网络基础设施安全 - CCERT应急响应组.ppt

第七讲、网络基础设施安全 （3）网络管理系统安全 目录 7.1 局域网和VLAN 7.2 远程访问（拨号） 7.3 路由系统安全 7.4 网络管理系统安全 7.5 域名系统安全 7.4 网络管理系统安全 SNMP的基本概念 SNMPv1 的安全机制 SNMPv3 SNMP的基本概念 管理工作站（Manager） 被关对象，代理（ Agent） 管理信息库 (MIB) 网络管理协议 SNMP的基本概念 管理工作站 图形用户界面：网络管理员用于监视和控制网络的界面 一组工具软件：用于数据分析、发现故障等 数据库：从被管理的设备中提取出来的管理信息 数据采集：主动轮询/被动接收被管设备的信息 管理代理（Agent） 被管对象：Host, bridges, routers, switches 接收管理工作站的命令请求，并执行/响应 向管理工作站（Manager）主动发起告警信息 SNMP的基本概念 管理信息库（MIB）， RFC 1213 被管对象信息的表示，管理工作站通过检索和监视MIB变量来监视和控制网络设备 管理协议 简单网络管理协议（SNMP） RFC 1157 GET 管理工作站从 被管对象获取信息 SET 管理工作站设置被管对象的信息 TRAP (Notify) SNMP的基本概念 SNMPv1 SNMPv1 Packet Format SNMPv1的安全缺陷 基于UDP数据传输协议 容易被假冒 重发 用Request ID识别请求与响应报文的编号 认证 Manager 和 Agent 之间 共享community name (类似于明码传输的口令) 缺省public/ private , 安全隐患 访问控制 基于地址 只有两种访问模式：RO 和RW 数据必威体育官网网址 无 数据完整性机制 无 SNMPv2 协议 SNMPv1的扩展 增加了2 新的命令 get-bulk-request inform-request 基于MD5 的认证 基于DES算法的数据加密 基于视图(view )的访问控制 View , MIB的一个子集 SNMPv2 Protocol continued... Future Options SNMPv3 New IETF draft just released Similar to SNMPv2 Addresses time drift and replay attacks IPsec Offers cure/fix to existing implementations Some theoretical attacks described Network Management Ideal Reliable transport TCP IPsec (IPv6) UDP Authentication MD5 or SHA Randomly generated keys Secure bulk encryption (3des, IDEA, blowfish) Misc Ticket based systems (kerberized?) Secure key distribution (PK?) 小结 SNMP管理模型 SNMPv1的安全缺陷 SNMPv2的安全机制 * Protocol Manager Agent, MIBs UDP IP SNMP UDP IP SNMP 网络 management application Get Request Set Request Trap Managed objects Get Request Set Request Trap SNMP messages application Manager Agent get_request get_next_request get_response port 161 port 161 port 161 port 161 port 162 get_response get_response set_request trap UDP Header Version Community PDU Type Request ID Error Status Error Index name value name ... privDst dstParty srcParty context PDU privDst dstParty srcParty context PDU privDst dstParty srcParty context PDU privDst privDst authInfo 0-length OCTET STRING General Format Nonsecure Message digest d