Софтвер за виртуелизацију инфраструктуре за мрежне функције предузећа

Информације о производу

Спецификације

• Верзија НФВИС софтвера: 3.7.1 и новије
• Подржано РПМ потписивање и верификација потписа
• Доступно је безбедно покретање (подразумевано онемогућено)
• Користи се механизам безбедне јединствене идентификације уређаја (СУДИ).

Безбедносна разматрања

Софтвер НФВИС обезбеђује сигурност кроз разне
механизми:

• Слика Тampер Заштита: РПМ потписивање и верификација потписа
  за све РПМ пакете у ИСО-у и слике за надоградњу.
• Потписивање РПМ-а: Сви РПМ пакети у Цисцо Ентерприсе НФВИС ИСО
  и слике за надоградњу су потписане да би се обезбедио криптографски интегритет и
  аутентичност.
• Провера РПМ потписа: Потпис свих РПМ пакета је
  проверено пре инсталације или надоградње.
• Провера интегритета слике: Хеш Цисцо НФВИС ИСО слике
  и објављује се слика за надоградњу да би се обезбедио интегритет додатних
  без обртаја у минути files.
• ЕНЦС безбедно покретање: Део УЕФИ стандарда, обезбеђује да
  уређај се покреће само помоћу поузданог софтвера.
• Сигурна јединствена идентификација уређаја (СУДИ): Обезбеђује уређај
  са непроменљивим идентитетом да би се проверила његова оригиналност.

Инсталација

Да бисте инсталирали НФВИС софтвер, следите ове кораке:

1. Уверите се да слика софтвера није тampеред витх би
   провера његовог потписа и интегритета.
2. Ако користите Цисцо Ентерприсе НФВИС 3.7.1 и новије верзије, уверите се у то
   провера потписа пролази током инсталације. ако не успе,
   инсталација ће бити прекинута.
3. Ако вршите надоградњу са Цисцо Ентерприсе НФВИС 3.6.к на Релеасе
   3.7.1, РПМ потписи су верификовани током надоградње. Ако је
   верификација потписа није успела, грешка се евидентира, али надоградња јесте
   завршено.
4. Ако се врши надоградња са издања 3.7.1 на каснија издања, РПМ
   потписи се верификују када је слика за надоградњу регистрована. Ако
   верификација потписа није успела, надоградња је прекинута.
5. Проверите хеш Цисцо НФВИС ИСО слике или слику за надоградњу
   користећи команду: /usr/bin/sha512sum
<image_filepath>. Упоредите хеш са објављеним
   хеш да би се обезбедио интегритет.

Сецуре Боот

Безбедно покретање је функција доступна на ЕНЦС (подразумевано онемогућена)
што обезбеђује да се уређај покреће само помоћу поузданог софтвера. До
омогући безбедно покретање:

1. Погледајте документацију о безбедном покретању хоста за више
   информације.
2. Следите дата упутства да бисте омогућили безбедно покретање на свом
   уређај.

Сигурна јединствена идентификација уређаја (СУДИ)

СУДИ обезбеђује НФВИС-у непроменљив идентитет, потврђујући то
то је оригиналан Цисцо производ и осигурава његову препознатљивост у
систем залиха купаца.

ФАК

П: Шта је НФВИС?

О: НФВИС је скраћеница за виртуелизацију мрежних функција
Инфраструктурни софтвер. То је софтверска платформа која се користи за примену
и управљају функцијама виртуелне мреже.

П: Како могу да проверим интегритет НФВИС ИСО слике или
надоградити слику?

О: Да бисте проверили интегритет, користите команду
/usr/bin/sha512sum <image_filepath> и упореди
хеш са објављеним хешом који обезбеђује Цисцо.

П: Да ли је безбедно покретање подразумевано омогућено на ЕНЦС?

О: Не, безбедно покретање је подразумевано онемогућено на ЕНЦС. То је
препоручује се да омогућите безбедно покретање ради побољшане безбедности.

П: Која је сврха СУДИ-а у НФВИС-у?

О: СУДИ пружа НФВИС-у јединствен и непроменљив идентитет,
обезбеђујући његову оригиналност као Цисцо производа и олакшавајући његову
препознавање у систему залиха купаца.

Безбедносна разматрања
Ово поглавље описује безбедносне карактеристике и разматрања у НФВИС-у. Даје висок ниво прекоview компоненти повезаних са безбедношћу у НФВИС-у да планирате безбедносну стратегију за имплементације специфичне за вас. Такође има препоруке о најбољим безбедносним праксама за спровођење кључних елемената мрежне безбедности. Софтвер НФВИС има уграђену сигурност одмах од инсталације кроз све слојеве софтвера. Наредна поглавља се фокусирају на ове ванредне безбедносне аспекте као што су управљање акредитивима, интегритет и тampер заштита, управљање сесијом, сигуран приступ уређају и још много тога.

· Инсталација, на страни 2 · Сигурна јединствена идентификација уређаја, на страни 3 · Приступ уређају, на страни 4

Безбедносна разматрања 1

Инсталација

Безбедносна разматрања

· Мрежа за управљање инфраструктуром, на страни 22 · Заштита локално похрањених информација, на страни 23 · File Пренос, на страни 24 · Евидентирање, на страни 24 · Сигурност виртуелне машине, на страни 25 · Изолација ВМ-а и обезбеђивање ресурса, на страни 26 · Животни циклус безбедног развоја, на страни 29

Инсталација
Да би се осигурало да НФВИС софтвер није тampеред са , софтверска слика се верификује пре инсталације коришћењем следећих механизама:

Слика Тampер Заштита
НФВИС подржава РПМ потписивање и верификацију потписа за све РПМ пакете у ИСО и сликама за надоградњу.

РПМ потписивање

Сви РПМ пакети у Цисцо Ентерприсе НФВИС ИСО и сликама за надоградњу су потписани да би се осигурао криптографски интегритет и аутентичност. Ово гарантује да РПМ пакети нису били тampеред витх а РПМ пакети су из НФВИС-а. Приватни кључ који се користи за потписивање РПМ пакета креира и безбедно одржава Цисцо.

Верификација РПМ потписа

НФВИС софтвер проверава потпис свих РПМ пакета пре инсталације или надоградње. Следећа табела описује понашање Цисцо Ентерприсе НФВИС-а када верификација потписа не успе током инсталације или надоградње.

Сценарио

Опис

Цисцо Ентерприсе НФВИС 3.7.1 и новије инсталације Ако верификација потписа не успе током инсталирања Цисцо Ентерприсе НФВИС-а, инсталација се прекида.

Цисцо Ентерприсе НФВИС надоградња са 3.6.к на верзију 3.7.1

РПМ потписи се верифицирају када се врши надоградња. Ако верификација потписа не успе, грешка се евидентира, али је надоградња завршена.

Цисцо Ентерприсе НФВИС надоградња од издања 3.7.1 РПМ потписи се верифицирају када се надоградња

до каснијих издања

слика је регистрована. Ако верификација потписа не успе,

надоградња је прекинута.

Провера интегритета слике
Потписивање РПМ-а и верификација потписа могу се обавити само за РПМ пакете доступне у Цисцо НФВИС ИСО и сликама за надоградњу. Да би се обезбедио интегритет свих додатних не-РПМ fileАко је доступно у Цисцо НФВИС ИСО слици, хеш Цисцо НФВИС ИСО слике се објављује заједно са сликом. Слично, хеш слике Цисцо НФВИС надоградње се објављује заједно са сликом. Да бисте проверили да ли је хеш Цисцо

Безбедносна разматрања 2

Безбедносна разматрања

ЕНЦС Сецуре Боот

НФВИС ИСО слика или слика за надоградњу одговара хеш који је објавио Цисцо, покрените следећу команду и упоредите хеш са објављеним хешом:
% /уср/бин/сха512сумFile> c2122783efc18b039246ae1bcd4eec4e5e027526967b5b809da5632d462dfa6724a9b20ec318c74548c6bd7e9b8217ce96b5ece93dcdd74fda5e01bb382ad607
<ImageFile>
ЕНЦС Сецуре Боот
Безбедно покретање је део стандарда Унифиед Ектенсибле Фирмваре Интерфаце (УЕФИ) који обезбеђује да се уређај покреће само помоћу софтвера коме верује произвођач оригиналне опреме (ОЕМ). Када се НФВИС покрене, фирмвер проверава потпис софтвера за покретање и оперативног система. Ако су потписи исправни, уређај се покреће, а фирмвер даје контролу оперативном систему.
Безбедно покретање је доступно на ЕНЦС-у, али је подразумевано онемогућено. Цисцо вам препоручује да омогућите безбедно покретање. За више информација погледајте Сигурно покретање хоста.
Сигурна јединствена идентификација уређаја
НФВИС користи механизам познат као Сецуре Уникуе Девице Идентифицатион (СУДИ), који му обезбеђује непроменљив идентитет. Овај идентитет се користи да би се потврдило да је уређај оригиналан Цисцо производ и да би се осигурало да је уређај добро познат систему инвентара корисника.
СУДИ је Кс.509в3 сертификат и припадајући пар кључева који су заштићени хардвером. СУДИ сертификат садржи идентификатор производа и серијски број и укорењен је у Цисцо Публиц Кеи Инфраструцтуре. Пар кључева и СУДИ сертификат се убацују у хардверски модул током производње, а приватни кључ се никада не може извести.
Идентитет заснован на СУДИ-у се може користити за обављање аутентификоване и аутоматизоване конфигурације коришћењем Зеро Тоуцх Провисионинг (ЗТП). Ово омогућава безбедно, удаљено укључивање уређаја и обезбеђује да сервер за оркестрацију разговара са оригиналним НФВИС уређајем. Позадински систем може упутити изазов НФВИС уређају да потврди његов идентитет и уређај ће одговорити на изазов користећи свој идентитет заснован на СУДИ. Ово омогућава позадинском систему да не само да провери на основу свог инвентара да је прави уређај на правој локацији, већ и да обезбеди шифровану конфигурацију коју може отворити само одређени уређај, чиме се обезбеђује поверљивост у транзиту.
Следећи дијаграми тока посла илуструју како НФВИС користи СУДИ:

Безбедносна разматрања 3

Приступ уређају Слика 1: Плуг анд Плаи (ПнП) аутентификација сервера

Безбедносна разматрања

Слика 2: Потврда и ауторизација Плуг анд Плаи уређаја

Приступ уређају
НФВИС пружа различите механизме приступа укључујући конзолу, као и даљински приступ заснован на протоколима као што су ХТТПС и ССХ. Сваки приступни механизам треба пажљиво реviewиздао и конфигурисао. Уверите се да су омогућени само потребни механизми приступа и да су правилно обезбеђени. Кључни кораци за обезбеђивање интерактивног и управљачког приступа НФВИС-у су ограничавање приступачности уређаја, ограничавање могућности дозвољених корисника на оно што је потребно и ограничавање дозвољених метода приступа. НФВИС осигурава да је приступ одобрен само аутентификованим корисницима и да они могу обављати само овлашћене радње. Приступ уређају се евидентира ради ревизије и НФВИС обезбеђује поверљивост локално ускладиштених осетљивих података. Од кључне је важности успоставити одговарајуће контроле како би се спречио неовлашћени приступ НФВИС-у. Следећи одељци описују најбоље праксе и конфигурације за постизање овог циља:
Безбедносна разматрања 4

Безбедносна разматрања

Принудна промена лозинке при првом пријављивању

Принудна промена лозинке при првом пријављивању
Подразумевани акредитиви су чест извор безбедносних инцидената производа. Корисници често забораве да промене подразумеване акредитиве за пријаву остављајући своје системе отвореним за напад. Да би се ово спречило, корисник НФВИС-а је приморан да промени лозинку након прве пријаве користећи подразумеване акредитиве (корисничко име: админ и лозинка Админ123#). За више информација погледајте Приступ НФВИС-у.
Ограничавање рањивости приликом пријављивања
Можете спречити рањивост на речник и нападе ускраћивања услуге (ДоС) коришћењем следећих функција.
Примена јаке лозинке
Механизам аутентификације је јак онолико колико су јаки његови акредитиви. Из тог разлога, важно је осигурати да корисници имају јаке лозинке. НФВИС проверава да ли је јака лозинка конфигурисана према следећим правилима: Лозинка мора да садржи:
· Најмање један знак великих слова · Најмање један знак малог слова · Најмање један број · Најмање један од ових специјалних знакова: хеш (#), доња црта (_), цртица (-), звездица (*) или питање
ознака (?) · Седам знакова или више · Дужина лозинке треба да буде између 7 и 128 знакова.
Конфигурисање минималне дужине за лозинке
Недостатак сложености лозинке, посебно дужине лозинке, значајно смањује простор за претрагу када нападачи покушавају да погоде корисничке лозинке, чинећи нападе грубом силом много лакшим. Администраторски корисник може да конфигурише минималну дужину потребну за лозинке свих корисника. Минимална дужина мора бити између 7 и 128 знакова. Подразумевано, минимална дужина потребна за лозинке је подешена на 7 знакова. ЦЛИ:
нфвис(цонфиг)# рбац аутентикација мин-пвд-ленгтх 9
АПИ:
/апи/цонфиг/рбац/аутхентицатион/мин-пвд-ленгтх
Конфигурисање трајања лозинке
Животни век лозинке одређује колико дуго се лозинка може користити пре него што се од корисника захтева да је промени.

Безбедносна разматрања 5

Ограничите поновну употребу претходне лозинке

Безбедносна разматрања

Администратор може да конфигурише минималне и максималне вредности животног века за лозинке за све кориснике и примени правило за проверу ових вредности. Подразумевана минимална вредност животног века је постављена на 1 дан, а подразумевана максимална вредност животног века је постављена на 60 дана. Када је конфигурисана минимална вредност животног века, корисник не може да промени лозинку док не прође наведени број дана. Слично томе, када је конфигурисана максимална вредност животног века, корисник мора да промени лозинку пре него што прође наведени број дана. Уколико корисник не промени лозинку и протекао је наведени број дана, кориснику се шаље обавештење.
Напомена Минималне и максималне вредности животног века и правило за проверу ових вредности се не примењују на корисника администратора.
ЦЛИ:
конфигуриши терминал рбац аутентификацију лозинка-живот спроведи тачно мин-дана 2 макс. дана 30 урезивање
АПИ:
/апи/цонфиг/рбац/аутхентицатион/пассворд-лифетиме/
Ограничите поновну употребу претходне лозинке
Без спречавања употребе претходних приступних фраза, истек лозинке је углавном бескорисан јер корисници могу једноставно променити приступну фразу и затим је вратити на оригинал. НФВИС проверава да нова лозинка није иста као једна од 5 претходно коришћених лозинки. Један изузетак од овог правила је да администратор може променити лозинку у подразумевану лозинку чак и ако је то била једна од 5 претходно коришћених лозинки.
Ограничите учесталост покушаја пријављивања
Ако је удаљеном равноправном систему дозвољено да се пријави неограничен број пута, он ће на крају моћи да погоди акредитиве за пријаву грубом силом. Пошто је приступне фразе често лако погодити, ово је уобичајен напад. Ограничавањем брзине којом равноправни партнер може да покуша да се пријави, спречавамо овај напад. Такође избегавамо да трошимо системске ресурсе на непотребну аутентификацију ових покушаја пријаве грубом силом који би могли да доведу до напада одбијања услуге. НФВИС примењује закључавање корисника од 5 минута након 10 неуспешних покушаја пријаве.
Онемогућите неактивне корисничке налоге
Надгледање активности корисника и онемогућавање некоришћених или застарелих корисничких налога помаже да се систем заштити од инсајдерских напада. Неискориштене налоге на крају треба уклонити. Администраторски корисник може да примени правило да означи некоришћене корисничке налоге као неактивне и да конфигурише број дана након којих се некоришћени кориснички налог означава као неактиван. Једном означен као неактиван, тај корисник не може да се пријави на систем. Да би омогућио кориснику да се пријави на систем, администратор може активирати кориснички налог.
Напомена Период неактивности и правило за проверу периода неактивности се не примењују на корисника администратора.

Безбедносна разматрања 6

Безбедносна разматрања

Активирање неактивног корисничког налога

Следећи ЦЛИ и АПИ се могу користити за конфигурисање спровођења неактивности налога. ЦЛИ:
конфигуришите терминал рбац аутентификацију налог-неактивност примените праву неактивност-дана 30 урезивање
АПИ:
/апи/цонфиг/рбац/аутхентицатион/аццоунт-инацтивити/
Подразумевана вредност за дане неактивности је 35.
Активирање неактивног корисничког налога Администраторски корисник може да активира налог неактивног корисника користећи следеће ЦЛИ и АПИ: ЦЛИ:
конфигуриши терминал рбац аутентификацију корисника корисник гуест_усер активира урезивање
АПИ:
/апи/оператионс/рбац/аутхентицатион/усерс/усер/усернаме/ацтивате

Принудно подешавање БИОС и ЦИМЦ лозинки

Табела 1: Табела историје карактеристика

Назив функције

Информације о издању

Принудно подешавање БИОС-а и ЦИМЦ НФВИС 4.7.1 лозинки

Опис
Ова функција намеће корисника да промени подразумевану лозинку за ЦИМЦ и БИОС.

Ограничења за принудно подешавање БИОС и ЦИМЦ лозинки
· Ова функција је подржана само на платформама Цисцо Цаталист 8200 УЦПЕ и Цисцо ЕНЦС 5400.
· Ова функција је подржана само на новој инсталацији НФВИС-а 4.7.1 и новијим издањима. Ако надоградите са НФВИС 4.6.1 на НФВИС 4.7.1, ова функција није подржана и од вас се не тражи да ресетујете БИОС и ЦИМС лозинке, чак и ако БИОС и ЦИМЦ лозинке нису конфигурисане.

Информације о спровођењу подешавања БИОС-а и ЦИМЦ лозинки
Ова функција решава безбедносни јаз тако што намеће ресетовање БИОС-а и ЦИМЦ лозинки након нове инсталације НФВИС-а 4.7.1. Подразумевана ЦИМЦ лозинка је лозинка, а подразумевана лозинка за БИОС није лозинка.
Да бисте поправили безбедносни јаз, приморани сте да конфигуришете БИОС и ЦИМЦ лозинке у ЕНЦС 5400. Током нове инсталације НФВИС 4.7.1, ако БИОС и ЦИМЦ лозинке нису промењене и још увек јесу

Безбедносна разматрања 7

Цонфигуратион Екampлес за принудно ресетовање БИОС и ЦИМЦ лозинки

Безбедносна разматрања

подразумеване лозинке, онда ће од вас бити затражено да промените и БИОС и ЦИМЦ лозинку. Ако само један од њих захтева ресетовање, од вас ће бити затражено да ресетујете лозинку само за ту компоненту. Цисцо Цаталист 8200 УЦПЕ захтева само БИОС лозинку и стога се тражи само ресетовање лозинке за БИОС, ако већ није подешено.
Напомена Ако извршите надоградњу са било ког претходног издања на НФВИС 4.7.1 или новије верзије, можете да промените БИОС и ЦИМЦ лозинке помоћу команди хостацтион цханге-биос-пассворд невпассворд или хостацтион цханге-цимц-пассворд невпассворд.
За више информација о БИОС и ЦИМЦ лозинкама, погледајте БИОС и ЦИМЦ лозинка.
Цонфигуратион Екampлес за принудно ресетовање БИОС и ЦИМЦ лозинки
1. Када инсталирате НФВИС 4.7.1, прво морате ресетовати подразумевану лозинку администратора.
Цисцо мрежни софтвер за виртуелизацију инфраструктуре (НФВИС)
НФВИС верзија: 99.99.0-1009
Ауторска права (ц) 2015-2021 Цисцо Системс, Инц. Цисцо, Цисцо Системс и Цисцо Системс лого су регистровани заштитни знакови компаније Цисцо Системс, Инц. и/или њених филијала у САД и одређеним другим земљама.
Ауторска права на одређена дела садржана у овом софтверу су у власништву других трећих лица и користе се и дистрибуирају на основу уговора о лиценци треће стране. Одређене компоненте овог софтвера су лиценциране под ГНУ ГПЛ 2.0, ГПЛ 3.0, ЛГПЛ 2.1, ЛГПЛ 3.0 и АГПЛ 3.0.
админ повезан од 10.24.109.102 помоћу ссх-а на нфвис-у админ пријављен са подразумеваним акредитивима Молимо наведите лозинку која задовољава следеће критеријуме:
1. Најмање један знак малих слова 2. Најмање један знак великих слова 3. Најмање један број 4. Најмање један специјални знак из # _ – * ? 5. Дужина треба да буде између 7 и 128 карактера. Молимо ресетујте лозинку: Молимо вас да поново унесете лозинку:
Ресетовање администраторске лозинке
2. На платформама Цисцо Цаталист 8200 УЦПЕ и Цисцо ЕНЦС 5400 када урадите нову инсталацију НФВИС 4.7.1 или новије верзије, морате да промените подразумеване БИОС и ЦИМЦ лозинке. Ако БИОС и ЦИМЦ лозинке нису претходно конфигурисане, систем од вас тражи да ресетујете БИОС и ЦИМЦ лозинке за Цисцо ЕНЦС 5400 и само лозинку за БИОС за Цисцо Цаталист 8200 УЦПЕ.
Нова администраторска лозинка је постављена
Наведите БИОС лозинку која задовољава следеће критеријуме: 1. Најмање један знак малог слова 2. Најмање један знак великих слова 3. Најмање један број 4. Најмање један специјални знак од #, @ или _ 5. Дужина треба да буде између 8 и 20 знакова 6. Не би требало да садржи ниједан од следећих стрингова (разликује велика и мала слова): биос 7. Први знак не може бити #

Безбедносна разматрања 8

Безбедносна разматрања

Проверите БИОС и ЦИМЦ лозинке

Молимо ресетујте БИОС лозинку: Молимо вас да поново унесете БИОС лозинку: Унесите ЦИМЦ лозинку која задовољава следеће критеријуме:
1. Најмање једно мало слово 2. Најмање једно велико слово 3. Најмање један број 4. Најмање један специјални знак од #, @ или _ 5. Дужина треба да буде између 8 и 20 знакова 6. Не би требало да садржи ништа од следеће стрингове (разликује велика и мала слова): админ Поништите ЦИМЦ лозинку: Молимо поново унесите ЦИМЦ лозинку:

Проверите БИОС и ЦИМЦ лозинке
Да бисте проверили да ли су БИОС и ЦИМЦ лозинка успешно промењене, користите евиденцију приказа нфвис_цонфиг.лог | укључи БИОС или прикажи дневник нфвис_цонфиг.лог | укључити ЦИМЦ команде:

нфвис# прикажи дневник нфвис_цонфиг.лог | укључује БИОС

2021-11-16 15:24:40,102 INFO

[хостатион:/систем/сеттингс] [] Промена лозинке за БИОС

је успешан

Такође можете преузети нфвис_цонфиг.лог file и проверите да ли су лозинке успешно ресетоване.

Интеграција са екстерним ААА серверима
Корисници се пријављују на НФВИС преко ссх или Web УИ. У оба случаја, корисници морају бити аутентификовани. То јест, корисник треба да представи акредитиве за лозинку да би добио приступ.
Када је корисник аутентификован, све операције које обавља тај корисник морају бити ауторизоване. Односно, одређеним корисницима може бити дозвољено да обављају одређене задатке, док другима није. Ово се зове ауторизација.
Препоручује се да се централизовани ААА сервер примени да би се спровела аутентикација за пријављивање по кориснику заснована на ААА за НФВИС приступ. НФВИС подржава РАДИУС и ТАЦАЦС протоколе за посредовање у приступу мрежи. На ААА серверу, само минималне привилегије приступа треба да буду додељене аутентификованим корисницима у складу са њиховим специфичним захтевима за приступ. Ово смањује изложеност и злонамерним и ненамерним безбедносним инцидентима.
За више информација о спољној аутентификацији погледајте Конфигурисање РАДИУС-а и Конфигурисање ТАЦАЦС+ сервера.

Кеш за аутентификацију за спољни сервер за аутентификацију

Назив функције

Информације о издању

Кеш за аутентификацију за екстерни НФВИС 4.5.1 сервер за аутентификацију

Опис
Ова функција подржава ТАЦАЦС аутентификацију преко ОТП-а на НФВИС порталу.

НФВИС портал користи исту једнократну лозинку (ОТП) за све АПИ позиве након почетне аутентификације. АПИ позиви не успевају чим ОТП истекне. Ова функција подржава ТАЦАЦС ОТП аутентификацију са НФВИС порталом.
Након што сте успешно извршили аутентификацију преко ТАЦАЦС сервера користећи ОТП, НФВИС креира хеш унос користећи корисничко име и ОТП и чува ову хеш вредност локално. Ова локално ускладиштена хеш вредност има

Безбедносна разматрања 9

Контрола приступа заснована на улогама

Безбедносна разматрања

време истека стamp повезан са њим. Време стamp има исту вредност као вредност временског ограничења мировања ССХ сесије која је 15 минута. Сви наредни захтеви за потврду идентитета са истим корисничким именом прво се аутентификују према овој локалној хеш вредности. Ако аутентификација не успе са локалним хешом, НФВИС потврђује аутентичност овог захтева са ТАЦАЦС сервером и креира нови хеш унос када је аутентификација успешна. Ако хеш унос већ постоји, његово време стamp се ресетује на 15 минута.
Ако сте уклоњени са ТАЦАЦС сервера након успешног пријављивања на портал, можете наставити да користите портал док не истекне хеш унос у НФВИС.
Када се експлицитно одјавите са НФВИС портала или сте одјављени због времена мировања, портал позива нови АПИ да обавести НФВИС позадину да испразни хеш унос. Кеш за аутентификацију и сви његови уноси се бришу након поновног покретања НФВИС-а, ресетовања на фабричка подешавања или надоградње.

Контрола приступа заснована на улогама

Ограничавање приступа мрежи је важно за организације које имају много запослених, запошљавају извођаче или дозвољавају приступ трећим странама, као што су купци и продавци. У таквом сценарију, тешко је ефикасно надгледати приступ мрежи. Уместо тога, боље је контролисати шта је доступно, како би се обезбедили осетљиви подаци и критичне апликације.
Контрола приступа заснована на улогама (РБАЦ) је метод ограничавања приступа мрежи на основу улога појединачних корисника унутар предузећа. РБАЦ омогућава корисницима приступ само информацијама које су им потребне и спречава их да приступе информацијама које се не односе на њих.
Улога запосленог у предузећу треба да се користи за одређивање одобрења, како би се осигурало да запослени са нижим привилегијама не могу приступити осетљивим информацијама или обављати критичне задатке.
Следеће корисничке улоге и привилегије су дефинисане у НФВИС-у

Улога корисника

Привилегија

Администратори

Може да конфигурише све доступне функције и изврши све задатке укључујући промену корисничких улога. Администратор не може да избрише основну инфраструктуру која је основна за НФВИС. Улога корисника администратора се не може променити; то су увек „администратори“.

Оператери

Може да покрене и заустави ВМ, и view све информације.

ревизори

Они су најмање привилеговани корисници. Имају дозволу само за читање и стога не могу да мењају ниједну конфигурацију.

Предности РБАЦ-а
Постоји низ предности коришћења РБАЦ-а за ограничавање непотребног приступа мрежи на основу улога људи у организацији, укључујући:
· Побољшање оперативне ефикасности.
Имајући унапред дефинисане улоге у РБАЦ-у, лако је укључити нове кориснике са правим привилегијама или променити улоге постојећих корисника. Такође смањује могућност грешке када се додељују корисничке дозволе.
· Побољшање усклађености.

Безбедносна разматрања 10

Безбедносна разматрања

Контрола приступа заснована на улогама

Свака организација мора да поштује локалне, државне и савезне прописе. Компаније генерално више воле да имплементирају РБАЦ системе како би испуниле регулаторне и законске захтеве за поверљивост и приватност, јер руководиоци и ИТ одељења могу ефикасније да управљају начином на који се подацима приступа и користи. Ово је посебно важно за финансијске институције и здравствене компаније које управљају осетљивим подацима.
· Смањење трошкова. Не дозвољавајући кориснику приступ одређеним процесима и апликацијама, компаније могу да очувају или користе ресурсе као што су пропусни опсег мреже, меморија и складиштење на исплатив начин.
· Смањење ризика од кршења и цурења података. Примена РБАЦ-а значи ограничавање приступа осетљивим информацијама, чиме се смањује могућност кршења података или цурења података.
Најбоље праксе за имплементације контроле приступа засноване на улогама · Као администратор, одредите листу корисника и доделите их унапред дефинисаним улогама. Фор екampда, корисник „нетворкадмин“ се може креирати и додати у корисничку групу „администратори“.
конфигурисање терминала рбац аутентикација корисника креирање-корисничко име нетворкадмин лозинка Тест1_пасс улога администратори урезивање
Напомена Групе корисника или улоге креира систем. Не можете креирати или мењати корисничку групу. Да бисте променили лозинку, користите команду рбац аутхентицатион усерс усер цханге-пассворд у режиму глобалне конфигурације. Да бисте променили улогу корисника, користите команду рбац аутхентицатион усерс усер цханге-роле у ​​режиму глобалне конфигурације.
· Укините налоге за кориснике којима више није потребан приступ.
конфигуришите терминал рбац аутентификацију корисника делете-усер наме тест1
· Повремено спроводите ревизије да бисте проценили улоге, запослене који су им додељени и приступ који је дозвољен за сваку улогу. Ако се утврди да корисник има непотребан приступ одређеном систему, промените његову улогу.
За више детаља погледајте Корисници, улоге и аутентикација
Грануларна контрола приступа заснована на улогама Почевши од НФВИС-а 4.7.1, представљена је грануларна контрола приступа заснована на улогама. Ова функција додаје нову политику групе ресурса која управља ВМ-ом и ВНФ-ом и омогућава вам да доделите кориснике групи за контролу приступа ВНФ-у током примене ВНФ-а. За више информација погледајте грануларну контролу приступа засновану на улогама.

Безбедносна разматрања 11

Ограничите приступачност уређаја

Безбедносна разматрања

Ограничите приступачност уређаја
Корисници су више пута били затечени несвесним нападима на функције које нису заштитили јер нису знали да су те функције омогућене. Некоришћене услуге обично остају са подразумеваним конфигурацијама које нису увек безбедне. Ове услуге такође могу да користе подразумеване лозинке. Неке услуге могу да омогуће нападачу лак приступ информацијама о томе шта сервер ради или како је мрежа подешена. Следећи одељци описују како НФВИС избегава такве безбедносне ризике:

Смањење вектора напада
Сваки део софтвера потенцијално може да садржи безбедносне пропусте. Више софтвера значи више могућности за напад. Чак и ако не постоје јавно познате рањивости у тренутку укључивања, рањивости ће вероватно бити откривене или откривене у будућности. Да би се избегли такви сценарији, инсталирани су само они софтверски пакети који су неопходни за НФВИС функционалност. Ово помаже у ограничавању рањивости софтвера, смањењу потрошње ресурса и смањењу додатног посла када се пронађу проблеми са тим пакетима. Сав софтвер трећих страна укључен у НФВИС регистрован је у централној бази података у Цисцо-у тако да је Цисцо у могућности да изврши организован одговор на нивоу компаније (правни, безбедносни, итд.). Софтверски пакети се периодично закрпе у сваком издању за познате уобичајене рањивости и изложености (ЦВЕ).

Омогућавање само основних портова подразумевано

Подразумевано су доступне само оне услуге које су апсолутно неопходне за подешавање и управљање НФВИС-ом. Ово уклања напор корисника потребан за конфигурисање заштитних зидова и ускраћивање приступа непотребним услугама. Једине услуге које су подразумевано омогућене наведене су у наставку заједно са портовима које отварају.

Отворите порт

Услуга

Опис

22/ТЦП

ССХ

Сецуре Соцкет Схелл за даљински приступ НФВИС-у са командне линије

80/ТЦП

ХТТП

Протокол за пренос хипертекста за приступ НФВИС порталу. Сав ХТТП саобраћај који прима НФВИС преусмерава се на порт 443 за ХТТПС

443/ТЦП

ХТТПС

Хипертект Трансфер Протоцол Сецуре за сигуран приступ НФВИС порталу

830/ТЦП

НЕТЦОНФ-ссх

Отворен порт за протокол мрежне конфигурације (НЕТЦОНФ) преко ССХ-а. НЕТЦОНФ је протокол који се користи за аутоматизовану конфигурацију НФВИС-а и за примање асинхроних обавештења о догађајима од НФВИС-а.

161/УДП

СНМП

Једноставан протокол за управљање мрежом (СНМП). НФВИС користи за комуникацију са апликацијама за даљинско праћење мреже. За више информација погледајте Увод о СНМП-у

Безбедносна разматрања 12

Безбедносна разматрања

Ограничите приступ овлашћеним мрежама за овлашћене услуге

Ограничите приступ овлашћеним мрежама за овлашћене услуге

Само овлашћеним ауторима би требало дозволити да чак и покушају да приступе управљању уређајима, а приступ би требало да буде само услугама за које су овлашћени да користе. НФВИС се може конфигурисати тако да је приступ ограничен на познате, поуздане изворе и очекивани менаџмент саобраћајаfileс. Ово смањује ризик од неовлашћеног приступа и изложености другим нападима, као што су груба сила, речник или ДоС напади.
Да би заштитио интерфејсе управљања НФВИС-ом од непотребног и потенцијално штетног саобраћаја, корисник администратор може да креира листе контроле приступа (АЦЛ) за мрежни саобраћај који се прима. Ови АЦЛ-ови одређују изворне ИП адресе/мреже са којих саобраћај потиче и тип саобраћаја који је дозвољен или одбијен из ових извора. Ови филтери ИП саобраћаја се примењују на сваки управљачки интерфејс на НФВИС-у. Следећи параметри су конфигурисани у ИП пријемној листи контроле приступа (ип-рецеиве-ацл)

Параметар

Валуе

Опис

Изворна мрежа/мрежна маска

Мрежа/мрежна маска. Фор екampле: 0.0.0.0/0
172.39.162.0/24

Ово поље наводи ИП адресу/мрежу са које саобраћај потиче

Сервице Ацтион

хттпс ицмп нетцонф сцпд снмп ссх прихвати одбијање одбијања

Врста саобраћаја из наведеног извора.
Радња коју треба предузети на саобраћај са изворне мреже. Са прихватањем, биће одобрени нови покушаји повезивања. Са одбијањем, покушаји повезивања неће бити прихваћени. Ако је правило за услугу засновану на ТЦП-у као што је ХТТПС, НЕТЦОНФ, СЦП, ССХ, извор ће добити ТЦП ресет (РСТ) пакет. За правила која нису ТЦП, као што су СНМП и ИЦМП, пакет ће бити одбачен. Са испуштањем, сви пакети ће бити одмах одбачени, нема информација које се шаљу извору.

Безбедносна разматрања 13

Привилеговани приступ за отклањање грешака

Безбедносна разматрања

Приоритет параметра

Вредност Нумеричка вредност

Опис
Приоритет се користи за спровођење налога у вези са правилима. Правила са вишом нумеричком вредношћу за приоритет биће додата ниже у ланцу. Ако желите да будете сигурни да ће правило бити додато после другог, користите број ниског приоритета за први и број са вишим приоритетом за следеће.

Следећи сampле конфигурације илуструју неке сценарије који се могу прилагодити специфичним случајевима употребе.
Конфигурисање ИП Рецеиве АЦЛ-а
Што је АЦЛ рестриктивнији, то је ограниченија изложеност покушајима неовлашћеног приступа. Међутим, рестриктивнији АЦЛ може да створи додатне трошкове управљања и може да утиче на приступачност за решавање проблема. Сходно томе, постоји равнотежа коју треба узети у обзир. Један компромис је ограничавање приступа само интерним корпоративним ИП адресама. Сваки клијент мора да процени примену АЦЛ-ова у односу на сопствену безбедносну политику, ризике, изложеност и прихватање истих.
Одбијте ссх саобраћај из подмреже:

нфвис(цонфиг)# системска подешавања ип-рецеиве-ацл 171.70.63.0/24 сервице ссх ацтион рејецт приорити 1

Уклањање АЦЛ-ова:
Када се унос избрише са ип-рецеиве-ацл, све конфигурације тог извора се бришу пошто је изворна ИП адреса кључ. Да бисте избрисали само једну услугу, поново конфигуришите друге услуге.

нфвис(цонфиг)# нема подешавања система ип-рецеиве-ацл 171.70.63.0/24
За више детаља погледајте, Конфигурисање ИП пријемног АЦЛ-а
Привилеговани приступ за отклањање грешака
Налог супер-корисника на НФВИС-у је подразумевано онемогућен, да би се спречиле све неограничене, потенцијално штетне промене на нивоу система, а НФВИС не излаже љуску система кориснику.
Међутим, за неке проблеме који се тешко отклањају на НФВИС систему, тиму Цисцо центра за техничку помоћ (ТАЦ) или развојном тиму може бити потребан приступ љусци клијентовом НФВИС-у. НФВИС има безбедну инфраструктуру за откључавање како би осигурао да је привилеговани приступ отклањању грешака на уређају на терену ограничен на овлашћене Цисцо запослене. Да би се безбедно приступило Линук љусци за ову врсту интерактивног отклањања грешака, користи се механизам аутентификације изазов-одговор између НФВИС-а и сервера за интерактивно отклањање грешака који одржава Цисцо. Лозинка администратора је такође потребна поред уноса изазов-одговор како би се осигурало да се уређају приступа уз сагласност корисника.
Кораци за приступ љусци за интерактивно отклањање грешака:
1. Администратор покреће ову процедуру користећи ову скривену команду.

нфвис# систем схелл-приступ

Безбедносна разматрања 14

Безбедносна разматрања

Сецуре Интерфацес

2. На екрану ће се приказати стринг изазова, нпрampле:
Низ изазова (молимо копирајте све искључиво између редова звездице):
******************************************************************************** SPH//wkAAABORlZJU0VOQ1M1NDA4L0s5AQAAABt+dcx+hB0V06r9RkdMMjEzNTgw RlHq7BxeAAA= DONE. ********************************************************************************
3. Цисцо члан уноси стринг изазова на серверу за интерактивно отклањање грешака који одржава Цисцо. Овај сервер проверава да ли је Цисцо корисник овлашћен да отклања грешке у НФВИС-у помоћу љуске, а затим враћа низ одговора.
4. Унесите низ одговора на екрану испод овог упита: Унесите свој одговор када будете спремни:
5. Када се то од вас затражи, корисник треба да унесе администраторску лозинку. 6. Добијате приступ љусци ако је лозинка важећа. 7. Развојни или ТАЦ тим користи љуску да настави са отклањањем грешака. 8. Да бисте изашли из приступа љусци укуцајте Екит.
Сецуре Интерфацес
Приступ управљању НФВИС-ом је дозвољен коришћењем интерфејса приказаних на дијаграму. Следећи одељци описују најбоље безбедносне праксе за ове интерфејсе за НФВИС.

Конзола ССХ

Конзолни порт је асинхрони серијски порт који вам омогућава да се повежете на НФВИС ЦЛИ за почетну конфигурацију. Корисник може приступити конзоли било физичким приступом НФВИС-у или удаљеним приступом путем употребе терминалног сервера. Ако је приступ порту конзоле потребан преко терминал сервера, конфигуришите листе приступа на терминал серверу да дозволите приступ само са потребних изворних адреса.
Корисници могу приступити НФВИС ЦЛИ користећи ССХ као безбедно средство за даљинско пријављивање. Интегритет и поверљивост саобраћаја управљања НФВИС-ом је од суштинског значаја за безбедност администриране мреже пошто административни протоколи често носе информације које се могу користити за продор или ометање мреже.

Безбедносна разматрања 15

Временско ограничење ЦЛИ сесије

Безбедносна разматрања

НФВИС користи ССХ верзију 2, што је Цисцо и Интернет де факто стандардни протокол за интерактивне пријаве и подржава снажне алгоритме за шифровање, хеш и размену кључева које препоручује Организација за безбедност и поверење у оквиру Цисцо-а.

Временско ограничење ЦЛИ сесије
Пријављивањем преко ССХ-а, корисник успоставља сесију са НФВИС-ом. Док је корисник пријављен, ако корисник напусти пријављену сесију без надзора, то може изложити мрежу безбедносном ризику. Безбедност сесије ограничава ризик од интерних напада, као што је покушај једног корисника да користи сесију другог корисника.
Да би се овај ризик ублажио, НФВИС истиче време за ЦЛИ сесије након 15 минута неактивности. Када се истекне временско ограничење сесије, корисник се аутоматски одјављује.

НЕТЦОНФ

Протокол мрежне конфигурације (НЕТЦОНФ) је протокол за управљање мрежом који је развио и стандардизовао ИЕТФ за аутоматизовану конфигурацију мрежних уређаја.
НЕТЦОНФ протокол користи кодирање података засновано на Ектенсибле Маркуп Лангуаге (КСМЛ) за конфигурационе податке као и за поруке протокола. Поруке протокола се размењују на врху безбедног транспортног протокола.
НЕТЦОНФ омогућава НФВИС-у да изложи АПИ заснован на КСМЛ-у који мрежни оператер може да користи за постављање и добијање конфигурационих података и обавештења о догађајима безбедно преко ССХ-а.
За више информација погледајте НЕТЦОНФ обавештења о догађајима.

РЕСТ АПИ

НФВИС се може конфигурисати помоћу РЕСТфул АПИ-ја преко ХТТПС-а. РЕСТ АПИ омогућава системима који захтевају приступ и манипулисање НФВИС конфигурацијом коришћењем униформног и унапред дефинисаног скупа операција без стања. Детаљи о свим РЕСТ АПИ-јима се могу наћи у Референтном водичу за НФВИС АПИ.
Када корисник изда РЕСТ АПИ, сесија се успоставља са НФВИС-ом. Да би ограничио ризике везане за нападе ускраћивања услуге, НФВИС ограничава укупан број истовремених РЕСТ сесија на 100.

НФВИС Web Портал
НФВИС портал је а webГрафички кориснички интерфејс који приказује информације о НФВИС-у. Портал представља кориснику једноставан начин да конфигурише и надгледа НФВИС преко ХТТПС-а без потребе да познаје НФВИС ЦЛИ и АПИ.

Сессион Манагемент
Природа ХТТП и ХТТПС без држављанства захтева метод јединственог праћења корисника коришћењем јединствених ИД-ова сесије и колачића.
НФВИС шифрује сесију корисника. АЕС-256-ЦБЦ шифра се користи за шифровање садржаја сесије уз ХМАЦ-СХА-256 аутентификацију tag. За сваку операцију шифровања се генерише насумични 128-битни вектор иницијализације.
Запис ревизије се покреће када се креира сесија портала. Информације о сесији се бришу када се корисник одјави или када сесија истекне.
Подразумевано време чекања мировања за сесије портала је 15 минута. Међутим, ово се може конфигурисати за тренутну сесију на вредност између 5 и 60 минута на страници Подешавања. Након тога ће се покренути аутоматска одјава

Безбедносна разматрања 16

Безбедносна разматрања

ХТТПС

ХТТПС

раздобље. Више сесија није дозвољено у једном прегледачу. Максималан број истовремених сесија је постављен на 30. НФВИС портал користи колачиће да повеже податке са корисником. Користи следећа својства колачића ради побољшане безбедности:
· ефемеран како би се осигурало да колачић истиче када се прегледач затвори · хттпОнли да би колачић био недоступан из ЈаваСцрипт-а · сецуреПроки да би се осигурало да колачић може бити послат само преко ССЛ-а.
Чак и након аутентификације, могући су напади као што је фалсификовање захтева на више локација (ЦСРФ). У овом сценарију, крајњи корисник може ненамерно да изврши нежељене радње на а web апликација у којој су тренутно потврђени. Да би то спречио, НФВИС користи ЦСРФ токене да потврди сваки РЕСТ АПИ који се позове током сваке сесије.
URL Преусмеравање У типичном web сервера, када страница није пронађена на web сервер, корисник добија 404 поруку; за странице које постоје, добијају страницу за пријаву. Безбедносни утицај овога је да нападач може да изврши скенирање грубом силом и лако открије које странице и фасцикле постоје. Да би се ово спречило на НФВИС-у, све непостојеће URLс префиксом ИП уређаја се преусмеравају на страницу за пријаву на портал са кодом за одговор статуса 301. То значи да без обзира на URL које захтева нападач, они ће увек добити страницу за пријаву да се аутентификују. Сви захтеви ХТТП сервера се преусмеравају на ХТТПС и имају конфигурисана следећа заглавља:
· Кс-Цонтент-Типе-Оптионс · Кс-КССС-Протецтион · Цонтент-Сецурити-Полици · Кс-Фраме-Оптионс · Стрицт-Транспорт-Сецурити · Цацхе-Цонтрол
Онемогућавање портала Приступ НФВИС порталу је подразумевано омогућен. Ако не планирате да користите портал, препоручује се да онемогућите приступ порталу помоћу ове команде:
Конфигурисање терминала Приступ системском порталу онемогућен урезивање
Сви ХТТПС подаци до и од НФВИС-а користе безбедност транспортног слоја (ТЛС) за комуникацију преко мреже. ТЛС је наследник Сецуре Соцкет Лаиер (ССЛ).

Безбедносна разматрања 17

ХТТПС

Безбедносна разматрања
ТЛС руковање укључује аутентификацију током које клијент верификује серверов ССЛ сертификат са ауторитетом сертификата који га је издао. Ово потврђује да је сервер оно за шта каже да јесте и да је клијент у интеракцији са власником домена. НФВИС подразумевано користи самопотписани сертификат да докаже свој идентитет својим клијентима. Овај сертификат има 2048-битни јавни кључ за повећање безбедности ТЛС шифровања, пошто је снага шифровања директно повезана са величином кључа.
Управљање сертификатима НФВИС генерише самопотписани ССЛ сертификат када се први пут инсталира. Најбоља безбедносна пракса је да се овај сертификат замени важећим сертификатом који је потписао усаглашени ауторитет за издавање сертификата (ЦА). Користите следеће кораке да замените подразумевани самопотписани сертификат: 1. Генеришите захтев за потписивање сертификата (ЦСР) на НФВИС-у.
Захтев за потписивање сертификата (ЦСР) је а file са блоком кодираног текста који се даје ауторитету за издавање сертификата када се поднесе захтев за ССЛ сертификат. Ово file садржи информације које треба да буду укључене у сертификат као што су назив организације, уобичајено име (име домена), локација и држава. Тхе file такође садржи јавни кључ који треба да буде укључен у сертификат. НФВИС користи 2048-битни јавни кључ пошто је јачина шифровања већа са већом величином кључа. Да бисте генерисали ЦСР на НФВИС-у, покрените следећу команду:
нфвис# системски захтев за потписивање сертификата [уобичајени-назив земље-код локалитета организација организација-јединица-назив држава] ЦСР file је сачуван као /дата/интдатасторе/довнлоад/нфвис.цср. . 2. Набавите ССЛ сертификат од ЦА користећи ЦСР. Са спољног хоста користите команду сцп да бисте преузели захтев за потписивање сертификата.
[михост:/тмп] > сцп -П 22222 админ@ :/дата/интдатасторе/довнлоад/нфвис.цсрfile-наме>
Обратите се ауторитету за издавање сертификата да бисте издали нови сертификат ССЛ сервера користећи овај ЦСР. 3. Инсталирајте ЦА потписан сертификат.
Са спољног сервера користите команду сцп да отпремите сертификат file у НФВИС у дата/интдатасторе/uploads/ именик.
[мој хост:/тмп] > сцп -П 22222 file> админ@ :/дата/интдатасторе/уплоадс
Инсталирајте сертификат у НФВИС користећи следећу команду.
нфвис# системски сертификат путања за инсталацију сертификата file:///дата/интдатасторе/uploads/<certificate file>
4. Пређите на коришћење ЦА потписаног сертификата. Користите следећу команду да бисте почели да користите сертификат потписан од стране ЦА уместо подразумеваног самопотписаног сертификата.

Безбедносна разматрања 18

Безбедносна разматрања

СНМП приступ

нфвис(цонфиг)# системски сертификат усе-церт церт-типе ца-сигнед

СНМП приступ

Симпле Нетворк Манагемент Протоцол (СНМП) је протокол Интернет стандарда за прикупљање и организовање информација о управљаним уређајима на ИП мрежама и за модификацију тих информација ради промене понашања уређаја.
Развијене су три значајне верзије СНМП-а. НФВИС подржава СНМП верзију 1, верзију 2ц и верзију 3. СНМП верзије 1 и 2 користе низове заједнице за аутентификацију, а они се шаљу у облику обичног текста. Дакле, најбоља је безбедносна пракса да се уместо тога користи СНМП в3.
СНМПв3 обезбеђује безбедан приступ уређајима користећи три аспекта: – кориснике, аутентификацију и шифровање. СНМПв3 користи УСМ (Усер-басед Сецурити Модуле) за контролу приступа информацијама доступним преко СНМП-а. Корисник СНМП в3 је конфигурисан са типом аутентификације, типом приватности као и приступном фразом. Сви корисници који деле групу користе исту СНМП верзију, међутим, специфична подешавања нивоа безбедности (лозинка, тип шифровања, итд.) су наведена по кориснику.
Следећа табела резимира безбедносне опције унутар СНМП-а

Модел

Ниво

Аутентификација

Енцриптион

Исход

v1

ноАутхНоПрив

Низ заједнице бр

Користи заједницу

стринг матцх фор

аутентификација.

в2ц

ноАутхНоПрив

Низ заједнице бр

Користи подударање низа заједнице за аутентификацију.

v3

ноАутхНоПрив

Корисничко име

бр

Користи корисничко име

одговара за

аутентификација.

v3

аутхНоПрив

Сажетак поруке 5 бр

Обезбеђује

(МД5)

на основу аутентификације

or

на ХМАЦ-МД5-96 или

Сецуре Хасх

ХМАЦ-СХА-96

Алгоритам (СХА)

алгоритми.

Безбедносна разматрања 19

Правна обавештења банери

Безбедносна разматрања

Модел в3

Левел аутхПрив

Аутентификација МД5 или СХА

Енцриптион

Исход

Шифровање података обезбеђује

Стандардно (ДЕС) или засновано на аутентификацији

Напредно

на

Стандард шифровања ХМАЦ-МД5-96 или

(АЕС)

ХМАЦ-СХА-96

алгоритми.

Пружа алгоритам ДЕС шифре у режиму ланчања блокова шифре (ЦБЦ-ДЕС)

or

АЕС алгоритам за шифровање који се користи у режиму повратне везе шифровања (ЦФБ), са 128-битном величином кључа (ЦФБ128-АЕС-128)

Од свог усвајања од стране НИСТ-а, АЕС је постао доминантни алгоритам за шифровање у целој индустрији. Да бисте пратили миграцију индустрије са МД5 на СХА, најбоља је безбедносна пракса да се конфигурише СНМП в3 протокол за аутентификацију као СХА и протокол за приватност као АЕС.
За више детаља о СНМП-у погледајте Увод о СНМП-у

Правна обавештења банери
Препоручује се да банер са правним обавештењем буде присутан на свим интерактивним сесијама како би се осигурало да корисници буду обавештени о безбедносној политици која се примењује и којој подлежу. У неким јурисдикцијама, грађанско и/или кривично гоњење нападача који упадне у систем је лакше, или чак потребно, ако се прикаже банер са правним обавештењем који обавештава неовлашћене кориснике да је њихова употреба у ствари неовлашћена. У неким јурисдикцијама такође може бити забрањено праћење активности неовлашћеног корисника осим ако нису обавештени о намери да то ураде.
Захтеви за правна обавештења су сложени и разликују се у свакој јурисдикцији и ситуацији. Чак и унутар јурисдикција, правна мишљења се разликују. Разговарајте о овом проблему са својим правним саветником како бисте били сигурни да банер обавештења испуњава захтеве компаније, локалне и међународне законске регулативе. Ово је често кључно за обезбеђивање одговарајуће акције у случају кршења безбедности. У сарадњи са правним саветником компаније, изјаве које могу бити укључене у банер правног обавештења укључују:
· Обавештење да је приступ систему и коришћење дозвољено само од стране посебно овлашћеног особља, и можда информација о томе ко може да одобри коришћење.
· Обавештење да је неовлашћен приступ и коришћење система незаконит и може бити предмет грађанских и/или кривичних казни.
· Обавештење да се приступ и коришћење система може евидентирати или надгледати без даљег обавештења, а добијени дневници се могу користити као доказ на суду.
· Додатна посебна обавештења захтевана посебним локалним законима.

Безбедносна разматрања 20

Безбедносна разматрања

Ресетовање на фабричка подешавања

Са безбедносне, а не правне тачке view, банер са правним обавештењем не би требало да садржи никакве специфичне информације о уређају, као што су његово име, модел, софтвер, локација, оператер или власник јер ова врста информација може бити корисна за нападача.
Следеће је каоampле банер са правним обавештењем који се може приказати пре пријављивања:
НЕОВЛАШЋЕНИ ПРИСТУП ОВОМ УРЕЂАЈУ ЈЕ ЗАБРАЊЕН Морате имати изричиту, овлашћену дозволу за приступ или конфигурисање овог уређаја. Неовлашћени покушаји и радње за приступ или коришћење
овај систем може резултирати грађанским и/или кривичним казнама. Све активности које се обављају на овом уређају се евидентирају и надгледају

Напомена Представите банер са правним обавештењем који је одобрио правни саветник компаније.
НФВИС омогућава конфигурацију банера и поруке дана (МОТД). Банер се приказује пре него што се корисник пријави. Када се корисник пријави на НФВИС, системски дефинисан банер пружа информације о ауторским правима за НФВИС, а порука дана (МОТД), ако је конфигурисана, ће се појавити, праћена промпт командне линије или портал view, у зависности од начина пријављивања.
Препоручује се да се примени банер за пријаву како би се обезбедило да се банер са правним обавештењем прикаже на свим сесијама приступа за управљање уређајем пре него што се прикаже упит за пријаву. Користите ову команду да конфигуришете банер и МОТД.
нфвис(цонфиг)# баннер-мотд банер мотд
За више информација о команди банера погледајте Конфигуришите банер, поруку дана и системско време.

Ресетовање на фабричка подешавања
Ресетовање на фабричка подешавања уклања све податке специфичне за купца који су додати уређају од тренутка испоруке. Подаци који се обришу укључују конфигурације, дневник fileс, слике ВМ, информације о повезивању и акредитиви за пријаву корисника.
Пружа једну команду за ресетовање уређаја на фабричка оригинална подешавања и корисна је у следећим сценаријима:
· Овлашћење за враћање материјала (РМА) за уређај – Ако морате да вратите уређај у Цисцо за РМА, користите ресетовање на фабричка подешавања да бисте уклонили све податке специфичне за купца.
· Опоравак компромитованог уређаја – Ако су кључни материјал или акредитиви ускладиштени на уређају угрожени, ресетујте уређај на фабричку конфигурацију, а затим поново конфигуришите уређај.
· Ако исти уређај треба поново да се користи на другом месту са новом конфигурацијом, извршите ресетовање на фабричка подешавања да бисте уклонили постојећу конфигурацију и довели је у чисто стање.

НФВИС пружа следеће опције у оквиру ресетовања на фабричка подешавања:

Опција фабричког ресетовања

Подаци избрисани

Подаци задржани

све

Сва конфигурација, отпремљена слика Администраторски налог је задржан и

fileс, ВМ и евиденције.

лозинка ће бити промењена у

Повезивање са уређајем ће бити фабрички подразумевана лозинка.

изгубљен.

Безбедносна разматрања 21

Мрежа за управљање инфраструктуром

Безбедносна разматрања

Опција фабричког ресетовања све осим слика
све-осим-слике-повезаност
производња

Подаци избрисани

Подаци задржани

Сва конфигурација осим слике Конфигурација слике, регистрована

конфигурацију, ВМ-ове и отпремљене слике и евиденције

слика files.

Администраторски налог се задржава и

Повезивање са уређајем ће бити лозинка ће бити промењена у

изгубљен.

фабрички подразумевана лозинка.

Сва конфигурација осим слике, слика, мреже и повезивања

мреже и повезаности

сродна конфигурација, регистрован

конфигурацију, ВМ-ове и отпремљене слике и евиденције.

слика files.

Администраторски налог се задржава и

Повезивање са уређајем је

претходно конфигурисани администратор

доступан.

лозинка ће бити сачувана.

Сва конфигурација осим конфигурације слике, ВМ-а, отпремљене слике fileс, и дневнике.
Веза са уређајем ће бити изгубљена.

Конфигурација у вези са сликом и регистроване слике
Администраторски налог је задржан и лозинка ће бити промењена у фабрички подразумевану лозинку.

Корисник мора пажљиво одабрати одговарајућу опцију на основу сврхе ресетовања на фабричка подешавања. За више информација погледајте Ресетовање на фабричка подешавања.

Мрежа за управљање инфраструктуром
Мрежа за управљање инфраструктуром се односи на мрежу која носи саобраћај на нивоу контроле и управљања (као што су НТП, ССХ, СНМП, сислог, итд.) за инфраструктурне уређаје. Приступ уређају може бити преко конзоле, као и преко Етхернет интерфејса. Овај саобраћај у равни контроле и управљања је критичан за мрежне операције, пружајући видљивост и контролу над мрежом. Сходно томе, добро дизајнирана и безбедна мрежа за управљање инфраструктуром је критична за укупну безбедност и рад мреже. Једна од кључних препорука за безбедну мрежу управљања инфраструктуром је раздвајање управљања и саобраћаја података како би се обезбедило управљање на даљину чак и под великим оптерећењем и условима високог саобраћаја. Ово се може постићи коришћењем наменског интерфејса за управљање.
Следи приступ имплементацији мреже за управљање инфраструктуром:
Управљање ван опсега
Мрежа управљања ван опсега (ООБ) се састоји од мреже која је потпуно независна и физички различита од мреже података којом помаже да се управља. Ово се понекад назива и мрежа за комуникацију података (ДЦН). Мрежни уређаји могу да се повежу на ООБ мрежу на различите начине: НФВИС подржава уграђени интерфејс за управљање који се може користити за повезивање на ООБ мрежу. НФВИС дозвољава конфигурацију унапред дефинисаног физичког интерфејса, МГМТ порта на ЕНЦС-у, као наменског интерфејса за управљање. Ограничавање пакета управљања на одређене интерфејсе обезбеђује већу контролу над управљањем уређајем, чиме се обезбеђује већа безбедност за тај уређај. Остале предности укључују побољшане перформансе за пакете података на интерфејсима без управљања, подршку за скалабилност мреже,

Безбедносна разматрања 22

Безбедносна разматрања

Псеудо управљање ван опсега

потреба за мањим бројем листа за контролу приступа (АЦЛ) да би се ограничио приступ уређају и спречавање поплава управљачких пакета да стигну до ЦПУ-а. Мрежни уређаји се такође могу повезати на ООБ мрежу преко наменских интерфејса за податке. У овом случају, АЦЛ-ови треба да буду распоређени како би се осигурало да саобраћајем управљања управљају само наменски интерфејси. За додатне информације погледајте Конфигурисање ИП пријемног АЦЛ-а и порта 22222 и АЦЛ-а интерфејса за управљање.
Псеудо управљање ван опсега
Псеудо мрежа за управљање ван опсега користи исту физичку инфраструктуру као мрежа података, али обезбеђује логичко раздвајање кроз виртуелно раздвајање саобраћаја, коришћењем ВЛАН-а. НФВИС подржава креирање ВЛАН-ова и виртуелних мостова како би помогао у идентификацији различитих извора саобраћаја и одвојеног саобраћаја између ВМ-ова. Поседовање засебних мостова и ВЛАН-ова изолује саобраћај података мреже виртуелне машине и мрежу управљања, чиме се обезбеђује сегментација саобраћаја између ВМ-а и хоста. За додатне информације погледајте Конфигурисање ВЛАН-а за саобраћај управљања НФВИС-ом.
Управљање у опсегу
Мрежа за управљање унутар опсега користи исте физичке и логичке путање као и саобраћај података. На крају, овај дизајн мреже захтева анализу ризика наспрам користи и трошкова по кориснику. Нека општа разматрања укључују:
· Изолована ООБ мрежа за управљање максимизира видљивост и контролу над мрежом чак и током догађаја који изазивају прекид.
· Пренос мрежне телеметрије преко ООБ мреже минимизира могућност ометања самих информација које обезбеђују критичну видљивост мреже.
· Приступ унутар-појасном менаџменту мрежној инфраструктури, хостовима итд. подложан је потпуном губитку у случају мрежног инцидента, уклањајући сву видљивост и контролу мреже. Требало би успоставити одговарајуће КоС контроле да би се ублажила ова појава.
· НФВИС садржи интерфејсе који су намењени управљању уређајима, укључујући портове серијске конзоле и интерфејсе за управљање Етхернет-ом.
· Мрежа за управљање ООБ-ом се обично може применити по разумној цени, пошто саобраћај мреже за управљање обично не захтева висок пропусни опсег нити уређаје високих перформанси, и захтева само довољну густину портова да подржи повезивање са сваким инфраструктурним уређајем.
Заштита локално ускладиштених информација
Заштита осетљивих информација
НФВИС чува неке осетљиве информације локално, укључујући лозинке и тајне. Лозинке генерално треба да одржава и контролише централизовани ААА сервер. Међутим, чак и ако је централизовани ААА сервер распоређен, неке локално ускладиштене лозинке су потребне за одређене случајеве, као што је локални резервни случај у случају да ААА сервери нису доступни, корисничка имена за специјалну употребу, итд. Ове локалне лозинке и друге осетљиве

Безбедносна разматрања 23

File Трансфер

Безбедносна разматрања

информације се чувају у НФВИС-у као хеш, тако да није могуће повратити оригиналне акредитиве из система. Хеширање је широко прихваћена норма у индустрији.

File Трансфер
Fileкоје ће можда морати да се пренесу на НФВИС уређаје укључују ВМ слику и НФВИС надоградњу fileс. Безбедан пренос од fileс је критичан за сигурност мрежне инфраструктуре. НФВИС подржава Сецуре Цопи (СЦП) како би се осигурала сигурност file трансфер. СЦП се ослања на ССХ за безбедну аутентификацију и транспорт, омогућавајући безбедно и оверено копирање files.
Сигурна копија из НФВИС-а се покреће преко сцп команде. Команда безбедне копије (сцп) дозвољава само кориснику администратора да безбедно копира fileс са НФВИС-а на екстерни систем, или са екстерног система на НФВИС.
Синтакса за сцп команду је:
сцп
Користимо порт 22222 за НФВИС СЦП сервер. Подразумевано, овај порт је затворен и корисници не могу да обезбеде копију fileс у НФВИС са спољног клијента. Ако постоји потреба за СЦП а file са спољног клијента, корисник може да отвори порт користећи:
подешавања система ип-рецеиве-ацл (адреса)/(дужина маске) ​​услуга сцпд приоритет (број) акција прихвати
починити
Да бисте спречили кориснике да приступе системским директоријумима, безбедно копирање може да се изврши само на или са интдатасторе:, ектдатасторе1:, ектдатасторе2:, усб: и нфс:, ако су доступни. Безбедно копирање се такође може извршити из евиденције: и техничке подршке:

Логгинг

НФВИС приступ и промене конфигурације се евидентирају као евиденције ревизије да би се забележиле следеће информације: · Ко је приступио уређају · Када се корисник пријавио · Шта је корисник урадио у погледу конфигурације хоста и животног циклуса ВМ · Када је корисник регистрован искључено · Неуспели покушаји приступа · Неуспели захтеви за аутентификацију · Неуспели захтеви за ауторизацију
Ове информације су од непроцењиве вредности за форензичку анализу у случају неовлашћених покушаја или приступа, као и за проблеме са променом конфигурације и за помоћ при планирању промена администрације групе. Такође се може користити у реалном времену за идентификацију аномалних активности које могу указивати на напад. Ова анализа се може повезати са информацијама из додатних екстерних извора, као што су ИДС и евиденције заштитног зида.

Безбедносна разматрања 24

Безбедносна разматрања

Сигурност виртуелне машине

Сви кључни догађаји на НФВИС-у се шаљу као обавештења о догађајима НЕТЦОНФ претплатницима и као системски дневники конфигурисаним централним серверима за евидентирање. За више информација о порукама системског дневника и обавештењима о догађајима, погледајте Додатак.
Сигурност виртуелне машине
Овај одељак описује безбедносне функције везане за регистрацију, примену и рад виртуелних машина на НФВИС-у.
ВНФ безбедно покретање
НФВИС подржава фирмвер отворених виртуелних машина (ОВМФ) да би омогућио УЕФИ безбедно покретање за виртуелне машине које подржавају безбедно покретање. ВНФ Сецуре боот потврђује да је сваки слој софтвера за покретање ВМ потписан, укључујући покретач, језгро оперативног система и драјвере оперативног система.

За више информација погледајте Сигурно покретање ВНФ-а.
Заштита приступа ВНЦ конзоли
НФВИС омогућава кориснику да креира сесију виртуелног рачунарства (ВНЦ) за приступ удаљеној радној површини распоређеног ВМ-а. Да би ово омогућио, НФВИС динамички отвара порт на који корисник може да се повеже користећи свој web прегледач. Овај порт остаје отворен само 60 секунди да би спољни сервер започео сесију са ВМ-ом. Ако се никаква активност не види у том периоду, лука се затвара. Број порта се додељује динамички и на тај начин омогућава само једнократни приступ ВНЦ конзоли.
нфвис# внццонсоле старт деплоимент-наме 1510614035 вм-наме РОУТЕР внццонсоле-url :6005/внц_ауто.хтмл
Усмеравање вашег претраживача на хттпс:// :6005/внц_ауто.хтмл ће се повезати са ВНЦ конзолом РОУТЕР ВМ.
Безбедносна разматрања 25

Шифроване променљиве конфигурационих података ВМ

Безбедносна разматрања

Шифроване променљиве конфигурационих података ВМ
Током имплементације ВМ-а, корисник обезбеђује конфигурацију дана 0 file за ВМ. Ово file може да садржи осетљиве информације као што су лозинке и кључеви. Ако се ова информација проследи као чист текст, она се појављује у дневнику fileс и интерне евиденције базе података у чистом тексту. Ова функција омогућава кориснику да означи променљиву конфигурационих података као осетљиву тако да њена вредност буде шифрована коришћењем АЕС-ЦФБ-128 енкрипције пре него што се ускладишти или проследи интерним подсистемима.
За више информација погледајте Параметри имплементације ВМ-а.
Верификација контролне суме за удаљену регистрацију слике
Да би регистровао удаљену ВНФ слику, корисник одређује њену локацију. Слика ће морати да се преузме са спољног извора, као што је НФС сервер или удаљени ХТТПС сервер.
Да бисте сазнали да ли је преузето file је безбедан за инсталацију, неопходно је упоредити file'с контролни збир пре него што га употребите. Провера контролног збира помаже да се осигура да file није оштећен током мрежног преноса или је модификован од стране злонамерне треће стране пре него што сте га преузели.
НФВИС подржава опције цхецксум и цхецксум_алгоритхм за корисника да обезбеди очекивани контролни збир и алгоритам контролне суме (СХА256 или СХА512) који ће се користити за верификацију контролне суме преузете слике. Креирање слике не успева ако се контролни збир не подудара.
Валидација сертификата за регистрацију слике на даљину
Да бисте регистровали ВНФ слику која се налази на ХТТПС серверу, слика ће морати да се преузме са удаљеног ХТТПС сервера. Да би безбедно преузео ову слику, НФВИС верификује ССЛ сертификат сервера. Корисник треба да наведе или путању до сертификата file или садржај сертификата у формату ПЕМ да бисте омогућили ово безбедно преузимање.
Више детаља можете пронаћи у одељку о валидацији сертификата за регистрацију слике
Изолација ВМ и обезбеђивање ресурса
Архитектура виртуелизације мрежних функција (НФВ) састоји се од:
· Виртуелизоване мрежне функције (ВНФ), које су виртуелне машине које покрећу софтверске апликације које испоручују мрежне функције као што су рутер, заштитни зид, балансатор оптерећења и тако даље.
· Инфраструктура виртуелизације мрежних функција, која се састоји од инфраструктурних компоненти – рачунара, меморије, складиштења и умрежавања, на платформи која подржава потребан софтвер и хипервизор.
Са НФВ, мрежне функције су виртуелизоване тако да се више функција може покренути на једном серверу. Као резултат, потребно је мање физичког хардвера, што омогућава консолидацију ресурса. У овом окружењу, неопходно је симулирати наменске ресурсе за више ВНФ-ова из једног физичког хардверског система. Користећи НФВИС, ВМ се могу применити на контролисан начин тако да сваки ВМ добије ресурсе који су му потребни. Ресурси се по потреби деле из физичког окружења у многа виртуелна окружења. Појединачни домени ВМ-а су изоловани тако да су одвојена, различита и безбедна окружења, која се међусобно не боре за дељене ресурсе.
ВМ не могу да користе више ресурса него што је обезбеђено. Ово избегава услов одбијања услуге од једне ВМ која троши ресурсе. Као резултат, ЦПУ, меморија, мрежа и складиште су заштићени.

Безбедносна разматрања 26

Безбедносна разматрања
ЦПУ Исолатион

ЦПУ Исолатион

НФВИС систем резервише језгра за инфраструктурни софтвер који ради на хосту. Остала језгра су доступна за примену ВМ-а. Ово гарантује да перформансе ВМ-а не утичу на перформансе НФВИС хоста. ВМ са малим кашњењем НФВИС експлицитно додељује наменска језгра ВМ-овима са малим кашњењем који су распоређени на њему. Ако ВМ захтева 2 вЦПУ-а, додељена су му 2 наменска језгра. Ово спречава дељење и прекомерну претплату језгара и гарантује перформансе ВМ-ова са малим кашњењем. Ако је број доступних језгара мањи од броја вЦПУ-а које захтева други ВМ са малим кашњењем, примена је спречена јер немамо довољно ресурса. ВМ-ови без малог кашњења НФВИС додељује дељиве ЦПУ-ове ВМ-овима без малог кашњења. Ако ВМ захтева 2 вЦПУ-а, додељена су му 2 ЦПУ-а. Ова 2 ЦПУ-а се могу делити међу осталим ВМ-овима без мале латенције. Ако је број доступних ЦПУ-а мањи од броја вЦПУ-а које захтева друга ВМ без малог кашњења, примена је и даље дозвољена јер ће овај ВМ делити ЦПУ са постојећим ВМ-овима без мале латенције.
Алокација меморије
НФВИС инфраструктури је потребна одређена количина меморије. Када је ВМ распоређен, постоји провера да би се осигурало да је меморија доступна након резервисања меморије потребне за инфраструктуру и претходно распоређене ВМ, довољна за нови ВМ. Не дозвољавамо прекомерну претплату меморије за ВМ.
Безбедносна разматрања 27

Изолација складиштења
ВМ-овима није дозвољен директан приступ хосту file систем и складиште.
Изолација складиштења

Безбедносна разматрања

ЕНЦС платформа подржава интерно складиште података (М2 ССД) и екстерне дискове. НФВИС је инсталиран на интерном складишту података. ВНФ-ови се такође могу применити на овом интерном складишту података. Најбоља безбедносна пракса је складиштење података о клијентима и примену виртуелних машина за клијенте на спољним дисковима. Имати физички одвојене дискове за систем fileс у односу на апликацију fileс помаже у заштити системских података од оштећења и безбедносних проблема.
·
Интерфаце Исолатион
Сингле Роот И/О виртуелизација или СР-ИОВ је спецификација која омогућава изолацију ПЦИ Екпресс (ПЦИе) ресурса као што је Етхернет порт. Користећи СР-ИОВ, један Етхернет порт се може учинити да изгледа као више, засебних физичких уређаја познатих као виртуелне функције. Сви ВФ уређаји на том адаптеру деле исти физички мрежни порт. Гост може да користи једну или више ових виртуелних функција. Виртуелна функција се госту појављује као мрежна картица, на исти начин као што би се нормална мрежна картица појавила у оперативном систему. Виртуелне функције имају скоро изворне перформансе и пружају боље перформансе од паравиртуелизованих драјвера и емулираног приступа. Виртуелне функције обезбеђују заштиту података између гостију на истом физичком серверу док подацима управља и контролише их хардвер. НФВИС ВНФ-ови могу да користе СР-ИОВ мреже за повезивање на ВАН и ЛАН портове на задњој плочи.
Безбедносна разматрања 28

Безбедносна разматрања

Животни циклус безбедног развоја

Сваки такав ВМ поседује виртуелни интерфејс и повезане ресурсе који постижу заштиту података међу ВМ-овима.
Животни циклус безбедног развоја
НФВИС прати животни циклус безбедног развоја (СДЛ) за софтвер. Ово је поновљив, мерљив процес дизајниран да смањи рањивости и побољша безбедност и отпорност Цисцо решења. Цисцо СДЛ примењује водећу праксу и технологију у индустрији за изградњу поузданих решења која имају мање инцидената безбедности производа откривених на терену. Свако издање НФВИС-а пролази кроз следеће процесе.
· Праћење интерних и тржишно заснованих захтева за безбедност производа · Регистровање софтвера треће стране са централним репозиторијумом у Цисцо-у ради праћења рањивости · Периодично закрпе софтвера са познатим исправкама за ЦВЕ. · Дизајнирање софтвера са безбедношћу на уму · Праћење безбедних пракси кодирања као што је коришћење проверених уобичајених безбедносних модула као што је ЦисцоССЛ, покретање
Статичка анализа и имплементација валидације уноса за спречавање убацивања команди, итд. · Коришћење алата за безбедност апликација као што су ИБМ АппСцан, Нессус и други Цисцо интерни алати.

Безбедносна разматрања 29

Животни циклус безбедног развоја

Безбедносна разматрања

Безбедносна разматрања 30

Документи / Ресурси

ЦИСЦО Ентерприсе Нетворк Фунцтион Виртуализатион Инфраструцтуре Софтваре [пдф] Упутство за кориснике Софтвер за виртуелизацију инфраструктуре за мрежне функције предузећа, Ентерприсе, софтвер за инфраструктуру виртуелизације мрежних функција, софтвер за инфраструктуру виртуелизације, софтвер за инфраструктуру

Референце

• Упутство за употребу