkët (emri i domenit), lokaliteti dhe shteti. Të file përmban gjithashtu çelësin publik që duhet të përfshihet në certifikatë. NFVIS përdor një çelës publik 2048-bit pasi forca e kriptimit është më e lartë me një madhësi më të lartë të çelësit. Për të gjeneruar një CSR në NFVIS, ekzekutoni komandën e mëposhtme:
nfvis# kërkesa e nënshkrimit të certifikatës së sistemit [emri i zakonshëm i vendit-kodi i lokalitetit të organizatës organizatë-njësia-emri shteti] CSR file ruhet si /data/intdatastore/download/nfvis.csr. . 2. Merrni një certifikatë SSL nga një CA duke përdorur CSR. Nga një host i jashtëm, përdorni komandën scp për të shkarkuar kërkesën për nënshkrimin e certifikatës.
[myhost:/tmp] > scp -P 22222 admin@ :/data/intdatastore/download/nfvis.csrfile-emri>
Kontaktoni një autoritet të certifikatës për të lëshuar një certifikatë të re të serverit SSL duke përdorur këtë CSR. 3. Instaloni Certifikatën e Nënshkruar CA.
Nga një server i jashtëm, përdorni komandën scp për të ngarkuar certifikatën file në NFVIS në të dhënat/intdatastore/uploads/ drejtoria.
[myhost:/tmp] > scp -P 22222 file> admin@ :/data/intdatastore/uploads
Instaloni certifikatën në NFVIS duke përdorur komandën e mëposhtme.
Rruga e instalimit-certifikimit të certifikatës së sistemit nfvis# file:///data/intdatastore/uploads/<certificate file>
4. Kalo te përdorimi i Certifikatës së Nënshkruar CA. Përdorni komandën e mëposhtme për të filluar përdorimin e certifikatës së nënshkruar nga CA në vend të certifikatës së paracaktuar të vetë-nënshkruar.
Konsideratat e sigurisë 18
Konsideratat e Sigurisë
Qasja SNMP
nfvis(config)# certifikata e sistemit use-cert cert-type ca-signed
Qasja SNMP
Simple Network Management Protocol (SNMP) është një protokoll standard interneti për mbledhjen dhe organizimin e informacionit rreth pajisjeve të menaxhuara në rrjetet IP dhe për modifikimin e atij informacioni për të ndryshuar sjelljen e pajisjes.
Janë zhvilluar tre versione të rëndësishme të SNMP. NFVIS mbështet versionin 1 të SNMP, versionin 2c dhe versionin 3. Versionet 1 dhe 2 të SNMP përdorin vargjet e komunitetit për vërtetim, dhe këto dërgohen në tekst të thjeshtë. Pra, është një praktikë më e mirë e sigurisë të përdoret në vend të kësaj SNMP v3.
SNMPv3 siguron akses të sigurt në pajisje duke përdorur tre aspekte: – përdoruesit, vërtetimin dhe enkriptimin. SNMPv3 përdor USM (Moduli i Sigurisë i bazuar në Përdorues) për të kontrolluar aksesin në informacionin e disponueshëm nëpërmjet SNMP. Përdoruesi SNMP v3 është konfiguruar me një lloj vërtetimi, një lloj privatësie si dhe një frazë kalimi. Të gjithë përdoruesit që ndajnë një grup përdorin të njëjtin version SNMP, megjithatë, cilësimet specifike të nivelit të sigurisë (fjalëkalimi, lloji i enkriptimit, etj.) janë të specifikuara për përdorues.
Tabela e mëposhtme përmbledh opsionet e sigurisë brenda SNMP
Model
Niveli
Autentifikimi
Encipimi
Rezultati
v1
joAuthNoPriv
Vargu i komunitetit Nr
Përdor një komunitet
ndeshje string për
vërtetimi.
v2c
joAuthNoPriv
Vargu i komunitetit Nr
Përdor një përputhje të vargut të komunitetit për vërtetim.
v3
joAuthNoPriv
Emri i përdoruesit
Nr
Përdor një emër përdoruesi
ndeshje për
vërtetimi.
v3
authNoPriv
Përmbledhja e mesazhit 5 Nr
Ofron
(MD5)
bazuar në vërtetim
or
në HMAC-MD5-96 ose
Hash i sigurt
HMAC-SHA-96
Algoritmi (SHA)
algoritme.
Konsideratat e sigurisë 19
Pankartat e Njoftimit Ligjor
Konsideratat e Sigurisë
Modeli v3
Niveli authPriv
Autentifikimi MD5 ose SHA
Encipimi
Rezultati
Kriptimi i të dhënave ofron
Standard (DES) ose i bazuar në vërtetim
E avancuar
në
Standardi i kriptimit HMAC-MD5-96 ose
(AES)
HMAC-SHA-96
algoritme.
Ofron algoritmin e kodit DES në modalitetin e zinxhirit të bllokut të kodit (CBC-DES)
or
Algoritmi i enkriptimit AES i përdorur në modalitetin e rikthimit të kodit (CFB), me një madhësi çelësi 128-bit (CFB128-AES-128)
Që nga miratimi i tij nga NIST, AES është bërë algoritmi dominues i enkriptimit në të gjithë industrinë. Për të ndjekur migrimin e industrisë larg MD5 dhe drejt SHA, është një praktikë më e mirë e sigurisë të konfigurosh protokollin e vërtetimit SNMP v3 si SHA dhe protokollin e privatësisë si AES.
Për më shumë detaje mbi SNMP shihni, Hyrje rreth SNMP
Pankartat e Njoftimit Ligjor
Rekomandohet që një baner njoftimi ligjor të jetë i pranishëm në të gjitha seancat interaktive për të siguruar që përdoruesit të njoftohen për politikën e sigurisë që po zbatohet dhe të cilës i nënshtrohen. Në disa juridiksione, ndjekja civile dhe/ose penale e një sulmuesi që depërton në një sistem është më e lehtë, apo edhe e nevojshme, nëse paraqitet një baner njoftimi ligjor, duke informuar përdoruesit e paautorizuar se përdorimi i tyre është në fakt i paautorizuar. Në disa juridiksione, mund të ndalohet gjithashtu monitorimi i aktivitetit të një përdoruesi të paautorizuar, përveç nëse ata janë njoftuar për qëllimin për ta bërë këtë.
Kërkesat e njoftimit ligjor janë komplekse dhe ndryshojnë në çdo juridiksion dhe situatë. Edhe brenda juridiksioneve, opinionet ligjore ndryshojnë. Diskutoni këtë çështje me këshilltarin tuaj ligjor për t'u siguruar që baneri i njoftimit plotëson kërkesat ligjore të kompanisë, vendore dhe ndërkombëtare. Kjo është shpesh kritike për të siguruar veprimet e duhura në rast të një shkeljeje të sigurisë. Në bashkëpunim me këshilltarin ligjor të kompanisë, deklaratat që mund të përfshihen në një baner njoftimi ligjor përfshijnë:
· Njoftim se qasja dhe përdorimi i sistemit lejohet vetëm nga personeli i autorizuar posaçërisht, dhe ndoshta informacione se kush mund të autorizojë përdorimin.
· Njoftimi se aksesi dhe përdorimi i paautorizuar i sistemit është i paligjshëm dhe mund të jetë subjekt i dënimeve civile dhe/ose penale.
· Njoftim se aksesi dhe përdorimi i sistemit mund të regjistrohen ose monitorohen pa njoftim të mëtejshëm dhe regjistrat që rezultojnë mund të përdoren si provë në gjykatë.
· Njoftimet specifike shtesë të kërkuara nga ligjet specifike vendore.
Konsideratat e sigurisë 20
Konsideratat e Sigurisë
Rivendosja e parazgjedhur nga fabrika
Nga një pikë sigurie dhe jo ligjore e view, një baner njoftimi ligjor nuk duhet të përmbajë ndonjë informacion specifik rreth pajisjes, si p.sh. emrin, modelin, softuerin, vendndodhjen, operatorin ose pronarin e saj, sepse ky lloj informacioni mund të jetë i dobishëm për një sulmues.
Më poshtë është siampflamuri i njoftimit ligjor i cili mund të shfaqet përpara hyrjes:
QASJA E PAAUTORIZUARA NË KËTË PAJISJE ËSHTË E NDALUAR Ju duhet të keni leje të qartë dhe të autorizuar për të hyrë ose konfiguruar këtë pajisje. Përpjekje dhe veprime të paautorizuara për të hyrë ose përdorur
ky sistem mund të rezultojë në dënime civile dhe/ose penale. Të gjitha aktivitetet e kryera në këtë pajisje regjistrohen dhe monitorohen
Shënim Paraqisni një baner njoftimi ligjor të miratuar nga këshilltari ligjor i kompanisë.
NFVIS lejon konfigurimin e një baneri dhe mesazhi të ditës (MOTD). Banneri shfaqet përpara se përdoruesi të identifikohet. Pasi përdoruesi të regjistrohet në NFVIS, një baner i përcaktuar nga sistemi ofron informacione për të drejtat e autorit për NFVIS dhe mesazhi i ditës (MOTD), nëse konfigurohet, do të shfaqet, i ndjekur nga prompt-in ose portalin e linjës së komandës view, në varësi të mënyrës së hyrjes.
Rekomandohet që të zbatohet një baner identifikimi për të siguruar që një baner njoftimi ligjor të paraqitet në të gjitha seancat e aksesit të menaxhimit të pajisjes përpara se të paraqitet një kërkesë për hyrje. Përdoreni këtë komandë për të konfiguruar banerin dhe MOTD.
nfvis(config)# banner-motd motd
Për më shumë informacion rreth komandës së bannerit, shihni Konfiguro Bannerin, Mesazhin e ditës dhe Orën e Sistemit.
Rivendosja e parazgjedhur nga fabrika
Rivendosja e fabrikës heq të gjitha të dhënat specifike të klientit që i janë shtuar pajisjes që nga momenti i dërgimit të saj. Të dhënat e fshira përfshijnë konfigurimet, regjistrin files, imazhet VM, informacionet e lidhjes dhe kredencialet e hyrjes së përdoruesit.
Ai siguron një komandë për të rivendosur pajisjen në cilësimet origjinale të fabrikës dhe është i dobishëm në skenarët e mëposhtëm:
· Autorizimi i materialit të kthimit (RMA) për një pajisje–Nëse duhet të ktheni një pajisje në Cisco për RMA, përdorni rivendosjen e parazgjedhur nga fabrika për të hequr të gjitha të dhënat specifike të klientit.
· Rikuperimi i një pajisjeje të komprometuar – Nëse materiali kyç ose kredencialet e ruajtura në një pajisje janë komprometuar, rivendoseni pajisjen në konfigurimin e fabrikës dhe më pas rikonfiguroni pajisjen.
· Nëse e njëjta pajisje duhet të ripërdoret në një vend tjetër me një konfigurim të ri, kryeni një rivendosje të parazgjedhur nga fabrika për të hequr konfigurimin ekzistues dhe për ta sjellë atë në një gjendje të pastër.
NFVIS ofron opsionet e mëposhtme brenda rivendosjes së paracaktuar të fabrikës:
Opsioni i rivendosjes së fabrikës
Të dhënat u fshinë
Të dhënat e ruajtura
të gjitha
I gjithë konfigurimi, imazhi i ngarkuar Llogaria e administratorit ruhet dhe
files, VM dhe regjistrat.
fjalëkalimi do të ndryshohet në
Lidhja me pajisjen do të jetë fjalëkalimi i paracaktuar nga fabrika.
humbur.
Konsideratat e sigurisë 21
Rrjeti i Menaxhimit të Infrastrukturës
Konsideratat e Sigurisë
Opsioni i rivendosjes së fabrikës - të gjitha përveç imazheve
të gjitha-përveç-imazheve-lidhje
prodhimit
Të dhënat u fshinë
Të dhënat e ruajtura
Të gjitha konfigurimet, përveç konfigurimit të imazhit, të regjistruara
konfigurimin, VM-të dhe imazhet dhe regjistrat e ngarkuar
imazh files.
Llogaria e administratorit ruhet dhe
Lidhja me pajisjen do të jetë fjalëkalimi do të ndryshohet në
humbur.
fjalëkalimi i paracaktuar i fabrikës.
Të gjitha konfigurimet përveç imazhit, imazheve, rrjetit dhe lidhjes
rrjet dhe lidhje
konfigurimi përkatës, i regjistruar
konfigurimin, VM-të dhe imazhet e ngarkuara dhe regjistrat.
imazh files.
Llogaria e administratorit ruhet dhe
Lidhja me pajisjen është
administratori i konfiguruar më parë
në dispozicion.
fjalëkalimi do të ruhet.
Të gjitha konfigurimet përveç konfigurimit të imazhit, VM-ve, imazhit të ngarkuar files, dhe shkrimet.
Lidhja me pajisjen do të humbet.
Konfigurimi i lidhur me imazhin dhe imazhet e regjistruara
Llogaria e administratorit ruhet dhe fjalëkalimi do të ndryshohet në fjalëkalimin e paracaktuar të fabrikës.
Përdoruesi duhet të zgjedhë opsionin e duhur me kujdes bazuar në qëllimin e rivendosjes së parazgjedhur nga fabrika. Për më shumë informacion, shihni Rivendosja në parazgjedhje të fabrikës.
Rrjeti i Menaxhimit të Infrastrukturës
Një rrjet i menaxhimit të infrastrukturës i referohet rrjetit që mbart trafikun e planit të kontrollit dhe menaxhimit (të tilla si NTP, SSH, SNMP, syslog, etj.) për pajisjet e infrastrukturës. Qasja në pajisje mund të bëhet përmes konsolës, si dhe përmes ndërfaqeve Ethernet. Ky trafik në aeroplan kontrolli dhe menaxhimi është kritik për operacionet e rrjetit, duke siguruar shikueshmëri dhe kontroll mbi rrjetin. Rrjedhimisht, një rrjet i mirë-projektuar dhe i sigurt i menaxhimit të infrastrukturës është kritik për sigurinë e përgjithshme dhe funksionimin e një rrjeti. Një nga rekomandimet kryesore për një rrjet të sigurt të menaxhimit të infrastrukturës është ndarja e menaxhimit dhe trafikut të të dhënave në mënyrë që të sigurohet menaxhim në distancë edhe në kushte të ngarkesës së lartë dhe trafikut të lartë. Kjo mund të arrihet duke përdorur një ndërfaqe të dedikuar menaxhimi.
Më poshtë janë qasjet e zbatimit të rrjetit të menaxhimit të infrastrukturës:
Menaxhimi jashtë brezit
Një rrjet menaxhimi i Menaxhimit jashtë brezit (OOB) përbëhet nga një rrjet i cili është plotësisht i pavarur dhe fizikisht i ndryshëm nga rrjeti i të dhënave që ndihmon për të menaxhuar. Kjo nganjëherë referohet edhe si Rrjeti i Komunikimit të të Dhënave (DCN). Pajisjet e rrjetit mund të lidhen me rrjetin OOB në mënyra të ndryshme: NFVIS mbështet një ndërfaqe të integruar të menaxhimit që mund të përdoret për t'u lidhur me rrjetin OOB. NFVIS lejon konfigurimin e një ndërfaqeje fizike të paracaktuar, portën MGMT në ENCS, si një ndërfaqe e dedikuar menaxhimi. Kufizimi i paketave të menaxhimit në ndërfaqet e përcaktuara siguron kontroll më të madh mbi menaxhimin e një pajisjeje, duke ofruar kështu më shumë siguri për atë pajisje. Përfitime të tjera përfshijnë përmirësimin e performancës për paketat e të dhënave në ndërfaqet jo-menaxhimi, mbështetjen për shkallëzueshmërinë e rrjetit,
Konsideratat e sigurisë 22
Konsideratat e Sigurisë
Pseudo menaxhim jashtë brezit
nevoja për më pak lista të kontrollit të aksesit (ACL) për të kufizuar aksesin në një pajisje dhe parandalimin e përmbytjeve të paketave të menaxhimit që të arrijnë në CPU. Pajisjet e rrjetit gjithashtu mund të lidhen me rrjetin OOB nëpërmjet ndërfaqeve të dedikuara të të dhënave. Në këtë rast, ACL-të duhet të vendosen për të siguruar që trafiku i menaxhimit të trajtohet vetëm nga ndërfaqet e dedikuara. Për më shumë informacion, shihni Konfigurimi i ACL-së së Marrjes IP dhe Portit 22222 dhe Ndërfaqja e Menaxhimit ACL.
Pseudo menaxhim jashtë brezit
Një rrjet menaxhues pseudo jashtë brezit përdor të njëjtën infrastrukturë fizike si rrjeti i të dhënave, por siguron ndarje logjike përmes ndarjes virtuale të trafikut, duke përdorur VLAN. NFVIS mbështet krijimin e VLAN-ve dhe urave virtuale për të ndihmuar në identifikimin e burimeve të ndryshme të trafikut dhe ndarjen e trafikut midis VM-ve. Pasja e urave dhe VLAN-ve të veçanta izolon trafikun e të dhënave të rrjetit të makinës virtuale dhe rrjetin e menaxhimit, duke siguruar kështu segmentimin e trafikut midis VM-ve dhe hostit. Për më shumë informacion, shihni Konfigurimi i VLAN për Trafikun e Menaxhimit NFVIS.
Menaxhimi brenda brezit
Një rrjet i menaxhimit brenda brezit përdor të njëjtat shtigje fizike dhe logjike si trafiku i të dhënave. Në fund të fundit, ky dizajn i rrjetit kërkon një analizë për klient të rrezikut kundrejt përfitimeve dhe kostove. Disa konsiderata të përgjithshme përfshijnë:
· Një rrjet i izoluar i menaxhimit OOB maksimizon dukshmërinë dhe kontrollin mbi rrjetin edhe gjatë ngjarjeve përçarëse.
· Transmetimi i telemetrisë së rrjetit përmes një rrjeti OOB minimizon mundësinë për ndërprerje të vetë informacionit që siguron shikueshmëri kritike të rrjetit.
· Aksesi i menaxhimit brenda brezit në infrastrukturën e rrjetit, hostet, etj. është i prekshëm ndaj humbjes së plotë në rast të një incidenti në rrjet, duke hequr të gjithë dukshmërinë dhe kontrollin e rrjetit. Duhet të vendosen kontrolle të përshtatshme QoS për të zbutur këtë ndodhi.
· NFVIS përmban ndërfaqe të cilat i dedikohen menaxhimit të pajisjes, duke përfshirë portet serike të konsolës dhe ndërfaqet e menaxhimit të Ethernetit.
· Një rrjet menaxhimi OOB zakonisht mund të vendoset me një kosto të arsyeshme, pasi trafiku i rrjetit të menaxhimit zakonisht nuk kërkon bandwidth të lartë ose pajisje me performancë të lartë dhe kërkon vetëm densitet të mjaftueshëm portash për të mbështetur lidhjen me secilën pajisje të infrastrukturës.
Mbrojtja e informacionit të ruajtur në vend
Mbrojtja e informacionit të ndjeshëm
NFVIS ruan disa informacione të ndjeshme në nivel lokal, duke përfshirë fjalëkalimet dhe sekretet. Fjalëkalimet në përgjithësi duhet të mirëmbahen dhe kontrollohen nga një server i centralizuar AAA. Megjithatë, edhe nëse vendoset një server i centralizuar AAA, kërkohen disa fjalëkalime të ruajtura në nivel lokal për raste të caktuara, si p.sh. rikthim lokal në rastin kur serverët AAA nuk janë të disponueshëm, emra përdoruesish për përdorim të veçantë, etj. Këto fjalëkalime lokale dhe të tjera të ndjeshme
Konsideratat e sigurisë 23
File Transferimi
Konsideratat e Sigurisë
informacioni ruhet në NFVIS si hash në mënyrë që të mos jetë e mundur të rikuperohen kredencialet origjinale nga sistemi. Hashing është një normë e pranuar gjerësisht e industrisë.
File Transferimi
FileTë cilat mund të kenë nevojë të transferohen në pajisjet NFVIS përfshijnë imazhin e VM dhe përmirësimin e NFVIS files. Transferimi i sigurt i files është kritike për sigurinë e infrastrukturës së rrjetit. NFVIS mbështet Copy Secure (SCP) për të garantuar sigurinë e file transferimi. SCP mbështetet në SSH për vërtetimin dhe transportin e sigurt, duke mundësuar kopjimin e sigurt dhe të vërtetuar të files.
Një kopje e sigurt nga NFVIS inicohet përmes komandës scp. Komanda e kopjimit të sigurt (scp) lejon vetëm përdoruesin e administratorit të kopjojë në mënyrë të sigurt files nga NFVIS në një sistem të jashtëm, ose nga një sistem i jashtëm në NFVIS.
Sintaksa për komandën scp është:
scp
Ne përdorim portin 22222 për serverin NFVIS SCP. Si parazgjedhje, kjo portë është e mbyllur dhe përdoruesit nuk mund të sigurojnë kopjen files në NFVIS nga një klient i jashtëm. Nëse ka nevojë për SCP a file nga një klient i jashtëm, përdoruesi mund të hapë portin duke përdorur:
cilësimet e sistemit ip-receive-acl (adresa)/(mask lenth) shërbimi scpd prioriteti (numri) veprimi pranoj
angazhohen
Për të parandaluar hyrjen e përdoruesve në drejtoritë e sistemit, kopjimi i sigurt mund të kryhet vetëm në ose nga intdatastore:, extdatastore1:, extdatastore2:, usb: dhe nfs:, nëse ka. Kopjimi i sigurt mund të kryhet gjithashtu nga regjistrat: dhe mbështetja teknike:
Prerjet
Ndryshimet e hyrjes dhe konfigurimit të NFVIS regjistrohen si regjistrat e auditimit për të regjistruar informacionin e mëposhtëm: · Kush iu qas pajisjes · Kur u identifikua një përdorues · Çfarë bëri një përdorues për sa i përket konfigurimit të hostit dhe ciklit jetësor të VM · Kur u regjistrua një përdorues joaktive · Përpjekje për akses të dështuar · Kërkesa për vërtetim të dështuar · Kërkesa për autorizim të dështuar
Ky informacion është i paçmuar për analizën mjeko-ligjore në rast përpjekjesh ose aksesi të paautorizuar, si dhe për çështjet e ndryshimit të konfigurimit dhe për të ndihmuar në planifikimin e ndryshimeve të administrimit të grupit. Mund të përdoret gjithashtu në kohë reale për të identifikuar aktivitete anormale që mund të tregojnë se një sulm po ndodh. Kjo analizë mund të lidhet me informacionin nga burime të jashtme shtesë, si IDS dhe regjistrat e murit të zjarrit.
Konsideratat e sigurisë 24
Konsideratat e Sigurisë
Siguria e makinës virtuale
Të gjitha ngjarjet kryesore në NFVIS dërgohen si njoftime për ngjarjet për pajtimtarët e NETCONF dhe si syslog në serverët e konfiguruar të regjistrimit qendror. Për më shumë informacion mbi mesazhet e regjistrit të sistemit dhe njoftimet e ngjarjeve, shihni Shtojcën.
Siguria e makinës virtuale
Ky seksion përshkruan veçoritë e sigurisë që lidhen me regjistrimin, vendosjen dhe funksionimin e makinave virtuale në NFVIS.
Boot i sigurt VNF
NFVIS mbështet Firmware të Hapur Virtual Machine (OVMF) për të mundësuar nisjen e sigurt UEFI për makinat virtuale që mbështesin nisjen e sigurt. Nisja e sigurt e VNF verifikon që çdo shtresë e softuerit të nisjes VM është e nënshkruar, duke përfshirë ngarkuesin, bërthamën e sistemit operativ dhe drejtuesit e sistemit operativ.
Për më shumë informacion, shihni Secure Boot of VNFs.
Mbrojtja e hyrjes së konsolës VNC
NFVIS lejon përdoruesin të krijojë një sesion të Rrjetit Virtual Computing (VNC) për të hyrë në desktopin e largët të një VM të vendosur. Për ta mundësuar këtë, NFVIS hap dinamikisht një port me të cilin përdoruesi mund të lidhet duke përdorur të tyren web shfletuesi. Kjo portë lihet e hapur vetëm për 60 sekonda që një server i jashtëm të nisë një sesion në VM. Nëse nuk vërehet asnjë aktivitet brenda kësaj kohe, porti mbyllet. Numri i portit caktohet në mënyrë dinamike dhe në këtë mënyrë lejon një akses vetëm një herë në tastierën VNC.
nfvis# vncconsole start deployment-name 1510614035 vm-name ROUTER vncconsole-url :6005/vnc_auto.html
Duke e drejtuar shfletuesin tuaj te https:// :6005/vnc_auto.html do të lidhet me konsolën VNC të ROUTER VM.
Konsideratat e sigurisë 25
Variablat e të dhënave të konfigurimit të VM të koduara
Konsideratat e Sigurisë
Variablat e të dhënave të konfigurimit të VM të koduara
Gjatë vendosjes së VM-së, përdoruesi ofron një konfigurim dite-0 file për VM. Kjo file mund të përmbajë informacione të ndjeshme si fjalëkalime dhe çelësa. Nëse ky informacion kalohet si tekst i qartë, ai shfaqet në regjistër files dhe regjistrimet e brendshme të bazës së të dhënave në tekst të qartë. Kjo veçori i lejon përdoruesit të raportojë një variabël të të dhënave të konfigurimit si të ndjeshëm, në mënyrë që vlera e tij të kodohet duke përdorur enkriptimin AES-CFB-128 përpara se të ruhet ose të kalojë në nënsistemet e brendshme.
Për më shumë informacion, shihni Parametrat e vendosjes së VM.
Verifikimi i shumës së kontrollit për regjistrimin e imazhit në distancë
Për të regjistruar një imazh VNF të vendosur në distancë, përdoruesi specifikon vendndodhjen e tij. Imazhi do të duhet të shkarkohet nga një burim i jashtëm, siç është një server NFS ose një server i largët HTTPS.
Për të ditur nëse është shkarkuar file është i sigurt për t'u instaluar, është thelbësore të krahasohet file's checksum para se ta përdorni. Verifikimi i shumës së kontrollit ndihmon për të siguruar që file nuk është dëmtuar gjatë transmetimit të rrjetit ose nuk është modifikuar nga një palë e tretë keqdashëse përpara se ta shkarkoni.
NFVIS mbështet opsionet checksum dhe checksum_algorithm që përdoruesi të ofrojë kontrollin e pritshëm dhe algoritmin e shumës së kontrollit (SHA256 ose SHA512) që do të përdoret për të verifikuar kontrollin e imazhit të shkarkuar. Krijimi i imazhit dështon nëse shuma e kontrollit nuk përputhet.
Vërtetimi i certifikimit për regjistrimin e imazhit në distancë
Për të regjistruar një imazh VNF të vendosur në një server HTTPS, imazhi do të duhet të shkarkohet nga serveri i largët HTTPS. Për të shkarkuar në mënyrë të sigurt këtë imazh, NFVIS verifikon certifikatën SSL të serverit. Përdoruesi duhet të specifikojë ose shtegun drejt certifikatës file ose përmbajtjen e certifikatës së formatit PEM për të mundësuar këtë shkarkim të sigurt.
Më shumë detaje mund të gjenden në seksionin mbi vlefshmërinë e certifikatës për regjistrimin e imazhit
Izolimi i VM dhe sigurimi i burimeve
Arkitektura e Virtualizimit të Funksionit të Rrjetit (NFV) përbëhet nga:
· Funksionet e rrjetit të virtualizuar (VNF), të cilat janë Makinat Virtuale që ekzekutojnë aplikacione softuerike që ofrojnë funksionalitet të rrjetit si ruter, mur zjarri, balancues i ngarkesës, etj.
· Infrastruktura e virtualizimit të funksioneve të rrjetit, e cila përbëhet nga komponentët e infrastrukturës – llogaritja, memoria, ruajtja dhe rrjetëzimi, në një platformë që mbështet softuerin dhe hipervizorin e kërkuar.
Me NFV, funksionet e rrjetit virtualizohen në mënyrë që funksione të shumta të mund të ekzekutohen në një server të vetëm. Si rezultat, nevojitet më pak pajisje fizike, duke lejuar konsolidimin e burimeve. Në këtë mjedis, është thelbësore të simulohen burime të dedikuara për VNF të shumta nga një sistem i vetëm fizik harduer. Duke përdorur NFVIS, VM-të mund të vendosen në një mënyrë të kontrolluar në mënyrë që çdo VM të marrë burimet që i nevojiten. Burimet ndahen sipas nevojës nga mjedisi fizik në shumë mjedise virtuale. Domenet individuale të VM-së janë të izoluara, kështu që ato janë mjedise të ndara, të dallueshme dhe të sigurta, të cilat nuk po luftojnë me njëri-tjetrin për burime të përbashkëta.
VM-të nuk mund të përdorin më shumë burime sesa janë parashikuar. Kjo shmang një kusht Denial of Service nga një VM që konsumon burimet. Si rezultat, CPU, memoria, rrjeti dhe ruajtja janë të mbrojtura.
Konsideratat e sigurisë 26
Konsideratat e Sigurisë
Izolimi i CPU-së
Izolimi i CPU-së
Sistemi NFVIS rezervon bërthama për softuerin e infrastrukturës që funksionon në host. Pjesa tjetër e bërthamave janë të disponueshme për vendosjen e VM. Kjo garanton që performanca e VM-së nuk ndikon në performancën e hostit NFVIS. VM-të me vonesë të ulët NFVIS cakton në mënyrë eksplicite bërthama të dedikuara për VM-të me vonesë të ulët që janë vendosur në të. Nëse VM kërkon 2 vCPU, atij i caktohen 2 bërthama të dedikuara. Kjo parandalon ndarjen dhe mbi-abonimin e bërthamave dhe garanton performancën e VM-ve me vonesë të ulët. Nëse numri i bërthamave të disponueshme është më i vogël se numri i vCPU-ve të kërkuara nga një VM tjetër me vonesë të ulët, vendosja parandalohet pasi nuk kemi burime të mjaftueshme. VM-të pa vonesë të ulët NFVIS cakton CPU-të e ndashme për VM-të me vonesë të ulët. Nëse VM kërkon 2 vCPU, atij i caktohen 2 CPU. Këto 2 CPU mund të ndahen midis VM-ve të tjera me vonesë të ulët. Nëse numri i CPU-ve të disponueshme është më i vogël se numri i vCPU-ve të kërkuara nga një VM tjetër me vonesë të ulët, vendosja përsëri lejohet sepse kjo VM do të ndajë CPU-në me VM-të ekzistuese me vonesë të ulët.
Alokimi i memories
Infrastruktura NFVIS kërkon një sasi të caktuar memorie. Kur vendoset një VM, ekziston një kontroll për të siguruar që memoria e disponueshme pas rezervimit të memories së kërkuar për infrastrukturën dhe VM-të e vendosura më parë, është e mjaftueshme për VM-në e re. Ne nuk lejojmë mbiabonimin e kujtesës për VM-të.
Konsideratat e sigurisë 27
Izolimi i ruajtjes
VM-të nuk lejohen të hyjnë drejtpërdrejt në host file sistemi dhe ruajtja.
Izolimi i ruajtjes
Konsideratat e Sigurisë
Platforma ENCS mbështet një dyqan të brendshëm të të dhënave (M2 SSD) dhe disqe të jashtëm. NFVIS është instaluar në dyqanin e brendshëm të të dhënave. VNF-të mund të vendosen gjithashtu në këtë dyqan të brendshëm të të dhënave. Është një praktikë më e mirë e sigurisë ruajtja e të dhënave të klientit dhe vendosja e makinave virtuale të aplikacionit të klientit në disqet e jashtme. Duke pasur disqe të ndara fizikisht për sistemin files kundër aplikacionit files ndihmon në mbrojtjen e të dhënave të sistemit nga korrupsioni dhe çështjet e sigurisë.
·
Izolimi i ndërfaqes
Virtualizimi Single Root I/O ose SR-IOV është një specifikim që lejon izolimin e burimeve PCI Express (PCIe) si një port Ethernet. Duke përdorur SR-IOV, një portë e vetme Ethernet mund të bëhet që të shfaqet si pajisje fizike të shumta, të veçanta, të njohura si Funksionet Virtuale. Të gjitha pajisjet VF në atë përshtatës ndajnë të njëjtën portë të rrjetit fizik. Një mysafir mund të përdorë një ose më shumë nga këto Funksione Virtuale. Një Funksion Virtual i shfaqet mysafirit si një kartë rrjeti, në të njëjtën mënyrë si një kartë rrjeti normale do t'i shfaqet një sistemi operativ. Funksionet virtuale kanë performancë pothuajse origjinale dhe ofrojnë performancë më të mirë se drejtuesit e para-virtualizuar dhe aksesi i emuluar. Funksionet virtuale sigurojnë mbrojtje të të dhënave midis të ftuarve në të njëjtin server fizik pasi të dhënat menaxhohen dhe kontrollohen nga hardueri. NFVIS VNF-të mund të përdorin rrjetet SR-IOV për t'u lidhur me portet WAN dhe LAN Backplane.
Konsideratat e sigurisë 28
Konsideratat e Sigurisë
Cikli jetësor i zhvillimit të sigurt
Secila VM e tillë zotëron një ndërfaqe virtuale dhe burime të lidhura me të, duke arritur mbrojtjen e të dhënave midis VM-ve.
Cikli jetësor i zhvillimit të sigurt
NFVIS ndjek një Cikël Jetësor të Zhvillimit të Sigurt (SDL) për softuerin. Ky është një proces i përsëritshëm dhe i matshëm i krijuar për të reduktuar dobësitë dhe për të rritur sigurinë dhe qëndrueshmërinë e zgjidhjeve Cisco. Cisco SDL aplikon praktika dhe teknologji lider në industri për të ndërtuar zgjidhje të besueshme që kanë më pak incidente të sigurisë së produktit të zbuluara në terren. Çdo lëshim i NFVIS kalon nëpër proceset e mëposhtme.
· Ndjekja e kërkesave të sigurisë së produktit të brendshme dhe të bazuara në treg nga Cisco · Regjistrimi i softuerit të palës së tretë me një depo qendrore në Cisco për gjurmimin e cenueshmërisë · Rregullimi periodik i softuerit me rregullime të njohura për CVE. · Dizajnimi i softuerit duke pasur parasysh Sigurinë · Ndjekja e praktikave të sigurta të kodimit si përdorimi i moduleve të zakonshme të sigurisë të verifikuara si CiscoSSL, ekzekutimi
Analiza statike dhe zbatimi i vlefshmërisë së hyrjes për Parandalimin e injektimit të komandës, etj. · Përdorimi i mjeteve të Sigurisë së Aplikacioneve si IBM AppScan, Nessus dhe mjete të tjera të brendshme të Cisco-s.
Konsideratat e sigurisë 29
Cikli jetësor i zhvillimit të sigurt
Konsideratat e Sigurisë
Konsideratat e sigurisë 30
Dokumentet / Burimet
 |
Softueri i Infrastrukturës së Virtualizimit të Funksionit të Rrjetit CISCO Enterprise [pdfUdhëzuesi i përdoruesit Softuer i Infrastrukturës së Virtualizimit të Funksionit të Ndërmarrjeve, Softuer i Infrastrukturës për Virtualizimin e Funksionit të Rrjetit, Softuer i Infrastrukturës për Virtualizimin e Funksionit të Rrjetit, Softuer i Infrastrukturës së Virtualizimit |
