网络管理安全.ppt

1、0,安全协议与标准,第八章 网络管理安全,1,第七章 网络管理安全,概述 SNMP的基本概念 SNMPv1的共同体机制 SNMPv3,2,8.1 概述,网络管理主要是关于规划、监督、设计和控制网络资源的使用以及网络的各种活动。 现代网络具有以下显著特征： 地理分散性。 网络体系结构的复杂性。 各类增值网络服务不断出现。 网络通信量的指数级增长。 网络设备的自治性增强。 网络拓扑结构的变动性增大。,3,1000M GE,100M FE,2 M,商贸路12楼,北环路13楼,SMSC6,SMSC7,SMSC3,SMSC4,SMSC5,4,8.1 概述,随着网络规模的扩大, 出现两个明显的情况： 网络

2、及分布式应用对于组织已经不可缺少 网络会发生故障，使得部分瘫痪或性能降低 随着网络规模的日益扩大，结构日益复杂，功能越来越强，网络管理系统已成为网络系统的关键部分。 目前为止，应用最广泛的标准是SNMP 1989年公布SNMPv1 ,为满足新的功能需要，接着颁布了SNMPv2和SNMPv3 1991年颁布的远程监控RMON (Remote network monitoring) 更进一步推动了网络管理的发展.,随着网络规模的扩大, 出现哪两个明显的情况?,5,8.1 概述,网络管理的五大功能： 故障管理 计费管理 配置管理 性能管理 安全管理,6,8.1 概述,常见的网络管理系统 的 系列 .

3、系列 .,7,8.1 概述,网络管理的标准化过程： ISO/OSI的CMIP/CMIS IETF/SNMP ITU/TMN DMTF,8,8.2 SNMP的基本概念,本节概述SNMP的基本框架和基本内容 网络管理体系结构 网络管理协议体系结构 委托代理 SNMPv2,继续,9,网络管理体系结构,SNMP的网络管理模型由以下五部分构成 ：多个网络 管 理 代 理、网络管理器、网络管理协议、管理信息库（）和被管资源。,SNMP的网络管理模型由哪五部分构成?,10,网络管理体系结构,网络管理器是实施网络管理的处理实体，驻留在管理工作站上。它是整个网络系统的核心，完成复杂网络管理的各项功能，如排除网络

4、故障、配置网络等，一般位于网络中的一个主机节点上。 管理代理是配合网络管理的处理实体，驻留在被管对象上。管理代理监测所在网络部件的工作状况，收集有关网络信息。管理代理一般有多个，分别位于网络中的被管设备上。,11,网络管理体系结构,被管资源包括网络中所有可被管理的网络设备，如主机、工作站、文件服务器、打印服务器、终端服务器、路由器、交换器、网桥、中继器等。 管理信息库存储在被管对象的存储器中，它是一个动态刷新的数据库，它包括设备的配置信息、数据通信的统计信息、安全性信息和设备特有信息等。 通用网络管理协议则描述了管理器与代理之间的数据通信机制。,12,网络管理体系结构,MIB 文件的格式 MI

5、B文件的名称空间是一个可管理对象的层次性(树形)数据库。MIB的每种类型都是由国际标准组织(International Standard Organization，ISO)所定义的子树，这种结构使每个可管理对象都被赋予了全球唯一的名称。 RFC 1213定义了一种行业标准的SNMP MIB格式，被称作MIBII。部分名称空间的授权(MIB对象的全球命名格式)也被赋予了单个组织。一些供应商如Cisco公司，可以定义额外的MIB，以支持能被SNMP管理器所监控和管理的独有硬件或软件。,13,网络管理体系结构,MIB 对象定义格式 ASN.1是一种用于描述结构化客体的结构和内容的语言，基于编码规则B

6、ER（Basic Encoding Rules）是ASN.1标准定义的一种传送文法。每个MIB变量格式是SMI规定的，用ASN.1描述如下： OBJECTNAME BOJECT-TYPE DESCRIPTION:(description) SYNTAX: (syntax) ACCESS: (access) STATUS: (status) :=(Parent)number,14,网络管理体系结构,MIB 树 每个MIB对象都用对象标识符（OID）来唯一的标识 。可以看出MIB-的OID是：1.3.6.1.2.1,15,网络管理体系结构,MIB 对象及变量 Internet MIB是一树形结构的

7、数据库， MIB-I定义了8个管理信息类别，MIB-是在MIB-I基础上的扩展，增加了SNMP和CMOT两项。MIB类别说明如下： MIB类别 包含有关信息 System 关于实体所在系统的数据 Interface 用于管理的网络接口信息 AT 地址转换信息 IP 网络协议 ICMP 为IP设备携带错误和控制的协议 TCP 传输控制协议 UDP 用户数据报协议 EGP 外部网关协议 CMOT 公共管理信息与服务协议 SNMP 简单网络管理协议,16,网络管理体系结构,MIB 访问实现 SNMP 报文操作 Get :由管理站去获取代理管理信息库的值,通过发送Get - Request , Get

8、 - Next Request两种消息来实现。 Set :由管理站设置代理的管理信息库的对象值,通过发送Set - request 来实现,它可以对一个网络设备进行远程参数配置。 Trap :使得代理能够向管理站通告重要事件,是属于非请求的消息,这些消息通知管理站发生了特定事件。Trap 消息可以用来通知管理站线路的故障、连接的终端和恢复、认证失败等消息。,返回,17,网络管理协议体系结构,SNMP体系结构模型如图所示。是一系列网络管理站(Network Management Station)和网络元素(Network Element) 的集合。,18,三个基本规范 RFC号码 标题描述,St

9、ructure and Identification of Management Information for TCPIP-based Internets (基于TCPIP互联网的管理信息的结构和标识),SimpleNetworkManagementProtocol(SNMP)(简单网络管理协议(SNMP),Management Information Base for Network Management Of TCP/IP-based Internets：MIB-II(基于TCP/IP互联网的网络管理的管理信息库：MIB-II),定义了用于定义 MIB 中数据对象的结构。,它定义了SNM

10、P的通信格式和操作。,它定义了被管理对象的基本类型和常见类型。,1155,1157,1213,网络管理协议体系结构,19,网络管理协议体系结构,图8.1描述了SNMP协议与其他协议的关系。,返回,20,委托代理,为了实现对不支持SNMP的设备的管理，引用委托代理的机制。 图中描述了SNMP委托代理的协议结构。,返回,21,SNMPv2,随着网络规模的不断增长，SNMP显示了三个方面的不足： 缺乏对分布式网络管理的支持 功能缺乏 安全缺陷 1993年发行的SNMPv2纠正了前二个方面的不足，安全缺陷在SNMPv3中得到了纠正。,22,SNMPv2,分布式网络管理：,23,SNMPv2,功能的改进

11、：,返回,24,8.3 SNMPv1的共同体机制,RFC1157中定义的SNMPv1只提供在共同体概念下的初级安全机制 共同体和共同体名称 认证服务 访问策略 委托代理服务,继续,25,共同体和共同体名称,可以把SNMP网络管理看作是一个代理和一组管理器之间的一对多关系。每个代理控制自己的本地MIB被许多管理器使用。这种控制有3个方面的内容： 身份认证服务 访问策略 委托代理服务 SNMP共同体(community)是一个SNMP代理和一组SNMP管理器之间的关系。它定义了身份验证、访问控制和委托代理特性。,返回,26,认证服务,认证服务的目的是使接收方确信一条SNMPv1消息是从他所声明的资

12、源中来。 从管理器到代理的每条消息都包括一个共同体的名称。该名称就作为口令。,返回,27,访问策略,通过定义一个共同体，代理可以将它的MIB访问限制于一组选定的管理器. 通过使用多个共 同体，代理可以 为不同的管理器 提供不同种类的 MIB访问。,返回,28,委托代理服务,委托代理是代表其它设备实现网络管理的SNMP代理。 对委托代理系统表示的每个设备，都有一个SNMP的访问策略。,返回,29,8.4 SNMPv3,1998年，IETF的SNMPv3工作组提出了一组Internet提议标准，即目前的RFC2570到2575，把安全功能合并到SNMPv1和SNMPv2。 SNMPv3还不足以定义

13、一个完整的SNMP实现，必须结合SNMPv2或SNMPv1中的一些功能使用。 SNMPv3使用了消息报头字段的USM ( User Security Model) SNMPv3可以被看成是附加了安全和管理能力的SNMPv2 下图描述了不同的SNMP版本之间的关系：,SNMPv1、SNMPv2、SNMPv3有何不同？,30,8.4 SNMPv3,31,8.4 SNMPv3,本节的其余部分： RFC2571中定义的SNMP体系结构 消息处理和用户安全模型(User-Based Security Model) 基于视图的访问控制模型(view-based access control model),

14、继续,32,RFC2571中定义的SNMP体系结构,在RFC2571中定义,由分布式的SNMP实体组成。每个实体实现部分功能，即可作为agent，也可作为管理器，也可同时充当二种角色。 RFC2571结构反映了SNMPv3的关键设计要求： 可以满足不同操作环境的需要 使部分结构向着标准化发展成为可能 兼容可选择的安全模式,33,RFC2571中定义的SNMP体系结构,传统SNMP 管理器:,34,RFC2571中定义的SNMP体系结构,上图中， 一个SNMP管理器与SNMP代理交互，或管理器之间进行交互 一个SNMP管理器包括三类应用： 命令生成器: 监视和操作远程代理的管理数据 通知始发者:

15、 初始化异步消息 通知接收者: 处理到来的异步消息 SNMP引擎的作用: 接收SNMP应用程序发出的PDU,完成相应的处理过程 接收从传输层传来的SNMP消息,实现需要的处理,35,RFC2571中定义的SNMP体系结构,SNMP引擎包含调度器、消息处理子系统和安全子系统。 调度器是一个简单的通信管理器。对于发出的PDU，它判断每一个PDU需要处理的消息类型，并负责传送给下一个相应的处理模块。对于接收的消息，调度器把每条消息路由到对应的消息处理模块进行处理。 消息处理子系统接收从调度器发出的PDU，并用相应的消息头封装以备传输。它也接收来自调度器的消息，处理每个消息头，且将所附的PDU返回给调

16、度器。 安全子系统执行认证和加密功能。,36,RFC2571中定义的SNMP体系结构,传统SNMP代理,37,RFC2571中定义的SNMP体系结构,SNMP代理包含 3种类型的应用程序： 命令响应者应用程序：响应管理对象的请求，发送一个响应PDU 通知始发者应用程序：初始化异步消息 代理转发者应用程序：用于实体之间传递消息 在SNMP代理的引擎中，除了包括SNMP管理器中的所有部分，还外加访问控制子系统。该子系统提供了对读取和设置管理MIB对象的控制访问的授权服务。,38,RFC2571中定义的SNMP体系结构,SNMPv3流程图：,39,RFC2571中定义的SNMP体系结构,上图可以看出

17、各种函数的调用关系： a图显示了发生在管理器处的一系列事件；b图显示了在代理中的相应事件 命令生成器应用程序使用调度程序函数sendPdu和processResponsePdu 命令响应器应用程序使用4个调度程序函数registerContexEngineID、unregisterContextEngineID、processPdu、returnResponsePdu)和一个访问控制子系统的函数(isAccessAllowed),返回,40,消息处理和用户安全模型,本节主要介绍SNMP所提供的身份验证和保密服务，是本章内容的重点 消息处理模型 用户安全模型 密码功能 授权和未授权引擎 USM消

18、息参数 USM时限机制 密钥本地化,返回,41,消息处理模型,RFC2572定义了通用的消息处理模型。负责从调度程序接收PDU，封装进消息，调用USM在消息报头插入安全相关的参数。 在消息中，前五个字段由消息处理模型生成（发送时），或由消息处理模型处理（接收时） 后6个字段显示了USM使用的安全参数 最后是PDU、contextEgineID、contextName组成的具有作用域的PDU,42,消息处理模型,使用USM的消息格式,43,用户安全模型,USM设计是为了防范： 信息的修改 伪装 消息流的修改 泄密 USM不能防范以下两种威胁： 拒绝服务：攻击者可以阻碍在管理器和代理之间的信息交换

19、 通信分析：攻击者可以观察在管理器和代理之间的通信模式,44,密码功能,在USM中定义了两个密码功能：身份验证和加密。 USM使用HMAC-MD5-96或HMAC-SHA-96中的一个用于身份验证 USM使用DES中的CBC模式加密,45,授权和未授权引擎,在任何消息传输过程中，发送方和接收方根据下列规则由授权SNMP引擎指派： 当SNMP的消息包含了期望响应的有效载荷(如Get等），该消息的接收方被指定为授权 当SNMP的消息包含了没有期望响应的有效载荷(如SNMPv2-Trap)时，该消息的发送方被指定为授权。,46,USM消息参数,与安全相关的参数有如下几个： manAuthoritti

20、veEngineID manAuthorittiveEngineBoots magAuthoritativeEngineTime magUserName magAuthenticationParametrers msgPrivacyParameters,47,USM消息参数,48,USM时限机制,USM包含了一系列时限机制，以防止消息延迟和消息重放. 当初次安装SNMP引擎时，snmpEgineBoots和snmpEngineTime的值被设置为0。 此后，snmpEngineTime每秒递增一次，当达到最大值231-1, snmpEgineBoots递增一次。 SNMPv3要求必须在合理的时间窗口之内接收到消息。,49,密钥本地化,使用SNMPv3的身份验证和私有服务时，对任何实体间