信息安全的一个重要方面就是网络设备自身的安全和正常运行。影响设备安全的主要因素有三个:

  1. 设备自身缺陷,比如设计过程中考虑不周全、程序编写中存在Bug等
  2. 管理失控,由于管理和管理技术上的漏洞使得***者获得对设备的控制权
  3. 拒绝服务***,利用网络协议或设备设计中的弱点耗尽设备系统资源,使得设备不能正常工作或提供有效服务。
本文试图针对上述安全因素中的第二点,即网络管理中的安全保障问题,进行一些探讨。
一. 管理信道(management channel)
从管理信道角度看,网络管理可分为带外管理(out-of-band)和带内管理(in-band)两种管理模式。所谓带内管理是指网络的管理控制信息和用户网络的承载业务信息是通过同一个逻辑信道中传送的;而在带外管理模式中,网络的管理控制信息和用户网络的承载业务信息是在不同的逻辑信道上传送的。一般说来,由于传送信息的隔离,带外管理和带内管理相比,显然前者安全程度要高。
常见的设备带外管理方式有以下几种:
  • 通过设备的控制端口直接管理,比如常说的设备Console口或Aux口
  • 独立的网管网,比如为网管单独配置一个管理VLAN、或专用×××、或为网管单独建设一个物理的网管网
一般说来,通过Console口来管理设备由于本地性较强,因此有较高的安全性,但是也要注意几点:首先,即使可以通过Console口管理,也要要求设备提供身份鉴别机制,如口令输入;其次,如果客观环境要求要通过Modem远程管理设备,也要采用可能的措施来防止安全后门,比如采用有安全机制的Modem、以及在没有使用要求的时候,断开设备和Modem的连接;最后,还要保护好设备存放的场所安全,防止临近***(close-in attack)。
通过Console口来管理设备的另一个缺陷是失去了管理上的灵活性、方便性和综合性。这种管理方式下,管理人员看到的只是一台一台独立的设备,难以了解网络全状信息,更谈不上综合管理,提高网络效率,因此也就失去了网络管理的意义。
带外管理的另一种方式,即建立独立的网管网,则集合了网络管理的安全性和灵活性优点。由于此种方式下,管理信息和承载业务信息从逻辑上分开,网络管理面临的威胁空间(包括威胁来源和威胁可能性)就大大减小,这个时候要首先注意的是管理权限的控制,比如采用严格的口令管理机制等等,其次还要防止分发式***(distributed attack),即在设备分发和系统升级过程中,设备被置入***或后门。
建立独立网管网的一个缺陷是成本和技术可行性问题。对局域网来讲,为网管配置一个单独的管理VLAN没有问题,而在广域环境中,其技术实现成本可能会成为一个问题。但是对运营商来讲,建设独立的网管网是可能的。
带外管理方式虽然安全程度高,但从上面分析我们知道,对大多数用户来讲,由于成本和方便性等原因,它并不会被经常采用。实际操作中,一般的用户基本都会采用带内管理模式,这就要求我们对管理协议的安全性加以分析,判断是否满足用户的信息安全策略(Information Protaction Policy,IPP)。
我们在这里强调在带内管理模式中要选择合适的管理协议,并不意味着在带外管理中就完全可以不考虑管理协议的安全性了。如果在带外管理模式中的专用网络存在被窃听的可能,比如Wiretapping,那管理控制信息在传送中的保密性和完整性同样是我们要考虑的。
二. 管理协议(management protocol)
通过网络进行设备管理目前有多种协议支持,比如SNMP、Telnet、HTTP、RSH/RCMD、HTTPS、SSH等等 。
这些协议的各自特点如下:
  • Telnet-用户名和口令字都是用明文传送的,管理会话也是明文形式
  • SNMP-community 字符串是用明文传送的,而且很容易猜到,管理数据也是明文形式
  • HTTP-用户名和口令字都是用明文传送的(采用未经加密的Base64 编码) ,管理数据也是明文形式
  • RSH/RCMD-用户名和口令字都是用明文传送的,管理数据也是明文形式
  • HTTPS-用户名、口令字、和管理会话都采用密文形式
  • SSH-采用强健的身份鉴定和加密机制
  • SNMP v3-采用强健的身份鉴定和加密机制
显然,在上述管理协议中,安全程度较高的协议有三个,即HTTPS、SSH、SNMPv3。像Telnet、SNMP、HTTP、RSH/RCMD等协议由于都采用明文传送用户名和口令字,甚至管理内容和管理控制信息也是明文形式,因此很容易遭受被动***(passive attack),因此不合适在未经保护的管理信道上采用。
带内管理模式中,我们可以通过结合其它安全机制来提高弱安全管理协议的安全级别,比如对Telnet,我们可以用IPsec来提高管理信道的安全程度(保密性和完整性),采用一次性口令机制来提高鉴别机制的安全程度,这样就弥补了Telnet协议的安全缺陷,使得用户在带内管理模式中放心地采用Telnet。
三. 综合的网络管理方法
在实际网络中,采用什么样的网络管理方式最终取决于用户的信息保护策略(IPP)。一般地说,实际的网络管理方法可能是上述各种具体机制和协议在一定程度上的综合。
由于目前的网络节点设备,包括主机和网络设施,不一定都能支持上面的管理模式或管理协议,比如很多设备还都不支持SNMP v3、SSH等安全管理协议,因此在实际网络管理的安全设计中,只能根据用户实际环境取舍,制订一个最大程度地满足用户安全要求的网络管理方案。
一个可能的网络管理方案是:
1. 通过网络管理平台(如HP Openview)进行网络拓扑发现
2. 通过SNMP了解网络节点信息和状况,但不用SNMP进行设备配置
3. 通过HTTPS/SSH、或经过安全保护的Telnet协议等进行设备配置
4. 如果可能的话,尽量采用如SNMP v3这样的安全协议
5. 结合其它安全手段,来保证网络管理的安全,比如采用防地址欺骗技术和网络访问控制安全机制
6. 如果可能的话,尽量采用独立的网管网带外管理方式
7. 对管理人员及其职责、操作的有效管理是安全的根本

转载于:https://blog.51cto.com/xiong/21313

网络管理中的安全保障相关推荐

  1. 网元——就是网络中的元素,网络中的设备。总之,网元是网络管理中可以监视和管理的最小单位...

    网元     摘要: 网元由一个或多个机盘或机框组成, 能够独立完成一定的传输功能. 网管系统中的网元其实和这个差不多,简单理解就是网络中的元素,网络中的设备.总之,网元是网络管理中可以监视和管理的最 ...

  2. 计算机网络管理中维护冲突原因及对策摘要

    计算机在生活的诸多领域中发挥着重要作用,信息技术的广泛应用,使得计算机与生活之间的联系更加紧密.网络的发展改变了人们的生活方式,给人们带来便利的同时也带来了相应的问题.比如在计算机网络管理中存在的病毒 ...

  3. Orion Network Performance Monitor 软件在网络管理中的应用

    Orion Network Performance Monitor 软件在网络管理中的应用 Orion Network Performance Monitor是完全的带宽性能和故障管理软件,从路由器. ...

  4. 开电视显示网管服务器数据下发超时,关于网络管理中的常见问题解决

    关于网络管理中的常见问题解决 网络管理有很多技巧和窍门,下面介绍一些网络管理中的常见问题和解决方法,希望能起到抛砖引玉的作用. 配置交换机 将交换机端口配置为100M全双工,服务器安装一块Intel- ...

  5. 网工七大计策掌握网络管理中的实战技术(转)

    在多年的网络管理软件开发和项目实施中,我接触了许多的一线工程师,并专门拿出时间和这些每天出入在机房的工程师沟通,收集他们在管理工作中遇到的实际需求,专注于将令其"头痛"的问题通过S ...

  6. 解读工业互联网建设中的安全保障

    2017.11.27日,国务院发布关于深化"互联网+先进制造业"发展工业互联网的指导意见的政策文件.指导意见中用基本形势,总体要求,主要任务,保障支撑四个章节全面阐述了先进制造业融 ...

  7. 做为网络管理中的重中之重、IT运维网管软件如何选择?

    网络管理做为计算机体系的是其中一个关键环节,IT设备和网络资源管理的重要性使得IT运维网管软件成为了网络中的重要角色,正如一个管家对于大家庭生活的重要,网络管理的质量也会直接影响网络的运行质量,如何给 ...

  8. Samba服务器在高校网络管理中的应用

    摘要:linux服务器在民办高校的网络管理中,有着广泛的应用前景.Samba服务是linux服务器可以提供的重要网络服务,主要是提供文件和打印共享服务,也能够作为主域控制器(PDC),进行集中的帐户管 ...

  9. IBM Tivoli Netview在企业网络管理中的实践(附视频)

    今天我为大家介绍的一款高端网管软件名叫IBM Tivoli NetView,他主要关注是IBM整理解决方案的用户,分为Unix平台和Windwos平台两种,这里视频演示的是基于Windows 2003 ...

最新文章

  1. TCP三次握手(建立连接)/四次挥手(关闭连接)
  2. 10年C#历程的MVP之路与MVP项目介绍
  3. MQTT再学习 -- 漫谈MQTT协议
  4. 利用jdbc做一个购买的事务
  5. 如何在Windows上安装Python
  6. 3dmax中为人物添加动作的流程
  7. python分布式计算框架_分布式计算框架Spark
  8. Flask--模板渲染和参数传递
  9. 几种 vue的数据交互形式
  10. hough变换检测直线 matlab,Hough变换直线检测MatLab代码 | 学步园
  11. React-native实现联系人列表分组组件(支持拼音搜索)
  12. 户外佩戴哪款耳机好、户外运动耳机推荐
  13. 【kali Linux 的1024种玩法】一.在VMware Workstation上安装Kali Linux 2020.1(超详细!)
  14. 【下一步计划】毕业后
  15. Thingsboard 开源 IoT 物联网平台入门
  16. 2019-01-25T01:30:00.000+0000 格式转换
  17. Mybatis(黑马程序员)
  18. ENSP实现小型企业网三层架构
  19. 大盘再次开启超跌模式
  20. scrapy使用item,pipeline爬取数据,并且上传图片到oss

热门文章

  1. 博客文章加线框/表格
  2. 中国团队屠榜:COCOMapillary挑战赛包揽全部冠军
  3. 一文看懂深度学习新王者「AutoML」:是什么、怎么用、未来如何发展?
  4. 旷视发布3D感知全栈解决方案!现在,AI+3D只差杀手级应用了
  5. numpy ndarray可用的常规函数
  6. Java Servlet web xml 配置详解
  7. 【微服务架构】SpringCloud组件和概念介绍(一)
  8. 如何构建你的聊天界面
  9. c#之线程总结(一)
  10. Spring ORM+Hibernate?Out!换 Spring Data JPA 吧!