計算機網(wǎng)絡(luò)安全與管理：第13講 網(wǎng)絡(luò)管理框架

計算機網(wǎng)絡(luò)安全與管理本講內(nèi)容網(wǎng)絡(luò)管理框架SNMPSNMP的安全性安全設(shè)備管理 網(wǎng)絡(luò)安全設(shè)備管理主要有兩個含義“安全的設(shè)備管理”，即對網(wǎng)絡(luò)設(shè)備管理的過程本身是否安全“安全設(shè)備的管理”，及對如何對安全設(shè)備（如“防火墻”、IDS、防病毒等）進行管理網(wǎng)絡(luò)管理框架當網(wǎng)絡(luò)規(guī)模越來越大，網(wǎng)絡(luò)設(shè)備的數(shù)量、復雜性不斷增加時，需要有一種技術(shù)能夠?qū)W(wǎng)絡(luò)中的常見問題進行系統(tǒng)的管理。Eg：當路由器，交換機端口故障時，能自動報告；系統(tǒng)對主機定期檢查，管理人員能夠通過日志等管理系統(tǒng)OSI網(wǎng)絡(luò)管理模型性能管理：量化測試分析不同網(wǎng)絡(luò)設(shè)備性能等故障管理：檢測、記錄、響應(yīng)網(wǎng)絡(luò)中的故障，具有更強的實時性配置管理：具有簡易的手段對設(shè)備進行配置管理，監(jiān)控軟硬件運行情況計費管理：能夠說明、控制、記錄用戶及網(wǎng)絡(luò)設(shè)備對不同的網(wǎng)絡(luò)資源的訪問情況安全管理：可以根據(jù)預(yù)先定義好的策略，控制對網(wǎng)絡(luò)資源的訪問，記錄訪問活動，防止重要信息的泄漏或系統(tǒng)被破壞網(wǎng)絡(luò)安全管理的模式通過RS-232接口也稱帶外管理用于網(wǎng)絡(luò)設(shè)備初始配置需要物理接近被管理設(shè)備，不方便通過telnet，http協(xié)議也稱帶內(nèi)（in-band)管理安全性問題應(yīng)用于小規(guī)模網(wǎng)絡(luò)通過網(wǎng)絡(luò)管理協(xié)議如CMIP及SNMP支持多廠商，多類型設(shè)備能夠?qū)崿F(xiàn)很多功能的自動處理

主要的網(wǎng)絡(luò)管理標準OSI網(wǎng)絡(luò)管理標準CMIP-CommonManagementInformationProtocolCMIS-CommonManagementInformationServicesIETF網(wǎng)絡(luò)管理標準SNMP-SimpleNetworkManagementProtocolITU網(wǎng)絡(luò)管理標準TMN-TelecommunicationManagementNetworkIEEE網(wǎng)絡(luò)管理標準IEEEManagementStandardsforLANandMANCMIS/CMIPCMIS/CMIP是ISO定義的網(wǎng)絡(luò)管理協(xié)議。它的制定得到了政府和工業(yè)界的支持。CMIP的優(yōu)點是安全性高，功能強大，CMIP協(xié)議不僅可用于傳輸管理數(shù)據(jù)，而且可以執(zhí)行一定的任務(wù)。但由于CMIP對系統(tǒng)的處理能力要求過高，限制了它的使用范圍CMIS/CMIP建立在七層模型基礎(chǔ)之上。ISO9595定義了公共管理信息服務(wù)CMIS，它提供了7種管理操作服務(wù)元素；ISO9596定義了公共管理信息協(xié)議CMIP。CMIP采用管理站/代理模型，當對網(wǎng)絡(luò)實體進行監(jiān)控時，管理站只需向代理發(fā)出一個監(jiān)控請求，代理會自動監(jiān)視指定的管理對象，并在異常事件（如線路故障）發(fā)生時向管理者發(fā)出指示。CMIP的這種管理監(jiān)控方式稱為委托監(jiān)控，委托監(jiān)控的主要優(yōu)點是開銷小、反應(yīng)及時，缺點是對代理的資源要求高。CMIP協(xié)議功能強大，但是操作復雜，覆蓋范圍廣，難于實現(xiàn)CMOTCMOT在TCP/IP協(xié)議簇之上實現(xiàn)CMIS服務(wù)。這是一種過渡性的解決方案，直到OSI協(xié)議棧被廣泛采用。RFC1189定義了CMOT協(xié)議存在的問題：使用CMOT的一個潛在的問題是許多網(wǎng)絡(luò)管理生產(chǎn)商并不想花費時間實現(xiàn)一個過渡性方案。相反，許多生產(chǎn)上已經(jīng)加入了SNMP的潮流并在其上花費了相當多的資源。事實上雖然存在著CMOT的定義，但是目前看來該協(xié)議沒有任何新的發(fā)展SNMP協(xié)議SNMP是由IETF提出的面向Internet的網(wǎng)絡(luò)管理協(xié)議，管理對象包括網(wǎng)橋、路由器、交換機等網(wǎng)絡(luò)互聯(lián)設(shè)備相關(guān)標準的從1987年11月發(fā)布的簡單網(wǎng)關(guān)監(jiān)視協(xié)議（SGMP）發(fā)展而來，到80年代中期IETF制定了SNMP的第一個版本。到目前為止有SNMPv1，SNMPv2,SNMPv3三個版本，其中前兩個版本在安全性上有較大缺陷，在SNMPv3中得到了改進。SNMP是一個網(wǎng)絡(luò)管理的框架，并不涉及到具體地實現(xiàn)問題，在SNMP中，網(wǎng)絡(luò)管理系統(tǒng)可以與不同的設(shè)備交互，實現(xiàn)管理功能SNMP采用輪詢監(jiān)控的方式，管理站每隔一個周期向代理請求管理信息，管理站根據(jù)返回的管理信息判斷是否有異常事件發(fā)生。輪詢的主要優(yōu)點是對代理資源的要求不高，缺點是管理通信的開銷大。SNMP由于其簡單性得到了業(yè)界廣泛的支持，成為目前最流行的網(wǎng)絡(luò)管理協(xié)議SNMP相關(guān)RFC文件SNMP的體系結(jié)構(gòu)網(wǎng)絡(luò)管理系統(tǒng)（NMS）類似于組織負責人，試運行于某個主機上的一個應(yīng)用程序，提供人機界面收集管理范圍內(nèi)網(wǎng)絡(luò)設(shè)備信息，并進行分析處理可以接受控制命令，進行各種操作SNMP的體系結(jié)構(gòu)網(wǎng)絡(luò)管理代理（Agent）運行于被管理設(shè)備上的軟件可將設(shè)備上有關(guān)信息發(fā)給NMS也可接收來自NMS的命令網(wǎng)絡(luò)管理信息（MIB）用于存儲和交換管理信息網(wǎng)絡(luò)管理協(xié)議（SNMP）NMS與Agent之間的通信協(xié)議。SNMP協(xié)議SNMP是使用對象（Object）的概念來管理網(wǎng)絡(luò)上的設(shè)備與資源，每個被管理的網(wǎng)絡(luò)設(shè)備或資源都稱為對象一個實質(zhì)被管理的對象可以使網(wǎng)絡(luò)設(shè)備內(nèi)的任意一個實體的網(wǎng)絡(luò)資源，包括系統(tǒng)相關(guān)信息，各類網(wǎng)絡(luò)通信協(xié)議封包信息，實體層傳輸媒介信息等，因此一個被管理的網(wǎng)絡(luò)設(shè)備可以包括多個被管理對象（ManagedObject）。所有被管理物件均存儲在MIB中，其位于代理器端，以隨時記錄代理器所收集到的相關(guān)管理信息SNMP網(wǎng)絡(luò)管理模型SNMP管理信息表示法為了提高網(wǎng)絡(luò)管理的擴充性與效能，SNMP使用抽象化的語法來描述MIB相關(guān)的網(wǎng)絡(luò)管理對象及SNMP命令信息格式。這里我們用到了SMI管理信息結(jié)構(gòu)、它定義了存儲于MIB中的管理信息的語法和語義。并作為SNMP正式的語言(這里是指抽象語法)以用于創(chuàng)建MIB。為了理解SMI我們先對ASN.1以及傳輸語法（BER）做一介紹ASN.1語法ASN.1是一個OSI標準SNMP引用了該標準并將其擴展稱為SMISMI定義統(tǒng)一的數(shù)據(jù)類型與傳輸編碼，以解決不同設(shè)備之間相互通信的問題。ASN.1為不同的廠商軟硬件系統(tǒng)與管理系統(tǒng)之間進行通信時提供統(tǒng)一的數(shù)據(jù)表示格式。ASN.1還具有一些其他的網(wǎng)絡(luò)應(yīng)用，如H.323ASN.1由數(shù)據(jù)類型描述與傳輸編碼兩部分組成抽象語法與傳送語法的關(guān)系A(chǔ)SN.1符號ASN.1簡單類BOOLEANINTEGERBITSTRINGOCTETSTRINGOBJECTIDENTIFIERNULLREALASN.1結(jié)構(gòu)類SEQUENCE類似于結(jié)構(gòu)SEQUENCEOF類似于數(shù)組SET和SETOF定義了枚舉數(shù)據(jù)CHOICE類似與聯(lián)合ASN.1結(jié)構(gòu)類之例SEQUENCEOFEthernetCollisionsCounter::=SEQUENCEOF{highValueINTEGER,lowValueINTEGER}SEQUENCE

LanSimpleCounterLimits::=SEQUENCE{ethernetCounter1COMPONENTSOFEthernetCollisionsCounter,tokenRingCounter1COMPONENTSOFTokenRingTokenLost}ASN.1標簽用于給變量確定模型，消除二義性EXPLICIT或IMPLICITIMPLICIT-無需傳送數(shù)據(jù)類型給對方EXPLICIT-需要傳送數(shù)據(jù)類型給對方如果沒有IMPLICIT標簽則假設(shè)使用EXPLICIT標簽ASN.1標簽類ASN.1有四種標簽類型Universalclass:datatypeinuniversalclassareapplication-independent(ISO8824/X.208)Applicationclass:taginapplicationclassarespecifictoapplicationContext-specificclass:instructuredtypes,distinguishdifferentelementPrivateclass:isusedextensivelybyvendersofnetworkproducts標簽值A(chǔ)SN.1的Universal類ASN.1-APPLICATION類與Application相關(guān)通用類Universal標簽值可以被應(yīng)用類Application標簽值覆蓋例如：

AnotherCounter::=[APPLICATION1]IMPLICITINTEGERASN.1-上下文類與Application相關(guān)在構(gòu)造類中區(qū)分不同元素例如：BeaconingCounter::=SET{counterName[0]IMPLICITVisibleString,counterNumber[1]IMPLICITINTEGER}其他類OBJECTIDENTIFIERUniquelyidentifiesanobjectObjectDescriptionHumanreadabletextdescribingtheobjectEXTERNALTypesdefinedisexternaltothestandardUTCTimeYYMMDDHHMM[SS]GeneralizaedTimeYYYYMMDDHHMM[SS]ASN.1-MACRO用于定義本地的新變量類型和值A(chǔ)SN.1Macro的結(jié)構(gòu)<macroname>MACRO::=BEGINTYPENOTATION::=<syntaxOfNewType>VALUENOTATION::=<syntaxOfNewValue><auxiliaryAssigments>END--TYPENOTATIONdefinesthesyntaxofnewtypes--VALUENOTATIONdefinesthesyntaxofnewvaluesASN.1傳輸語法說明ASN.1數(shù)據(jù)類型在傳輸時如何編碼也成為BER(基本編碼規(guī)則）有四個字段來說明數(shù)據(jù)類型標記數(shù)據(jù)長度數(shù)據(jù)值值結(jié)束符（當數(shù)據(jù)長度不定時用于標記結(jié)束）數(shù)據(jù)類型標記Class（7th-8thbits）00-通用01-應(yīng)用10-上下文相關(guān)11-私有6thbits（類型）0-基本1-構(gòu)造5位類型值0-30表類型如果大于30表示后面還有字節(jié)數(shù)據(jù)長度為1個或多個字節(jié)當小于128字節(jié)可說明否則首字節(jié)最高位為1。后面7位和后續(xù)字節(jié)為實際長度Eg。1200二進制為10010110000則首字節(jié)和后續(xù)字節(jié)為10000100,10110000數(shù)據(jù)值數(shù)據(jù)值的長度取決于數(shù)據(jù)類型。整形編碼為2的補碼，小于128的正整數(shù)需要一字節(jié)，小于32768得要2字節(jié)等位串長度不一定是8的倍數(shù)，所以要開始有一個字節(jié)說明最后有多少位無用101010001110表為0x4,0xa8,0xe0OBJECTIDENTIFIER，編碼為一系列整數(shù)由于第一個總是0，1或2，第二個總小于40。因此第一個數(shù)a和第二個數(shù)b編為一個字節(jié)40a+b.ernet對應(yīng){1,3,6,1}編碼{43,6,1}0000011000000011001010110000011000000001SNMPv1網(wǎng)絡(luò)管理體系結(jié)構(gòu)SMISMI（管理信息結(jié)構(gòu)）包含了ASN。1的子集，又增加了一些新的內(nèi)容（四個宏，八個數(shù)據(jù)類型，描述網(wǎng)絡(luò)管理信息所有被管理的信息最終以（OBJECT）的形式來體現(xiàn)關(guān)系相近的對象合成一個組，不同的組合成一個模塊，稱為MIB模塊設(shè)備支持的組越多，設(shè)備的可管理程度越高。如果支持一個組，就應(yīng)支持其中所有的對象，如果支持一個MIB，則不需支持所有的組SMI新增的宏與數(shù)據(jù)類型MODULE-IDENTITYH宏OBJECT宏Eg：ipInDelivers其他MODULE-COMPLIANCENOTIFICATION-TYPEAGENT-CAPABILITIESSNMPv1管理信息結(jié)構(gòu)—SMISNMPv1管理信息結(jié)構(gòu)—SMI(1)SMI樹為MIB變量提供了一致的定義、描述和命名方法。在SMI樹中除根結(jié)點以外的所有結(jié)點都被分配了一個數(shù)值，用于標識同一父結(jié)點下的多個子結(jié)點，例如，根結(jié)點下有三個子結(jié)點CCITT、ISO和JOINT-ISO-CCITT，分別分配數(shù)值0、1和2，以區(qū)分三個不同國際標準組織SMI用對象標識符（ObjectID）命名每個MIB變量，它可以唯一地標識SMI樹中的每個對象。對象標識符是由從根結(jié)點對象結(jié)點經(jīng)歷的所有結(jié)點的數(shù)值組成數(shù)值序列，數(shù)值之間用“.”隔開。例如，udpInDatagrams的對象標識符為.SNMPv1管理信息結(jié)構(gòu)—SMI(2)管理對象定義樣板（Macro）--definitionofobjecttypesOBJECT-TYPEMACRO::=BEGINTYPENOTATION::=“SYNTAX”type(TYPEObjectSyntax)“ACCESS”Access“STATUS”StatusVALUENOTATION::=value(VALUEObjectName)Access::=“read-only”|“read-write”|“write-only”|“not-accessible”Status::=“mandatory”|“optional”|“obsolete”END--namesofobjectsintheMIBObjectName::=OBJECTIDENTIFIERSNMPv1管理信息結(jié)構(gòu)—SMI(3)管理對象定義舉例ipRouteTableOBJECT-TYPESYNTAXSEQUENCEOFIpRouteEntryACCESSnot-accessibleSTATUSmandatoryDESCRIPTION"Thisentity'sIPRoutingtable."::={ip21}MIB（管理信息庫）一個網(wǎng)絡(luò)設(shè)備中，可管理的所有對象的定義成為管理信息庫。MIB可以看作是虛擬的信息庫里面存放各種管理對象管理對象的值反映了當前被管理設(shè)備的狀態(tài)。MIB的定義是多種多樣的。IETF目前已完成100多個標準MIB對于各種MIB模塊以及各個模塊中的被管理對象地表示采用層次化的樹形結(jié)構(gòu)SNMP三種基本指令取得（get）、設(shè)定（set）與警告（trap）SNMPv1指令SNMP是一種簡單的請求回應(yīng)協(xié)議（Request-responseProtocol），其只需要三種基本指令群動作，就可以使管理器通過向代理器設(shè)備要求獲得或設(shè)定相關(guān)網(wǎng)管信息SNMPv1協(xié)議數(shù)據(jù)單元GetRequestGetNextRequestSetRequestGetResponseTrapPDU格式GetRequestManager發(fā)出GetRequestrequest-id：標識同一代理的每一個未完成的請求，使到來的響應(yīng)與未完成的請求相關(guān)聯(lián)；處理由于不可靠傳輸服務(wù)產(chǎn)生的重復PDUvariable-bindings：被請求的對象實例列表（變量綁定表）Agent返回GetResponserequest-id：與GetRequest相同variable-bindings：Get-Request操作是原子的，如果Agent能夠提供所有變量值，則返回每個變量值；如果其中有一個變量值不能提供，則不返回任何值error-status：noSuchName,tooBig,genErr等error-index：指向第一個有問題的對象GetNextRequestAgent在GetResponse中返回按字典順序的下一個對象實例值例。檢索簡單對象值請求：GetRequest(udpInDatagrams.0,udpNoPorts.0,udpInErrors.0,udpOutDataDatagram.0)也可以用GetNextRequest(udpInDatagrams,udpNoPorts,udpInErrors,udpOutDataDatagram)發(fā)出請求響應(yīng)都是：GetResponse((udpInDatagrams.0=100),(udpNoPorts.0=1),(udpInErrors.0=2),(udpOutDataDatagram.0=200)SetRequestSetRequest用于對象實例賦值variable-bindings：包含對象實例標識和賦給對象實例的值A(chǔ)gent用GetResponse響應(yīng)SetRequest，SetRequest操作是原子的，如果能夠?qū)ariable-bindings中所有對象實例賦值，則在GetResponse中返回variable-bindings，并為每個變量提供一個值；如果有一個變量不能更新，則沒有值返回。

error-status：noSuchName,tooBig,genErr,badValue等TrapTrap由Agent發(fā)出，向Manager通告某些重要的事件一般Trap類型coldStart(0)warmStart(1)linkDown(2)linkUp(3)authenticationFailure(4)egpNeighborLoss(5)enterpriseSpecific(6)專用Trap類型網(wǎng)絡(luò)廠商自定義的陷阱類型代碼SNMP取得指令訊息的應(yīng)用實例SNMPv2協(xié)議SNMP版中增加了GetBulkRequest（獲取一批信息）InformRequest（NMS之間協(xié)同管理）NMS與AgentSNMP應(yīng)用中NMS主要實現(xiàn)：命令生成，通知接收，代理轉(zhuǎn)發(fā)Agent實現(xiàn)：命令應(yīng)答，通知生成NMS為了與人進行交互，應(yīng)提供良好的用戶界面NMS與AgentSNMP需要被管理設(shè)備支持TCP/IP協(xié)議在不支持的情況下可以采用代理的形式拓展被管理設(shè)備的范圍SNMP協(xié)議的安全性SNMP協(xié)議安全性就是我們提得“安全的設(shè)備管理”SNMP由與簡潔，存在一些問題安全性不夠，功能不完善，缺乏對分布式網(wǎng)絡(luò)管理目前大部分設(shè)備支持SNMPv1,v2SNMPv1的安全性提供了基本的安全認證，訪問控制等安全保證稱為共同體（community）相當于NMS與被管理者之間的共享口令僅起到了弱認證功能。缺陷猜測community偵聽community多個NMS容易泄露SNMPv2對MIB的訪問范圍進行了更細的限制為不同的community定義相應(yīng)的MIB子集，稱為SNMPMIBvi