Enterprise Network Funksje Virtualization Ynfrastruktuer Software

Produkt ynformaasje

Spesifikaasjes

• NFVIS software ferzje: 3.7.1 en letter
• RPM-ûndertekening en hantekeningferifikaasje stipe
• Feilige boot beskikber (standert útskeakele)
• Secure Unique Device Identification (SUDI) meganisme brûkt

Feiligens oerwagings

De NFVIS-software soarget foar feiligens troch ferskate
meganismen:

• Ofbylding Tamper Beskerming: RPM ûndertekening en hantekening ferifikaasje
  foar alle RPM-pakketten yn 'e ISO en upgrade-ôfbyldings.
• RPM-ûndertekening: Alle RPM-pakketten yn 'e Cisco Enterprise NFVIS ISO
  en upgrade ôfbyldings wurde tekene om te soargjen kryptografyske yntegriteit en
  autentisiteit.
• RPM-hântekeningferifikaasje: Hântekening fan alle RPM-pakketten is
  ferifiearre foardat ynstallaasje of upgrade.
• Ferifikaasje fan ôfbyldingsintegriteit: Hash fan 'e Cisco NFVIS ISO-ôfbylding
  en upgrade ôfbylding wurdt publisearre om te garandearjen yntegriteit fan ekstra
  net-RPM files.
• ENCS Secure Boot: Part fan de UEFI standert, soarget derfoar dat de
  apparaat boots allinich mei fertroude software.
• Secure Unique Device Identification (SUDI): Jout it apparaat
  mei in ûnferoarlike identiteit om har echtheid te ferifiearjen.

Ynstallaasje

Om de NFVIS-software te ynstallearjen, folgje dizze stappen:

1. Soargje derfoar dat de software ôfbylding hat net west tampered mei troch
   ferifiearje syn hantekening en yntegriteit.
2. As jo ​​brûke Cisco Enterprise NFVIS 3.7.1 en letter, soargje derfoar dat
   de hantekening ferifikaasje giet troch by ynstallaasje. As it mislearret,
   de ynstallaasje sil ôfbrutsen wurde.
3. As it opwurdearjen fan Cisco Enterprise NFVIS 3.6.x nei Release
   3.7.1, de RPM-hantekeningen wurde ferifiearre tidens de upgrade. As de
   hantekening ferifikaasje mislearret, in flater wurdt oanmeld mar de upgrade is
   foltôge.
4. As jo ​​opwurdearje fan Release 3.7.1 nei lettere releases, de RPM
   hantekenings wurde ferifiearre as de upgrade ôfbylding wurdt registrearre. As
   de ferifikaasje fan hantekening mislearret, de upgrade wurdt ôfbrutsen.
5. Ferifiearje de hash fan de Cisco NFVIS ISO ôfbylding of upgrade ôfbylding
   mei help fan it kommando: /usr/bin/sha512sum
<image_filepath>. Fergelykje de hash mei de publisearre
   hash om yntegriteit te garandearjen.

Feilige Boot

Secure boot is in funksje beskikber op ENCS (standert útskeakele)
dat soarget derfoar dat it apparaat allinich bootet mei fertroude software. Nei
befeilige boot ynskeakelje:

1. Ferwize nei de dokumintaasje oer Secure Boot of Host foar mear
   ynformaasje.
2. Folgje de levere ynstruksjes om feilige boot op jo
   apparaat.

Secure Unique Device Identification (SUDI)

SUDI jout NFVIS in ûnferoarlike identiteit, en ferifiearret dat
it is in echte Cisco produkt en it garandearjen fan syn erkenning yn 'e
klant syn ynventarisaasje systeem.

FAQ

F: Wat is NFVIS?

A: NFVIS stiet foar Network Function Virtualization
Ynfrastruktuer Software. It is in softwareplatfoarm dat wurdt brûkt om te ynsetten
en beheare firtuele netwurkfunksjes.

Q: Hoe kin ik ferifiearje de yntegriteit fan de NFVIS ISO ôfbylding of
upgrade ôfbylding?

A: Om de yntegriteit te ferifiearjen, brûk it kommando
/usr/bin/sha512sum <image_filepath> en ferlykje
de hash mei de publisearre hash levere troch Cisco.

F: Is feilige boot standert ynskeakele op ENCS?

A: Nee, feilige opstart is standert útskeakele op ENCS. It is
oanrikkemandearre om feilige boot yn te skeakeljen foar ferbettere feiligens.

F: Wat is it doel fan SUDI yn NFVIS?

A: SUDI jout NFVIS in unike en ûnferoarlike identiteit,
it garandearjen fan syn echtheid as Cisco produkt en fasilitearjen syn
erkenning yn de klant syn ynventarisaasje systeem.

Loading PDF…

−+Fit width100%View FullscreenDownload PDFPrint PDF

×

Loading PDF…

Feiligens oerwagings
Dit haadstik beskriuwt de feiligens funksjes en oerwagings yn NFVIS. It jout in heech nivo oerview fan feiligens-relatearre komponinten yn NFVIS om in feiligensstrategy te plannen foar ynset spesifyk foar jo. It hat ek oanbefellings oer bêste praktiken foar feiligens foar it hanthavenjen fan 'e kearneleminten fan netwurkfeiligens. De NFVIS-software hat feiligens ynbêde direkt fan ynstallaasje troch alle softwarelagen. De folgjende haadstikken rjochtsje har op dizze out-of-the-box feiligensaspekten lykas credential management, yntegriteit en tamper beskerming, sesje behear, feilige apparaat tagong en mear.

· Ynstallaasje, op side 2 · Feilige unike apparaatidentifikaasje, op side 3 · Apparaattagong, op side 4

Feiligenssoarch 1

Ynstallaasje

Feiligens oerwagings

· Netwurk foar ynfrastruktuerbehear, op side 22 · Beskerming fan lokaal opsleine ynformaasje, op side 23 · File Oerdracht, op side 24 · Logging, op side 24 · Feiligens fan firtuele masines, op side 25 · VM-isolaasje en boarnefoarsjenning, op side 26 · Secure Development Lifecycle, op side 29

Ynstallaasje
Om derfoar te soargjen dat de NFVIS software hat net west tampmei , wurdt de softwareôfbylding ferifiearre foar ynstallaasje mei de folgjende meganismen:

Ofbylding Tamper Beskerming
NFVIS stipet RPM-ûndertekening en hantekeningferifikaasje foar alle RPM-pakketten yn 'e ISO en upgrade-ôfbyldings.

RPM ûndertekening

Alle RPM-pakketten yn 'e Cisco Enterprise NFVIS ISO en upgrade-ôfbyldings wurde tekene om kryptografyske yntegriteit en autentisiteit te garandearjen. Dit garandearret dat de RPM pakketten hawwe net west tampered mei en de RPM-pakketten binne fan NFVIS. De privee kaai dy't brûkt wurdt foar it ûndertekenjen fan de RPM-pakketten wurdt makke en feilich ûnderhâlden troch Cisco.

RPM Signature Verification

NFVIS-software ferifiearret de hantekening fan alle RPM-pakketten foar in ynstallaasje of upgrade. De folgjende tabel beskriuwt de Cisco Enterprise NFVIS gedrach as de hantekening ferifikaasje mislearret by in ynstallaasje of upgrade.

Senario

Beskriuwing

Cisco Enterprise NFVIS 3.7.1 en letter ynstallaasjes As de hantekening ferifikaasje mislearret wylst it ynstallearjen Cisco Enterprise NFVIS, de ynstallaasje wurdt ôfbrutsen.

Cisco Enterprise NFVIS upgrade fan 3.6.x nei Release 3.7.1

De RPM-hantekeningen wurde ferifiearre as de upgrade wurdt útfierd. As de ferifikaasje fan hantekening mislearret, wurdt in flater oanmeld, mar de upgrade is foltôge.

Cisco Enterprise NFVIS upgrade út Release 3.7.1 De RPM hantekenings wurde ferifiearre as de upgrade

nei lettere releases

ôfbylding is registrearre. As de ferifikaasje fan hantekening mislearret,

de fernijing wurdt ôfbrutsen.

Ferifikaasje fan ôfbyldingsintegriteit
RPM ûndertekening en hantekening ferifikaasje kin dien wurde allinnich foar de RPM pakketten beskikber yn de Cisco NFVIS ISO en upgrade ôfbyldings. Om de yntegriteit fan alle ekstra net-RPM te garandearjen files beskikber yn de Cisco NFVIS ISO ôfbylding, in hash fan de Cisco NFVIS ISO ôfbylding wurdt publisearre tegearre mei de ôfbylding. Op deselde manier wurdt in hash fan 'e Cisco NFVIS-upgradeôfbylding publisearre tegearre mei de ôfbylding. Om te ferifiearjen dat de hash fan Cisco

Feiligenssoarch 2

Feiligens oerwagings

ENCS Secure Boot

NFVIS ISO-ôfbylding of upgrade-ôfbylding komt oerien mei de hash publisearre troch Cisco, fier it folgjende kommando en fergelykje de hash mei de publisearre hash:
% /usr/bin/sha512sumFile> c2122783efc18b039246ae1bcd4eec4e5e027526967b5b809da5632d462dfa6724a9b20ec318c74548c6bd7e9b8217ce96b5ece93dcdd74fda5e01bb382ad607
<ImageFile>
ENCS Secure Boot
Feilige opstart is diel fan 'e Unified Extensible Firmware Interface (UEFI) standert dy't derfoar soarget dat in apparaat allinich opstart mei in software dy't fertroud wurdt troch de Original Equipment Manufacturer (OEM). As NFVIS begjint, kontrolearret de firmware de hantekening fan 'e bootsoftware en it bestjoeringssysteem. As de hantekeningen jildich binne, bootet it apparaat, en de firmware jout de kontrôle oan it bestjoeringssysteem.
Feilich opstarten is beskikber op 'e ENCS, mar is standert útskeakele. Cisco riedt jo oan om feilige boot yn te skeakeljen. Foar mear ynformaasje, sjoch Secure Boot of Host.
Feilige unike apparaatidentifikaasje
NFVIS brûkt in meganisme bekend as Secure Unique Device Identification (SUDI), dy't it in ûnferoarlike identiteit jout. Dizze identiteit wurdt brûkt om te kontrolearjen dat it apparaat is in echt Cisco produkt, en om te soargjen dat it apparaat is goed bekend mei de klant syn ynventarisaasje systeem.
De SUDI is in X.509v3-sertifikaat en in assosjearre kaai-pear dy't beskerme binne yn hardware. It SUDI-sertifikaat befettet de produktidentifikaasje en it serialnûmer en is woartele yn Cisco Public Key Infrastructure. It kaaipaar en it SUDI-sertifikaat wurde yn 'e hardwaremodule ynfoege by de fabrikaazje, en de priveekaai kin nea wurde eksportearre.
De SUDI-basearre identiteit kin brûkt wurde om authentisearre en automatisearre konfiguraasje út te fieren mei Zero Touch Provisioning (ZTP). Dit makket feilige, op ôfstân oan board fan apparaten mooglik, en soarget derfoar dat de orkestraasjetsjinner praat mei in echt NFVIS-apparaat. In backend-systeem kin in útdaging jaan oan it NFVIS-apparaat om syn identiteit te falidearjen en it apparaat sil reagearje op 'e útdaging mei syn SUDI-basearre identiteit. Dit lit it backend-systeem net allinich tsjin syn ynventarisaasje ferifiearje dat it juste apparaat op 'e goeie lokaasje is, mar ek fersifere konfiguraasje leverje dy't allinich kin wurde iepene troch it spesifike apparaat, en soarget dêrmei foar fertroulikens yn transit.
De folgjende workflowdiagrammen yllustrearje hoe't NFVIS SUDI brûkt:

Feiligenssoarch 3

Apparaat tagong figuer 1: Plug and Play (PnP) Server autentikaasje

Feiligens oerwagings

figuer 2: Plug and Play Device Authentication and Authorization

Apparaattoegang
NFVIS biedt ferskate tagongsmeganismen ynklusyf konsole en tagong op ôfstân basearre op protokollen lykas HTTPS en SSH. Elts tagong meganisme moat wêze foarsichtich reviewed en konfigurearre. Soargje derfoar dat allinich de fereaske tagongsmeganismen binne ynskeakele en dat se goed befeilige binne. De wichtichste stappen foar it befeiligjen fan sawol ynteraktive as behear tagong ta NFVIS binne om de tagonklikens fan it apparaat te beheinen, de mooglikheden fan 'e tastiene brûkers te beheinen ta wat nedich is, en de tastiene metoaden fan tagong te beheinen. NFVIS soarget derfoar dat de tagong allinich wurdt ferliend oan authentisearre brûkers en se kinne allinich de autorisearre aksjes útfiere. Apparaat tagong wurdt oanmeld foar auditing en NFVIS soarget foar de fertroulikens fan lokaal opslein gefoelige gegevens. It is kritysk om de passende kontrôles yn te stellen om unautorisearre tagong ta NFVIS te foarkommen. De folgjende seksjes beskriuwe de bêste praktiken en konfiguraasjes om dit te berikken:
Feiligenssoarch 4

Feiligens oerwagings

Oftwongen wachtwurdferoaring by earste oanmelding

Oftwongen wachtwurdferoaring by earste oanmelding
Standert bewiisbrieven binne in faak boarne fan produkt feiligens ynsidinten. Klanten ferjitte faaks de standert oanmeldgegevens te feroarjen, wêrtroch't har systemen iepen litte foar oanfal. Om dit foar te kommen, wurdt de NFVIS-brûker twongen om it wachtwurd te feroarjen nei de earste oanmelding mei de standert referinsjes (brûkersnamme: admin en wachtwurd Admin123#). Foar mear ynformaasje, sjoch Tagong ta NFVIS.
Oanmelde kwetsberens beheine
Jo kinne de kwetsberens foar oanfallen fan wurdboeken en Denial of Service (DoS) foarkomme troch de folgjende funksjes te brûken.
Hanthavenjen fan Sterk wachtwurd
In autentikaasjemeganisme is allinich sa sterk as syn bewiisbrieven. Om dizze reden is it wichtich om te soargjen dat brûkers sterke wachtwurden hawwe. NFVIS kontrolearret dat in sterk wachtwurd is konfigurearre neffens de folgjende regels: Wachtwurd moat befetsje:
· Op syn minst ien haadletter · Op syn minst ien lytse letter · Op syn minst ien nûmer · Op syn minst ien fan dizze spesjale tekens: hash (#), ûnderstreekje (_), streepke (-), asterisk (*), of fraach
markearje (?) · Sân tekens of mear · De wachtwurdlingte moat tusken 7 en 128 tekens wêze.
Ynstelle fan minimale lingte foar wachtwurden
Gebrek oan wachtwurdkompleksiteit, benammen wachtwurdlange, ferminderet de sykromte signifikant as oanfallers besykje brûkerswachtwurden te rieden, wêrtroch brute-force oanfallen folle makliker wurde. De admin-brûker kin de minimale lingte konfigurearje dy't nedich is foar wachtwurden fan alle brûkers. De minimale lingte moat tusken 7 en 128 tekens wêze. Standert is de minimale lingte nedich foar wachtwurden ynsteld op 7 tekens. CLI:
nfvis(config)# rbac-autentikaasje min-pwd-lingte 9
API:
/api/config/rbac/authentication/min-pwd-length
Wachtwurd Lifetime konfigurearje
De libbenslang fan it wachtwurd bepaalt hoe lang in wachtwurd brûkt wurde kin foardat de brûker it moat feroarje.

Feiligenssoarch 5

Beheine foarige wachtwurd wergebrûk

Feiligens oerwagings

De admin-brûker kin minimale en maksimale libbenswearden foar wachtwurden foar alle brûkers ynstelle en in regel ôftwinge om dizze wearden te kontrolearjen. De standert minimale libbenswearde is ynsteld op 1 dei en de standert maksimale libbenswearde is ynsteld op 60 dagen. As in minimale libbenswearde ynsteld is, kin de brûker it wachtwurd net wizigje oant it opjûne oantal dagen foarby is. Lykas, as in maksimale libbenswearde is ynsteld, moat in brûker it wachtwurd wizigje foardat it opjûne oantal dagen passe. As in brûker it wachtwurd net feroaret en it opjûne oantal dagen is ferrûn, wurdt in notifikaasje stjoerd nei de brûker.
Opmerking De minimale en maksimale libbenswearden en de regel om dizze wearden te kontrolearjen wurde net tapast op de admin-brûker.
CLI:
konfigurearje terminal rbac-autentikaasje wachtwurd-libbenslang hanthavenje wiere min-dagen 2 max-dagen 30 commit
API:
/api/config/rbac/authentication/password-lifetime/
Beheine foarige wachtwurd wergebrûk
Sûnder it foarkommen fan it brûken fan eardere passphrases, is it ferrinnen fan wachtwurden foar in grut part nutteloos, om't brûkers de passphrase gewoan kinne feroarje en it dan werom feroarje nei it orizjineel. NFVIS kontrolearret dat it nije wachtwurd net itselde is as ien fan 'e 5 earder brûkte wachtwurden. Ien útsûndering op dizze regel is dat de admin-brûker it wachtwurd kin feroarje yn it standert wachtwurd, sels as it ien fan 'e 5 earder brûkte wachtwurden wie.
Beheine Frekwinsje fan oanmeldpogingen
As in peer op ôfstân tastien is om in ûnbeheind oantal kearen oan te melden, kin it úteinlik de oanmeldgegevens kinne riede troch brute krêft. Sûnt passphrases binne faak maklik te rieden, dit is in mienskiplike oanfal. Troch it taryf te beheinen wêrmei't de peer oanmelde kin, foarkomme wy dizze oanfal. Wy mije ek it besteegjen fan de systeemboarnen oan it ûnnedich autentisearjen fan dizze brute-force oanmeldpogingen dy't in Denial of Service oanfal kinne meitsje. NFVIS hanthavenet in brûker lockdown fan 5 minuten nei 10 mislearre oanmeldpogingen.
Ynaktive brûkersakkounts útskeakelje
It kontrolearjen fan brûkersaktiviteit en it útskeakeljen fan net brûkte of ferâldere brûkersakkounts helpt it systeem te befeiligjen tsjin oanfallen fan ynsiders. De net brûkte akkounts moatte úteinlik fuortsmiten wurde. De admin-brûker kin in regel ôftwinge om net brûkte brûkersakkounts as ynaktyf te markearjen en it oantal dagen yn te stellen wêrnei't in net brûkte brûkersaccount as ynaktyf markearre wurdt. Ien kear as ynaktyf markearre, kin dy brûker net oanmelde by it systeem. Om de brûker yn te loggen by it systeem, kin de admin-brûker it brûkersakkount aktivearje.
Opmerking De ynaktiviteitsperioade en de regel om de ynaktiviteitsperioade te kontrolearjen wurde net tapast op de admin-brûker.

Feiligenssoarch 6

Feiligens oerwagings

Aktivearje in ynaktyf brûkersakkount

De folgjende CLI en API kinne brûkt wurde om de hanthavening fan account ynaktiviteit te konfigurearjen. CLI:
konfigurearje terminal rbac autentikaasje account-ynaktiviteit ôftwinge wiere ynaktiviteit-dagen 30 commit
API:
/api/config/rbac/authentication/account-inactivity/
De standertwearde foar ynaktiviteitsdagen is 35.
In ynaktyf brûkersaccount aktivearje De admin-brûker kin it akkount fan in ynaktive brûker aktivearje mei de folgjende CLI en API: CLI:
konfigurearje terminal rbac autentikaasje brûkers brûker guest_user aktivearje commit
API:
/api/operations/rbac/authentication/users/user/username/activate

Ynstelling fan BIOS- en CIMC-wachtwurden ôftwinge

tabel 1: Feature History Tabel

Feature Namme

Release ynformaasje

Enforce Setting fan BIOS en CIMC NFVIS 4.7.1 Wachtwurden

Beskriuwing
Dizze funksje twingt de brûker om it standert wachtwurd foar CIMC en BIOS te feroarjen.

Beheinings foar it hanthavenjen fan ynstelling fan BIOS- en CIMC-wachtwurden
· Dizze funksje wurdt allinnich stipe op Cisco Catalyst 8200 UCPE en Cisco ENCS 5400 platfoarms.
· Dizze funksje wurdt allinnich stipe op in frisse ynstallaasje fan NFVIS 4.7.1 en letter releases. As jo ​​opwurdearje fan NFVIS 4.6.1 nei NFVIS 4.7.1, wurdt dizze funksje net stipe en jo wurde net frege om de BIOS- en CIMS-wachtwurden werom te setten, sels as de BIOS- en CIMC-wachtwurden net ynsteld binne.

Ynformaasje oer it hanthavenjen fan ynstelling fan BIOS- en CIMC-wachtwurden
Dizze funksje rjochtet in befeiligingsgat troch it weromsetten fan 'e BIOS- en CIMC-wachtwurden nei in frisse ynstallaasje fan NFVIS 4.7.1 te hanthavenjen. It standert CIMC-wachtwurd is wachtwurd en it standert BIOS-wachtwurd is gjin wachtwurd.
Om de feiligens gat te reparearjen, wurde jo twongen om de BIOS- en CIMC-wachtwurden yn ENCS 5400 yn te stellen.

Feiligenssoarch 7

Konfiguraasje Examples foar ôftwongen weromsette fan BIOS en CIMC Wachtwurden

Feiligens oerwagings

de standert wachtwurden, dan wurde jo frege om sawol de BIOS- en CIMC-wachtwurden te feroarjen. As mar ien fan har reset fereasket, wurde jo frege om it wachtwurd foar allinich dat komponint werom te setten. Cisco Catalyst 8200 UCPE fereasket allinich it BIOS-wachtwurd en dus allinich it BIOS-wachtwurd weromsette wurdt frege, as it net al ynsteld is.
Opmerking As jo ​​opwurdearje fan in foarige release nei NFVIS 4.7.1 of letter releases, kinne jo feroarje de BIOS en CIMC wachtwurden mei help fan de hostaction feroaring-bios-wachtwurd newpassword of hostaction feroaring-cimc-wachtwurd newpassword kommando's.
Foar mear ynformaasje oer BIOS en CIMC wachtwurden, sjoch BIOS en CIMC Wachtwurd.
Konfiguraasje Examples foar ôftwongen weromsette fan BIOS en CIMC Wachtwurden
1. As jo ​​ynstallearje NFVIS 4.7.1, Jo moatte earst weromsette de standert admin wachtwurd.
Cisco Network Function Virtualization Infrastructure Software (NFVIS)
NFVIS Ferzje: 99.99.0-1009
Copyright (c) 2015-2021 troch Cisco Systems, Inc. Cisco, Cisco Systems, en Cisco Systems logo binne registrearre hannelsmerken fan Cisco Systems, Inc. en / of syn filialen yn de FS en bepaalde oare lannen.
De auteursrjochten op bepaalde wurken yn dizze software binne eigendom fan oare tredden en wurde brûkt en ferspraat ûnder lisinsje oerienkomsten fan tredden. Bepaalde komponinten fan dizze sêftguod binne lisinsje ûnder de GNU GPL 2.0, GPL 3.0, LGPL 2.1, LGPL 3.0 en AGPL 3.0.
admin ferbûn fan 10.24.109.102 mei ssh op nfvis admin oanmeld mei standert referinsjes Jou asjebleaft in wachtwurd dat foldocht oan de folgjende kritearia:
1.Minstens ien lytse letter 2.Teminsten ien haadletter 3.Minstens ien nûmer 4.Minstens ien spesjaal karakter fan # _ – * ? 5.Length moat tusken de 7 en 128 tekens wêze. Stel it wachtwurd werom: Fier it wachtwurd opnij yn:
Reset admin wachtwurd
2. Pa Cisco Catalyst 8200 UCPE en Cisco ENCS 5400 platfoarms as jo dogge in frisse ynstallaasje fan NFVIS 4.7.1 of letter releases, Jo moatte feroarje de standert BIOS en CIMC wachtwurden. As de BIOS- en CIMC-wachtwurden net earder konfigureare binne, freget it systeem jo om de BIOS- en CIMC-wachtwurden foar Cisco ENCS 5400 te resetten en allinich it BIOS-wachtwurd foar Cisco Catalyst 8200 UCPE.
Nije admin wachtwurd is ynsteld
Jou asjebleaft it BIOS-wachtwurd op dat foldocht oan de folgjende kritearia: 1. Op syn minst ien lytse letter 2. Op syn minst ien haadletter 3. Op syn minst ien nûmer 4. Op syn minst ien spesjaal karakter fan #, @ of _ 5. Lengte moat wêze tusken 8 en 20 tekens 6. Moat gjin ien fan 'e folgjende tekenrige befetsje (gefoel foar haadletters): bios 7. Earste karakter kin net in # wêze

Feiligenssoarch 8

Feiligens oerwagings

Ferifiearje BIOS en CIMC Wachtwurden

Stel asjebleaft it BIOS-wachtwurd werom: Fier it BIOS-wachtwurd opnij yn: Fier it CIMC-wachtwurd yn dat foldocht oan de folgjende kritearia:
1. Op syn minst ien lytse letter 2. Op syn minst ien haadletter 3. Op syn minst ien nûmer 4. Op syn minst ien spesjaal karakter fan #, @ of _ 5. De lingte moat tusken 8 en 20 tekens wêze 6. Moat gjin fan de folgjende tekenrige (hoofdlettergefoelich): admin Stel it CIMC-wachtwurd opnij yn: Fier it CIMC-wachtwurd opnij yn:

Ferifiearje BIOS en CIMC Wachtwurden
Om te kontrolearjen oft de BIOS en CIMC wachtwurden binne feroare mei súkses, brûk de show log nfvis_config.log | befetsje BIOS of sjen litte log nfvis_config.log | befetsje CIMC-kommando's:

nfvis# show log nfvis_config.log | befetsje BIOS

2021-11-16 15:24:40,102 INFO

[hostaction:/systeem/ynstellings] [] BIOS wachtwurd feroarje

is suksesfol

Jo kinne ek download de nfvis_config.log file en ferifiearje oft de wachtwurden binne reset mei súkses.

Yntegraasje mei eksterne AAA tsjinners
Brûkers oanmelde by NFVIS fia ssh of de Web UI. Yn beide gefallen moatte brûkers authentisearre wurde. Dat is, in brûker moat wachtwurdbewizen presintearje om tagong te krijen.
Sadree't in brûker is authentisearre, moatte alle operaasjes útfierd troch dy brûker wurde autorisearre. Dat is, guon brûkers kinne tastien wurde om bepaalde taken út te fieren, wylst oaren net binne. Dit wurdt autorisaasje neamd.
It wurdt oanrikkemandearre dat in sintralisearre AAA-tsjinner wurdt ynset om per brûker, AAA-basearre oanmeldferifikaasje foar NFVIS-tagong te hanthavenjen. NFVIS stipet RADIUS- en TACACS-protokollen om netwurk tagong te bemiddeljen. Op 'e AAA-tsjinner moatte allinich minimale tagongsrjochten wurde ferliend oan authentisearre brûkers neffens har spesifike tagongseasken. Dit ferleget de bleatstelling oan sawol kweade as ûnbedoelde feiligensynsidinten.
Foar mear ynformaasje oer eksterne autentikaasje, sjoch RADIUS konfigurearje en in TACACS+-tsjinner konfigurearje.

Autentikaasje-cache foar eksterne autentikaasjetsjinner

Feature Namme

Release ynformaasje

Autentikaasje Cache foar eksterne NFVIS 4.5.1 Autentikaasje Server

Beskriuwing
Dizze funksje stipet TACACS-ferifikaasje fia OTP op NFVIS-portal.

It NFVIS-portaal brûkt itselde One-Time Password (OTP) foar alle API-oproppen nei de earste autentikaasje. De API-oproppen mislearje sa gau as de OTP ferrint. Dizze funksje stipet TACACS OTP-ferifikaasje mei it NFVIS-portaal.
Neidat jo mei súkses hawwe authentisearre fia de TACACS-tsjinner mei in OTP, makket NFVIS in hash-yngong mei de brûkersnamme en de OTP en bewarret dizze hashwearde lokaal. Dizze lokaal opsleine hashwearde hat

Feiligenssoarch 9

Rol-basearre tagongskontrôle

Feiligens oerwagings

in ferfaltiid stamp dêrmei ferbûn. De tiid stamp hat deselde wearde as de SSH-sesje-time-outwearde dy't 15 minuten is. Alle folgjende ferifikaasjefersiken mei deselde brûkersnamme wurde earst authentisearre tsjin dizze lokale hashwearde. As de autentikaasje mislearret mei de lokale hash, ferifiearret NFVIS dit fersyk mei TACACS-tsjinner en makket in nije hash-yngong as de autentikaasje suksesfol is. As in hash-yngong al bestiet, syn tiid stamp wurdt weromset nei 15 minuten.
As jo ​​fan 'e TACACS-tsjinner fuortsmiten binne nei't jo mei súkses oanmeld hawwe op it portaal, kinne jo trochgean mei it brûken fan it portaal oant de hash-yngong yn NFVIS ferrint.
As jo ​​eksplisyt ôfmelde fan it NFVIS-portaal of wurde útlogd fanwegen idle tiid, ropt it portaal in nije API op om NFVIS-backend te melden om de hash-yngong te spoelen. De autentikaasje-cache en al syn yngongen wurde wiske nei NFVIS opnij opstart, fabryk weromsette, of upgrade.

Rol-basearre tagongskontrôle

Netwurktagong beheine is wichtich foar organisaasjes dy't in protte meiwurkers hawwe, oannimmers brûke of tagong ta tredden tastean, lykas klanten en leveransiers. Yn sa'n senario is it lestich om netwurk tagong effektyf te kontrolearjen. Ynstee dêrfan is it better om te kontrolearjen wat tagonklik is, om de gefoelige gegevens en krityske applikaasjes te befeiligjen.
Role-basearre tagongskontrôle (RBAC) is in metoade om netwurk tagong te beheinen basearre op de rollen fan yndividuele brûkers binnen in bedriuw. RBAC lit brûkers tagong krije ta krekt de ynformaasje dy't se nedich binne, en foarkomt dat se tagong krije ta ynformaasje dy't har net oanbelanget.
De rol fan in meiwurker yn 'e ûndernimming moat brûkt wurde om de tastimmingen te bepalen dy't ferliend binne, om te soargjen dat meiwurkers mei legere privileezjes gjin tagong krije ta gefoelige ynformaasje of krityske taken kinne útfiere.
De folgjende brûkersrollen en privileezjes wurde definieare yn NFVIS

Brûker Rol

Privileezje

Behearders

Kin alle beskikbere funksjes konfigurearje en alle taken útfiere, ynklusyf feroarjen fan brûkersrollen. De behearder kin de basisynfrastruktuer net wiskje dy't fûneminteel is foar NFVIS. De rol fan de admin-brûker kin net wizige wurde; it is altyd "behearders".

Operators

Kin Start en stopje in VM, en view alle ynformaasje.

Auditors

Se binne de minst befoarrjochte brûkers. Se hawwe Allinnich-lêzen tastimming en kinne dêrom gjin konfiguraasje wizigje.

Foardielen fan RBAC
D'r binne in oantal foardielen foar it brûken fan RBAC om ûnnedige netwurktagong te beheinen op basis fan 'e rollen fan minsken binnen in organisaasje, ynklusyf:
· Ferbetterjen fan operasjonele effisjinsje.
It hawwen fan foarôf definieare rollen yn RBAC makket it maklik om nije brûkers op te nimmen mei de juste privileezjes of rollen fan besteande brûkers te wikseljen. It besuniget ek op it potinsjeel foar flater as brûkersmooglikheden wurde tawiisd.
· Ferbetterjen fan neilibjen.

Feiligenssoarch 10

Feiligens oerwagings

Rol-basearre tagongskontrôle

Elke organisaasje moat foldwaan oan lokale, steats- en federale regeljouwing. Bedriuwen leaver oer it algemien RBAC-systemen te ymplementearjen om te foldwaan oan de regeljouwing en wetlike easken foar fertroulikens en privacy, om't bestjoerders en IT-ôfdielingen effektiver kinne beheare hoe't de gegevens tagong en brûkt wurde. Dit is benammen wichtich foar finansjele ynstellingen en soarchbedriuwen dy't gefoelige gegevens beheare.
· Ferminderjen fan kosten. Troch gjin brûker tagong ta bepaalde prosessen en applikaasjes ta te stean, kinne bedriuwen boarnen lykas netwurkbânbreedte, ûnthâld en opslach op in kosten-effektive manier bewarje of brûke.
· Beslútasinrisiko op datalekken en datalekken. It ymplementearjen fan RBAC betsjut it beheinen fan tagong ta gefoelige ynformaasje, wêrtroch't de mooglikheid fan datalekken of datalekken ferminderet.
Best practices foar rol-basearre tagongskontrôle ymplemintaasjes · As behearder, bepale de list fan brûkers en tawize de brûkers oan de foarôf definiearre rollen. Bygelyksample, de brûker "netwurkadmin" kin oanmakke wurde en tafoege oan de brûkersgroep "behearders".
konfigurearje terminal rbac autentikaasje brûkers meitsje-brûkersnamme netwurkadmin wachtwurd Test1_pass rolbehearders commit
Opmerking De brûkersgroepen of rollen wurde makke troch it systeem. Jo kinne gjin brûkersgroep oanmeitsje of wizigje. Om it wachtwurd te feroarjen, brûk de rbac-autentikaasje brûkers brûkers feroarje-wachtwurd kommando yn globale konfiguraasje modus. Om de brûker rol te feroarjen, brûk de rbac-autentikaasje brûkers brûkers feroarje-rol kommando yn globale konfiguraasje modus.
· Beëinigje akkounts foar brûkers dy't gjin tagong mear nedich hawwe.
konfigurearje terminal rbac-ferifikaasje brûkers wiskje-brûkersnamme test1
· Periodyk audits útfiere om de rollen te evaluearjen, de meiwurkers dy't har tawiisd binne en de tagong dy't tastien is foar elke rol. As fûn wurdt dat in brûker ûnnedige tagong hat ta in bepaald systeem, feroarje de rol fan de brûker.
Foar mear details sjoch, Brûkers, rollen, en ferifikaasje
Granular Role-Based Access Control Fanôf NFVIS 4.7.1 wurdt de Granular Role-Based Access Control-funksje yntrodusearre. Dizze funksje foeget in nij boarnegroepbelied ta dat de VM en VNF beheart en kinne jo brûkers tawize oan in groep om VNF-tagong te kontrolearjen, tidens VNF-ynset. Foar mear ynformaasje, sjoch Granular Role-Based Access Control.

Feiligenssoarch 11

Beheine tagong ta apparaat

Feiligens oerwagings

Beheine tagong ta apparaat
Brûkers binne ferskate kearen ûnbewust betrape troch oanfallen op funksjes dy't se net beskerme hiene, om't se net wisten dat dy funksjes ynskeakele wiene. Net brûkte tsjinsten hawwe de neiging om te bliuwen mei standertkonfiguraasjes dy't net altyd feilich binne. Dizze tsjinsten kinne ek standert wachtwurden brûke. Guon tsjinsten kinne in oanfaller maklik tagong jaan ta ynformaasje oer wat de tsjinner rint of hoe't it netwurk is ynsteld. De folgjende seksjes beskriuwe hoe't NFVIS sokke feiligensrisiko's foarkomt:

Attack vector reduksje
Elk stikje software kin mooglik befeiligingskwetsberheden befetsje. Mear software betsjut mear mooglikheden foar oanfal. Sels as d'r gjin iepenbier bekende kwetsberens binne op it momint fan opnimmen, sille kwetsberens wierskynlik yn 'e takomst ûntdutsen of iepenbiere wurde. Om sokke senario's te foarkommen, wurde allinich softwarepakketten ynstalleare dy't essensjeel binne foar de NFVIS-funksjonaliteit. Dit helpt software-kwetsberheden te beheinen, boarneferbrûk te ferminderjen en ekstra wurk te ferminderjen as problemen wurde fûn mei dy pakketten. Alle software fan tredden opnaam yn NFVIS is registrearre op in sintrale databank yn Cisco, sadat Cisco is by steat om te fieren in bedriuw nivo organisearre antwurd (Juridysk, Feiligens, etc). Softwarepakketten wurde periodyk patched yn elke release foar bekende Common Vulnerabilities and Exposures (CVE's).

Standert allinich essensjele havens ynskeakelje

Allinnich dy tsjinsten dy't perfoarst nedich binne foar it ynstellen en behearen fan NFVIS binne standert beskikber. Dit ferwideret de brûker ynspanning dy't nedich is om firewalls te konfigurearjen en tagong te wegerjen ta ûnnedige tsjinsten. De ienige tsjinsten dy't standert binne ynskeakele wurde hjirûnder neamd tegearre mei de havens dy't se iepenje.

Iepenje Port

Tsjinst

Beskriuwing

22 / TCP

SSH

Secure Socket Shell foar tagong op ôfstân kommando-rigel ta NFVIS

80 / TCP

HTTP

Hypertext Transfer Protocol foar de NFVIS portal tagong. Alle HTTP-ferkear ûntfongen troch NFVIS wurdt omlaat nei poarte 443 foar HTTPS

443 / TCP

HTTPS

Hypertext Transfer Protocol Secure foar feilige NFVIS portal tagong

830 / TCP

NETCONF-ssh

Poarte iepene foar it Network Configuration Protocol (NETCONF) oer SSH. NETCONF is in protokol dat wurdt brûkt foar automatisearre konfiguraasje fan NFVIS en foar it ûntfangen fan asynchrone evenemint-notifikaasjes fan NFVIS.

161/UDP

SNMP

Simple Network Management Protocol (SNMP). Wurdt brûkt troch NFVIS om te kommunisearjen mei applikaasjes foar netwurkmonitoring op ôfstân. Foar mear ynformaasje sjoch, Yntroduksje oer SNMP

Feiligenssoarch 12

Feiligens oerwagings

Beheine tagong ta autorisearre netwurken foar autorisearre tsjinsten

Beheine tagong ta autorisearre netwurken foar autorisearre tsjinsten

Allinich autorisearre originators moatte wurde tastien om sels tagong ta apparaatbehear te besykjen, en tagong moat allinich wêze foar de tsjinsten dy't se autorisearre binne om te brûken. NFVIS kin wurde konfigurearre sa dat tagong is beheind ta bekende, fertroude boarnen en ferwachte behear ferkear profiles. Dit ferleget it risiko fan net foech tagong en de bleatstelling oan oare oanfallen, lykas brute force, wurdboek, of DoS oanfallen.
Om de NFVIS behear ynterfaces te beskermjen tsjin ûnnedige en potinsjeel skealik ferkear, in admin brûker kin meitsje Access Control Lists (ACLs) foar it netwurk ferkear dat wurdt ûntfongen. Dizze ACL's spesifisearje de boarne IP-adressen/netwurken wêrfan it ferkear komt, en it type ferkear dat tastien of ôfwiisd is fan dizze boarnen. Dizze IP-ferkearfilters wurde tapast op elke behearynterface op NFVIS. De folgjende parameters binne konfigureare yn in list mei tagongskontrôle foar IP-ûntfang (ip-receive-acl)

Parameter

Wearde

Beskriuwing

Boarne netwurk / Netmask

Netwurk/netmasker. Bygelyksample: 0.0.0.0/0
172.39.162.0/24

Dit fjild spesifisearret it IP-adres/netwurk wêrfan it ferkear komt

Service Aksje

https icmp netconf scpd snmp ssh akseptearje drop ôfwize

Soart ferkear fan 'e oantsjutte boarne.
Aksje te nimmen op it ferkear fan it boarnenetwurk. Mei akseptearje wurde nije ferbiningspogingen ferliend. Mei ôfwizing wurde ferbiningspogingen net akseptearre. As de regel is foar in TCP-basearre tsjinst lykas HTTPS, NETCONF, SCP, SSH, sil de boarne in TCP-reset (RST) pakket krije. Foar net-TCP-regels lykas SNMP en ICMP sil it pakket falle. Mei drop sille alle pakketten fuortdaliks falle, d'r is gjin ynformaasje nei de boarne stjoerd.

Feiligenssoarch 13

Privileezje debug tagong

Feiligens oerwagings

Parameter Prioriteit

Wearde In numerike wearde

Beskriuwing
De prioriteit wurdt brûkt om in oarder op 'e regels te hanthavenjen. Regels mei in hegere numerike wearde foar prioriteit wurde fierderop yn 'e keten tafoege. As jo ​​der wis fan wêze wolle dat der in regel nei in oare taheakke wurdt, brûk dan in getal mei lege prioriteit foar de earste en in getal mei hegere prioriteit foar de folgjende.

De folgjende sample konfiguraasjes yllustrearje guon senario's dy't kinne wurde oanpast foar spesifike gebrûk-gefallen.
It konfigurearjen fan de IP Untfang ACL
De mear beheinende in ACL, de mear beheind de bleatstelling oan net autorisearre tagong besykjen. In mear beheinende ACL kin lykwols in managementoverhead oanmeitsje, en kin de tagonklikens beynfloedzje om probleemoplossing út te fieren. Dêrtroch is der in lykwicht te beskôgjen. Ien kompromis is om tagong te beheinen ta allinich ynterne bedriuws-IP-adressen. Elke klant moat de ymplemintaasje fan ACL's evaluearje yn relaasje ta har eigen feiligensbelied, risiko's, eksposysje en akseptaasje dêrfan.
Ssh-ferkear ôfwize fan in subnet:

nfvis(config) # systeemynstellingen ip-receive-acl 171.70.63.0/24 tsjinst ssh aksje ôfwize prioriteit 1

ACL's fuortsmite:
As in yngong wurdt wiske fan ip-receive-acl, wurde alle konfiguraasjes nei dy boarne wiske, om't it boarne IP-adres de kaai is. Om mar ien tsjinst te wiskjen, konfigurearje oare tsjinsten opnij.

nfvis(config)# gjin systeemynstellingen ip-receive-acl 171.70.63.0/24
Foar mear details sjoch, Konfigurearje de IP Untfang ACL
Privileezje debug tagong
It super-brûkersakkount op NFVIS is standert útskeakele, om alle ûnbeheinde, potinsjeel neidielige, systeemwiid wizigingen te foarkommen en NFVIS eksposearret de systeemshell net foar de brûker.
Foar guon dreech te debuggen problemen op it NFVIS-systeem kin it Cisco Technical Assistance Center-team (TAC) of ûntwikkelingsteam lykwols shell-tagong fereaskje ta de NFVIS fan de klant. NFVIS hat in feilige ûntsluting ynfrastruktuer om te soargjen dat befoarrjochte debug tagong ta in apparaat yn it fjild is beheind ta autorisearre Cisco meiwurkers. Om feilich tagong te krijen ta de Linux-shell foar dit soarte fan ynteraktive debuggen, wurdt in útdaging-antwurd-autentikaasjemeganisme brûkt tusken NFVIS en de ynteraktive debuggen-tsjinner dy't troch Cisco bewarre wurdt. It wachtwurd fan 'e admin-brûker is ek ferplicht neist de yngong foar útdaging-antwurd om te soargjen dat it apparaat tagong wurdt mei de tastimming fan 'e klant.
Stappen om tagong te krijen ta de shell foar ynteraktive debuggen:
1. In admin-brûker begjint dizze proseduere mei dit ferburgen kommando.

nfvis# systeem shell-tagong

Feiligenssoarch 14

Feiligens oerwagings

Feilige ynterfaces

2. It skerm sil sjen litte in útdaging string, bygelyksample:
Challenge String (Kopieer asjebleaft alles eksklusyf tusken de asteriskrigels):
******************************************************************************** SPH//wkAAABORlZJU0VOQ1M1NDA4L0s5AQAAABt+dcx+hB0V06r9RkdMMjEzNTgw RlHq7BxeAAA= DONE. ********************************************************************************
3. It Cisco-lid komt yn 'e Challenge-string op in ynteraktive Debug-tsjinner dy't troch Cisco bewarre wurdt. Dizze tsjinner ferifiearret dat de Cisco brûker is autorisearre om debug NFVIS mei help fan de shell, en dan jout in antwurd string.
4. Fier de antwurdstring yn op it skerm ûnder dizze prompt: Fier jo antwurd yn as klear:
5. As frege, moat de klant it admin wachtwurd ynfiere. 6. Jo krije shell-tagong as it wachtwurd jildich is. 7. Untwikkeling of TAC team brûkt de shell om fierder te gean mei it debuggen. 8. Om út te gean shell-tagong type Exit.
Feilige ynterfaces
NFVIS behear tagong is tastien mei help fan de ynterfaces werjûn yn it diagram. De folgjende seksjes beskriuwe feiligens best practices foar dizze ynterfaces nei NFVIS.

Konsole SSH

De konsole haven is in asynchronous seriële poarte wêrmei jo te ferbinen mei de NFVIS CLI foar inisjele konfiguraasje. In brûker kin tagong krije ta de konsole mei fysike tagong ta de NFVIS of tagong op ôfstân troch it brûken fan in terminaltsjinner. As tagong ta de konsolepoarte is fereaske fia in terminaltsjinner, konfigurearje tagongslisten op 'e terminaltsjinner om tagong te krijen fan allinich de fereaske boarneadressen.
Brûkers kinne tagong krije ta de NFVIS CLI troch SSH te brûken as in feilich middel fan ynlogge op ôfstân. De yntegriteit en fertroulikens fan NFVIS-behearferkear is essensjeel foar de feiligens fan it bestjoerde netwurk, om't administraasjeprotokollen faak ynformaasje drage dy't koe wurde brûkt om it netwurk te penetrearjen of te fersteuren.

Feiligenssoarch 15

CLI Sesje timeout

Feiligens oerwagings

NFVIS brûkt SSH ferzje 2, dat is Cisco's en it ynternet's de facto standert protokol foar ynteraktive oanmeldingen en stipet sterke fersifering, hash, en kaai útwikseling algoritmen oanrikkemandearre troch de Feiligens en Trust Organisaasje binnen Cisco.

CLI Sesje timeout
Troch yn te loggen fia SSH, stelt in brûker in sesje mei NFVIS yn. Wylst de brûker is oanmeld, as de brûker de oanmelde sesje sûnder tafersjoch lit, kin dit it netwurk bleatstelle oan in feiligensrisiko. Sesjefeiligens beheint it risiko fan ynterne oanfallen, lykas ien brûker dy't besykje de sesje fan in oare brûker te brûken.
Om dit risiko te ferminderjen, NFVIS time-out CLI-sesjes nei 15 minuten fan ynaktiviteit. As de sesje-time-out is berikt, wurdt de brûker automatysk útlogd.

Netconf

It Network Configuration Protocol (NETCONF) is in netwurkbehearprotokol ûntwikkele en standerdisearre troch de IETF foar de automatisearre konfiguraasje fan netwurkapparaten.
It NETCONF-protokol brûkt in Extensible Markup Language (XML) basearre gegevenskodearring foar de konfiguraasjegegevens en ek de protokolberjochten. De protokol berjochten wurde útwiksele boppe op in feilich ferfier protokol.
NETCONF lit NFVIS in XML-basearre API bleatstelle dy't de netwurkoperator brûke kin om konfiguraasjegegevens en evenemintnotifikaasjes feilich te stellen en te krijen oer SSH.
Foar mear ynformaasje sjoch, NETCONF Event Notifications.

REST API

NFVIS kin wurde konfigureare mei RESTful API oer HTTPS. De REST API lit de oanfreegjende systemen tagong krije ta de NFVIS-konfiguraasje en manipulearje troch in unifoarme en foarôf definieare set fan steatleaze operaasjes te brûken. Details oer alle REST API's kinne fûn wurde yn 'e NFVIS API Reference Guide.
As de brûker in REST API útjout, wurdt in sesje fêststeld mei NFVIS. Om risiko's te beheinen relatearre oan oanfallen fan tsjinstferliening, beheint NFVIS it totale oantal tagelyk REST-sesjes op 100.

NFVIS Web Portal
It NFVIS-portaal is in web-basearre grafyske brûkersynterface dy't ynformaasje toant oer NFVIS. It portaal presintearret de brûker in maklike middel om NFVIS oer HTTPS te konfigurearjen en te kontrolearjen sûnder de NFVIS CLI en API te witten.

Sesje Management
De steatleaze aard fan HTTP en HTTPS fereasket in metoade foar it unyk folgjen fan brûkers troch it brûken fan unike sesje-ID's en koekjes.
NFVIS fersiferet de sesje fan de brûker. De AES-256-CBC-sifer wurdt brûkt om de sesje-ynhâld te fersiferjen mei in HMAC-SHA-256-ferifikaasje tag. In willekeurige 128-bit Inisjalisaasje Vector wurdt oanmakke foar eltse fersifering operaasje.
In Auditrecord wurdt begûn as in portal sesje wurdt oanmakke. Sesje-ynformaasje wurdt wiske as de brûker útloggt of as de sesje time-out.
De standert idle timeout foar portal sesjes is 15 minuten. Dit kin lykwols foar de aktuele sesje ynsteld wurde op in wearde tusken 5 en 60 minuten op 'e ynstellingsside. Auto-logout sil nei dit inisjearre wurde

Feiligenssoarch 16

Feiligens oerwagings

HTTPS

HTTPS

perioade. Meardere sesjes binne net tastien yn ien browser. It maksimum oantal tagelyk sesjes is ynsteld op 30. It NFVIS-portaal brûkt cookies om gegevens te assosjearjen mei de brûker. It brûkt de folgjende cookie-eigenskippen foar ferbettere feiligens:
· ephemeral om te soargjen dat it koekje ferrint as de blêder sluten is · httpAllinich om it koekje net tagonklik te meitsjen fan JavaSkript · secureProxy om te soargjen dat it koekje allinnich oer SSL ferstjoerd wurde kin.
Sels nei autentikaasje binne oanfallen lykas Cross-Site Request Forgery (CSRF) mooglik. Yn dit senario kin in ein brûker ûnbedoeld net winske aksjes útfiere op in web applikaasje wêryn se op it stuit authentisearre binne. Om dit te foarkommen, brûkt NFVIS CSRF-tokens om elke REST API te falidearjen dy't yn elke sesje wurdt oproppen.
URL Omlieding Yn typysk web servers, doe't in side is net fûn op de web tsjinner, de brûker krijt in 404 berjocht; foar siden dy't bestean, se krije in oanmeldside. De feiligens-ynfloed hjirfan is dat in oanfaller in brute force-scan kin útfiere en maklik ûntdekke hokker siden en mappen besteane. Om foar te kommen dit op NFVIS, allegear net-besteand URLs foarôfgeand mei it apparaat IP wurde omlaat nei de portal login side mei in 301 status antwurd koade. Dit betsjut dat nettsjinsteande de URL frege troch in oanfaller, sille se altyd de oanmeldside krije om harsels te autentisearjen. Alle HTTP-tsjinner oanfragen wurde omlaat nei HTTPS en hawwe de folgjende kopteksten ynsteld:
· X-Ynhâld-Type-Opsjes · X-XSS-Beskerming · Ynhâld-Feiligens-belied · X-Frame-opsjes · Strikt-Transport-Feiligens · Cache-Kontrol
It portaal útskeakelje De tagong fan it NFVIS-portaal is standert ynskeakele. As jo ​​​​net fan plan binne it portaal te brûken, is it oan te rieden om portaaltagong út te skeakeljen mei dit kommando:
Ynstelle terminal Systeem portal tagong útskeakele commit
Alle HTTPS-gegevens nei en fan NFVIS brûkt Transport Layer Security (TLS) om te kommunisearjen oer it netwurk. TLS is de opfolger fan Secure Socket Layer (SSL).

Feiligenssoarch 17

HTTPS

Feiligens oerwagings
De TLS-handshake omfettet autentikaasje wêryn't de kliïnt it SSL-sertifikaat fan 'e tsjinner ferifiearret mei de sertifikaatautoriteit dy't it hat útjûn. Dit befêstiget dat de tsjinner is wa't it seit dat it is, en dat de kliïnt ynteraksje mei de eigner fan it domein. Standert brûkt NFVIS in sels-ûndertekene sertifikaat om syn identiteit oan har kliïnten te bewizen. Dit sertifikaat hat in 2048-bit iepenbiere kaai om de feiligens fan 'e TLS-fersifering te ferheegjen, om't de fersiferingssterkte direkt relatearre is oan de kaaigrutte.
Sertifikaatbehear NFVIS genereart in sels ûndertekene SSL-sertifikaat by it earst ynstalleare. It is in bêste praktyk foar feiligens om dit sertifikaat te ferfangen troch in jildich sertifikaat ûndertekene troch in konforme Certificate Authority (CA). Brûk de folgjende stappen om it standert sels-ûndertekene sertifikaat te ferfangen: 1. Generearje in sertifikaatûndertekeningsfersyk (CSR) op NFVIS.
In fersyk foar sertifikaatûndertekening (CSR) is in file mei in blok kodearre tekst dat wurdt jûn oan in sertifikaatautoriteit by it oanfreegjen fan in SSL-sertifikaat. Dit file befettet ynformaasje dy't moatte wurde opnommen yn it sertifikaat, lykas de organisaasjenamme, mienskiplike namme (domeinnamme), lokaasje en lân. De file befettet ek de iepenbiere kaai dy't moat wurde opnaam yn it sertifikaat. NFVIS brûkt in 2048-bit iepenbiere kaai sûnt fersifering sterkte is heger mei in hegere kaai grutte. Om in CSR op NFVIS te generearjen, útfiere it folgjende kommando:
nfvis# system certificate signing-request [common-name country-code locality organization organization-unit-name state]
The CSR file wurdt bewarre as /data/intdatastore/download/nfvis.csr. . 2. Krij in SSL-sertifikaat fan in CA mei de CSR. Brûk fan in eksterne host it scp-kommando om it sertifikaatûndertekeningsfersyk te downloaden.
[myhost:/tmp] > scp -P 22222 admin@ :/data/intdatastore/download/nfvis.csrfile-namme>
Nim kontakt op mei in sertifikaatautoriteit om in nij SSL-tsjinnersertifikaat út te jaan mei dizze CSR. 3. Ynstallearje it CA Signed Certificate.
Fan in eksterne server, brûk it scp kommando om it sertifikaat te uploaden file yn NFVIS nei de data/intdatastore/uploads/ directory.
[myhost:/tmp] > scp -P 22222 file> admin@ :/data/intdatastore/uploads
Ynstallearje it sertifikaat yn NFVIS mei it folgjende kommando.
nfvis# systeemsertifikaat ynstallaasje-sertpaad file:///data/intdatastore/uploads/<certificate file>
4. Wikselje nei it brûken fan it CA Signed Certificate. Brûk it folgjende kommando om it CA-ûndertekene sertifikaat te brûken ynstee fan it standert selsûndertekene sertifikaat.

Feiligenssoarch 18

Feiligens oerwagings

SNMP Tagong

nfvis(config) # systeemsertifikaat use-cert cert-type ca-signed

SNMP Tagong

Simple Network Management Protocol (SNMP) is in ynternetstandertprotokol foar it sammeljen en organisearjen fan ynformaasje oer behearde apparaten op IP-netwurken, en foar it feroarjen fan dy ynformaasje om apparaatgedrach te feroarjen.
Trije wichtige ferzjes fan SNMP binne ûntwikkele. NFVIS stipet SNMP ferzje 1, ferzje 2c en ferzje 3. SNMP ferzjes 1 en 2 brûke mienskip stringen foar autentikaasje, en dizze wurde ferstjoerd yn platte-tekst. Dat, it is in bêste praktyk foar feiligens om ynstee SNMP v3 te brûken.
SNMPv3 leveret feilige tagong ta apparaten troch trije aspekten te brûken: - brûkers, ferifikaasje en fersifering. SNMPv3 brûkt de USM (User-based Security Module) foar it kontrolearjen fan tagong ta ynformaasje beskikber fia SNMP. De SNMP v3-brûker is konfigureare mei in autentikaasjetype, in privacytype en ek in passphrase. Alle brûkers dy't in groep diele brûke deselde SNMP-ferzje, lykwols, de spesifike ynstellings foar feiligensnivo (wachtwurd, fersiferingstype, ensfh.) wurde per brûker oanjûn.
De folgjende tabel vat de befeiligingsopsjes binnen SNMP gear

Model

Peil

Autentikaasje

Encyption

Útkomst

v1

noAuthNoPriv

Community String No

Brûkt in mienskip

string wedstriid foar

autentikaasje.

v2c

noAuthNoPriv

Community String No

Brûkt in mienskipsstringmatch foar autentikaasje.

v3

noAuthNoPriv

Brûkersnamme

Nee

Brûkt in brûkersnamme

wedstriid foar

autentikaasje.

v3

authNoPriv

Message Digest 5 No

Biedt

(MD5)

autentikaasje basearre

or

op de HMAC-MD5-96 of

Secure Hash

HMAC-SHA-96

Algoritme (SHA)

algoritmen.

Feiligenssoarch 19

Juridyske notifikaasje Banners

Feiligens oerwagings

Model v3

Nivo authPriv

Autentikaasje MD5 of SHA

Encyption

Útkomst

Data fersifering jout

Standert (DES) of ferifikaasje basearre

Avansearre

op de

Fersifering Standert HMAC-MD5-96 of

(AES)

HMAC-SHA-96

algoritmen.

Biedt DES Cipher-algoritme yn Cipher Block Chaining Mode (CBC-DES)

or

AES-fersiferingsalgoritme brûkt yn Cipher FeedBack Mode (CFB), mei in 128-bit kaaigrutte (CFB128-AES-128)

Sûnt syn oanname troch NIST is AES it dominante fersiferingsalgoritme wurden yn 'e heule yndustry. Om de migraasje fan 'e yndustry fuort te folgjen fan MD5 en nei SHA, is it in bêste praktyk foar feiligens om it SNMP v3-autentikaasjeprotokol as SHA en privacyprotokol as AES te konfigurearjen.
Foar mear details oer SNMP sjoch, Yntroduksje oer SNMP

Juridyske notifikaasje Banners
It wurdt oanrikkemandearre dat in juridyske notifikaasjebanner oanwêzich is op alle ynteraktive sesjes om te soargjen dat brûkers wurde op 'e hichte brocht fan it befeiligingsbelied dat wurdt hanthavene en wêryn se ûnderwurpen binne. Yn guon jurisdiksjes is sivile en/of strafrjochtlike ferfolging fan in oanfaller dy't yn in systeem ynbrekt makliker, of sels fereaske, as in juridyske notifikaasjebanner wurdt presintearre, ynformearjen fan net foechhawwende brûkers dat har gebrûk yn feite net autorisearre is. Yn guon jurisdiksjes kin it ek ferbean wêze om de aktiviteit fan in net autorisearre brûker te kontrolearjen, útsein as se op 'e hichte binne fan de bedoeling om dat te dwaan.
Juridyske notifikaasjeeasken binne kompleks en ferskille yn elke jurisdiksje en situaasje. Sels binnen jurisdiksjes fariearje juridyske mieningen. Beprate dit probleem mei jo eigen juridyske adviseur om te soargjen dat de notifikaasjebanner foldocht oan bedriuws-, lokale en ynternasjonale wetlike easken. Dit is faaks kritysk foar it befeiligjen fan passende aksje yn gefal fan in befeiligingsbreuk. Yn gearwurking mei de juridyske advokaat fan it bedriuw omfetsje ferklearrings dy't kinne wurde opnaam yn in juridyske notifikaasjebanner:
· Notifikaasje dat it systeem tagong en gebrûk is tastien allinnich troch spesifyk autorisearre personiel, en miskien ynformaasje oer wa't meie autorisearje gebrûk.
· Notifikaasje dat sûnder foech tagong en gebrûk fan it systeem is yllegaal, en kin ûnderwurpen wurde oan sivile en / of kriminele straffen.
· Notifikaasje dat tagong en gebrûk fan it systeem sûnder fierdere meidieling ynlogd of kontrolearre wurde kinne, en de resultearjende logs kinne brûkt wurde as bewiis yn 'e rjochtbank.
· Oanfoljende spesifike meidielings fereaske troch spesifike pleatslike wetten.

Feiligenssoarch 20

Feiligens oerwagings

Factory Standert weromsette

Ut in feiligens earder as in juridysk punt fan view, in juridyske notifikaasjebanner moat gjin spesifike ynformaasje oer it apparaat befetsje, lykas syn namme, model, software, lokaasje, operator of eigner, om't dit soarte ynformaasje nuttich kin wêze foar in oanfaller.
It folgjende is asample juridyske notifikaasjebanner dy't kin wurde werjûn foardat jo ynlogge:
NET autorisearre tagong ta dit apparaat is ferbean Jo moatte eksplisite, autorisearre tastimming hawwe om tagong te krijen ta dit apparaat of te konfigurearjen. Net autorisearre besykjen en aksjes om tagong te krijen of te brûken
dit systeem kin resultearje yn sivile en / of strafrjochtlike boetes. Alle aktiviteiten útfierd op dit apparaat wurde ynlogd en kontrolearre

Opmerking Presintearje in juridyske notifikaasjebanner goedkard troch bedriuwsjuridysk advys.
NFVIS lit de konfiguraasje fan in banner en Berjocht fan de dei (MOTD). De banner wurdt werjûn foardat de brûker ynloggt. Sadree't de brûker ynloggt by NFVIS, jout in systeem-definieare banner Copyright ynformaasje oer NFVIS, en it berjocht-fan-de-dei (MOTD), as ynsteld, sil ferskine, folge troch de kommandorigelprompt of portal view, ôfhinklik fan de oanmeldmetoade.
It wurdt oanrikkemandearre dat in oanmeldbanner wurdt ymplementearre om te soargjen dat in juridyske meidielingsbanner wurdt presintearre op alle tagongssesjes foar apparaatbehear foardat in oanmeldprompt wurdt presintearre. Brûk dit kommando om de banner en MOTD te konfigurearjen.
nfvis(config)# banner-motd banner motd
Foar mear ynformaasje oer it banner kommando, sjoch Banner ynstelle, Berjocht fan de dei en Systeemtiid.

Factory Standert weromsette
Factory Reset ferwideret alle klantspesifike gegevens dy't binne tafoege oan it apparaat sûnt de tiid fan syn ferstjoering. De gegevens wiske omfettet konfiguraasjes, log files, VM-ôfbyldings, ferbiningsynformaasje, en oanmeldgegevens fan brûkers.
It biedt ien kommando om it apparaat werom te setten nei fabrieks-orizjinele ynstellings, en is nuttich yn 'e folgjende senario's:
· Return Material Authorization (RMA) foar in apparaat - As jo ​​moatte werom in apparaat nei Cisco foar RMA, brûke Factory Standert weromsette foar in fuortsmite alle klant-spesifike gegevens.
· In kompromittearre apparaat weromhelje - As it kaaimateriaal of bewiisbrieven op in apparaat is kompromittearre, set it apparaat werom nei fabrykskonfiguraasje en konfigurearje it apparaat dan opnij.
· As itselde apparaat opnij brûkt wurde moat op in oare side mei in nije konfiguraasje, fier dan in Factory Default-reset út om de besteande konfiguraasje te ferwiderjen en nei in skjinne steat te bringen.

NFVIS biedt de folgjende opsjes binnen Factory standert reset:

Factory Reset Opsje

Gegevens wiske

Gegevens bewarre

alle

Alle konfiguraasje, uploaded ôfbylding De admin account wurdt behâlden en

files, VM's en logs.

it wachtwurd wurdt feroare yn de

Ferbining mei it apparaat sil fabryk standert wachtwurd wêze.

ferlern.

Feiligenssoarch 21

Ynfrastruktuer Management Network

Feiligens oerwagings

Factory Reset Option alles-útsein-ôfbyldings
alles-útsein-ôfbyldings-ferbining
manufacturing

Gegevens wiske

Gegevens bewarre

Alle konfiguraasje útsein image Image konfiguraasje, registrearre

konfiguraasje, VMs, en uploaded bylden en logs

byld files.

De admin akkount wurdt bewarre en

Konnektivität mei it apparaat sil wêze it wachtwurd wurdt feroare nei de

ferlern.

fabryk standert wachtwurd.

Alle konfiguraasje útsein ôfbylding, Images, netwurk en ferbining

netwurk en ferbining

relatearre konfiguraasje, registrearre

konfiguraasje, VMs, en uploaded ôfbyldings, en logs.

byld files.

De admin akkount wurdt bewarre en

Konnektivität mei it apparaat is

de earder ynstelde admin

beskikber.

wachtwurd wurdt bewarre.

Alle konfiguraasje útsein ôfbylding konfiguraasje, VMs, uploaded image files, en logs.
De ferbining mei it apparaat sil ferlern gean.

Ofbylding relatearre konfiguraasje en registrearre ôfbyldings
It admin-akkount wurdt bewarre en it wachtwurd sil wizige wurde yn it standert fabrykwachtwurd.

De brûker moat de passende opsje foarsichtich kieze op basis fan it doel fan 'e Factory Default-reset. Foar mear ynformaasje, sjoch Weromsette nei fabryksstandert.

Ynfrastruktuer Management Network
In ynfrastruktuerbehearnetwurk ferwiist nei it netwurk dat it kontrôle- en behearplanferkear draacht (lykas NTP, SSH, SNMP, syslog, ensfh.) foar de ynfrastruktuerapparaten. Tagong ta apparaat kin wêze fia de konsole, lykas fia de Ethernet-ynterfaces. Dit kontrôle- en behear fleantúchferkear is kritysk foar netwurkoperaasjes, en leveret sichtberens yn en kontrôle oer it netwurk. Dêrtroch is in goed ûntwurpen en feilich ynfrastruktuerbehearnetwurk kritysk foar de algemiene feiligens en operaasjes fan in netwurk. Ien fan 'e wichtichste oanbefellings foar in feilich ynfrastruktuerbehearnetwurk is de skieding fan behear en gegevensferkear om te soargjen foar behearberens op ôfstân sels ûnder hege lading en hege ferkearsomstannichheden. Dit kin wurde berikt mei help fan in tawijd behear ynterface.
De folgjende binne de oanpak foar ymplemintaasje fan ynfrastruktuerbehearnetwurk:
Out-of-band Management
In Out-of-band Management (OOB) behear netwurk bestiet út in netwurk dat is folslein ûnôfhinklik en fysyk disparate fan it gegevens netwurk dat it helpt te beheare. Dit wurdt ek wol oantsjutten as in Data Communications Network (DCN). Netwurk apparaten kinne ferbine mei de OOB netwurk yn ferskillende wizen: NFVIS stipet in ynboude behear ynterface dat kin brûkt wurde om te ferbinen mei de OOB netwurk. NFVIS lit de konfiguraasje fan in foarôf definieare fysike ynterface, de MGMT-poarte op 'e ENCS, as in tawijd behear ynterface. It beheinen fan behearpakketten ta oanwiisde ynterfaces jout gruttere kontrôle oer it behear fan in apparaat, en soarget dêrmei mear feiligens foar dat apparaat. Oare foardielen omfetsje ferbettere prestaasjes foar gegevenspakketten op net-behear ynterfaces, stipe foar skaalberens fan netwurk,

Feiligenssoarch 22

Feiligens oerwagings

Pseudo out-of-band Management

ferlet fan minder tagongskontrôlelisten (ACL's) om tagong ta in apparaat te beheinen, en foarkommen fan behearspakketoerstreamingen fan it berikken fan de CPU. Netwurkapparaten kinne ek ferbine mei it OOB-netwurk fia tawijde gegevensynterfaces. Yn dit gefal moatte ACL's ynset wurde om te soargjen dat behearferkear allinich behannele wurdt troch de tawijde ynterfaces. Foar fierdere ynformaasje, sjoch Ynstelle fan de IP Untfang ACL en Port 22222 en Management Interface ACL.
Pseudo out-of-band Management
In pseudo-out-of-band-behearnetwurk brûkt deselde fysike ynfrastruktuer as it gegevensnetwurk, mar leveret logyske skieding troch de firtuele skieding fan ferkear, troch VLAN's te brûken. NFVIS stipet it meitsjen fan VLAN's en firtuele brêgen om ferskate boarnen fan ferkear te identifisearjen en ferkear tusken VM's te skieden. It hawwen fan aparte brêgen en VLAN's isolearret it gegevensferkear fan it firtuele masinenetwurk en it behearnetwurk, en leveret sa ferkearssegmentaasje tusken de VM's en de host. Foar fierdere ynformaasje sjoch VLAN konfigurearje foar NFVIS Management Traffic.
In-band Management
In yn-band behear netwurk brûkt deselde fysike en logyske paden as de gegevens ferkear. Uteinlik fereasket dit netwurkûntwerp in analyse per klant fan risiko tsjin foardielen en kosten. Guon algemiene oerwegingen omfetsje:
· In isolearre OOB-behearnetwurk maksimalisearret sichtberens en kontrôle oer it netwurk, sels by fersteurende eveneminten.
· It ferstjoeren fan netwurktelemetry oer in OOB-netwurk minimearret de kâns op fersteuring fan 'e krekte ynformaasje dy't krityske netwurksichtberens leveret.
· In-band behear tagong ta netwurk ynfrastruktuer, hosts, ensfh is kwetsber foar folsleine ferlies yn it gefal fan in netwurk ynsidint, it fuortsmiten fan alle netwurk sichtberens en kontrôle. Passende QoS-kontrôles moatte wurde ynsteld om dit foarkommen te ferminderjen.
· NFVIS hat ynterfaces dy't wijd binne oan apparaatbehear, ynklusyf serial console havens en Ethernet behear ynterfaces.
· In OOB behear netwurk kin typysk wurde ynset tsjin in ridlike kosten, sûnt behear netwurk ferkear net typysk freget hege bânbreedte noch hege prestaasjes apparaten, en allinnich fereasket genôch haven tichtens te stypjen de ferbining mei elk ynfrastruktuer apparaat.
Lokaal opslein ynformaasjebeskerming
Beskermjen fan gefoelige ynformaasje
NFVIS bewarret wat gefoelige ynformaasje lokaal, ynklusyf wachtwurden en geheimen. Wachtwurden moatte algemien wurde ûnderhâlden en kontroleare troch in sintralisearre AAA-tsjinner. Lykwols, sels as in sintralisearre AAA-tsjinner wurdt ynset, binne guon lokaal opsleine wachtwurden nedich foar bepaalde gefallen, lykas lokale fallback yn it gefal dat AAA-tsjinners net beskikber binne, spesjale brûkersnammen, ensfh. Dizze lokale wachtwurden en oare gefoelige

Feiligenssoarch 23

File Oerdracht

Feiligens oerwagings

ynformaasje wurde opslein op NFVIS as hashes, sadat it net mooglik is om de orizjinele bewiisbrieven fan it systeem te herstellen. Hashing is in breed akseptearre yndustrynorm.

File Oerdracht
Files dy't mooglik moatte wurde oerdroegen oan NFVIS apparaten befetsje VM ôfbylding en NFVIS upgrade files. De feilige oerdracht fan files is kritysk foar netwurk ynfrastruktuer feiligens. NFVIS stipet Secure Copy (SCP) om de feiligens fan te garandearjen file oerdracht. SCP fertrout op SSH foar feilige autentikaasje en ferfier, wêrtroch it feilige en autentike kopiearjen fan files.
In feilige kopy fan NFVIS wurdt inisjearre fia it scp kommando. It kommando feilige kopy (scp) lit allinich de admin-brûker feilich kopiearje files fan NFVIS nei in ekstern systeem, of fan in ekstern systeem oan NFVIS.
De syntaksis foar it scp-kommando is:
scp
Wy brûke poarte 22222 foar de NFVIS SCP-tsjinner. Standert is dizze poarte sluten en brûkers kinne gjin kopy befeiligje files yn NFVIS fan in eksterne klant. As der ferlet is om SCP a file fan in eksterne kliïnt kin de brûker de poarte iepenje mei:
systeemynstellingen ip-receive-acl (adres)/(maskerlenth) tsjinst scpd prioriteit (nûmer) aksje akseptearje
begean
Om foar te kommen dat brûkers tagong krije ta systeemmappen, kin feilige kopy allinich útfierd wurde nei of fan intdatastore:, extdatastore1:, extdatastore2:, usb: en nfs:, as beskikber. Feilige kopy kin ek útfierd wurde út logs: en techsupport:

Logging

NFVIS-tagongs- en konfiguraasjewizigingen wurde oanmeld as kontrôle logs om de folgjende ynformaasje op te nimmen: · Wa hat tagong ta it apparaat · Wannear hat in brûker oanmeld · Wat hat in brûker dien yn termen fan de hostkonfiguraasje en de VM-libbenssyklus · Wannear hat in brûker oanmeld út · Mislearre tagongspogingen · Mislearre autentikaasjefersiken · Mislearre autorisaasjefersiken
Dizze ynformaasje is fan ûnskatbere wearde foar forensyske analyze yn gefal fan net autorisearre besykjen of tagong, lykas ek foar konfiguraasjewizigingsproblemen en om te helpen by it plannen fan feroaringen fan groepadministraasje. It kin ek echt tiid wurde brûkt om abnormale aktiviteiten te identifisearjen dy't kinne oanjaan dat in oanfal plakfynt. Dizze analyze kin wurde korrelearre mei ynformaasje fan ekstra eksterne boarnen, lykas IDS en firewall logs.

Feiligenssoarch 24

Feiligens oerwagings

Firtuele masine feiligens

Alle wichtige eveneminten op 'e NFVIS wurde stjoerd as evenemintenotifikaasjes nei NETCONF-abonnees en as syslogs nei de konfigureare sintrale logging-tsjinners. Foar mear ynformaasje oer syslog-berjochten en evenemint-notifikaasjes, sjoch taheakke.
Firtuele masine feiligens
Dizze seksje beskriuwt feiligensfunksjes yn ferbân mei de registraasje, ynset en eksploitaasje fan firtuele masines op NFVIS.
VNF feilige boot
NFVIS stipet Open Virtual Machine Firmware (OVMF) om UEFI feilige boot yn te skeakeljen foar firtuele masines dy't feilige opstart stypje. VNF Secure boot kontrolearret dat elke laach fan 'e VM-bootsoftware is tekene, ynklusyf de bootloader, de kernel fan it bestjoeringssysteem en bestjoeringssysteembestjoerders.

Foar mear ynformaasje sjoch, Secure Boot of VNFs.
VNC Console Tagongsbeskerming
NFVIS lit de brûker in Virtual Network Computing (VNC) sesje meitsje om tagong te krijen ta it remote buroblêd fan in ynset VM. Om dit mooglik te meitsjen, iepenet NFVIS dynamysk in poarte wêrmei de brûker kin ferbine mei har web browser. Dizze poarte wurdt mar 60 sekonden iepen litten foar in eksterne tsjinner om in sesje nei de VM te begjinnen. As der binnen dizze tiid gjin aktiviteit wurdt sjoen, is de haven sluten. It poartenûmer wurdt dynamysk tawiisd en lit dêrtroch mar ien kear tagong ta de VNC-konsole.
nfvis# vncconsole start deployment-name 1510614035 vm-name ROUTER vncconsole-url :6005/vnc_auto.html
Jo blêder ferwize nei https:// :6005/vnc_auto.html sil ferbine mei de VNC-konsole fan 'e ROUTER VM.
Feiligenssoarch 25

Fersifere VM config gegevens fariabelen

Feiligens oerwagings

Fersifere VM config gegevens fariabelen
Tidens VM-ynset leveret de brûker in dei-0-konfiguraasje file foar VM. Dit file kin gefoelige ynformaasje befetsje lykas wachtwurden en kaaien. As dizze ynformaasje wurdt trochjûn as dúdlike tekst, dan ferskynt yn log files en ynterne databank records yn dúdlike tekst. Dizze funksje lit de brûker in konfiguraasjegegevensfariabele flagge as gefoelich, sadat de wearde fersifere wurdt mei AES-CFB-128-fersifering foardat it wurdt opslein of trochjûn oan ynterne subsystemen.
Foar mear ynformaasje sjoch, VM Deployment Parameters.
Checksum ferifikaasje foar registraasje fan ôfbyldings op ôfstân
Om in op ôfstân lizzende VNF-ôfbylding te registrearjen, spesifiseart de brûker syn lokaasje. De ôfbylding sil moatte wurde ynladen fan in eksterne boarne, lykas in NFS-tsjinner of in ôfstân HTTPS-tsjinner.
Om te witten oft in ynladen file is feilich te ynstallearjen, is it essinsjeel om te ferlykje de file's checksum foardat jo it brûke. It kontrolearjen fan de kontrôlesum helpt te soargjen dat de file wie net skansearre tidens netwurk oerdracht, of wizige troch in kweade tredde partij foardat jo ynladen it.
NFVIS stipet de opsjes checksum en checksum_algorithm foar de brûker om de ferwachte checksum en checksum algoritme (SHA256 of SHA512) te leverjen om te brûken om de kontrôlesum fan 'e ynladen ôfbylding te ferifiearjen. Ofbylding oanmeitsje mislearret as de kontrôlesum net oerienkomt.
Sertifisearring Validaasje foar Remote Image Registraasje
Om in VNF-ôfbylding op in HTTPS-tsjinner te registrearjen, sil de ôfbylding moatte wurde downloade fan de HTTPS-tsjinner op ôfstân. Om dizze ôfbylding feilich te downloaden, ferifiearret NFVIS it SSL-sertifikaat fan 'e tsjinner. De brûker moat it paad nei it sertifikaat opjaan file of de ynhâld fan it PEM-formaat sertifikaat om dizze feilige download yn te skeakeljen.
Mear details kinne fûn wurde by Seksje oer sertifikaatvalidaasje foar ôfbyldingsregistraasje
VM-isolaasje en boarnefoarsjenning
De arsjitektuer fan Network Function Virtualization (NFV) bestiet út:
· Virtualisearre netwurkfunksjes (VNF's), dat binne firtuele masines dy't softwareapplikaasjes útfiere dy't netwurkfunksjonaliteit leverje lykas in router, firewall, load balancer, ensfh.
· Netwurk funksjonearret virtualisaasjeynfrastruktuer, dy't bestiet út de ynfrastruktuerkomponinten - komputer, ûnthâld, opslach en netwurking, op in platfoarm dat de fereaske software en hypervisor stipet.
Mei NFV wurde netwurkfunksjes virtualisearre sadat meardere funksjes op ien server kinne wurde útfierd. As gefolch is minder fysike hardware nedich, wêrtroch boarnekonsolidaasje mooglik is. Yn dizze omjouwing is it essensjeel om tawijde boarnen te simulearjen foar meardere VNF's fan ien, fysyk hardwaresysteem. Mei help fan NFVIS kinne VM's op in kontrolearre manier ynset wurde sadat elke VM de middels ûntfangt dy't it nedich is. Boarnen wurde as nedich ferdield fan 'e fysike omjouwing nei de protte firtuele omjouwings. De yndividuele VM-domeinen binne isolearre, sadat se aparte, ûnderskate en feilige omjouwings binne, dy't net mei-inoar stride foar dielde boarnen.
VM's kinne net mear boarnen brûke dan foarsjoen. Dit foarkomt in Denial of Service-tastân fan ien VM dy't de boarnen konsumearret. As resultaat wurde CPU, ûnthâld, netwurk en opslach beskerme.

Feiligenssoarch 26

Feiligens oerwagings
CPU isolaasje

CPU isolaasje

It NFVIS-systeem reservearret kearnen foar de ynfrastruktuersoftware dy't op 'e host rint. De rest fan 'e kearnen binne beskikber foar VM-ynset. Dit garandearret dat de prestaasjes fan 'e VM gjin ynfloed hawwe op' e NFVIS-hostprestaasjes. VM's mei lege latency NFVIS jout eksplisyt tawijde kearnen ta oan VM's mei lege latency dy't derop binne ynset. As de VM 2 vCPU's fereasket, wurdt it 2 tawijd kearnen tawiisd. Dit foarkomt dielen en oerskriuwen fan kearnen en garandearret de prestaasjes fan 'e VM's mei lege latency. As it oantal beskikbere kearnen minder is as it oantal vCPU's oanfrege troch in oare VM mei lege latency, wurdt de ynset foarkommen om't wy net genôch boarnen hawwe. VM's mei net lege latency NFVIS jout dielbere CPU's ta oan VM's mei net lege latency. As de VM 2 vCPU's fereasket, wurdt it 2 CPU's tawiisd. Dizze 2 CPU's binne te dielen ûnder oare VM's mei net lege latency. As it oantal beskikbere CPU's minder is as it oantal vCPU's oanfrege troch in oare net-leech-latency VM, is de ynset noch tastien, om't dizze VM de CPU diele sil mei besteande VM's mei net lege latency.
Unthâld Tawizing
De NFVIS-ynfrastruktuer fereasket in bepaalde hoemannichte ûnthâld. Wannear't in VM wurdt ynset, der is in kontrôle om te soargjen dat it ûnthâld beskikber nei't reservearre it ûnthâld nedich foar de ynfrastruktuer en earder ynset VMs, is genôch foar de nije VM. Wy tastean gjin ûnthâld oversubscription foar de VM's.
Feiligenssoarch 27

Storage Isolaasje
VM's binne net tastien om direkt tagong te krijen ta de host file systeem en opslach.
Storage Isolaasje

Feiligens oerwagings

It ENCS-platfoarm stipet in ynterne datastore (M2 SSD) en eksterne skiven. NFVIS is ynstallearre op de ynterne datastore. VNF's kinne ek ynset wurde op dizze ynterne datastore. It is in bêste praktyk foar feiligens om klantgegevens op te slaan en klantapplikaasje Virtual Machines yn te setten op 'e eksterne skiven. It hawwen fan fysyk aparte skiven foar it systeem files vs de applikaasje files helpt om systeemgegevens te beskermjen tsjin korrupsje en feiligensproblemen.
·
Interface Isolaasje
Single Root I / O Virtualization of SR-IOV is in spesifikaasje wêrmei it isolemint fan PCI Express (PCIe) boarnen lykas in Ethernet haven. Mei SR-IOV kin in inkele Ethernet-poarte wurde makke om te ferskinen as meardere, aparte, fysike apparaten bekend as firtuele funksjes. Alle VF-apparaten op dy adapter diele deselde fysike netwurkpoarte. In gast kin ien of mear fan dizze firtuele funksjes brûke. In firtuele Funksje ferskynt foar de gast as in netwurk card, op deselde wize as in normale netwurk card soe ferskine nei in bestjoeringssysteem. Firtuele funksjes hawwe hast native prestaasjes en leverje bettere prestaasjes dan para-virtualisearre bestjoerders en emulearre tagong. Firtuele funksjes jouwe gegevensbeskerming tusken gasten op deselde fysike tsjinner as de gegevens wurde beheard en kontrolearre troch de hardware. NFVIS VNF's kinne SR-IOV-netwurken brûke om te ferbinen mei WAN- en LAN Backplane-ports.
Feiligenssoarch 28

Feiligens oerwagings

Feilige ûntwikkeling Lifecycle

Elke sa'n VM hat in firtuele ynterface en de relatearre boarnen dy't gegevensbeskerming berikke ûnder VM's.
Feilige ûntwikkeling Lifecycle
NFVIS folget in Secure Development Lifecycle (SDL) foar software. Dit is in werhelle, mjitbere proses ûntworpen om kwetsberens te ferminderjen en de feiligens en fearkrêft fan Cisco-oplossingen te ferbetterjen. Cisco SDL tapast yndustry-liedende praktiken en technology te bouwen betroubere oplossings dy't hawwe minder fjild-ûntdutsen produkt feiligens ynsidinten. Elke NFVIS-release giet troch de folgjende prosessen.
· Following Cisco-ynterne en merk-basearre Product Security Requirements · Registrearje 3rd partij software mei in sintraal repository by Cisco foar kwetsberens tracking · Periodyk patching software mei bekende fixes foar CVEs. · Software ûntwerpe mei Feiligens yn gedachten · Folgje feilige kodearringpraktiken lykas it brûken fan kontrolearre mienskiplike feiligensmodules lykas CiscoSSL, rinnen
Statyske Analysis en ymplemintaasje fan ynfier falidaasje foar Preventing kommando ynjeksje, ensfh · Mei help fan Application Security ark lykas IBM AppScan, Nessus, en oare Cisco ynterne ark.

Feiligenssoarch 29

Feilige ûntwikkeling Lifecycle

Feiligens oerwagings

Feiligenssoarch 30