計算機網絡安全與管理：第13講 網絡管理框架

計算機網絡安全與管理本講內容網絡管理框架SNMPSNMP的安全性安全設備管理 網絡安全設備管理主要有兩個含義“安全的設備管理”，即對網絡設備管理的過程本身是否安全“安全設備的管理”，及對如何對安全設備（如“防火墻”、IDS、防病毒等）進行管理網絡管理框架當網絡規(guī)模越來越大，網絡設備的數(shù)量、復雜性不斷增加時，需要有一種技術能夠對網絡中的常見問題進行系統(tǒng)的管理。Eg：當路由器，交換機端口故障時，能自動報告；系統(tǒng)對主機定期檢查，管理人員能夠通過日志等管理系統(tǒng)OSI網絡管理模型性能管理：量化測試分析不同網絡設備性能等故障管理：檢測、記錄、響應網絡中的故障，具有更強的實時性配置管理：具有簡易的手段對設備進行配置管理，監(jiān)控軟硬件運行情況計費管理：能夠說明、控制、記錄用戶及網絡設備對不同的網絡資源的訪問情況安全管理：可以根據(jù)預先定義好的策略，控制對網絡資源的訪問，記錄訪問活動，防止重要信息的泄漏或系統(tǒng)被破壞網絡安全管理的模式通過RS-232接口也稱帶外管理用于網絡設備初始配置需要物理接近被管理設備，不方便通過telnet，http協(xié)議也稱帶內（in-band)管理安全性問題應用于小規(guī)模網絡通過網絡管理協(xié)議如CMIP及SNMP支持多廠商，多類型設備能夠實現(xiàn)很多功能的自動處理

主要的網絡管理標準OSI網絡管理標準CMIP-CommonManagementInformationProtocolCMIS-CommonManagementInformationServicesIETF網絡管理標準SNMP-SimpleNetworkManagementProtocolITU網絡管理標準TMN-TelecommunicationManagementNetworkIEEE網絡管理標準IEEEManagementStandardsforLANandMANCMIS/CMIPCMIS/CMIP是ISO定義的網絡管理協(xié)議。它的制定得到了政府和工業(yè)界的支持。CMIP的優(yōu)點是安全性高，功能強大，CMIP協(xié)議不僅可用于傳輸管理數(shù)據(jù)，而且可以執(zhí)行一定的任務。但由于CMIP對系統(tǒng)的處理能力要求過高，限制了它的使用范圍CMIS/CMIP建立在七層模型基礎之上。ISO9595定義了公共管理信息服務CMIS，它提供了7種管理操作服務元素；ISO9596定義了公共管理信息協(xié)議CMIP。CMIP采用管理站/代理模型，當對網絡實體進行監(jiān)控時，管理站只需向代理發(fā)出一個監(jiān)控請求，代理會自動監(jiān)視指定的管理對象，并在異常事件（如線路故障）發(fā)生時向管理者發(fā)出指示。CMIP的這種管理監(jiān)控方式稱為委托監(jiān)控，委托監(jiān)控的主要優(yōu)點是開銷小、反應及時，缺點是對代理的資源要求高。CMIP協(xié)議功能強大，但是操作復雜，覆蓋范圍廣，難于實現(xiàn)CMOTCMOT在TCP/IP協(xié)議簇之上實現(xiàn)CMIS服務。這是一種過渡性的解決方案，直到OSI協(xié)議棧被廣泛采用。RFC1189定義了CMOT協(xié)議存在的問題：使用CMOT的一個潛在的問題是許多網絡管理生產商并不想花費時間實現(xiàn)一個過渡性方案。相反，許多生產上已經加入了SNMP的潮流并在其上花費了相當多的資源。事實上雖然存在著CMOT的定義，但是目前看來該協(xié)議沒有任何新的發(fā)展SNMP協(xié)議SNMP是由IETF提出的面向Internet的網絡管理協(xié)議，管理對象包括網橋、路由器、交換機等網絡互聯(lián)設備相關標準的從1987年11月發(fā)布的簡單網關監(jiān)視協(xié)議（SGMP）發(fā)展而來，到80年代中期IETF制定了SNMP的第一個版本。到目前為止有SNMPv1，SNMPv2,SNMPv3三個版本，其中前兩個版本在安全性上有較大缺陷，在SNMPv3中得到了改進。SNMP是一個網絡管理的框架，并不涉及到具體地實現(xiàn)問題，在SNMP中，網絡管理系統(tǒng)可以與不同的設備交互，實現(xiàn)管理功能SNMP采用輪詢監(jiān)控的方式，管理站每隔一個周期向代理請求管理信息，管理站根據(jù)返回的管理信息判斷是否有異常事件發(fā)生。輪詢的主要優(yōu)點是對代理資源的要求不高，缺點是管理通信的開銷大。SNMP由于其簡單性得到了業(yè)界廣泛的支持，成為目前最流行的網絡管理協(xié)議SNMP相關RFC文件SNMP的體系結構網絡管理系統(tǒng)（NMS）類似于組織負責人，試運行于某個主機上的一個應用程序，提供人機界面收集管理范圍內網絡設備信息，并進行分析處理可以接受控制命令，進行各種操作SNMP的體系結構網絡管理代理（Agent）運行于被管理設備上的軟件可將設備上有關信息發(fā)給NMS也可接收來自NMS的命令網絡管理信息（MIB）用于存儲和交換管理信息網絡管理協(xié)議（SNMP）NMS與Agent之間的通信協(xié)議。SNMP協(xié)議SNMP是使用對象（Object）的概念來管理網絡上的設備與資源，每個被管理的網絡設備或資源都稱為對象一個實質被管理的對象可以使網絡設備內的任意一個實體的網絡資源，包括系統(tǒng)相關信息，各類網絡通信協(xié)議封包信息，實體層傳輸媒介信息等，因此一個被管理的網絡設備可以包括多個被管理對象（ManagedObject）。所有被管理物件均存儲在MIB中，其位于代理器端，以隨時記錄代理器所收集到的相關管理信息SNMP網絡管理模型SNMP管理信息表示法為了提高網絡管理的擴充性與效能，SNMP使用抽象化的語法來描述MIB相關的網絡管理對象及SNMP命令信息格式。這里我們用到了SMI管理信息結構、它定義了存儲于MIB中的管理信息的語法和語義。并作為SNMP正式的語言(這里是指抽象語法)以用于創(chuàng)建MIB。為了理解SMI我們先對ASN.1以及傳輸語法（BER）做一介紹ASN.1語法ASN.1是一個OSI標準SNMP引用了該標準并將其擴展稱為SMISMI定義統(tǒng)一的數(shù)據(jù)類型與傳輸編碼，以解決不同設備之間相互通信的問題。ASN.1為不同的廠商軟硬件系統(tǒng)與管理系統(tǒng)之間進行通信時提供統(tǒng)一的數(shù)據(jù)表示格式。ASN.1還具有一些其他的網絡應用，如H.323ASN.1由數(shù)據(jù)類型描述與傳輸編碼兩部分組成抽象語法與傳送語法的關系ASN.1符號ASN.1簡單類BOOLEANINTEGERBITSTRINGOCTETSTRINGOBJECTIDENTIFIERNULLREALASN.1結構類SEQUENCE類似于結構SEQUENCEOF類似于數(shù)組SET和SETOF定義了枚舉數(shù)據(jù)CHOICE類似與聯(lián)合ASN.1結構類之例SEQUENCEOFEthernetCollisionsCounter::=SEQUENCEOF{highValueINTEGER,lowValueINTEGER}SEQUENCE

LanSimpleCounterLimits::=SEQUENCE{ethernetCounter1COMPONENTSOFEthernetCollisionsCounter,tokenRingCounter1COMPONENTSOFTokenRingTokenLost}ASN.1標簽用于給變量確定模型，消除二義性EXPLICIT或IMPLICITIMPLICIT-無需傳送數(shù)據(jù)類型給對方EXPLICIT-需要傳送數(shù)據(jù)類型給對方如果沒有IMPLICIT標簽則假設使用EXPLICIT標簽ASN.1標簽類ASN.1有四種標簽類型Universalclass:datatypeinuniversalclassareapplication-independent(ISO8824/X.208)Applicationclass:taginapplicationclassarespecifictoapplicationContext-specificclass:instructuredtypes,distinguishdifferentelementPrivateclass:isusedextensivelybyvendersofnetworkproducts標簽值ASN.1的Universal類ASN.1-APPLICATION類與Application相關通用類Universal標簽值可以被應用類Application標簽值覆蓋例如：

AnotherCounter::=[APPLICATION1]IMPLICITINTEGERASN.1-上下文類與Application相關在構造類中區(qū)分不同元素例如：BeaconingCounter::=SET{counterName[0]IMPLICITVisibleString,counterNumber[1]IMPLICITINTEGER}其他類OBJECTIDENTIFIERUniquelyidentifiesanobjectObjectDescriptionHumanreadabletextdescribingtheobjectEXTERNALTypesdefinedisexternaltothestandardUTCTimeYYMMDDHHMM[SS]GeneralizaedTimeYYYYMMDDHHMM[SS]ASN.1-MACRO用于定義本地的新變量類型和值ASN.1Macro的結構<macroname>MACRO::=BEGINTYPENOTATION::=<syntaxOfNewType>VALUENOTATION::=<syntaxOfNewValue><auxiliaryAssigments>END--TYPENOTATIONdefinesthesyntaxofnewtypes--VALUENOTATIONdefinesthesyntaxofnewvaluesASN.1傳輸語法說明ASN.1數(shù)據(jù)類型在傳輸時如何編碼也成為BER(基本編碼規(guī)則）有四個字段來說明數(shù)據(jù)類型標記數(shù)據(jù)長度數(shù)據(jù)值值結束符（當數(shù)據(jù)長度不定時用于標記結束）數(shù)據(jù)類型標記Class（7th-8thbits）00-通用01-應用10-上下文相關11-私有6thbits（類型）0-基本1-構造5位類型值0-30表類型如果大于30表示后面還有字節(jié)數(shù)據(jù)長度為1個或多個字節(jié)當小于128字節(jié)可說明否則首字節(jié)最高位為1。后面7位和后續(xù)字節(jié)為實際長度Eg。1200二進制為10010110000則首字節(jié)和后續(xù)字節(jié)為10000100,10110000數(shù)據(jù)值數(shù)據(jù)值的長度取決于數(shù)據(jù)類型。整形編碼為2的補碼，小于128的正整數(shù)需要一字節(jié)，小于32768得要2字節(jié)等位串長度不一定是8的倍數(shù)，所以要開始有一個字節(jié)說明最后有多少位無用101010001110表為0x4,0xa8,0xe0OBJECTIDENTIFIER，編碼為一系列整數(shù)由于第一個總是0，1或2，第二個總小于40。因此第一個數(shù)a和第二個數(shù)b編為一個字節(jié)40a+b.ernet對應{1,3,6,1}編碼{43,6,1}0000011000000011001010110000011000000001SNMPv1網絡管理體系結構SMISMI（管理信息結構）包含了ASN。1的子集，又增加了一些新的內容（四個宏，八個數(shù)據(jù)類型，描述網絡管理信息所有被管理的信息最終以（OBJECT）的形式來體現(xiàn)關系相近的對象合成一個組，不同的組合成一個模塊，稱為MIB模塊設備支持的組越多，設備的可管理程度越高。如果支持一個組，就應支持其中所有的對象，如果支持一個MIB，則不需支持所有的組SMI新增的宏與數(shù)據(jù)類型MODULE-IDENTITYH宏OBJECT宏Eg：ipInDelivers其他MODULE-COMPLIANCENOTIFICATION-TYPEAGENT-CAPABILITIESSNMPv1管理信息結構—SMISNMPv1管理信息結構—SMI(1)SMI樹為MIB變量提供了一致的定義、描述和命名方法。在SMI樹中除根結點以外的所有結點都被分配了一個數(shù)值，用于標識同一父結點下的多個子結點，例如，根結點下有三個子結點CCITT、ISO和JOINT-ISO-CCITT，分別分配數(shù)值0、1和2，以區(qū)分三個不同國際標準組織SMI用對象標識符（ObjectID）命名每個MIB變量，它可以唯一地標識SMI樹中的每個對象。對象標識符是由從根結點對象結點經歷的所有結點的數(shù)值組成數(shù)值序列，數(shù)值之間用“.”隔開。例如，udpInDatagrams的對象標識符為.SNMPv1管理信息結構—SMI(2)管理對象定義樣板（Macro）--definitionofobjecttypesOBJECT-TYPEMACRO::=BEGINTYPENOTATION::=“SYNTAX”type(TYPEObjectSyntax)“ACCESS”Access“STATUS”StatusVALUENOTATION::=value(VALUEObjectName)Access::=“read-only”|“read-write”|“write-only”|“not-accessible”Status::=“mandatory”|“optional”|“obsolete”END--namesofobjectsintheMIBObjectName::=OBJECTIDENTIFIERSNMPv1管理信息結構—SMI(3)管理對象定義舉例ipRouteTableOBJECT-TYPESYNTAXSEQUENCEOFIpRouteEntryACCESSnot-accessibleSTATUSmandatoryDESCRIPTION"Thisentity'sIPRoutingtable."::={ip21}MIB（管理信息庫）一個網絡設備中，可管理的所有對象的定義成為管理信息庫。MIB可以看作是虛擬的信息庫里面存放各種管理對象管理對象的值反映了當前被管理設備的狀態(tài)。MIB的定義是多種多樣的。IETF目前已完成100多個標準MIB對于各種MIB模塊以及各個模塊中的被管理對象地表示采用層次化的樹形結構SNMP三種基本指令取得（get）、設定（set）與警告（trap）SNMPv1指令SNMP是一種簡單的請求回應協(xié)議（Request-responseProtocol），其只需要三種基本指令群動作，就可以使管理器通過向代理器設備要求獲得或設定相關網管信息SNMPv1協(xié)議數(shù)據(jù)單元GetRequestGetNextRequestSetRequestGetResponseTrapPDU格式GetRequestManager發(fā)出GetRequestrequest-id：標識同一代理的每一個未完成的請求，使到來的響應與未完成的請求相關聯(lián)；處理由于不可靠傳輸服務產生的重復PDUvariable-bindings：被請求的對象實例列表（變量綁定表）Agent返回GetResponserequest-id：與GetRequest相同variable-bindings：Get-Request操作是原子的，如果Agent能夠提供所有變量值，則返回每個變量值；如果其中有一個變量值不能提供，則不返回任何值error-status：noSuchName,tooBig,genErr等error-index：指向第一個有問題的對象GetNextRequestAgent在GetResponse中返回按字典順序的下一個對象實例值例。檢索簡單對象值請求：GetRequest(udpInDatagrams.0,udpNoPorts.0,udpInErrors.0,udpOutDataDatagram.0)也可以用GetNextRequest(udpInDatagrams,udpNoPorts,udpInErrors,udpOutDataDatagram)發(fā)出請求響應都是：GetResponse((udpInDatagrams.0=100),(udpNoPorts.0=1),(udpInErrors.0=2),(udpOutDataDatagram.0=200)SetRequestSetRequest用于對象實例賦值variable-bindings：包含對象實例標識和賦給對象實例的值Agent用GetResponse響應SetRequest，SetRequest操作是原子的，如果能夠對variable-bindings中所有對象實例賦值，則在GetResponse中返回variable-bindings，并為每個變量提供一個值；如果有一個變量不能更新，則沒有值返回。

error-status：noSuchName,tooBig,genErr,badValue等TrapTrap由Agent發(fā)出，向Manager通告某些重要的事件一般Trap類型coldStart(0)warmStart(1)linkDown(2)linkUp(3)authenticationFailure(4)egpNeighborLoss(5)enterpriseSpecific(6)專用Trap類型網絡廠商自定義的陷阱類型代碼SNMP取得指令訊息的應用實例SNMPv2協(xié)議SNMP版中增加了GetBulkRequest（獲取一批信息）InformRequest（NMS之間協(xié)同管理）NMS與AgentSNMP應用中NMS主要實現(xiàn)：命令生成，通知接收，代理轉發(fā)Agent實現(xiàn)：命令應答，通知生成NMS為了與人進行交互，應提供良好的用戶界面NMS與AgentSNMP需要被管理設備支持TCP/IP協(xié)議在不支持的情況下可以采用代理的形式拓展被管理設備的范圍SNMP協(xié)議的安全性SNMP協(xié)議安全性就是我們提得“安全的設備管理”SNMP由與簡潔，存在一些問題安全性不夠，功能不完善，缺乏對分布式網絡管理目前大部分設備支持SNMPv1,v2SNMPv1的安全性提供了基本的安全認證，訪問控制等安全保證稱為共同體（community）相當于NMS與被管理者之間的共享口令僅起到了弱認證功能。缺陷猜測community偵聽community多個NMS容易泄露SNMPv2對MIB的訪問范圍進行了更細的限制為不同的community定義相應的MIB子集，稱為SNMPMIBvi