jump to navigation

网络管理与网络安全 三月 1, 2005

Posted by wansion in 技术.
trackback

网络是开放的系统,是复杂的系统,是脆弱、不完善的系统。 一. 网络管理是指为保证网络系统能够持续、稳定、安全、可靠和高效的运行,对网络系统实施的一系列方法和措施。 网络管理的任务: 二.网络管理的基本内容: 1. 数据通信网中的流量控制。限制网络访问。 2. 网络路由选择策略管理。 要有一套管理和提供路由的机制。 3. 网络管理员的管理与培训。 4. 网络的安全防护 5. 网络的故障诊断 6. 网络的费用计算 三.网络管理系统的基本模型 网络管理系统是用于对网络进行有效管理、实现网络管理目标的系统,是网络管理员对网络管理的途径。 网络管理系统从逻辑上分为: 管理对象,管理进程,管理信息库,管理协议四个部分。

1. 管理对象:网络中具体可以操作的数据。如:工作参数,状态参数。 2. 管理进程:用于对网络中的设备和设施进行管理和控制的软件。 3. 管理信息库:用于记录管理对象的信息。如:各种参数的值。代码值。 4. 管理协议:用于在管理系统与管理对象之间传递操作命令,负责解释管理操作命令。 四 OSI网络管理的标准:五个功能域 1. 故障管理 2. 配置管理 3. 性能管理 4. 安全管理 5. 记账管理 五.简单网络管理协议SNMP SNMP是现代网络管理应用最广泛的网络管理协议。它的目标是保证管理信息在任意两点中传送,便于网络管理员在网络上的任何节点检索信息,进行修改,寻找故障;完成故障诊断,容量规划和报告生成。Win NT 中配置有SNMP。编写网络程序要用到SNMP的函数。 SNMP是TCP/IP协议簇的一个应用层协议,是在TCP/IP上开发的,但它独立于于TCP/IP之外。它适合许多种通信协议。如PING命令 由三个部分组成:管理进程,管理代理,管理信息数据库。 六.计算机网络安全概述。 1.计算机网络安全:网络系统中用户共享的软件、硬件等各咱资源的安全,防止各种资源不受到有意和无意的各种破坏,不被非法侵用等。 2. 风险:遭受损失的程度。威胁:对资产构成的人、物、事、想法等因素。 网络系统中资产主要是数据。资产是风险分析的核心。 3. 敏感信息:那些容易丢失、滥用、被非法授权人访问或修改的信息,是泄露、破、不可使用或修改后对你的组织造成损失的信息。 5. 脆弱性:系统中安全防护的弱点。 6. 控制:降低受破坏的可能性所做的努力。 7. 网络不安全因素: (1) 环境:自然环境和社会环境。 (2) 资源共享:网络共享资源的功能,同时也带来了不安全因素。 (3) 数据通信:通信中的数据极易受损坏。 (4) 计算机病毒:资源浪费、网络瘫痪。 (5) 网络管理:人为管理的漏洞和缺点。 七.保护网络系统的基本要素 (1) 安全策略 (2) 防火墙(Firewall)。是网络系统中一种用来隔离网络用户的某些工作的技术。一类防范措施的总称,它使得内部网络与Internet之间或者与其他外部网络互相隔离、限制网络互访用来保护内部网络。防火墙简单的可以只用路由器实现,复杂的可以用主机甚至一个子网来实现。设置防火墙目的都是为了在内部网与外部网之间设立唯一的通道,简化网络的安全管理。 防火墙的功能有: 1、过滤掉不安全服务和非法用户(包过滤) 2、控制对特殊站点的访问 3、提供监视Internet安全和预警的方便端点 (3) 记录 (4) 识别和鉴别,如口令 (5) 脆弱性评价:进行脆弱性检查 (6) 物理保护 八.网络安全策略 1. 预防为主,对症下药,消除隐患。 2. 对广域网:数据通信保密和通信链路安全保护。搭线窃听。 九.风险名称: 十.保密技术:数据加密分为通信加密,文件加密,访问保护三类。 通信加密有:节点加密,链路加密,端对端加密。

简单网络管理协议(SNMP) 1.网络管理的发展   简单网络管理协议(SNMP,Simple Network Management Protocol)是TCP/IP协议簇的一个应用层协议,它是随着TCP/IP的发展而发展起来的。   在TCP/IP发展的前期,由于规模和范围有限,网络管理的问题并未得重视。直到70年代,仍然没有正式的网络管理协议,当时常用的一个管理工具就是现在仍在广泛使用的Internet控制报文协议(ICMP,Internet Control Message Protocol)。ICMP通过在网络实体间交换echo和echo-reply的报文对,测试网络设备的可达性和通信线路的性能。一个大家熟知的ICMP工具就是ping。   然而随着Internet的爆炸性发展,连接到Internet上的组织和实体数目也越来越多。这些各自独立的实体主观和客观上都要求能够独立地履行各自的子网管理职责,因此要求一种更加强大的标准化的网络管理协议来对实现Internet的网络管理。   80年代末,Internet体系结构委员会采纳SNMP作为一个短期的网络管理解决方案;由于SNMP的简单性,在Internet时代得到了蓬勃的发展,1992年发布了SNMPv2版本,以增强SNMPv1的安全性和功能。 2.SNMP的网络管理模型   SNMP作为一种网络管理协议,它使网络设备彼此之间可以交换管理信息,使网络管理员能够管理网络的性能,定位和解决网络故障,进行网络规划。   SNMP的网络管理模型由三个关键元素组成(图1):   · 被管理的设备(网元);   · 代理(agent);   · 网络管理系统(NMS,network-management system-NMS)。   网元是管理网中包括一个SNMP代理的网络节点,它可以是路由器、接入服务器、交换机、网桥、hub、主机、打印机等网络设备。 网元负责收集和存储管理信息,使其为NMS可用。 代理是位于网元中的一个网络管理软件模块,它掌握本地的网络管理信息,并将此信息转换为SNMP兼容的形式,在NMS发出请求时做出响应。 NMS监控和管理网元,提供网络管理所需的处理和存储资源。广义的网络管理系统应该包括一个管理网中的所有软硬件设备以及管理信息库和网络管理协议,而这里的NMS实际上是指网络管理员与网络管理系统的接口。一个管理网中可以存在多个NMS。

图1.SNMP管理网的结构示意 3.SNMP的管理信息库   管理信息库(MIB,Management Information Base)是一个存放管理元素信息的数据库。它管理信息的有层次的集合,由管理对象组成,并由对象标识符进行标识。管理网中每一个被管网元都应该包括一个MIB,NMS通过代理读取或设置MIB中的变量值,从而实现对网络资源的监视和控制。   MIB中的管理对象是被管理网元的一个特定性征,它由一个或多个对象实例组成,对象实例实际上就是变量。   在MIB中,存在着两类管理对象:标量对象和表式对象。标量对象仅定义了一个对象实例;而表式对象定义了多个相关的对象实例集。每个对象实例唯一地对应一个实例标识。标量对象和表式对象的每个实例都是MIB树的叶子节点,可以被SNMP访问,而表对象和行对象不是叶子节点,所以它们的状态是"not-accessible"。   之所以我们把MIB这种层次化的结构称为MIB树,是因为在MIB结构中,每个对象类型被分配一个整数序列形式对象标识符,对象标识符和对象实例标识符都是按照字典式排序的,所有的对象集合呈现出树状结构。   如图2,MIB树的根是符合ASN.1标准的对象。第一级有三个节点:ccitt、iso、iso-ccitt。低级的对象ID分别由相关组织分配。一个特定对象的标识符可通过由根到该对象的路径获得。在Internet节点下,定义了一个private子树,这是为厂商提供的私有MIB分支,其中包含企业私有的管理对象。尚未标准化的MIB对象位于实验分支中。

让我们举一个例子。如cisco公司的一个私有MIB对象atInput,它是个标量对象,仅包含一个对象实例。它是个整型变量,表示在一个路由器接口输入的AppleTalk的包的个数。我们可以采用两种方式来唯一标识一个管理对象:   · 采用对象名:iso.identified-organization.dod.internet.private.enterprise.cisco.temporary variables.AppleTalk.atInput   · 采用对象描述符: 1.3.6.1.4.1.9.3.3.1. 4.SNMPv1   SNMP必须负责调整不同网元之间的不兼容性。不同的计算机系统可能使用不同的数据表示格式,这可能影响SNMP交换网元信息的能力。因此SNMP使用抽象语法符号集1 (ASN.1),以保证不同系统间的正常通信。   管理信息结构(SMI,Structure of Management Information)在RFC1155中定义,给出了定义和构造MIB结构的总体框架。   SNMPv1是SNMP实现的最初版本,由RFC 1157定义,并按SMI构造和实现。SNMPv1可以应用于UDP、IP、CLNS、AppleTalk、DDP、IPX等协议之上,广泛应用于因特网,并成为实际上的网络管理协议。SNMPv1 SMI由RFC 1155定义,着重定义了ASN.1数据类型、SMI特定的数据类型以及SNMP MIB表。 4.1 SNMPv1的数据类型 1.ASN.1数据类型   SNMPv1 SMI规定所有管理对象都有一组相关的ASN.1数据类型。三种ASN.1数据类型是必须的: 名字(name)、语法(syntax)和编码(encoding)。 Name即对象标识符 (object ID);语法定义了对象的数据类型(如整型、串型);编码描述了一个管理对象的相关信息如何被格式化为适合网络传送的数据段。 2.SMI特定的数据类型   SMI特定的数据类型分为两种:简单的数据类型和基于应用(application-wide)的数据类型。 简单的数据类型包括: integer、octet string、object Id。 它们都是单值数据类型。   · Integer:整型是-2,147,483,648~2,147,483,647的有符号整数;   · octet string:字符串是0~65535个字节的有序序列;   · Object ID:来自按照ASN.1规则分配的对象标识符集。   SNMPv1 SMI定义的application-wide的数据类型有7种: network address、counter、Gauge、time ticks、opaque、integer、unsigned integer。   · network address:网络地址,表示从一个特定协议族中选定的网络地址, SNMPv1仅支持32位IP地址;   · counter:计数器是一个非负的整数,它递增至最大值,而后回零。SNMPv1中定义的计数器是32位的,即最大值为232-1;   · Gauge :也是一个非负整数,它可以递增或递减,但达到最大值时保持在最大值,最大值为232-1;   · time ticks:是一个时间单位,表示以0.01秒为单位计算的时间;   · opaque:表示用于传递任意信息串的任意编码格式,它与SMI使用的严格数据输入格式不同;   · integer:表示有符号的整数值,这个数据类型重定义了integer数据类型,integer在ASN.1中精度是任意的,但在SMI中精度受限;   · unsigned integer:表示一个无符号的整数,用于表示非负的数值。这个数据类型重定义了integer数据类型,integer在ASN.1中精度是任意的,但在SMI中精度受限. 4.2 SNMPv1的协议操作   SNMP对网元的监控是通过4个基本的SNMP命令实现的:读(read)、写(Write)、trap和遍历(Traversal)。   · read命令用于NMS监视网元设备,检查网元保存的各不同变量值;   · Write命令用于NMS控制网元,改变网元存储的变量值;   · Trap命令用于网元异步地向NMS报告发生事件;   · Traversal用于NMS确定网元支持哪个变量,以及从变量表中顺序收集信息。   SNMPv1 SMI定义了高度结构化的表,一个表式对象综合了多个对象实例(变量)。一个表可以有0行或多行,并以某种方式进行索引。   SNMP是一个简单的请求-响应协议。NMS发出请求,网元返回应答。SNMP使用Get、GetNext、Set、Trap四个协议操作。Get操作用于NMS从一个代理检索一个或多个MIB变量。如果代理不能提供一个表中所有变量的值,它就不返回任何值。GetNext操作用于NMS在一个代理中检索表中下一个变量的值。Set操作用于NMS在一个代理中设置MIB变量的值。代理通过Trap操作向NMS异步地通知发生的重要事件。 4.3 SNMPv1的消息格式   SNMPv1的消息格式包括两部分:消息头部和协议数据单元(PDU)。   SNMPv1消息头部包括两个字段:版本号与社区名。   · Version Number:定义使用的SNMP版本   · Community Name:定义一组NMS的访问环境。一个社区内的NMS采用同样的管理策略。社区名可以用来进行简单的认证,不知道正确社区名的网络设备将被排除在SNMP操作之外。   SNMPv1 的GetRequest、GetNextRequest、SetRequest 和Response的PDU格式相同,如图3。管理代理在收到一个GetRequest/GetNextRequest/SetRequest/Trap PDU后,向NMS发送一个相应的Response PDU。 图3. SNMPv1 GetRequest、GetNextRequest、SetRequest、Response PDU的格式   · PDU Type:指明PDU类型(GetRequest、GetNextRequest、SetRequest、Trap);   · Request ID:SNMP请求标识;   · Error Status:表示错误和错误类型,只有响应操作才设置该字段,其他操作将该字段设为0;   · Error Index:错误索引号,与特定对象实例的错误相关,只有响应操作才设置该字段,其他操作将该字段设为0;   · Variable Bindings:SNMPv1 PDU的数据字段,携带特定对象实例的当前值(Get and GetNext请求的该字段被忽略,因为无须携带值)。   Trap PDU的格式如图4,它包括8个字段。 图4. Trap PDU的格式   · Enterprise:指出发出trap的管理对象类型;   · Agent Address:表示发出trap的管理对象的地址;   · Generic Trap Type:普通trap类型;   · Specific Trap Code:特定的厂商可扩展的 trap代码;   · Time Stamp:表示最后一次网络启动到发出trap的时间;   · Variable Bindings— SNMPv1 Trap 的PDU字段,携带特定对象实例的当前值。 5.SNMPv2   SNMPv2是SNMPv1的改进版本,现在是一个草案标准。理论上SNMPv2提供了许多增强功能,包括新增了操作类型。 5.1 SNMPv2的数据类型   SNMPv2的SMI在RFC 1902中定义,在SNMPv1 SMI基础上,它包括了一些新增的和扩展的特定SMI数据类型,如:bit string、network address、counter。   · Bit string是一个SNMPV2新增的数据类型,由0或多个位组成,表示一个值;   · network address:网络地址表示一个特定协议族中对应的网络地址, SNMPv1仅支持32位IP地址,而SNMPv2可以支持其它的地址类型;   · counter:计数器是一个非负的整数,它递增至最大值,而后回零。SNMPv1中计数器是32位的,而SNMPv2支持32和64位的计数器。 5.2 SNMPv2的信息模块   SNMPv2 SMI定义了三种信息模块: MIB模块、一致性描述、能力描述。MIB模块包括相关管理对象的定义;一致性描述提供了一个系统的方法来描述一组管理对象必须达到的与标准的一致性;能力描述用于指明一个代理对于相关的MIB变量集的精确支持程度。NMS可以根据每个代理的能力描述调整它与代理之间的操作。 5.3 SNMPv2的协议操作   SNMPv2中的Get、GetNext、和Set操作与SNMPv1完全一样,但是增加和扩展了一些协议操作。如SNMPv2 的Trap操作虽然实现与SNMPv1中相同的功能,但是使用不同的消息格式。 SNMPv2还定义了两种新的协议操作:GetBulk 和Inform。GetBulk操作用于NMS高 效检索大的数据块,如一个表中的多行。GetBulk在适合的情况下尽可能多地将请求数据填充到返回消息中。Inform 操作允许一个NMS向另一个发送trap,并检索它的响应。在SNMPv2中,响应GetBulk的请求时,如果代理不能提供列表中所有变量的值,它将返回所能找到的部分变量的值(注意:这是与Get操作的不同之处)。 5.4 SNMPv2的消息格式   SNMPv2消息也包括头部和PDU.   SNMPv1消息头部包括两个字段:版本号与社区名。   · Version Number:定义使用的SNMP版本   · Community Name:定义一组NMS的访问环境。一个社区内的NMS采用同样的管理策略。社区名可以用来进行简单的认证,不知道正确社区名的网络设备将被排除在SNMP操作之外。   SNMPv2视乎SNMP协议的操作,定义了两种PDU格式。SNMPv2 PDU的字段长度是可变的。   SNMPv2 的GetRequest、GetNextRequest、SetRequest 、Inform、Trap和Response的PDU格式相同。如图5。 图5. SNMPv2 的Ge、GetNext、Set、Inform、Trap、Response的PDU格式   · PDU Type:指明PDU类型;   · Request ID:SNMP请求标识;   · Error Status:表示错误和错误类型,只有响应操作才设置该字段,其他操作将该字段设为0;   · Error Index:错误索引号,与特定对象实例的错误相关,只有响应操作才设置该字段,其他操作将该字段设为0;   · Variable Bindings:SNMPv2 PDU的数据字段,携带特定对象实例的当前值(Get and GetNext请求的该字段被忽略,因为无须携带值)。   SNMPv2 的GetBulk PDU的格式如图6。 图6.SNMPv2 的GetBulk PDU的格式   · PDU Type:指明该PDU属于GetBulk操作类型;   · Request ID:SNMP请求标识;   · Non-repeaters:指明变量绑定字段中被索引不超过一次的变量数量。该字段用于当某些表式对象只有一个变量的情况;   · Max-repetitions:定义除了non-repeaters字段之外的其他变量被索引的最大次数;   · Variable Bindings:SNMPv2 PDU的数据字段,携带特定对象实例的当前值(Get and GetNext请求的该字段被忽略,因为无须携带值) 6.SNMP的安全性   SNMPv1只能通过消息头部的社区名进行简单的认证,容易遭受安全性攻击。安全性威胁包括 :伪装、信息篡改、消息失序和定时的修改、泄露等。   · 伪装是未经授权的组织伪装成获得授权的管理组织,试图进行管理操作的行为;   · 信息篡改是未经授权的组织试图篡改一个由合法组织发出的消息,导致非法管理操作;   · 当未经授权的组织把消息重排序、拦截或复制时将导致消息的失序和定时被修改;   · 当未经授权的组织窃取了存在管理对象中的值,或从管理站和代理的信息交换中获知了某事件的发生,称为信息泄露。   由于SNMPv1安全性受限,许多厂商只好不支持或仅部分支持Set操作,从而降低了SNMP的功能,使其只能起到一个监视网络的作用。   SNMPv2在安全性上较SNMPv1有了很大的改善。它采用MD5报文摘要算法防止信息被篡改和改序;并对报文的指定部分采用对称加密算法(DES标准加密算法)进行加密。

Advertisements

评论»

No comments yet — be the first.

发表评论

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / 更改 )

Twitter picture

You are commenting using your Twitter account. Log Out / 更改 )

Facebook photo

You are commenting using your Facebook account. Log Out / 更改 )

Google+ photo

You are commenting using your Google+ account. Log Out / 更改 )

Connecting to %s

%d 博主赞过: