網(wǎng)絡(luò)安全協(xié)議網(wǎng)絡(luò)管理協(xié)議ppt課件

1、.Internet安全體系網(wǎng)絡(luò)管理協(xié)議.網(wǎng)絡(luò)管理協(xié)議 網(wǎng)絡(luò)管理協(xié)議：應(yīng)用層協(xié)議 支持配置管理配置管理、審計(jì)審計(jì)和事件記錄事件記錄等管理功能，并且為診斷網(wǎng)絡(luò)問題提供了工具 包括工作站、服務(wù)器、網(wǎng)卡、路由器、網(wǎng)橋和集線器等構(gòu)成網(wǎng)絡(luò)的硬件設(shè)備的管理.網(wǎng)絡(luò)管理協(xié)議：Internet SNMP Internet網(wǎng)絡(luò)管理協(xié)議的標(biāo)準(zhǔn) TCP/IP協(xié)議族的一部分 SNMP設(shè)計(jì)時(shí)的目標(biāo)： 功能簡單化 易擴(kuò)充性 結(jié)構(gòu)獨(dú)立性 健壯性.網(wǎng)絡(luò)管理協(xié)議：Internet SNMP SNMP體系結(jié)構(gòu)模型網(wǎng)絡(luò)管理網(wǎng)絡(luò)管理 應(yīng)用應(yīng)用 網(wǎng)絡(luò)管理站網(wǎng)絡(luò)管理站網(wǎng)絡(luò)要素網(wǎng)絡(luò)要素SNMP實(shí)體實(shí)體SNMP實(shí)體實(shí)體管理管理代理代理MIBVi

2、ewSNMP.為什么要使用管理代理？ .網(wǎng)絡(luò)管理協(xié)議：Internet SNMP 管理信息庫MIB 通過網(wǎng)絡(luò)管理協(xié)議可以訪問的信息 使用一個(gè)層次型,結(jié)構(gòu)化的形式 管理站通過檢索MIB目標(biāo)的值來實(shí)現(xiàn)監(jiān)視任務(wù)，通過改變特定對(duì)象的值來改變管理代理的配置.網(wǎng)絡(luò)管理協(xié)議：Internet SNMP 管理站 充當(dāng)網(wǎng)絡(luò)管理人員進(jìn)入網(wǎng)絡(luò)系統(tǒng)的接口,監(jiān)視和控制網(wǎng)絡(luò) 與在不同的被管理節(jié)點(diǎn)中的代理通信，并且顯示這些代理狀態(tài)的中心設(shè)備。 管理數(shù)據(jù)分析,故障恢復(fù)等的應(yīng)用程序集 把網(wǎng)絡(luò)管理人員的要求轉(zhuǎn)換為對(duì)網(wǎng)絡(luò)中遠(yuǎn)程要素實(shí)際監(jiān)視和控制.網(wǎng)絡(luò)管理協(xié)議：Internet SNMP 管理站和管理代理通過網(wǎng)絡(luò)管理協(xié)議進(jìn)行聯(lián)接.協(xié)

3、議主要包括功能: Get Set Notify IP UDP SNMP管理器 網(wǎng)絡(luò)相關(guān)協(xié)議 管理應(yīng)用程序GetRequestGetNextRequestSetRequestGetResponse Trap IP UDP SNMP代理 網(wǎng)絡(luò)相關(guān)協(xié)議 SNMP管理對(duì)象GetRequestGetNextRequestSetRequestGetResponse Trap 管理資源SNMP管理站SNMP代理應(yīng)用管理對(duì)象SNMP消息網(wǎng)絡(luò)或因特網(wǎng)SNMP協(xié)議與其它協(xié)議之間的關(guān)系. SNMPv1的安全特征 代理對(duì)MIB的控制 身份認(rèn)證服務(wù) 訪問策略 代理服務(wù) 共同體和共同體名稱SNMPv1.SNMPv1 認(rèn)證

4、服務(wù) 只為認(rèn)證提供普通的方案。從管理器到代理的每條消息（獲取或發(fā)送請(qǐng)求）都包括一個(gè)共同體的名稱。該名稱作為口令，如果發(fā)送方知道口令，該條消息就被確認(rèn)是可信的。.SNMPv1 訪問策略 訪問控制有兩個(gè)方面的內(nèi)容：1）SNMP MIB 視圖：MIB中對(duì)象的子集 為每個(gè)共同體定義不同的MIB視圖 視圖中的對(duì)象集合不需要屬于MIB的單個(gè)子樹2）SNMP 訪問模式： READ-ONLY/READ-WRITE 每個(gè)共同體中都定義了訪問模式.SNMPv1 SNMPv1的不足 缺乏對(duì)分布式網(wǎng)絡(luò)管理的支持，不支持管理站-管理站之間的通信，它不允許一個(gè)管理系統(tǒng)去了解由另一個(gè)管理系統(tǒng)管理的設(shè)備和網(wǎng)絡(luò)的狀況。 功能缺

5、陷：基于一種主動(dòng)輪詢的監(jiān)視機(jī)制，輪詢間隔短時(shí)對(duì)網(wǎng)絡(luò)性能影響很大，不適合大規(guī)模的網(wǎng)絡(luò)管理; 安全缺陷.SNMPv1 SNMPv1的安全缺陷 欺騙 修改信息 信息泄漏.SNMPv2 -分布式網(wǎng)絡(luò)管理 .SNMPv2 SNMPv2功能的改進(jìn) 增加了兩條新命令 Inform GetBulk.SNMPv3. SNMPv3 的安全特征 SNMPv3 不是獨(dú)立的取代SNMPv1 或SNMPv2 的協(xié)議，定義為一種安全能力而與SNMPv2或SNMPv1 聯(lián)合使用。 SNMPv3 可以被看成是附加了安全和管理能力的SNMPv2。 RFC2570 到2575 描述了整體的SNMPv3。SNMPv3.SNMP協(xié)議體

6、系結(jié)構(gòu) IPUDP 消息處理消息處理 SNMPv3 USM）PDU 處理（處理（SNMPv1 SNMPv2） SNMP PDU V3-MH UDP-H IP-H V3-MH SNMP PDU UDP-H V3-MH SNMP PDU SNMP PDU.SNMPv3 SNMP體系結(jié)構(gòu) SNMP實(shí)體 實(shí)體是代理、管理器或兩者的結(jié)合 每個(gè)SNMP實(shí)體包括一個(gè)單獨(dú)的SNMP引擎 SNMP引擎 SNMP引擎實(shí)現(xiàn)發(fā)送和接收消息的功能，認(rèn)證和加密解密消息，控制對(duì)管理對(duì)象的訪問 SNMP引擎和所支持的應(yīng)用程序都是定義成離散模塊的集合. 典型SNMP管理器 命令生成器程序 通知始發(fā)器程序 通知接收器程序 SNM

7、P管理器引擎管理器引擎 調(diào)度程序調(diào)度程序 消息處理子系統(tǒng)消息處理子系統(tǒng) 安全子系統(tǒng)安全子系統(tǒng)SNMP體系結(jié)構(gòu).SNMP體系結(jié)構(gòu) 典型SNMP代理 命令響應(yīng)器應(yīng)用程序 通知始發(fā)器應(yīng)用程序 代理轉(zhuǎn)發(fā)器應(yīng)用程序 代理引擎代理引擎 調(diào)度程序調(diào)度程序 消息處理子系統(tǒng)消息處理子系統(tǒng) 安全子系統(tǒng)（安全子系統(tǒng)（USM） 訪問控制子系統(tǒng)（訪問控制子系統(tǒng)（VACM）.1. SNMPv3調(diào)度程序 對(duì)于傳出的PDU，調(diào)度程序從應(yīng)用程序接收PDU。對(duì)每個(gè)PDU，調(diào)度程序確定消息處理需要的類型(v1,v2或v3),傳送給消息處理子系統(tǒng)中合適的處理模塊。消息處理子系統(tǒng)返回一條包含了該P(yáng)DU和正確消息報(bào)頭的消息，調(diào)度程序把消

8、息映像到傳輸層 對(duì)傳入的消息，調(diào)度程序把它發(fā)送給合適的消息處理模塊。消息處理子系統(tǒng)返回在該條消息中獲得的PDU。調(diào)度程序把其送給合適的應(yīng)用程序.2. SNMPv3消息處理模型 負(fù)責(zé)從調(diào)度程序接收PDU,封裝進(jìn)消息,調(diào)用USM在消息報(bào)頭插入安全相關(guān)的參數(shù) 接收傳來的消息,調(diào)用USM處理消息報(bào)頭的安全相關(guān)參數(shù),對(duì)調(diào)度程序分配封裝的PDU.3. SNMPv3用戶安全模型 基于用戶的安全模型 USM提供了身份認(rèn)證和保密服務(wù) USM設(shè)計(jì)是為了防范以下主要威脅: 信息的修改 偽裝 消息流修改 泄密 USM不能防范以下兩種威脅: 拒絕服務(wù) 通信分析.3. SNMPv3用戶安全模型 USM privKey和a

9、uthKey 認(rèn)證：使用HMAC-MD5-96或HMAC-SHA-96 加密：使用DES CBC模式.HMAC回顧.MD5描述 Merkle于1989年提出hash function模型 Ron Rivest于1990年提出MD4 1992年, Ron Rivest 完成MD5 (RFC 1321) 在最近數(shù)年之前,MD5是最主要的hash算法 現(xiàn)行美國標(biāo)準(zhǔn)SHA-1以MD5的前身MD4為基礎(chǔ).MD5描述 輸入：任意長度的報(bào)文 輸入分組長度：512 bit 輸出：128 bit 報(bào)文.安全散列函數(shù)(SHA) SHA是美國NIST和NSA共同設(shè)計(jì)的安全散列算法(Secure Hash Algor

10、ithm)，用于數(shù)字簽名標(biāo)準(zhǔn)DSS(Digital Signature Standard)。 SHA1于1995年發(fā)布 SHA1的輸入：長度小于264位的消息 輸出：160位的消息摘要。.3. SNMPv3用戶安全模型 USM HMAC-MD5-96:算法生成128位的輸出,被截成96位 HMAC-SHA-96:算法生成160位的輸出,被截成96位.密碼分組鏈接回顧.3. SNMPv3用戶安全模型 USM 使用DES中的CBC加密.16字節(jié)的PrivKey輸入 前8個(gè)字節(jié)作為DES的密鑰.每個(gè)8位位組的最低位被忽略 CBC 模式需要一個(gè)64位的IV.PrivKey的最后8個(gè)字節(jié)用于生成這個(gè)IV

11、.3. SNMPv3用戶安全模型 USM時(shí)限機(jī)制 防止消息延遲和消息重放 只有在消息使用了身份認(rèn)證服務(wù)，并通過認(rèn)證后才使用同步操作或時(shí)限的檢查。要確認(rèn)參數(shù)值是正確的 時(shí)間窗口的限制：根據(jù)給定時(shí)鐘的精確性，來回的通信延遲和時(shí)鐘用來同步的頻率來確定窗口大小 msgVersion msgID msgMaxSize msgFlags msgSecurityModel msgAuthoritativeEngineID contextEngineID contextName PDU消息處理模型消息處理模型生成或處理生成或處理用戶安全模型用戶安全模型(USM)生成或處理生成或處理限定范圍的限定范圍的PDU(

12、明文或加密的明文或加密的)加密的作用域加密的作用域認(rèn)證的作用域認(rèn)證的作用域使用使用USM的的SNMPv3消息格式消息格式.4. SNMPv3訪問控制模型 VACM 基于視圖的訪問控制模式 特征 VACM確定是否允許遠(yuǎn)程主體對(duì)本地MIB中管理對(duì)象的訪問 VACM使用MIB 來定義對(duì)該代理的訪問策略；訪問策略可以遠(yuǎn)程配置.4. SNMPv3訪問控制模型 VACM的元素 組, 安全級(jí)別, 上下文, MIB視圖, 訪問策略 組：由多個(gè)元組組成。給定組的所有主體的訪問權(quán)力是一樣的 安全級(jí)別：組的訪問權(quán)力不同，取決于包含請(qǐng)求的消息的安全級(jí)別。例如，對(duì)于某些敏感對(duì)象，代理也許要求其請(qǐng)求和其應(yīng)答都通過私有服務(wù)

13、進(jìn)行通信.4. SNMPv3訪問控制模型 VACM的元素 組, 安全級(jí)別, 上下文, MIB視圖, 訪問策略 MIB上下文是MIB中實(shí)例對(duì)象的命名子集。特征： 由contextEngineID唯一標(biāo)識(shí)的SNMP實(shí)體，可以保留多個(gè)上下文 對(duì)象或?qū)ο髮?shí)例可能出現(xiàn)在多個(gè)上下文中 存在多個(gè)上下文時(shí)，為了標(biāo)識(shí)單個(gè)對(duì)象實(shí)例，除了其對(duì)象實(shí)例和類型外，還必須標(biāo)識(shí)contextName 和contextEngineID.4. SNMPv3訪問控制模型 VACM的元素 組, 安全級(jí)別, 上下文, MIB視圖, 訪問策略 MIB視圖 MIB視圖根據(jù)集合或系列或子樹的概念定義，每個(gè)子樹或者包含在視圖之內(nèi)或者排斥在視圖之外 子樹是在MIB命名層次中的節(jié)點(diǎn)，并加上其所有下屬元素 每次進(jìn)入vacmAccessTable相關(guān)的是3個(gè)MIB 視圖，分別對(duì)應(yīng)于讀，寫，通知訪問.訪問控制過