Kurumsal Ağ Fonksiyonu Sanallaştırma Altyapı Yazılımı

Ürün Bilgileri

Özellikler

  • NFVIS yazılım sürümü: 3.7.1 ve üzeri
  • RPM imzalama ve imza doğrulama desteklenir
  • Güvenli önyükleme mevcut (varsayılan olarak devre dışıdır)
  • Güvenli Benzersiz Cihaz Tanımlama (SUDI) mekanizması kullanıldı

Güvenlik Hususları

NFVIS yazılımı çeşitli yollarla güvenliği sağlar
mekanizmalar:

  • Resim TampKoruma: RPM imzalama ve imza doğrulama
    ISO ve yükseltme görüntülerindeki tüm RPM paketleri için.
  • RPM İmzalama: Cisco Enterprise NFVIS ISO'daki tüm RPM paketleri
    ve yükseltme görüntüleri, kriptografik bütünlüğü sağlamak için imzalanır ve
    özgünlük.
  • RPM İmza Doğrulaması: Tüm RPM paketlerinin imzası
    kurulumdan veya yükseltmeden önce doğrulandı.
  • Görüntü Bütünlüğü Doğrulaması: Cisco NFVIS ISO görüntüsünün karması
    ve ek bilgilerin bütünlüğünü sağlamak için yükseltme görüntüsü yayınlanır
    RPM dışı files.
  • ENCS Güvenli Önyükleme: UEFI standardının bir parçası olup,
    aygıt yalnızca güvenilir yazılım kullanılarak önyüklenir.
  • Güvenli Benzersiz Cihaz Tanımlaması (SUDI): Cihazın
    gerçekliğini doğrulamak için değişmez bir kimliğe sahiptir.

Kurulum

NFVIS yazılımını yüklemek için şu adımları izleyin:

  1. Yazılım görüntüsünün değiştirilmediğinden emin olun.amptarafından
    imzasının ve bütünlüğünün doğrulanması.
  2. Cisco Enterprise NFVIS 3.7.1 ve üstünü kullanıyorsanız şunlardan emin olun:
    imza doğrulaması kurulum sırasında geçer. Başarısız olursa,
    kurulum iptal edilecektir.
  3. Cisco Enterprise NFVIS 3.6.x'ten Sürüme yükseltiliyorsa
    3.7.1'de, RPM imzaları yükseltme sırasında doğrulanır. Eğer
    imza doğrulaması başarısız olur, günlüğe bir hata kaydedilir ancak yükseltme işlemi yapılır
    tamamlanmış.
  4. Sürüm 3.7.1'den sonraki sürümlere yükseltme yapılıyorsa RPM
    yükseltme görüntüsü kaydedildiğinde imzalar doğrulanır. Eğer
    imza doğrulaması başarısız olursa yükseltme iptal edilir.
  5. Cisco NFVIS ISO görüntüsünün veya yükseltme görüntüsünün karma değerini doğrulayın
    komutu kullanarak: /usr/bin/sha512sum
    <image_filepath>
    . Karmayı yayınlananlarla karşılaştırın
    bütünlüğü sağlamak için karma.

Güvenli Önyükleme

Güvenli önyükleme, ENCS'de bulunan bir özelliktir (varsayılan olarak devre dışıdır)
Bu, cihazın yalnızca güvenilir yazılım kullanılarak önyüklenmesini sağlar. İle
güvenli önyüklemeyi etkinleştir:

  1. Daha fazla bilgi için Ana Bilgisayarın Güvenli Önyüklenmesi hakkındaki belgelere bakın
    bilgi.
  2. Bilgisayarınızda güvenli önyüklemeyi etkinleştirmek için sağlanan talimatları izleyin.
    cihaz.

Güvenli Benzersiz Cihaz Tanımlaması (SUDI)

SUDI, NFVIS'e değişmez bir kimlik sağlayarak şunları doğrular:
Orijinal bir Cisco ürünüdür ve piyasada tanınmasını sağlar.
Müşterinin envanter sistemi.

SSS

S: NFVIS nedir?

C: NFVIS, Ağ Fonksiyonu Sanallaştırma anlamına gelir
Altyapı Yazılımı. dağıtmak için kullanılan bir yazılım platformudur.
ve sanal ağ işlevlerini yönetin.

S: NFVIS ISO görüntüsünün bütünlüğünü nasıl doğrulayabilirim veya
resim yükseltilsin mi?

A: Bütünlüğü doğrulamak için şu komutu kullanın:
/usr/bin/sha512sum <image_filepath> ve karşılaştır
Cisco tarafından sağlanan yayınlanmış karma ile karma.

S: Güvenli önyükleme ENCS'de varsayılan olarak etkin mi?

C: Hayır, ENCS'de güvenli önyükleme varsayılan olarak devre dışıdır. Bu
Gelişmiş güvenlik için güvenli önyüklemeyi etkinleştirmeniz önerilir.

S: NFVIS'te SUDI'nin amacı nedir?

C: SUDI, NFVIS'e benzersiz ve değişmez bir kimlik sağlar,
Bir Cisco ürünü olarak orijinalliğini sağlamak ve kullanımını kolaylaştırmak
Müşterinin envanter sisteminde tanınma.

Güvenlik Hususları
Bu bölümde NFVIS'deki güvenlik özellikleri ve dikkat edilmesi gereken noktalar açıklanmaktadır. Üst düzey bir sonuç verirview Size özel dağıtımlar için bir güvenlik stratejisi planlamak amacıyla NFVIS'deki güvenlikle ilgili bileşenlerin listesi. Ayrıca ağ güvenliğinin temel öğelerini uygulamaya yönelik en iyi güvenlik uygulamalarına ilişkin öneriler de bulunmaktadır. NFVIS yazılımı, kurulumdan itibaren tüm yazılım katmanlarına yerleşik güvenlik özelliğine sahiptir. Sonraki bölümler kimlik bilgileri yönetimi, bütünlük ve güvenlik gibi kullanıma hazır güvenlik konularına odaklanıyor.ampKoruma, oturum yönetimi, güvenli cihaz erişimi ve daha fazlası.

· Kurulum, sayfa 2 · Güvenli Benzersiz Cihaz Tanımlaması, sayfa 3 · Cihaz Erişimi, sayfa 4

Güvenlik Hususları 1

Kurulum

Güvenlik Hususları

· Altyapı Yönetim Ağı, sayfa 22 · Yerel Olarak Depolanan Bilgilerin Korunması, sayfa 23 · File Aktarım, sayfa 24 · Günlüğe Kaydetme, sayfa 24 · Sanal Makine güvenliği, sayfa 25 · VM Yalıtımı ve Kaynak Sağlama, sayfa 26 · Güvenli Geliştirme Yaşam Döngüsü, sayfa 29

Kurulum
NFVIS yazılımının kullanılmadığından emin olmak içinampile kullanıldığında, yazılım görüntüsü kurulumdan önce aşağıdaki mekanizmalar kullanılarak doğrulanır:

Resim Tamper Koruma
NFVIS, ISO ve yükseltme görüntülerindeki tüm RPM paketleri için RPM imzalamayı ve imza doğrulamayı destekler.

RPM İmzalama

Cisco Enterprise NFVIS ISO'daki tüm RPM paketleri ve yükseltme görüntüleri, kriptografik bütünlüğü ve orijinalliği sağlamak için imzalanmıştır. Bu, RPM paketlerinin değiştirilmediğini garanti eder.ampile birlikte sunulur ve RPM paketleri NFVIS'tendir. RPM paketlerini imzalamak için kullanılan özel anahtar, Cisco tarafından oluşturulur ve güvenli bir şekilde korunur.

RPM İmza Doğrulaması

NFVIS yazılımı, kurulum veya yükseltme işleminden önce tüm RPM paketlerinin imzasını doğrular. Aşağıdaki tabloda, kurulum veya yükseltme sırasında imza doğrulaması başarısız olduğunda Cisco Kurumsal NFVIS davranışı açıklanmaktadır.

Senaryo

Tanım

Cisco Enterprise NFVIS 3.7.1 ve üzeri kurulumlar Cisco Enterprise NFVIS kurulurken imza doğrulaması başarısız olursa kurulum iptal edilir.

Cisco Enterprise NFVIS 3.6.x'ten Sürüm 3.7.1'e yükseltme

Yükseltme gerçekleştirilirken RPM imzaları doğrulanır. İmza doğrulaması başarısız olursa günlüğe bir hata kaydedilir ancak yükseltme tamamlanır.

Sürüm 3.7.1'den Cisco Enterprise NFVIS yükseltmesi Yükseltme sırasında RPM imzaları doğrulanır

daha sonraki sürümlere

görüntü kayıtlıdır. İmza doğrulaması başarısız olursa,

yükseltme iptal edilir.

Görüntü Bütünlüğü Doğrulaması
RPM imzalama ve imza doğrulama yalnızca Cisco NFVIS ISO ve yükseltme görüntülerinde bulunan RPM paketleri için yapılabilir. Tüm ek RPM dışı öğelerin bütünlüğünü sağlamak için fileCisco NFVIS ISO görüntüsünde mevcut olduğundan, Cisco NFVIS ISO görüntüsünün bir karması görüntüyle birlikte yayınlanır. Benzer şekilde, Cisco NFVIS yükseltme görüntüsünün bir karması da görüntüyle birlikte yayınlanır. Cisco karmasının doğrulandığını doğrulamak için

Güvenlik Hususları 2

Güvenlik Hususları

ENCS Güvenli Önyükleme

NFVIS ISO görüntüsü veya yükseltme görüntüsü, Cisco tarafından yayınlanan karmayla eşleşir, aşağıdaki komutu çalıştırın ve karma değerini yayınlanan karma ile karşılaştırın:
% /usr/bin/sha512sumFile> c2122783efc18b039246ae1bcd4eec4e5e027526967b5b809da5632d462dfa6724a9b20ec318c74548c6bd7e9b8217ce96b5ece93dcdd74fda5e01bb382ad607
<ImageFile>
ENCS Güvenli Önyükleme
Güvenli önyükleme, bir aygıtın yalnızca Orijinal Ekipman Üreticisi (OEM) tarafından güvenilen bir yazılım kullanılarak önyüklenmesini sağlayan Birleşik Genişletilebilir Ürün Yazılımı Arayüzü (UEFI) standardının bir parçasıdır. NFVIS başladığında, ürün yazılımı, önyükleme yazılımının ve işletim sisteminin imzasını kontrol eder. İmzalar geçerliyse cihaz önyüklenir ve ürün yazılımı kontrolü işletim sistemine verir.
Güvenli önyükleme ENCS'de mevcuttur ancak varsayılan olarak devre dışıdır. Cisco, güvenli önyüklemeyi etkinleştirmenizi önerir. Daha fazla bilgi için bkz. Ana Bilgisayarın Güvenli Önyüklenmesi.
Güvenli Benzersiz Cihaz Tanımlaması
NFVIS, kendisine değişmez bir kimlik sağlayan Güvenli Benzersiz Cihaz Tanımlaması (SUDI) olarak bilinen bir mekanizmayı kullanır. Bu kimlik, cihazın orijinal bir Cisco ürünü olduğunu doğrulamak ve cihazın müşterinin envanter sistemi tarafından iyi tanındığından emin olmak için kullanılır.
SUDI, bir X.509v3 sertifikası ve donanımda korunan ilişkili bir anahtar çiftidir. SUDI sertifikası, ürün tanımlayıcıyı ve seri numarasını içerir ve Cisco Genel Anahtar Altyapısına dayanır. Anahtar çifti ve SUDI sertifikası üretim sırasında donanım modülüne eklenir ve özel anahtar hiçbir zaman dışarı aktarılamaz.
SUDI tabanlı kimlik, Zero Touch Provisioning (ZTP) kullanılarak kimliği doğrulanmış ve otomatikleştirilmiş yapılandırma gerçekleştirmek için kullanılabilir. Bu, cihazların güvenli ve uzaktan eklenmesini sağlar ve orkestrasyon sunucusunun orijinal bir NFVIS cihazıyla konuşmasını sağlar. Bir arka uç sistemi, kimliğini doğrulamak için NFVIS cihazına bir sorgulama gönderebilir ve cihaz, SUDI tabanlı kimliğini kullanarak bu sorgulamaya yanıt verecektir. Bu, arka uç sisteminin yalnızca doğru cihazın doğru konumda olduğunu envanterine göre doğrulamasına değil, aynı zamanda yalnızca belirli cihaz tarafından açılabilen şifreli yapılandırma sunmasına ve böylece aktarım sırasında gizliliğin sağlanmasına da olanak tanır.
Aşağıdaki iş akışı diyagramları NFVIS'nin SUDI'yi nasıl kullandığını göstermektedir:

Güvenlik Hususları 3

Cihaz Erişimi Şekil 1: Tak ve Çalıştır (PnP) Sunucu kimlik doğrulaması

Güvenlik Hususları

Şekil 2: Tak ve Kullan Cihaz Kimlik Doğrulaması ve Yetkilendirmesi

Cihaz Erişimi
NFVIS, HTTPS ve SSH gibi protokollere dayalı uzaktan erişimin yanı sıra konsol dahil olmak üzere farklı erişim mekanizmaları sağlar. Her erişim mekanizması dikkatlice yeniden düzenlenmelidir.viewdüzenlendi ve yapılandırıldı. Yalnızca gerekli erişim mekanizmalarının etkinleştirildiğinden ve bunların güvenliğinin uygun şekilde sağlandığından emin olun. NFVIS'ye hem etkileşimli hem de yönetim erişimini güvence altına almanın temel adımları, cihazın erişilebilirliğini kısıtlamak, izin verilen kullanıcıların yeteneklerini gerekenlerle sınırlamak ve izin verilen erişim yöntemlerini kısıtlamaktır. NFVIS, erişimin yalnızca kimliği doğrulanmış kullanıcılara verilmesini ve bu kullanıcıların yalnızca yetkili eylemleri gerçekleştirebilmelerini sağlar. Denetim amacıyla cihaz erişimi günlüğe kaydedilir ve NFVIS, yerel olarak depolanan hassas verilerin gizliliğini sağlar. NFVIS'e yetkisiz erişimi önlemek için uygun kontrollerin oluşturulması kritik öneme sahiptir. Aşağıdaki bölümlerde bunu başarmak için en iyi uygulamalar ve yapılandırmalar açıklanmaktadır:
Güvenlik Hususları 4

Güvenlik Hususları

İlk Girişte Zorunlu Şifre Değişikliği

İlk Girişte Zorunlu Şifre Değişikliği
Varsayılan kimlik bilgileri, ürün güvenliği olaylarının sık görülen bir kaynağıdır. Müşteriler sıklıkla varsayılan oturum açma kimlik bilgilerini değiştirmeyi unutarak sistemlerini saldırılara açık hale getiriyor. Bunu önlemek için NFVIS kullanıcısı, ilk oturum açma sonrasında varsayılan kimlik bilgilerini (kullanıcı adı: admin ve şifre Admin123#) kullanarak şifreyi değiştirmek zorunda kalır. Daha fazla bilgi için bkz. NFVIS'ye Erişim.
Oturum Açma Güvenlik Açıklarını Kısıtlama
Aşağıdaki özellikleri kullanarak sözlük ve Hizmet Reddi (DoS) saldırılarına karşı açıkları önleyebilirsiniz.
Güçlü parolanın uygulanması
Bir kimlik doğrulama mekanizması yalnızca kimlik bilgileri kadar güçlüdür. Bu nedenle kullanıcıların güçlü şifrelere sahip olmalarını sağlamak önemlidir. NFVIS, güçlü bir parolanın aşağıdaki kurallara göre yapılandırıldığını kontrol eder: Parola şunları içermelidir:
· En az bir büyük harf · En az bir küçük harf · En az bir sayı · Şu özel karakterlerden en az biri: karma (#), alt çizgi (_), kısa çizgi (-), yıldız işareti (*) veya soru
işareti (?) · Yedi veya daha fazla karakter · Şifre uzunluğu 7 ile 128 karakter arasında olmalıdır.
Parolalar için Minimum Uzunluğu Yapılandırma
Parola karmaşıklığının olmaması, özellikle de parola uzunluğunun olmaması, saldırganlar kullanıcı parolalarını tahmin etmeye çalıştığında arama alanını önemli ölçüde azaltır ve kaba kuvvet saldırılarını çok daha kolay hale getirir. Yönetici kullanıcı, tüm kullanıcıların şifreleri için gereken minimum uzunluğu yapılandırabilir. Minimum uzunluk 7 ila 128 karakter arasında olmalıdır. Varsayılan olarak şifreler için gereken minimum uzunluk 7 karaktere ayarlanmıştır. CLI:
nfvis(config)# rbac kimlik doğrulama min-pwd-uzunluğu 9
Uygulama API'si:
/api/config/rbac/kimlik doğrulama/min-şifre-uzunluğu
Parola Ömrünü Yapılandırma
Parola ömrü, kullanıcının parolayı değiştirmesi gerekmeden önce parolanın ne kadar süreyle kullanılabileceğini belirler.

Güvenlik Hususları 5

Önceki şifrenin yeniden kullanımını sınırlayın

Güvenlik Hususları

Yönetici kullanıcı, tüm kullanıcılar için parolaların minimum ve maksimum ömür değerlerini yapılandırabilir ve bu değerleri kontrol etmek için bir kural uygulayabilir. Varsayılan minimum ömür değeri 1 gün, varsayılan maksimum ömür değeri ise 60 gün olarak ayarlanmıştır. Minimum yaşam süresi değeri yapılandırıldığında kullanıcı, belirtilen sayıda gün geçene kadar parolayı değiştiremez. Benzer şekilde, maksimum yaşam süresi değeri yapılandırıldığında, kullanıcının belirtilen gün sayısı geçmeden önce şifreyi değiştirmesi gerekir. Kullanıcının şifresini değiştirmemesi ve belirtilen gün sayısı geçmesi durumunda kullanıcıya bildirim gönderilir.
Not Minimum ve maksimum ömür değerleri ve bu değerleri kontrol etme kuralı yönetici kullanıcıya uygulanmaz.
CLI:
Terminal rbac kimlik doğrulamasını yapılandırın şifre-ömür boyu gerçek minimum gün 2 maksimum gün 30 taahhüt uygulayın
Uygulama API'si:
/api/config/rbac/kimlik doğrulama/şifre-ömrü/
Önceki şifrenin yeniden kullanımını sınırlayın
Önceki parolaların kullanımını engellemeden, parolanın geçerlilik süresinin sona ermesi büyük ölçüde işe yaramaz çünkü kullanıcılar yalnızca parolayı değiştirip ardından orijinaline geri döndürebilir. NFVIS, yeni şifrenin daha önce kullanılan 5 şifreden biriyle aynı olup olmadığını kontrol eder. Bu kuralın bir istisnası, yönetici kullanıcının, daha önce kullanılan 5 şifreden biri olsa bile şifreyi varsayılan şifreyle değiştirebilmesidir.
Giriş denemelerinin sıklığını kısıtla
Uzaktaki bir eşin sınırsız sayıda oturum açmasına izin verilirse, sonunda oturum açma kimlik bilgilerini kaba kuvvetle tahmin edebilir. Parolaların tahmin edilmesi genellikle kolay olduğundan bu yaygın bir saldırıdır. Eşin oturum açma girişiminde bulunma hızını sınırlayarak bu saldırıyı önlüyoruz. Ayrıca, Hizmet Reddi saldırısı oluşturabilecek bu kaba kuvvetle oturum açma girişimlerinin gereksiz yere kimlik doğrulaması için sistem kaynaklarını harcamaktan da kaçınırız. NFVIS, 5 başarısız oturum açma denemesinden sonra 10 dakikalık kullanıcı kilitleme uygular.
Etkin olmayan kullanıcı hesaplarını devre dışı bırakın
Kullanıcı etkinliğini izlemek ve kullanılmayan veya eski kullanıcı hesaplarını devre dışı bırakmak, sistemin içeriden gelen saldırılara karşı korunmasına yardımcı olur. Kullanılmayan hesaplar eninde sonunda kaldırılmalıdır. Yönetici kullanıcı, kullanılmayan kullanıcı hesaplarını etkin değil olarak işaretlemek için bir kural uygulayabilir ve kullanılmayan bir kullanıcı hesabının etkin olmayan olarak işaretleneceği gün sayısını yapılandırabilir. Aktif değil olarak işaretlendikten sonra bu kullanıcı sisteme giriş yapamaz. Kullanıcının sisteme giriş yapmasına izin vermek için yönetici kullanıcı, kullanıcı hesabını etkinleştirebilir.
Not Etkin olmama süresi ve etkin olmama süresini kontrol etme kuralı yönetici kullanıcıya uygulanmaz.

Güvenlik Hususları 6

Güvenlik Hususları

Etkin Olmayan Kullanıcı Hesabını Etkinleştirme

Hesapta etkinlik olmamasının uygulanmasını yapılandırmak için aşağıdaki CLI ve API kullanılabilir. CLI:
terminal rbac kimlik doğrulamasını yapılandırın hesap-hareketsizlik gerçek hareketsizlik-gün 30'u zorunlu kılma
Uygulama API'si:
/api/config/rbac/authentication/hesabın hareketsizliği/
Hareketsizlik günleri için varsayılan değer 35'tir.
Etkin Olmayan Bir Kullanıcı Hesabını Etkinleştirme Yönetici kullanıcı, aşağıdaki CLI ve API'yi kullanarak etkin olmayan bir kullanıcının hesabını etkinleştirebilir: CLI:
terminal rbac kimlik doğrulamasını yapılandırın kullanıcılar user Guest_user etkinleştirme taahhüdünü yapın
Uygulama API'si:
/api/operations/rbac/authentication/users/user/kullanıcı adı/etkinleştir

BIOS ve CIMC Parolalarının Ayarlanmasını Zorunlu Hale Getirin

Tablo 1: Özellik Geçmişi Tablosu

Özellik Adı

Sürüm Bilgileri

BIOS ve CIMC NFVIS 4.7.1 Parolalarının Ayarlanmasını Zorunlu Hale Getirin

Tanım
Bu özellik, kullanıcıyı CIMC ve BIOS için varsayılan parolayı değiştirmeye zorlar.

BIOS ve CIMC Parolalarının Ayarlanmasını Zorunlu Tutmaya İlişkin Kısıtlamalar
· Bu özellik yalnızca Cisco Catalyst 8200 UCPE ve Cisco ENCS 5400 platformlarında desteklenir.
· Bu özellik yalnızca NFVIS 4.7.1 ve sonraki sürümlerin yeni kurulumunda desteklenir. NFVIS 4.6.1'den NFVIS 4.7.1'e yükseltirseniz bu özellik desteklenmez ve BIOS ve CIMC parolaları yapılandırılmamış olsa bile BIOS ve CIMS parolalarını sıfırlamanız istenmez.

BIOS ve CIMC Parolalarının Ayarlanmasını Zorunlu Hale Getirme Hakkında Bilgi
Bu özellik, yeni bir NFVIS 4.7.1 yüklemesinden sonra BIOS ve CIMC parolalarının sıfırlanmasını zorunlu kılarak güvenlik açığını giderir. Varsayılan CIMC parolası paroladır ve varsayılan BIOS parolası parola değildir.
Güvenlik açığını düzeltmek için ENCS 5400'de BIOS ve CIMC parolalarını yapılandırmanız zorunlu kılınır. NFVIS 4.7.1'in yeni kurulumu sırasında, BIOS ve CIMC parolaları değiştirilmediyse ve hala aynı durumdaysa

Güvenlik Hususları 7

Yapılandırma Örn.ampBIOS ve CIMC Parolalarının Zorla Sıfırlanması için dosyalar

Güvenlik Hususları

varsayılan parolaları kullanıyorsanız, hem BIOS hem de CIMC parolalarını değiştirmeniz istenir. Bunlardan yalnızca birinin sıfırlanması gerekiyorsa, yalnızca o bileşenin parolasını sıfırlamanız istenir. Cisco Catalyst 8200 UCPE yalnızca BIOS parolasını gerektirir ve bu nedenle önceden ayarlanmamışsa yalnızca BIOS parolasının sıfırlanması istenir.
Not Önceki herhangi bir sürümden NFVIS 4.7.1 veya sonraki sürümlere yükseltme yaparsanız, hostaction change-bios-password newpassword veya hostaction change-cimc-password newpassword komutlarını kullanarak BIOS ve CIMC parolalarını değiştirebilirsiniz.
BIOS ve CIMC parolaları hakkında daha fazla bilgi için bkz. BIOS ve CIMC Parolası.
Yapılandırma Örn.ampBIOS ve CIMC Parolalarının Zorla Sıfırlanması için dosyalar
1. NFVIS 4.7.1'i kurduğunuzda öncelikle varsayılan yönetici şifresini sıfırlamanız gerekir.
Cisco Ağ İşlevi Sanallaştırma Altyapı Yazılımı (NFVIS)
NFVIS Sürümü: 99.99.0-1009
Telif Hakkı (c) 2015-2021, Cisco Systems, Inc.'e aittir. Cisco, Cisco Systems ve Cisco Systems logosu, Cisco Systems, Inc. ve/veya bağlı kuruluşlarının ABD ve diğer bazı ülkelerdeki tescilli ticari markalarıdır.
Bu yazılımın içerdiği bazı eserlerin telif hakları diğer üçüncü şahıslara ait olup, üçüncü şahıs lisans anlaşmaları kapsamında kullanılmakta ve dağıtılmaktadır. Bu yazılımın belirli bileşenleri GNU GPL 2.0, GPL 3.0, LGPL 2.1, LGPL 3.0 ve AGPL 3.0 kapsamında lisanslanmıştır.
admin nfvis üzerinde ssh kullanarak 10.24.109.102 üzerinden bağlandı admin varsayılan kimlik bilgileriyle oturum açtı Lütfen aşağıdaki kriterleri karşılayan bir şifre girin:
1.En az bir küçük harf karakter 2.En az bir büyük harf karakter 3.En az bir sayı 4.# _ – * ? 5.Uzunluk 7 ile 128 karakter arasında olmalıdır Lütfen şifrenizi sıfırlayın : Lütfen şifrenizi tekrar giriniz :
Yönetici şifresini sıfırlama
2. Cisco Catalyst 8200 UCPE ve Cisco ENCS 5400 platformlarında, NFVIS 4.7.1 veya sonraki sürümlerin yeni kurulumunu yaptığınızda, varsayılan BIOS ve CIMC şifrelerini değiştirmeniz gerekir. BIOS ve CIMC şifreleri önceden yapılandırılmamışsa sistem, Cisco ENCS 5400 için BIOS ve CIMC şifrelerini ve yalnızca Cisco Catalyst 8200 UCPE için BIOS şifresini sıfırlamanızı ister.
Yeni yönetici şifresi belirlendi
Lütfen aşağıdaki kriterleri karşılayan BIOS şifresini girin: 1. En az bir küçük harf karakter 2. En az bir büyük harf karakter 3. En az bir sayı 4. #, @ veya _ arasından en az bir özel karakter 5. Uzunluk şu aralıkta olmalıdır: 8 ve 20 karakter 6. Aşağıdaki dizelerden herhangi birini içermemelidir (büyük/küçük harfe duyarlı): bios 7. İlk karakter # olamaz

Güvenlik Hususları 8

Güvenlik Hususları

BIOS ve CIMC Parolalarını Doğrulayın

Lütfen BIOS şifresini sıfırlayın : Lütfen BIOS şifresini yeniden girin : Lütfen aşağıdaki kriterleri karşılayan CIMC şifresini girin:
1. En az bir küçük harf karakter 2. En az bir büyük harf 3. En az bir sayı 4. #, @ veya _ arasından en az bir özel karakter 5. Uzunluk 8 ile 20 karakter arasında olmalı 6. Bunlardan herhangi birini içermemelidir aşağıdaki dizeler (büyük/küçük harfe duyarlı): admin Lütfen CIMC parolasını sıfırlayın : Lütfen CIMC parolasını yeniden girin :

BIOS ve CIMC Parolalarını Doğrulayın
BIOS ve CIMC parolalarının başarıyla değiştirilip değiştirilmediğini doğrulamak için nfvis_config.log | gösteri günlüğünü kullanın. BIOS'u ekleyin veya günlüğü gösterin nfvis_config.log | CIMC komutlarını içerir:

nfvis# günlüğü göster nfvis_config.log | BIOS'u dahil et

2021-11-16 15:24:40,102 INFO

[hostaction:/system/settings] [] BIOS şifre değişikliği

başarılı

Ayrıca nfvis_config.log dosyasını da indirebilirsiniz. file ve parolaların başarıyla sıfırlanıp sıfırlanmadığını doğrulayın.

Harici AAA sunucularıyla entegrasyon
Kullanıcılar NFVIS'e ssh veya Web kullanıcı arayüzü. Her iki durumda da kullanıcıların kimliğinin doğrulanması gerekir. Yani, kullanıcının erişim sağlamak için şifre kimlik bilgilerini sunması gerekir.
Bir kullanıcının kimliği doğrulandıktan sonra, o kullanıcı tarafından gerçekleştirilen tüm işlemlerin yetkilendirilmesi gerekir. Yani, bazı kullanıcıların belirli görevleri gerçekleştirmesine izin verilirken diğerlerinin verilmemesine izin verilebilir. Buna yetkilendirme denir.
NFVIS erişimi için kullanıcı başına, AAA tabanlı oturum açma kimlik doğrulamasını zorunlu kılmak üzere merkezi bir AAA sunucusunun dağıtılması önerilir. NFVIS, ağ erişimine aracılık etmek için RADIUS ve TACACS protokollerini destekler. AAA sunucusunda, kimliği doğrulanmış kullanıcılara özel erişim gereksinimlerine göre yalnızca minimum erişim ayrıcalıkları verilmelidir. Bu, hem kötü niyetli hem de kasıtsız güvenlik olaylarına maruz kalma olasılığını azaltır.
Harici kimlik doğrulama hakkında daha fazla bilgi için bkz. RADIUS'u Yapılandırma ve TACACS+ Sunucusunu Yapılandırma.

Harici Kimlik Doğrulama Sunucusu için Kimlik Doğrulama Önbelleği

Özellik Adı

Sürüm Bilgileri

Harici NFVIS 4.5.1 Kimlik Doğrulama Sunucusu için Kimlik Doğrulama Önbelleği

Tanım
Bu özellik, NFVIS portalında OTP aracılığıyla TACACS kimlik doğrulamasını destekler.

NFVIS portalı, ilk kimlik doğrulamasından sonra tüm API çağrıları için aynı Tek Kullanımlık Parolayı (OTP) kullanır. OTP'nin süresi dolduğunda API çağrıları başarısız olur. Bu özellik, NFVIS portalıyla TACACS OTP kimlik doğrulamasını destekler.
Bir OTP kullanarak TACACS sunucusu aracılığıyla başarıyla kimlik doğrulaması yaptıktan sonra NFVIS, kullanıcı adını ve OTP'yi kullanarak bir karma girişi oluşturur ve bu karma değerini yerel olarak saklar. Yerel olarak depolanan bu karma değerin

Güvenlik Hususları 9

Rol Tabanlı Erişim Kontrolü

Güvenlik Hususları

bir son kullanma süresi stamp ile ilişkili. Zaman stamp 15 dakika olan SSH oturumu boşta kalma zaman aşımı değeriyle aynı değere sahiptir. Aynı kullanıcı adına sahip sonraki tüm kimlik doğrulama isteklerinin kimlik doğrulaması öncelikle bu yerel karma değerine göre yapılır. Yerel karma ile kimlik doğrulama başarısız olursa, NFVIS bu isteği TACACS sunucusuyla doğrular ve kimlik doğrulama başarılı olduğunda yeni bir karma girişi oluşturur. Bir karma girişi zaten mevcutsa, zaman stamp 15 dakikaya sıfırlanır.
Portalda başarıyla oturum açtıktan sonra TACACS sunucusundan çıkarılırsanız, NFVIS'deki karma girişinin süresi dolana kadar portalı kullanmaya devam edebilirsiniz.
NFVIS portalından açık bir şekilde çıkış yaptığınızda veya boşta kalma süresi nedeniyle çıkış yaptığınızda, portal, karma girişini temizlemesi için NFVIS arka ucuna bildirimde bulunmak üzere yeni bir API çağırır. Kimlik doğrulama önbelleği ve tüm girişleri, NFVIS yeniden başlatıldıktan, fabrika ayarlarına sıfırlandıktan veya yükseltildikten sonra temizlenir.

Rol Tabanlı Erişim Kontrolü

Ağ erişimini sınırlamak, çok sayıda çalışanı olan, yüklenici çalıştıran veya müşteriler ve satıcılar gibi üçüncü taraflara erişime izin veren kuruluşlar için önemlidir. Böyle bir senaryoda ağ erişimini etkin bir şekilde izlemek zordur. Bunun yerine, hassas verileri ve kritik uygulamaları güvence altına almak için neyin erişilebilir olduğunu kontrol etmek daha iyidir.
Rol tabanlı erişim kontrolü (RBAC), bir kuruluştaki bireysel kullanıcıların rollerine göre ağ erişimini kısıtlama yöntemidir. RBAC, kullanıcıların yalnızca ihtiyaç duydukları bilgilere erişmelerini sağlar ve kendilerini ilgilendirmeyen bilgilere erişmelerini engeller.
Daha düşük ayrıcalıklara sahip çalışanların hassas bilgilere erişememesini veya kritik görevleri gerçekleştirememesini sağlamak amacıyla, verilen izinlerin belirlenmesinde bir çalışanın kuruluştaki rolü kullanılmalıdır.
NFVIS'de aşağıdaki kullanıcı rolleri ve ayrıcalıkları tanımlanmıştır

Kullanıcı Rolü

Ayrıcalık

Yöneticiler

Mevcut tüm özellikleri yapılandırabilir ve kullanıcı rollerinin değiştirilmesi dahil tüm görevleri gerçekleştirebilir. Yönetici, NFVIS için temel olan temel altyapıyı silemez. Yönetici kullanıcının rolü değiştirilemez; her zaman “yöneticilerdir”.

Operatörler

Bir VM'yi başlatabilir ve durdurabilir ve view tüm bilgi.

Denetçiler

Bunlar en az ayrıcalıklı kullanıcılardır. Salt Okunur iznine sahiptirler ve bu nedenle herhangi bir yapılandırmayı değiştiremezler.

RBAC'ın Faydaları
İnsanların bir kuruluş içindeki rollerine göre gereksiz ağ erişimini kısıtlamak için RBAC kullanmanın aşağıdakiler de dahil olmak üzere çeşitli avantajları vardır:
· Operasyonel verimliliğin arttırılması.
RBAC'de önceden tanımlanmış rollere sahip olmak, doğru ayrıcalıklara sahip yeni kullanıcıları dahil etmeyi veya mevcut kullanıcıların rollerini değiştirmeyi kolaylaştırır. Ayrıca kullanıcı izinleri atanırken hata olasılığını da azaltır.
· Uyumluluğun arttırılması.

Güvenlik Hususları 10

Güvenlik Hususları

Rol Tabanlı Erişim Kontrolü

Her kuruluşun yerel, eyalet ve federal düzenlemelere uyması gerekir. Yöneticiler ve BT departmanları verilere nasıl erişildiğini ve kullanıldığını daha etkili bir şekilde yönetebildiğinden, şirketler genellikle gizlilik ve mahremiyete ilişkin düzenleyici ve yasal gereklilikleri karşılamak için RBAC sistemlerini uygulamayı tercih eder. Bu, özellikle hassas verileri yöneten finansal kurumlar ve sağlık şirketleri için önemlidir.
· Maliyetlerin azaltılması. Şirketler, kullanıcıların belirli işlemlere ve uygulamalara erişmesine izin vermeyerek ağ bant genişliği, bellek ve depolama gibi kaynakları uygun maliyetli bir şekilde koruyabilir veya kullanabilir.
· İhlal ve veri sızıntısı riskinin azaltılması. RBAC'ı uygulamak, hassas bilgilere erişimi kısıtlamak, böylece veri ihlali veya veri sızıntısı olasılığını azaltmak anlamına gelir.
Rol tabanlı erişim kontrolü uygulamaları için en iyi uygulamalar · Yönetici olarak, kullanıcıların listesini belirleyin ve kullanıcıları önceden tanımlanmış rollere atayın. Eski içinampdosyasında “networkadmin” kullanıcısı oluşturulup “administrators” kullanıcı grubuna eklenebilir.
terminal rbac kimlik doğrulamasını yapılandırın kullanıcılar kullanıcı adı oluştur ağyönetici şifresi Test1_pass rolü yöneticilerin taahhüt etmesi
Not Kullanıcı grupları veya rolleri sistem tarafından oluşturulur. Bir kullanıcı grubu oluşturamaz veya değiştiremezsiniz. Parolayı değiştirmek için genel yapılandırma modunda rbac kimlik doğrulama kullanıcıları kullanıcı change-password komutunu kullanın. Kullanıcı rolünü değiştirmek için genel yapılandırma modunda rbac kimlik doğrulama kullanıcıları kullanıcı change-role komutunu kullanın.
· Artık erişime ihtiyaç duymayan kullanıcıların hesaplarını sonlandırın.
terminal rbac kimlik doğrulama kullanıcılarını silme-kullanıcı adını yapılandırma test1
· Rolleri, onlara atanan çalışanları ve her rol için izin verilen erişimi değerlendirmek üzere periyodik olarak denetimler gerçekleştirin. Bir kullanıcının belirli bir sisteme gereksiz erişimi olduğu tespit edilirse kullanıcının rolünü değiştirin.
Daha fazla ayrıntı için bkz. Kullanıcılar, Roller ve Kimlik Doğrulama
Parçalı Rol Tabanlı Erişim Kontrolü NFVIS 4.7.1'den itibaren Parçalı Rol Tabanlı Erişim Kontrolü özelliği tanıtıldı. Bu özellik, VM'yi ve VNF'yi yöneten yeni bir kaynak grubu ilkesi ekler ve VNF dağıtımı sırasında kullanıcıları VNF erişimini kontrol etmek için bir gruba atamanıza olanak tanır. Daha fazla bilgi için bkz. Parçalı Rol Tabanlı Erişim Denetimi.

Güvenlik Hususları 11

Cihaz Erişilebilirliğini Kısıtla

Güvenlik Hususları

Cihaz Erişilebilirliğini Kısıtla
Kullanıcılar, bu özelliklerin etkinleştirildiğini bilmedikleri için korumadıkları özelliklere yönelik saldırılara defalarca hazırlıksız yakalandılar. Kullanılmayan hizmetler, her zaman güvenli olmayan varsayılan yapılandırmalarla kalma eğilimindedir. Bu hizmetler aynı zamanda varsayılan şifreleri kullanıyor olabilir. Bazı hizmetler, saldırganın sunucunun ne çalıştırdığı veya ağın nasıl kurulduğuna ilişkin bilgilere kolayca erişmesini sağlayabilir. Aşağıdaki bölümlerde NFVIS'in bu tür güvenlik risklerini nasıl önlediği açıklanmaktadır:

Saldırı vektörü azaltma
Herhangi bir yazılım parçası potansiyel olarak güvenlik açıkları içerebilir. Daha fazla yazılım, saldırı için daha fazla yol anlamına gelir. Dahil edildiği sırada kamuya açık bir güvenlik açığı olmasa bile, güvenlik açıkları muhtemelen gelecekte keşfedilecek veya açıklanacaktır. Bu tür senaryolardan kaçınmak için yalnızca NFVIS işlevselliği için gerekli olan yazılım paketleri kurulur. Bu, yazılımdaki güvenlik açıklarını sınırlandırmaya, kaynak tüketimini azaltmaya ve bu paketlerde sorunlar bulunduğunda ekstra çalışmayı azaltmaya yardımcı olur. NFVIS'e dahil olan tüm üçüncü taraf yazılımlar, Cisco'nun şirket düzeyinde organize bir yanıt (Hukuk, Güvenlik vb.) gerçekleştirebilmesi için Cisco'daki merkezi bir veritabanına kayıtlıdır. Yazılım paketleri, bilinen Ortak Güvenlik Açıkları ve Etkilenmeler (CVE'ler) için her sürümde periyodik olarak yamalanır.

Varsayılan olarak yalnızca temel bağlantı noktalarını etkinleştirme

Yalnızca NFVIS'yi kurmak ve yönetmek için kesinlikle gerekli olan hizmetler varsayılan olarak mevcuttur. Bu, güvenlik duvarlarını yapılandırmak ve gereksiz hizmetlere erişimi engellemek için gereken kullanıcı çabasını ortadan kaldırır. Varsayılan olarak etkin olan hizmetler, açtıkları bağlantı noktalarıyla birlikte aşağıda listelenmiştir.

Bağlantı Noktasını Aç

Hizmet

Tanım

22 / TCP

SSH

NFVIS'ye uzaktan komut satırı erişimi için Güvenli Soket Kabuğu

80 / TCP

HTTP

NFVIS portal erişimi için Köprü Metni Aktarım Protokolü. NFVIS tarafından alınan tüm HTTP trafiği, HTTPS için 443 numaralı bağlantı noktasına yönlendirilir

443 / TCP

HTTPS

Güvenli NFVIS portal erişimi için Güvenli Köprü Metni Aktarım Protokolü

830 / TCP

NETCONF-ssh

SSH üzerinden Ağ Yapılandırma Protokolü (NETCONF) için bağlantı noktası açıldı. NETCONF, NFVIS'nin otomatik yapılandırılması ve NFVIS'ten eşzamansız olay bildirimlerinin alınması için kullanılan bir protokoldür.

161 / UDP

SNMP

Basit Ağ Yönetimi Protokolü (SNMP). NFVIS tarafından uzak ağ izleme uygulamalarıyla iletişim kurmak için kullanılır. Daha fazla bilgi için bkz. SNMP Hakkında Giriş

Güvenlik Hususları 12

Güvenlik Hususları

Yetkili Servisler İçin Yetkili Ağlara Erişimi Kısıtlama

Yetkili Servisler İçin Yetkili Ağlara Erişimi Kısıtlama

Yalnızca yetkili oluşturucuların cihaz yönetimi erişimini denemesine bile izin verilmeli ve erişim yalnızca kullanma yetkisine sahip oldukları hizmetlere yönelik olmalıdır. NFVIS, erişimin bilinen, güvenilir kaynaklarla ve beklenen yönetim trafiği profesyonelleriyle sınırlandırılacağı şekilde yapılandırılabilirfileS. Bu, yetkisiz erişim riskini ve kaba kuvvet, sözlük veya DoS saldırıları gibi diğer saldırılara maruz kalma riskini azaltır.
NFVIS yönetim arayüzlerini gereksiz ve potansiyel olarak zararlı trafikten korumak amacıyla yönetici kullanıcı, alınan ağ trafiği için Erişim Kontrol Listeleri (ACL'ler) oluşturabilir. Bu ACL'ler, trafiğin kaynaklandığı kaynak IP adreslerini/ağlarını ve bu kaynaklardan izin verilen veya reddedilen trafik türünü belirtir. Bu IP trafiği filtreleri NFVIS üzerindeki her yönetim arayüzüne uygulanır. Aşağıdaki parametreler bir IP alma Erişim Kontrol Listesinde (ip-receive-acl) yapılandırılmıştır

Parametre

Değer

Tanım

Kaynak ağı/Ağ maskesi

Ağ/ağ maskesi. Eski içinampdosya: 0.0.0.0/0
172.39.162.0/24

Bu alan trafiğin kaynaklandığı IP adresini/ağı belirtir

Hizmet İşlemi

https icmp netconf scpd snmp ssh kabul et bırak reddet

Belirtilen kaynaktan gelen trafiğin türü.
Kaynak ağdan gelen trafik üzerinde gerçekleştirilecek eylem. Accept ile yeni bağlantı denemelerine izin verilir. Reddet ile bağlantı girişimleri kabul edilmeyecektir. Kural HTTPS, NETCONF, SCP, SSH gibi TCP tabanlı bir hizmet içinse kaynak bir TCP sıfırlama (RST) paketi alacaktır. SNMP ve ICMP gibi TCP dışı kurallar için paket bırakılacaktır. Bırakma ile tüm paketler anında düşürülür, kaynağa hiçbir bilgi gönderilmez.

Güvenlik Hususları 13

Ayrıcalıklı Hata Ayıklama Erişimi

Güvenlik Hususları

Parametre Önceliği

Değer Sayısal bir değer

Tanım
Öncelik, kurallara ilişkin bir emri uygulamak için kullanılır. Öncelik açısından daha yüksek sayısal değere sahip kurallar zincirin daha aşağılarına eklenecektir. Bir kuralın ardına ekleneceğinden emin olmak istiyorsanız, ilki için düşük öncelikli bir numara, sonrakiler için daha yüksek öncelikli bir numara kullanın.

Aşağıdakilerampdosya yapılandırmaları, belirli kullanım durumları için uyarlanabilecek bazı senaryoları gösterir.
IP Alma ACL'sini Yapılandırma
Bir ACL ne kadar kısıtlayıcı olursa, yetkisiz erişim girişimlerine maruz kalma da o kadar sınırlı olur. Ancak daha kısıtlayıcı bir ACL, yönetim yükü oluşturabilir ve sorun giderme işlemlerinin gerçekleştirilmesi için erişilebilirliği etkileyebilir. Sonuç olarak dikkate alınması gereken bir denge vardır. Uzlaşmalardan biri yalnızca dahili kurumsal IP adreslerine erişimi kısıtlamaktır. Her müşteri, ACL'lerin uygulanmasını kendi güvenlik politikası, riskleri, riskleri ve bunların kabulü ile ilgili olarak değerlendirmelidir.
Bir alt ağdan gelen ssh trafiğini reddet:

nfvis(config)# sistem ayarları ip-receive-acl 171.70.63.0/24 hizmet ssh eylemi reddetme önceliği 1

ACL'leri kaldırma:
ip-receive-acl'den bir giriş silindiğinde, kaynak IP adresi anahtar olduğundan o kaynağa yapılan tüm yapılandırmalar silinir. Yalnızca bir hizmeti silmek için diğer hizmetleri yeniden yapılandırın.

nfvis(config)# sistem ayarı yok ip-receive-acl 171.70.63.0/24
Daha fazla ayrıntı için bkz. IP Alma ACL'sini Yapılandırma
Ayrıcalıklı Hata Ayıklama Erişimi
NFVIS'teki süper kullanıcı hesabı, tüm sınırsız, potansiyel olarak olumsuz, sistem çapındaki değişiklikleri önlemek için varsayılan olarak devre dışıdır ve NFVIS, sistem kabuğunu kullanıcıya göstermez.
Ancak, NFVIS sistemindeki hata ayıklamanın zor olduğu bazı sorunlar için, Cisco Teknik Yardım Merkezi ekibi (TAC) veya geliştirme ekibi, müşterinin NFVIS'sine kabuk erişimi gerektirebilir. NFVIS, sahadaki bir cihaza ayrıcalıklı hata ayıklama erişiminin yetkili Cisco çalışanlarıyla sınırlı olmasını sağlamak için güvenli bir kilit açma altyapısına sahiptir. Bu tür etkileşimli hata ayıklama için Linux kabuğuna güvenli bir şekilde erişmek amacıyla, NFVIS ile Cisco tarafından sağlanan Etkileşimli hata ayıklama sunucusu arasında bir sorgulama-yanıt kimlik doğrulama mekanizması kullanılır. Cihaza müşterinin izniyle erişilmesini sağlamak için sorgulama-yanıt girişine ek olarak yönetici kullanıcının şifresi de gereklidir.
Etkileşimli Hata Ayıklama için kabuğa erişim adımları:
1. Yönetici kullanıcı bu gizli komutu kullanarak bu prosedürü başlatır.

nfvis# sistem kabuk erişimi

Güvenlik Hususları 14

Güvenlik Hususları

Güvenli Arayüzler

2. Ekranda bir meydan okuma dizisi gösterilecektir; örneğinamptarih:
Challenge String (Lütfen yıldız işareti satırları arasındaki her şeyi özel olarak kopyalayın):
******************************************************************************** SPH//wkAAABORlZJU0VOQ1M1NDA4L0s5AQAAABt+dcx+hB0V06r9RkdMMjEzNTgw RlHq7BxeAAA= DONE. ********************************************************************************
3. Cisco üyesi, Cisco tarafından sağlanan Etkileşimli Hata Ayıklama sunucusuna Challenge dizesini girer. Bu sunucu, Cisco kullanıcısının kabuğu kullanarak NFVIS'de hata ayıklama yetkisine sahip olduğunu doğrular ve ardından bir yanıt dizesi döndürür.
4. Bu istemin altındaki ekrana yanıt dizisini girin: Hazır olduğunuzda yanıtınızı girin:
5. İstendiğinde müşteri yönetici şifresini girmelidir. 6. Şifre geçerliyse kabuk erişimine sahip olursunuz. 7. Geliştirme veya TAC ekibi, hata ayıklamaya devam etmek için kabuğu kullanır. 8. Kabuk erişiminden çıkmak için Çıkış yazın.
Güvenli Arayüzler
Şemada gösterilen arayüzler kullanılarak NFVIS yönetim erişimine izin verilir. Aşağıdaki bölümlerde NFVIS'ye yönelik bu arayüzlere yönelik en iyi güvenlik uygulamaları açıklanmaktadır.

Konsol SSH'si

Konsol bağlantı noktası, ilk yapılandırma için NFVIS CLI'ye bağlanmanıza olanak tanıyan eşzamansız bir seri bağlantı noktasıdır. Bir kullanıcı konsola NFVIS'ye fiziksel erişimle veya bir terminal sunucusu kullanarak uzaktan erişimle erişebilir. Bir terminal sunucusu aracılığıyla konsol bağlantı noktası erişimi gerekiyorsa, terminal sunucusundaki erişim listelerini yalnızca gerekli kaynak adreslerinden erişime izin verecek şekilde yapılandırın.
Kullanıcılar, SSH'yi güvenli bir uzaktan oturum açma aracı olarak kullanarak NFVIS CLI'ye erişebilir. Yönetim protokolleri sıklıkla ağa sızmak veya ağı bozmak için kullanılabilecek bilgileri taşıdığından, NFVIS yönetim trafiğinin bütünlüğü ve gizliliği yönetilen ağın güvenliği açısından önemlidir.

Güvenlik Hususları 15

CLI Oturumu zaman aşımı

Güvenlik Hususları

NFVIS, etkileşimli oturum açma işlemleri için Cisco'nun ve İnternet'in fiili standart protokolü olan SSH sürüm 2'yi kullanır ve Cisco bünyesindeki Güvenlik ve Güven Organizasyonu tarafından önerilen güçlü şifreleme, karma ve anahtar değişim algoritmalarını destekler.

CLI Oturumu zaman aşımı
Kullanıcı SSH aracılığıyla giriş yaparak NFVIS ile oturum kurar. Kullanıcı oturum açmış durumdayken, kullanıcının oturum açtığı oturumu gözetimsiz bırakması, ağı bir güvenlik riskine maruz bırakabilir. Oturum güvenliği, bir kullanıcının başka bir kullanıcının oturumunu kullanmaya çalışması gibi dahili saldırı riskini sınırlar.
Bu riski azaltmak için NFVIS, 15 dakika işlem yapılmaması durumunda CLI oturumlarını zaman aşımına uğratır. Oturum zaman aşımına ulaşıldığında kullanıcının oturumu otomatik olarak kapatılır.

NETCONF

Ağ Yapılandırma Protokolü (NETCONF), ağ cihazlarının otomatik yapılandırması için IETF tarafından geliştirilen ve standartlaştırılan bir Ağ Yönetimi protokolüdür.
NETCONF protokolü, yapılandırma verileri ve protokol mesajları için Genişletilebilir İşaretleme Dili (XML) tabanlı veri kodlamasını kullanır. Protokol mesajları güvenli bir aktarım protokolünün üzerinde alınıp verilir.
NETCONF, NFVIS'in, ağ operatörünün yapılandırma verilerini ve olay bildirimlerini SSH üzerinden güvenli bir şekilde ayarlamak ve almak için kullanabileceği XML tabanlı bir API'yi kullanıma sunmasına olanak tanır.
Daha fazla bilgi için NETCONF Etkinlik Bildirimleri bölümüne bakın.

REST API

NFVIS, HTTPS üzerinden RESTful API kullanılarak yapılandırılabilir. REST API, istekte bulunan sistemlerin, tek tip ve önceden tanımlanmış durum bilgisi olmayan işlemler kümesini kullanarak NFVIS yapılandırmasına erişmesine ve bunları yönetmesine olanak tanır. Tüm REST API'lerine ilişkin ayrıntıları NFVIS API Referans kılavuzunda bulabilirsiniz.
Kullanıcı REST API yayınladığında NFVIS ile oturum kurulur. Hizmet reddi saldırılarıyla ilgili riskleri sınırlamak amacıyla NFVIS, eşzamanlı REST oturumlarının toplam sayısını 100 ile sınırlandırır.

NFVIS Web Portal
NFVIS portalı bir webNFVIS hakkındaki bilgileri görüntüleyen tabanlı Grafik Kullanıcı Arayüzü. Portal, kullanıcıya NFVIS CLI ve API'yi bilmesine gerek kalmadan HTTPS üzerinden NFVIS'yi yapılandırmak ve izlemek için kolay bir yol sunar.

Oturum Yönetimi
HTTP ve HTTPS'nin durum bilgisi olmayan doğası, benzersiz oturum kimlikleri ve çerezlerin kullanımı yoluyla kullanıcıları benzersiz bir şekilde izlemeye yönelik bir yöntem gerektirir.
NFVIS kullanıcının oturumunu şifreler. AES-256-CBC şifresi, oturum içeriğini HMAC-SHA-256 kimlik doğrulamasıyla şifrelemek için kullanılır tag. Her şifreleme işlemi için rastgele bir 128 bitlik Başlatma Vektörü oluşturulur.
Bir portal oturumu oluşturulduğunda bir Denetim kaydı başlatılır. Kullanıcı oturumu kapattığında veya oturum zaman aşımına uğradığında oturum bilgileri silinir.
Portal oturumları için varsayılan boşta kalma zaman aşımı 15 dakikadır. Ancak bu, geçerli oturum için Ayarlar sayfasında 5 ila 60 dakika arasında bir değere yapılandırılabilir. Bundan sonra otomatik oturum kapatma başlatılacak

Güvenlik Hususları 16

Güvenlik Hususları

HTTPS

HTTPS

dönem. Tek bir tarayıcıda birden fazla oturuma izin verilmez. Maksimum eşzamanlı oturum sayısı 30 olarak ayarlanmıştır. NFVIS portalı, verileri kullanıcıyla ilişkilendirmek için çerezleri kullanır. Gelişmiş güvenlik için aşağıdaki çerez özelliklerini kullanır:
· Tarayıcı kapatıldığında çerezin geçerliliğinin sona ermesini sağlamak için geçici · Çerezin JavaScript'ten erişilemez olmasını sağlamak için httpOnly · Çerezin yalnızca SSL üzerinden gönderilebilmesini sağlamak için secureProxy.
Kimlik doğrulamadan sonra bile Siteler Arası İstek Sahteciliği (CSRF) gibi saldırılar mümkündür. Bu senaryoda, bir son kullanıcı yanlışlıkla bir bilgisayarda istenmeyen eylemleri gerçekleştirebilir. web şu anda kimlik doğrulamasının yapıldığı uygulama. Bunu önlemek için NFVIS, her oturum sırasında çağrılan her REST API'yi doğrulamak için CSRF belirteçlerini kullanır.
URL Yönlendirme Tipik olarak web sunucularda bir sayfa bulunmadığında web sunucu, kullanıcı bir 404 mesajı alır; Mevcut sayfalar için bir giriş sayfası alırlar. Bunun güvenlik etkisi, saldırganın kaba kuvvet taraması gerçekleştirebilmesi ve hangi sayfaların ve klasörlerin bulunduğunu kolayca tespit edebilmesidir. NFVIS'te bunu önlemek için var olmayan tüm URLCihaz IP'sinin ön eki, 301 durum yanıt koduyla portal giriş sayfasına yönlendirilir. Bu şu anlama gelir: ne olursa olsun URL Bir saldırgan tarafından talep edildiğinde, kimliklerini doğrulamak için her zaman giriş sayfasını alacaklardır. Tüm HTTP sunucusu istekleri HTTPS'ye yönlendirilir ve aşağıdaki başlıklar yapılandırılmıştır:
· X İçerik Türü Seçenekleri · X-XSS Koruması · İçerik Güvenliği Politikası · X-Frame Seçenekleri · Sıkı Aktarım Güvenliği · Önbellek Kontrolü
Portalı Devre Dışı Bırakma NFVIS portalına erişim varsayılan olarak etkindir. Portalı kullanmayı planlamıyorsanız şu komutu kullanarak portal erişimini devre dışı bırakmanız önerilir:
Terminali yapılandırın Sistem portalı erişimi devre dışı bırakıldı
NFVIS'e giden ve NFVIS'den gelen tüm HTTPS verileri, ağ üzerinden iletişim kurmak için Aktarım Katmanı Güvenliği'ni (TLS) kullanır. TLS, Güvenli Yuva Katmanı'nın (SSL) halefidir.

Güvenlik Hususları 17

HTTPS

Güvenlik Hususları
TLS anlaşması, istemcinin sunucunun SSL sertifikasını, onu veren sertifika yetkilisiyle doğruladığı kimlik doğrulamayı içerir. Bu, sunucunun söylediği kişi olduğunu ve istemcinin etki alanının sahibiyle etkileşimde bulunduğunu doğrular. Varsayılan olarak NFVIS, kimliğini istemcilerine kanıtlamak için kendinden imzalı bir sertifika kullanır. Şifreleme gücü doğrudan anahtar boyutuyla ilişkili olduğundan, bu sertifika TLS şifrelemesinin güvenliğini artırmak için 2048 bitlik bir ortak anahtara sahiptir.
Sertifika Yönetimi NFVIS, ilk kurulduğunda kendinden imzalı bir SSL sertifikası oluşturur. Bu sertifikayı uyumlu bir Sertifika Yetkilisi (CA) tarafından imzalanmış geçerli bir sertifikayla değiştirmek en iyi güvenlik uygulamasıdır. Varsayılan kendinden imzalı sertifikayı değiştirmek için aşağıdaki adımları kullanın: 1. NFVIS'te bir Sertifika İmzalama İsteği (CSR) oluşturun.
Sertifika İmzalama isteği (CSR), bir file SSL Sertifikasına başvururken Sertifika Yetkilisine verilen kodlanmış metin bloğuyla. Bu file kuruluş adı, ortak ad (alan adı), yerellik, ülke gibi sertifikada bulunması gereken bilgileri içerir. file ayrıca sertifikaya dahil edilmesi gereken ortak anahtarı da içerir. NFVIS, şifreleme gücü daha yüksek anahtar boyutuyla daha yüksek olduğundan 2048 bitlik bir genel anahtar kullanır. NFVIS'te bir CSR oluşturmak için aşağıdaki komutu çalıştırın:
nfvis# sistem sertifikası imzalama isteği [ortak ad ülke kodu yerellik kuruluşu organizasyon birimi-birim adı durumu] CSR file /data/intdatastore/download/nfvis.csr olarak kaydedilir. . 2. CSR'yi kullanarak CA'dan bir SSL sertifikası alın. Sertifika İmzalama İsteğini indirmek için harici bir ana bilgisayardan scp komutunu kullanın.
[myhost:/tmp] > scp -P 22222 admin@ :/data/intdatastore/download/nfvis.csrfile-isim>
Bu CSR'yi kullanarak yeni bir SSL sunucu sertifikası düzenlemek için bir Sertifika yetkilisine başvurun. 3. CA İmzalı Sertifikayı yükleyin.
Sertifikayı yüklemek için harici bir sunucudan scp komutunu kullanın file NFVIS'e, data/intdatastore'a/uploads/ dizin.
[myhost:/tmp] > scp -P 22222 file> yönetici@ :/data/intdatastore/uploads
Aşağıdaki komutu kullanarak sertifikayı NFVIS'e yükleyin.
nfvis# sistem sertifikası kurulum sertifikası yolu file:///veri/intdatastore/uploads/<sertifika file>
4. CA İmzalı Sertifikayı kullanmaya geçin. Varsayılan kendinden imzalı sertifika yerine CA imzalı sertifikayı kullanmaya başlamak için aşağıdaki komutu kullanın.

Güvenlik Hususları 18

Güvenlik Hususları

SNMP Erişimi

nfvis(config)# sistem sertifikası kullanım sertifikası sertifika türü ca-imzalı

SNMP Erişimi

Basit Ağ Yönetimi Protokolü (SNMP), IP ağlarındaki yönetilen cihazlar hakkında bilgi toplamak ve düzenlemek ve cihaz davranışını değiştirmek için bu bilgileri değiştirmek için kullanılan bir İnternet Standardı protokolüdür.
SNMP'nin üç önemli versiyonu geliştirilmiştir. NFVIS, SNMP sürüm 1, sürüm 2c ve sürüm 3'ü destekler. SNMP sürüm 1 ve 2, kimlik doğrulama için topluluk dizelerini kullanır ve bunlar düz metin olarak gönderilir. Bu nedenle bunun yerine SNMP v3'ün kullanılması en iyi güvenlik uygulamasıdır.
SNMPv3 üç özelliği kullanarak cihazlara güvenli erişim sağlar: – kullanıcılar, kimlik doğrulama ve şifreleme. SNMPv3, SNMP yoluyla sağlanan bilgilere erişimi kontrol etmek için USM'yi (Kullanıcı Tabanlı Güvenlik Modülü) kullanır. SNMP v3 kullanıcısı bir kimlik doğrulama türü, bir gizlilik türü ve bir parola ile yapılandırılmıştır. Bir grubu paylaşan tüm kullanıcılar aynı SNMP sürümünü kullanır, ancak belirli güvenlik düzeyi ayarları (şifre, şifreleme türü vb.) kullanıcı başına belirlenir.
Aşağıdaki tabloda SNMP içindeki güvenlik seçenekleri özetlenmektedir

Örnek

Seviye

Kimlik doğrulama

Şifreleme

Sonuç

v1

Kimlik Doğrulama YokGizlilik Yok

Topluluk Dize Numarası

Bir topluluk kullanır

için dize eşleşmesi

kimlik doğrulama.

v2c

Kimlik Doğrulama YokGizlilik Yok

Topluluk Dize Numarası

Kimlik doğrulama için bir topluluk dizesi eşleşmesi kullanır.

v3

Kimlik Doğrulama YokGizlilik Yok

Kullanıcı adı

HAYIR

Kullanıcı adı kullanır

için eşleşme

kimlik doğrulama.

v3

yetkiNoPriv

Mesaj Özeti 5 Hayır

Sağlar

(MD5)

kimlik doğrulama tabanlı

or

HMAC-MD5-96'da veya

Güvenli Karma

HMAC-SHA-96

Algoritma (SHA)

algoritmalar.

Güvenlik Hususları 19

Yasal Bildirim Banner'ları

Güvenlik Hususları

Modeli v3

Seviye kimlik doğrulamasıPriv

Kimlik doğrulama MD5 veya SHA

Şifreleme

Sonuç

Veri Şifreleme Sağlar

Standart (DES) veya kimlik doğrulama tabanlı

Gelişmiş

üzerinde

Şifreleme Standardı HMAC-MD5-96 veya

(AES)

HMAC-SHA-96

algoritmalar.

Şifreleme Blok Zincirleme Modunda (CBC-DES) DES Şifreleme algoritması sağlar

or

128 bit anahtar boyutunda (CFB128-AES-128) Şifre Geri Besleme Modunda (CFB) kullanılan AES şifreleme algoritması

NIST tarafından benimsenmesinden bu yana AES, sektörde baskın şifreleme algoritması haline geldi. Sektörün MD5'ten SHA'ya geçişini takip etmek için SNMP v3 kimlik doğrulama protokolünü SHA olarak ve gizlilik protokolünü AES olarak yapılandırmak en iyi güvenlik uygulamasıdır.
SNMP hakkında daha fazla ayrıntı için bkz. SNMP Hakkında Giriş

Yasal Bildirim Banner'ları
Kullanıcıların uygulanan ve tabi oldukları güvenlik politikası hakkında bilgilendirilmelerini sağlamak için tüm etkileşimli oturumlarda yasal bir bildirim başlığının bulunması önerilir. Bazı yargı bölgelerinde, sisteme izinsiz giren bir saldırganın hukuki ve/veya cezai kovuşturması daha kolay hale gelir, hatta yetkisiz kullanıcılara kullanımlarının aslında izinsiz olduğu konusunda bilgi veren yasal bir bildirim başlığı sunulursa gerekli olur. Bazı yargı bölgelerinde, yetkisiz bir kullanıcının niyetinin kendisine bildirilmediği sürece faaliyetlerinin izlenmesi de yasaklanabilir.
Yasal bildirim gereklilikleri karmaşıktır ve her yetki alanı ve duruma göre farklılık gösterir. Yargı bölgelerinde bile hukuki görüşler farklılık gösterir. Bildirim başlığının şirket, yerel ve uluslararası yasal gereklilikleri karşıladığından emin olmak için bu konuyu kendi hukuk danışmanınızla görüşün. Bu genellikle bir güvenlik ihlali durumunda uygun eylemin sağlanması açısından kritik öneme sahiptir. Şirketin hukuk müşaviri ile işbirliği içinde, yasal bildirim başlığına dahil edilebilecek ifadeler şunları içerir:
· Sistem erişimine ve kullanımına yalnızca özel olarak yetkili personel tarafından izin verildiğine ilişkin bildirim ve belki de kullanıma kimin izin verebileceğine ilişkin bilgi.
· Sisteme yetkisiz erişim ve kullanımın yasa dışı olduğuna ve hukuki ve/veya cezai yaptırımlara tabi olabileceğine dair bildirim.
· Sisteme erişim ve sistemin kullanımının herhangi bir bildirime gerek kalmaksızın kayıt altına alınabileceği veya izlenebileceği ve ortaya çıkan kayıtların mahkemede delil olarak kullanılabileceğine dair bildirim.
· Belirli yerel yasaların gerektirdiği ek özel bildirimler.

Güvenlik Hususları 20

Güvenlik Hususları

Fabrika Varsayılanlarına Sıfırlama

Yasal açıdan ziyade güvenlik açısından viewYasal bir bildirim başlığı, cihaz hakkında adı, modeli, yazılımı, konumu, operatörü veya sahibi gibi herhangi bir spesifik bilgiyi içermemelidir çünkü bu tür bilgiler bir saldırganın işine yarayabilir.
Aşağıdaki gibidirampOturum açmadan önce görüntülenebilecek yasal bildirim başlığı:
BU CİHAZA YETKİSİZ ERİŞİM YASAKTIR Bu cihaza erişmek veya yapılandırmak için açık, yetkili izne sahip olmanız gerekir. Yetkisiz erişim veya kullanım girişimleri ve eylemleri
bu sistem hukuki ve/veya cezai yaptırımlarla sonuçlanabilir. Bu cihazda gerçekleştirilen tüm etkinlikler günlüğe kaydedilir ve izlenir

Not Şirketin hukuk müşaviri tarafından onaylanmış bir yasal bildirim başlığı sunun.
NFVIS, bir banner ve Günün Mesajının (MOTD) yapılandırılmasına olanak tanır. Başlık, kullanıcı oturum açmadan önce görüntülenir. Kullanıcı NFVIS'te oturum açtığında, sistem tanımlı bir başlık, NFVIS hakkında Telif Hakkı bilgileri sağlar ve yapılandırılmışsa günün mesajı (MOTD) görüntülenir ve ardından komut satırı istemi veya portal viewoturum açma yöntemine bağlı olarak.
Oturum açma isteminin sunulmasından önce tüm cihaz yönetimi erişim oturumlarında yasal bir bildirim başlığının sunulmasını sağlamak için bir oturum açma başlığının uygulanması önerilir. Banner'ı ve MOTD'yi yapılandırmak için bu komutu kullanın.
nfvis(config)# banner-motd banner'ı çok
Banner komutu hakkında daha fazla bilgi için bkz. Banner'ı Yapılandır, Günün Mesajı ve Sistem Saati.

Fabrika Varsayılanlarına Sıfırlama
Fabrika Ayarlarına Sıfırlama, gönderildiği andan itibaren cihaza eklenen müşteriye özel tüm verileri kaldırır. Silinen veriler, yapılandırmaları, günlükleri içerir. filee-postalar, VM görüntüleri, bağlantı bilgileri ve kullanıcı oturum açma kimlik bilgileri.
Cihazı fabrika orijinal ayarlarına sıfırlamak için bir komut sağlar ve aşağıdaki senaryolarda kullanışlıdır:
· Bir cihaz için İade Malzeme Yetkisi (RMA) – Bir cihazı RMA için Cisco'ya iade etmeniz gerekiyorsa, müşteriye özel tüm verileri kaldırmak için Fabrika Varsayılanlarına sıfırlamayı kullanın.
· Güvenliği ihlal edilmiş bir cihazı kurtarma – Bir cihazda depolanan anahtar materyalin veya kimlik bilgilerinin güvenliği ihlal edilmişse, cihazı fabrika yapılandırmasına sıfırlayın ve ardından cihazı yeniden yapılandırın.
· Aynı cihazın farklı bir tesiste yeni bir konfigürasyonla yeniden kullanılması gerekiyorsa, mevcut konfigürasyonu kaldırmak ve temiz bir duruma getirmek için Fabrika Varsayılanlarına sıfırlama işlemi gerçekleştirin.

NFVIS, Fabrika varsayılan ayarlarına sıfırlama kapsamında aşağıdaki seçenekleri sunar:

Fabrika Sıfırlama Seçeneği

Veri Silindi

Saklanan Veriler

Tümü

Tüm yapılandırma, yüklenen görüntü Yönetici hesabı korunur ve

filee-postalar, VM'ler ve günlükler.

şifre şu şekilde değiştirilecek:

Cihaza bağlantı fabrika varsayılan şifresi olacaktır.

kayıp.

Güvenlik Hususları 21

Altyapı Yönetim Ağı

Güvenlik Hususları

Fabrika Ayarlarına Sıfırlama Seçeneği tüm resimler hariç
görüntüler hariç tümü bağlantısı
üretme

Veri Silindi

Saklanan Veriler

Görüntü dışındaki tüm yapılandırmalar Görüntü yapılandırması, kayıtlı

yapılandırma, VM'ler ve yüklenen görüntüler ve günlükler

görüntü files.

Yönetici hesabı korunur ve

Cihaza bağlantı şifresi olarak değiştirilecektir.

kayıp.

fabrika varsayılan şifresi.

Görüntü, Görüntüler, ağ ve bağlantı dışındaki tüm yapılandırmalar

ağ ve bağlantı

ilgili konfigürasyon, kayıtlı

yapılandırma, VM'ler ve yüklenen görüntüler ve günlükler.

görüntü files.

Yönetici hesabı korunur ve

Cihaza bağlantı şu şekildedir:

önceden yapılandırılmış yönetici

mevcut.

şifre korunacaktır.

Görüntü yapılandırması, VM'ler ve yüklenen görüntü dışındaki tüm yapılandırmalar files ve günlükler.
Cihaza bağlantı kaybolacaktır.

Görüntüyle ilgili yapılandırma ve kayıtlı görüntüler
Yönetici hesabı korunur ve şifre, fabrika varsayılan şifresine dönüştürülür.

Kullanıcı, Fabrika Varsayılanlarına sıfırlamanın amacına göre uygun seçeneği dikkatli bir şekilde seçmelidir. Daha fazla bilgi için bkz. Fabrika Varsayılanlarına Sıfırlama.

Altyapı Yönetim Ağı
Altyapı yönetim ağı, altyapı cihazlarının kontrol ve yönetim düzlemi trafiğini (NTP, SSH, SNMP, syslog vb.) taşıyan ağı ifade eder. Cihaz erişimi konsol üzerinden olabileceği gibi Ethernet arayüzleri üzerinden de yapılabilir. Bu kontrol ve yönetim düzlemi trafiği, ağ operasyonları için kritik öneme sahiptir ve ağ üzerinde görünürlük ve kontrol sağlar. Sonuç olarak, iyi tasarlanmış ve güvenli bir altyapı yönetim ağı, bir ağın genel güvenliği ve işlemleri açısından kritik öneme sahiptir. Güvenli bir altyapı yönetim ağı için en önemli önerilerden biri, yüksek yük ve yüksek trafik koşullarında bile uzaktan yönetilebilirliği sağlamak amacıyla yönetim ve veri trafiğinin ayrılmasıdır. Bu, özel bir yönetim arayüzü kullanılarak gerçekleştirilebilir.
Altyapı yönetimi ağı uygulama yaklaşımları şunlardır:
Bant Dışı Yönetim
Bant Dışı Yönetim (OOB) yönetim ağı, yönetilmesine yardımcı olduğu veri ağından tamamen bağımsız ve fiziksel olarak farklı bir ağdan oluşur. Buna bazen Veri İletişim Ağı (DCN) adı da verilir. Ağ cihazları OOB ağına farklı şekillerde bağlanabilir: NFVIS, OOB ağına bağlanmak için kullanılabilecek yerleşik bir yönetim arayüzünü destekler. NFVIS, önceden tanımlanmış bir fiziksel arayüzün (ENCS üzerindeki MGMT bağlantı noktası) özel bir yönetim arayüzü olarak yapılandırılmasına olanak tanır. Yönetim paketlerini belirlenmiş arayüzlerle sınırlamak, bir cihazın yönetimi üzerinde daha fazla kontrol sağlar ve böylece o cihaz için daha fazla güvenlik sağlar. Diğer faydalar arasında yönetim dışı arayüzlerdeki veri paketleri için geliştirilmiş performans, ağ ölçeklenebilirliği desteği,

Güvenlik Hususları 22

Güvenlik Hususları

Sözde bant dışı Yönetim

Bir cihaza erişimi kısıtlamak için daha az erişim kontrol listesine (ACL) ihtiyaç duyulur ve yönetim paketi taşkınlarının CPU'ya ulaşması engellenir. Ağ cihazları aynı zamanda özel veri arayüzleri aracılığıyla OOB ağına da bağlanabilir. Bu durumda, yönetim trafiğinin yalnızca özel arayüzler tarafından yönetilmesini sağlamak için ACL'ler dağıtılmalıdır. Daha fazla bilgi için bkz. IP Alma ACL'sini ve Bağlantı Noktası 22222'yi ve Yönetim Arayüzü ACL'yi Yapılandırma.
Sözde bant dışı Yönetim
Sahte bant dışı yönetim ağı, veri ağıyla aynı fiziksel altyapıyı kullanır ancak VLAN'ları kullanarak trafiğin sanal olarak ayrılması yoluyla mantıksal ayırma sağlar. NFVIS, farklı trafik kaynaklarının tanımlanmasına ve VM'ler arasındaki trafiğin ayrılmasına yardımcı olmak için VLAN'lar ve sanal köprüler oluşturulmasını destekler. Ayrı köprülere ve VLAN'lara sahip olmak, sanal makine ağının veri trafiğini ve yönetim ağını izole eder, böylece VM'ler ile ana bilgisayar arasında trafik segmentasyonu sağlanır. Daha fazla bilgi için bkz. NFVIS Yönetim Trafiği için VLAN'ı Yapılandırma.
Bant İçi Yönetim
Bant içi yönetim ağı, veri trafiğiyle aynı fiziksel ve mantıksal yolları kullanır. Sonuçta bu ağ tasarımı, riske karşı fayda ve maliyetlerin müşteri bazında analizini gerektirir. Bazı genel hususlar şunlardır:
· Yalıtılmış bir OOB yönetim ağı, aksatıcı olaylar sırasında bile ağ üzerindeki görünürlüğü ve kontrolü en üst düzeye çıkarır.
· Bir OOB ağı üzerinden ağ telemetrisinin iletilmesi, kritik ağ görünürlüğü sağlayan bilgilerin kesintiye uğrama olasılığını en aza indirir.
· Ağ altyapısına, ana bilgisayarlara vb. bant içi yönetim erişimi, bir ağ olayı durumunda tamamen kaybolmaya karşı savunmasızdır ve tüm ağ görünürlüğü ve kontrolü ortadan kalkar. Bu durumu azaltmak için uygun QoS kontrolleri uygulanmalıdır.
· NFVIS, seri konsol bağlantı noktaları ve Ethernet yönetimi arayüzleri dahil, cihaz yönetimine ayrılmış arayüzlere sahiptir.
· Yönetim ağı trafiği genellikle yüksek bant genişliği veya yüksek performanslı cihazlar gerektirmediğinden ve yalnızca her altyapı cihazının bağlantısını desteklemek için yeterli bağlantı noktası yoğunluğunu gerektirdiğinden, bir OOB yönetim ağı genellikle makul bir maliyetle dağıtılabilir.
Yerel Olarak Depolanan Bilgilerin Korunması
Hassas Bilgilerin Korunması
NFVIS, parolalar ve sırlar da dahil olmak üzere bazı hassas bilgileri yerel olarak saklar. Parolalar genellikle merkezi bir AAA sunucusu tarafından korunmalı ve kontrol edilmelidir. Ancak, merkezi bir AAA sunucusu konuşlandırılsa bile, AAA sunucularının mevcut olmaması durumunda yerel geri dönüş, özel kullanımlı kullanıcı adları vb. gibi belirli durumlar için yerel olarak saklanan bazı şifreler gerekir. Bu yerel şifreler ve diğer hassas şifreler

Güvenlik Hususları 23

File Aktarım

Güvenlik Hususları

bilgiler NFVIS'te karma olarak depolanır, böylece orijinal kimlik bilgilerinin sistemden kurtarılması mümkün olmaz. Hashing yaygın olarak kabul edilen bir endüstri normudur.

File Aktarım
FileNFVIS cihazlarına aktarılması gerekebilecek öğeler arasında VM görüntüsü ve NFVIS yükseltmesi bulunur fileS. Güvenli aktarım fileağ altyapısı güvenliği açısından kritik öneme sahiptir. NFVIS, güvenliği sağlamak için Güvenli Kopyalamayı (SCP) destekler. file Aktar. SCP, güvenli kimlik doğrulama ve taşıma için SSH'ye güvenerek, verilerin güvenli ve kimlik doğrulamalı kopyalanmasını sağlar. files.
Scp komutu aracılığıyla NFVIS'ten güvenli bir kopya başlatılır. Güvenli kopyalama (scp) komutu yalnızca yönetici kullanıcının güvenli bir şekilde kopyalama yapmasına olanak tanır fileNFVIS'den harici bir sisteme veya harici bir sistemden NFVIS'ye.
scp komutunun sözdizimi şöyledir:
scp
NFVIS SCP sunucusu için 22222 numaralı bağlantı noktasını kullanıyoruz. Varsayılan olarak bu bağlantı noktası kapalıdır ve kullanıcılar kopyayı güvenli hale getiremez fileharici bir istemciden NFVIS'e girer. SCP'ye ihtiyaç varsa file kullanıcı, harici bir istemciden aşağıdakileri kullanarak bağlantı noktasını açabilir:
sistem ayarları ip-receive-acl (adres)/(maske uzunluğu) hizmet scpd önceliği (sayı) eylem kabul et
işlemek
Kullanıcıların sistem dizinlerine erişmesini önlemek için, güvenli kopyalama yalnızca intdatastore:, extdatastore1:, extdatastore2:, usb: ve nfs:'ye (varsa) gerçekleştirilebilir. Güvenli kopyalama günlüklerden ve teknik destekten de gerçekleştirilebilir:

Günlük kaydı

NFVIS erişimi ve yapılandırma değişiklikleri, aşağıdaki bilgileri kaydetmek için denetim günlükleri olarak günlüğe kaydedilir: · Cihaza kim erişti · Bir kullanıcı ne zaman oturum açtı · Bir kullanıcı ana bilgisayar yapılandırması ve VM yaşam döngüsü açısından ne yaptı · Bir kullanıcı ne zaman oturum açtı kapalı · Başarısız erişim girişimleri · Başarısız kimlik doğrulama istekleri · Başarısız yetkilendirme istekleri
Bu bilgiler, yetkisiz girişimler veya erişim durumunda adli analizin yanı sıra yapılandırma değişikliği sorunları ve grup yönetimi değişikliklerinin planlanmasına yardımcı olmak için çok değerlidir. Ayrıca bir saldırının gerçekleştiğini gösterebilecek anormal etkinlikleri tanımlamak için gerçek zamanlı olarak da kullanılabilir. Bu analiz, IDS ve güvenlik duvarı günlükleri gibi ek harici kaynaklardan alınan bilgilerle ilişkilendirilebilir.

Güvenlik Hususları 24

Güvenlik Hususları

Sanal Makine güvenliği

NFVIS'deki tüm önemli olaylar, NETCONF abonelerine olay bildirimleri olarak ve yapılandırılmış merkezi günlük sunucularına sistem günlükleri olarak gönderilir. Sistem günlüğü mesajları ve olay bildirimleri hakkında daha fazla bilgi için Ek'e bakın.
Sanal Makine güvenliği
Bu bölümde Sanal Makinelerin NFVIS'ye kaydedilmesi, dağıtılması ve çalıştırılmasına ilişkin güvenlik özellikleri açıklanmaktadır.
VNF güvenli önyükleme
NFVIS, güvenli önyüklemeyi destekleyen Sanal Makineler için UEFI güvenli önyüklemeyi etkinleştirmek amacıyla Açık Sanal Makine Ürün Yazılımını (OVMF) destekler. VNF Güvenli önyükleme, önyükleyici, işletim sistemi çekirdeği ve işletim sistemi sürücüleri dahil olmak üzere VM önyükleme yazılımının her katmanının imzalandığını doğrular.

Daha fazla bilgi için bkz. VNF'lerin Güvenli Önyüklenmesi.
VNC Konsol Erişim Koruması
NFVIS, kullanıcının konuşlandırılmış bir VM'nin uzak masaüstüne erişmek için bir Sanal Ağ Bilgi İşlem (VNC) oturumu oluşturmasına olanak tanır. Bunu etkinleştirmek için NFVIS, kullanıcının kendi bilgisayarını kullanarak bağlanabileceği bir bağlantı noktasını dinamik olarak açar. web tarayıcı. Bu bağlantı noktası, harici bir sunucunun VM'de oturum başlatması için yalnızca 60 saniye açık bırakılır. Bu süre içerisinde herhangi bir aktivite görülmezse port kapatılır. Bağlantı noktası numarası dinamik olarak atanır ve böylece VNC konsoluna yalnızca bir kerelik erişime izin verir.
nfvis# vncconsole başlangıç ​​dağıtım adı 1510614035 vm-adı ROUTER vncconsole-url :6005/vnc_auto.html
Tarayıcınızı https:// adresine yönlendirin :6005/vnc_auto.html, ROUTER VM'nin VNC konsoluna bağlanacaktır.
Güvenlik Hususları 25

Şifrelenmiş VM yapılandırma veri değişkenleri

Güvenlik Hususları

Şifrelenmiş VM yapılandırma veri değişkenleri
VM dağıtımı sırasında kullanıcı 0. gün yapılandırmasını sağlar file VM için. Bu file şifreler ve anahtarlar gibi hassas bilgiler içerebilir. Bu bilgi açık metin olarak iletilirse günlükte görünür filee-postalar ve dahili veritabanı kayıtları açık metin olarak. Bu özellik, kullanıcının bir yapılandırma verisi değişkenini hassas olarak işaretlemesine olanak tanır; böylece bu değişkenin değeri, depolanmadan veya dahili alt sistemlere aktarılmadan önce AES-CFB-128 şifrelemesi kullanılarak şifrelenir.
Daha fazla bilgi için bkz. VM Dağıtım Parametreleri.
Uzaktan Görüntü Kaydı için sağlama toplamı doğrulaması
Uzakta bulunan bir VNF görüntüsünü kaydetmek için kullanıcı, konumunu belirtir. Görüntünün NFS sunucusu veya uzak HTTPS sunucusu gibi harici bir kaynaktan indirilmesi gerekecektir.
Bir dosyanın indirilip indirilmediğini bilmek file Kurulumu güvenli olduğundan, karşılaştırma yapılması önemlidir. fileKullanmadan önce sağlama toplamı. Sağlama toplamını doğrulamak, file ağ aktarımı sırasında bozulmamış veya siz indirmeden önce kötü niyetli bir üçüncü tarafça değiştirilmemiş.
NFVIS, indirilen görüntünün sağlama toplamını doğrulamak için kullanılacak beklenen sağlama toplamı ve sağlama toplamı algoritmasını (SHA256 veya SHA512) sağlamak amacıyla kullanıcıya sağlama toplamı ve sağlama toplamı_algoritma seçeneklerini destekler. Sağlama toplamı eşleşmezse görüntü oluşturma başarısız olur.
Uzaktan Görüntü Kaydı için Sertifika Doğrulaması
Bir HTTPS sunucusunda bulunan bir VNF görüntüsünü kaydetmek için görüntünün uzak HTTPS sunucusundan indirilmesi gerekecektir. Bu görüntüyü güvenli bir şekilde indirmek için NFVIS, sunucunun SSL sertifikasını doğrular. Kullanıcının sertifikaya giden yolu belirtmesi gerekir file veya bu güvenli indirmeyi etkinleştirmek için PEM formatındaki sertifika içeriğini seçin.
Daha fazla ayrıntıyı görüntü kaydı için sertifika doğrulama bölümünde bulabilirsiniz.
VM Yalıtımı ve Kaynak Sağlama
Ağ İşlev Sanallaştırma (NFV) mimarisi aşağıdakilerden oluşur:
· Yönlendirici, güvenlik duvarı, yük dengeleyici vb. gibi ağ işlevselliği sağlayan yazılım uygulamalarını çalıştıran Sanal Makineler olan sanallaştırılmış ağ işlevleri (VNF'ler).
· Gerekli yazılımı ve hipervizörü destekleyen bir platform üzerinde bilgi işlem, bellek, depolama ve ağ oluşturma gibi altyapı bileşenlerinden oluşan ağ işlevleri sanallaştırma altyapısı.
NFV ile ağ işlevleri sanallaştırılarak birden fazla işlevin tek bir sunucuda çalıştırılabilmesi sağlanır. Sonuç olarak, daha az fiziksel donanıma ihtiyaç duyulur ve bu da kaynak birleştirmeye olanak tanır. Bu ortamda, birden fazla VNF için ayrılmış kaynakların tek bir fiziksel donanım sisteminden simüle edilmesi önemlidir. NFVIS kullanılarak VM'ler, her VM'nin ihtiyaç duyduğu kaynakları alacağı şekilde kontrollü bir şekilde dağıtılabilir. Kaynaklar, fiziksel ortamdan birçok sanal ortama gerektiği gibi bölünür. Bireysel VM etki alanları yalıtılmıştır, böylece bunlar ayrı, farklı ve güvenli ortamlardır ve paylaşılan kaynaklar için birbirleriyle rekabet etmezler.
VM'ler sağlanandan daha fazla kaynak kullanamaz. Bu, kaynakları tüketen bir VM'den kaynaklanan Hizmet Reddi durumunu önler. Sonuç olarak CPU, bellek, ağ ve depolama korunur.

Güvenlik Hususları 26

Güvenlik Hususları
CPU Yalıtımı

CPU Yalıtımı

NFVIS sistemi, ana bilgisayar üzerinde çalışan altyapı yazılımları için çekirdek ayırır. Çekirdeklerin geri kalanı VM dağıtımı için kullanılabilir. Bu, VM'nin performansının NFVIS ana bilgisayar performansını etkilemeyeceğini garanti eder. Düşük Gecikmeli VM'ler NFVIS, üzerinde dağıtılan düşük gecikmeli VM'lere özel olarak ayrılmış çekirdekler atar. VM 2 vCPU gerektiriyorsa ona 2 ayrılmış çekirdek atanır. Bu, çekirdeklerin paylaşımını ve aşırı aboneliğini önler ve düşük gecikme süreli VM'lerin performansını garanti eder. Kullanılabilir çekirdek sayısı başka bir düşük gecikmeli VM tarafından talep edilen vCPU sayısından azsa yeterli kaynağımız olmadığından dağıtım engellenir. Düşük gecikme süresi olmayan VM'ler NFVIS, paylaşılabilir CPU'ları düşük gecikme süresi olmayan VM'lere atar. VM 2 vCPU gerektiriyorsa ona 2 CPU atanır. Bu 2 CPU, düşük gecikme süresi olmayan diğer VM'ler arasında paylaşılabilir. Kullanılabilir CPU sayısı, düşük gecikme süresi olmayan başka bir VM tarafından talep edilen vCPU sayısından azsa, bu VM, CPU'yu mevcut düşük gecikme süresi olmayan VM'lerle paylaşacağından dağıtıma yine de izin verilir.
Bellek Ayırma
NFVIS Altyapısı belirli miktarda bellek gerektirir. Bir VM dağıtıldığında, altyapı ve daha önce konuşlandırılmış VM'ler için gerekli bellek ayrıldıktan sonra kullanılabilir belleğin yeni VM için yeterli olduğundan emin olmak için bir kontrol yapılır. VM'ler için aşırı bellek aboneliğine izin vermiyoruz.
Güvenlik Hususları 27

Depolama İzolasyonu
VM'lerin ana makineye doğrudan erişmesine izin verilmiyor file sistem ve depolama.
Depolama İzolasyonu

Güvenlik Hususları

ENCS platformu dahili bir veri deposunu (M2 SSD) ve harici diskleri destekler. NFVIS dahili veri deposuna kurulur. VNF'ler bu dahili veri deposuna da dağıtılabilir. Müşteri verilerini depolamak ve müşteri uygulaması Sanal Makinelerini harici disklere dağıtmak en iyi güvenlik uygulamasıdır. Sistem için fiziksel olarak ayrı disklere sahip olmak files vs uygulama fileSistem verilerinin bozulma ve güvenlik sorunlarından korunmasına yardımcı olur.
·
Arayüz İzolasyonu
Tek Köklü G/Ç Sanallaştırması veya SR-IOV, Ethernet bağlantı noktası gibi PCI Express (PCIe) kaynaklarının izolasyonuna olanak tanıyan bir özelliktir. SR-IOV kullanılarak tek bir Ethernet bağlantı noktasının Sanal İşlevler olarak bilinen birden fazla, ayrı, fiziksel aygıt olarak görünmesi sağlanabilir. Bu adaptördeki tüm VF cihazları aynı fiziksel ağ bağlantı noktasını paylaşır. Bir misafir bu Sanal İşlevlerden bir veya daha fazlasını kullanabilir. Normal bir ağ kartının bir işletim sistemine görünmesi gibi, Sanal İşlev de konuklara bir ağ kartı olarak görünür. Sanal İşlevler neredeyse yerel performansa sahiptir ve para-sanallaştırılmış sürücülerden ve taklit erişimden daha iyi performans sağlar. Sanal İşlevler, veriler donanım tarafından yönetilip kontrol edildiğinden, aynı fiziksel sunucudaki konuklar arasında veri koruması sağlar. NFVIS VNF'ler, WAN ve LAN Arka Panel bağlantı noktalarına bağlanmak için SR-IOV ağlarını kullanabilir.
Güvenlik Hususları 28

Güvenlik Hususları

Güvenli Geliştirme Yaşam Döngüsü

Bu tür VM'lerin her biri, VM'ler arasında veri koruması sağlayan bir sanal arayüze ve ilgili kaynaklara sahiptir.
Güvenli Geliştirme Yaşam Döngüsü
NFVIS, yazılım için Güvenli Geliştirme Yaşam Döngüsünü (SDL) takip eder. Bu, güvenlik açıklarını azaltmak ve Cisco çözümlerinin güvenliğini ve dayanıklılığını artırmak için tasarlanmış tekrarlanabilir, ölçülebilir bir süreçtir. Cisco SDL, sahada keşfedilen ürün güvenliği olaylarının daha az olduğu güvenilir çözümler oluşturmak için sektör lideri uygulamaları ve teknolojiyi uygular. Her NFVIS sürümü aşağıdaki süreçlerden geçer.
· Cisco içi ve pazar bazlı Ürün Güvenliği Gereksinimlerini takip etmek · Güvenlik açığı takibi için 3. parti yazılımları Cisco'daki merkezi bir depoya kaydetmek · CVE'ler için bilinen düzeltmelerle periyodik olarak yazılıma yama uygulamak. · Yazılımın Güvenliği göz önünde bulundurarak tasarlanması · CiscoSSL gibi denetlenen ortak güvenlik modüllerinin kullanılması gibi güvenli kodlama uygulamalarının takip edilmesi, çalıştırılması
Statik Analiz ve komut eklemenin önlenmesi vb. için giriş doğrulamanın uygulanması. · IBM AppScan, Nessus gibi Uygulama Güvenliği araçlarını ve diğer Cisco dahili araçlarını kullanma.

Güvenlik Hususları 29

Güvenli Geliştirme Yaşam Döngüsü

Güvenlik Hususları

Güvenlik Hususları 30

Belgeler / Kaynaklar

CISCO Kurumsal Ağ Fonksiyonu Sanallaştırma Altyapı Yazılımı [pdf] Kullanıcı Kılavuzu
Kurumsal Ağ Fonksiyon Sanallaştırma Altyapı Yazılımı, Kurumsal, Ağ Fonksiyon Sanallaştırma Altyapı Yazılımı, Sanallaştırma Altyapı Yazılımı, Altyapı Yazılımı

Referanslar

Yorum bırakın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar işaretlenmiştir *