网络管理与安全

第8章网络管理与安全本章学习目标：8.1网络管理主要了解网络管理协议及网络管理的五大功能8.2网络安全主要了解目前网络中存在的安全隐患、网络安全防御技术等.第8章网络管理与安全8.1网络管理1.网络管理功能2.网络管理系统组成3.网络管理协议4.常用网络管理工具8.2网络安全1.网络安全隐患2.网络安全防御技术一、网络管理功能在OSI系统管理标准中，将开放系统的网络管理功能划分为5大功能领域：1.配置管理配置管理是最基本的网络管理功能，主要用于配置和优化网络。配置管理就是在网络建立、扩充、改造以及业务的开展过程中，对网络的拓扑结构、资源配备、使用状态等配置信息进行定义、监测和修改。2.故障管理故障管理的功能是迅速发现和纠正故障，动态维护网络的有效性。故障管理主要功能有报警监测、故障定位、故障隔离、故障恢复以及维护故障日志。一、网络管理功能3.性能管理性能管理保证有效地运营网络并提供约定的服务质量。性能管理包括性能监测功能、性能分析功能和性能管理控制功能。4.计费管理计费管理的功能是正确地计算和收取用户使用网络服务的费用，进行网络资源利用率的统计和网络的成本效益核算。计费管理主要提供费率管理功能和账单管理功能5.安全管理安全管理的作用是提供信息的保密、认证和完整性保护机制，使网络中的服务、数据和系统免受侵扰和破坏。安全管理主要包含：风险分析功能、安全服务功能、告警、日志和报告功能以及网络管理系统保护功能。二、网络管理系统组成元素1.网络管理工作站一个网络系统中可以有一个或几个网络管理工作站2.代理被管理者称为代理（agent），网上具有多个被管理部件。代理处理管理工作站发出的请求，返回管理工作站需要的数据，也要向管理工作站发出警告信息。3.管理信息库管理信息库（MIB）是网络管理系统需要管理数据的集合。4.网络管理协议网络管理协议是管理者与被管理者之间的操作规范，而具体的操作对象是管理信息的集合——管理信息库（MIB）。二、网络管理系统组成元素一个网络管理协议必须包括以下功能：读取：管理工作站读取代理上的管理信息库的某个值设置：管理工作站设置代理上的管理信息库的某个值通报：代理通知管理工作站有重大事件发生。网络管理系统的基本工作流程为：（1）在被管理部件上预置代理（2）网络管理者使用网络管理协议从代理的MIB中读取被管网络部件的管理信息，并存入自己的MIB（3）管理软件通过对MIB的分析处理，达到网络监控管理目的三、网络管理协议目前常用的网络管理协议主要有：SNMP、RMON、CMIP、TMN、基于Web的网络管理协议1.SNMP（简单网络管理协议）SNMP是目前TCP/IP网络中应用最广泛的协议，其前身是简单网关监控协议（SGMP），用来对通信线路进行管理。随后对其改进并加入了符合Internet定义的SMI和MIB体系结构，改进后的协议就是SNMP。三、网络管理协议一、SNMP（简单网络管理协议）1.SNMP体系结构网络管理者（网络管理站）被管代理MIB视图主机被管代理MIB视图网关被管代理MIB视图终端服务器三、网络管理协议SNMP的四种操作UDP端口162SNMP管理进程SNMP代理进程UDP端口161UDP端口161UDP端口161Get-requestGet-next-requestset-requestGet-resposeGet-resposeGet-resposetrap三、网络管理协议SNMP的四种操作：Get操作：用来提取特定的网络管理信息Get-next操作：通过遍历操作来提供强大的管理信息的提取能力Set操作：用来对管理信息进行控制（修改、设置）Trap操作：用来报告重要的事件三、网络管理协议SNMP管理信息结构和安全控制SNMP的网络管理由MIB、管理信息结构（SMI）及SNMP本身3部分组成三、网络管理协议2.RMON（远程监控）RMON监视器和RMON客户机软件结合，进行网络性能监视三、CMIP（公共管理信息协议）是ISO提供用来代替SNMP的一个重要标准，用于支持管理者与代理之间的通信四、网络管理工具1.Windows系统本身带有的网络监视工具，如在Windows2000的“性能”中，能够监视大量的网络组件性能，能够以图表、日志等形式提供给网络管理员查看，也支持错误警告等。还有Windows中的“网络监视器”组件，该组件能够收集本机收到和发送的网络包，通过对这些网络包的分类、统计、比较，可以预防、诊断和解决多种网络性能问题。四、网络管理工具2.Internet控制消息协议ICMPPing3.网络分析仪或探测器网络分析仪或探测器是监测和解决响应时间问题的常用工具。探测仪通常是一个用于监测网络性能的专用硬件设备。例如：RMON2探测仪可以分析现有网络业务并报告所连网段的使用率、顶层会话者和会话；这些报告都被上层协议分开。探测仪可捕捉分组并分析分组的头信息，用于深入分析网络段的活动。探测仪关于网络段利用率和错误数的报告可以帮助网络专业人员准确确定网络时延和问题。四、网络管理工具常用于监视网络故障的网络监视工具：HP的OpenViewIBM的NetViewSUN的NetManager其他常用工具：Ping、Traceroute、Netstat、CiscoWorks等8.2网络安全网络安全隐患网络安全防御技术1.网络安全隐患Internet技术的飞速增长手段多样的网络攻击：网络的普及使学习网络进攻变得容易攻击工具更加“人性化”复杂程度Internet技术的飞速增长InternetEmailWeb浏览Intranet站点电子商务电子政务电子交易时间第一代•引导性病毒第二代•宏病毒•DOS•电子邮件•有限的黑客攻击第三代•网络DOS攻击•混合威胁（蠕虫+病毒+特洛伊）•广泛的系统黑客攻击下一代•网络基础设施黑客攻击•瞬间威胁•大规模蠕虫•DDoS•破坏有效负载的病毒和蠕虫波及全球的网络基础架构地区网络多个网络单个网络单台计算机周天分钟秒影响的目标和范围1980s1990s今天未来安全事件对我们的威胁越来越快网络安全的演化手段多样的网络攻击：0%10%20%30%40%50%60%70%80%90%100%病毒/网络蠕虫针对网络服务器漏洞的攻击拒绝服务攻击基于缓冲区溢出的攻击与ActiveCode相关的攻击与协议弱点相关的攻击与不完全的密码相关的攻击攻击不可避免攻击工具体系化网络的普及使学习网络进攻变得容易全球超过26万个黑客站点提供系统漏洞和攻击知识越来越多的容易使用的攻击软件的出现年轻人对网络攻击的好奇心大量的攻击工具随手拾来攻击工具更加“人性化”导致的结果：人人都可以说：现有网络安全防御体制入侵检测系统IDS68%杀毒软件99%防火墙98%ACL71%现有网络安全体制VPN虚拟专用网防火墙包过滤防病毒入侵检测2.现有网络安全技术课程议题(一)防范交换机端口安全FF.FF.FF.FF.FF.FF广播MAC地址00.d0.f8.00.07.3c前3个字节：IEEE分配给网络设备制造厂商的后3个字节：网络设备制造厂商自行分配的，不重复，生产时写入设备MAC地址：链路层唯一标识接入交换机MACPortA1B2C3MAC地址表：空间有限MAC攻击攻击：MAC地址表空间是有限的，MAC攻击会占满交换机MAC地址表;使得单播包在交换机内部也变成广播包,向所有端口转发，每个连在端口上的客户端都可以收到该报文;交换机变成了一个Hub，用户的信息传输也没有安全保障了MAC攻击交换机PCAMACAPCBMACBPCCMACCMACPortA1X1Y1交换机MAC地址表空间很快占满。没有空间学习合法的MACB，MACC单播流量在交换机内部以广播包方式,在所有端口转发，非法者也能接受到这些报文MAC攻击：每秒发送成千上万个随机源MAC的报文MAC攻击交换机攻击者端口学习MAC地址数量1个或源MAC地址和端口绑定不一样，受到丢弃/发送警告信息MAC攻击交换机端口安全功能利用交换机的端口安全功能，防止局域网内部攻击,如MAC地址攻击、ARP攻击、IP/MAC地址欺骗等。交换机端口安全的基本功能1、限制交换机端口的最大连接数,控制网络的恶意扩展和接入例：在学校宿舍网内限制端口最大连接数为1，可以防止学生随意购买小型交换机或HUB扩展网络，对网络造成破坏。2、端口的安全地址绑定,解决局域网中IP地址冲突、ARP欺骗等问题例：在学校宿舍网内端口地址绑定，可以解决学生随意更改IP地址，造成IP地址冲突，或者学生利用黑客工具，进行ARP地址欺骗。交换机端口安全内容如果安全端口收到不属于端口上安全地址的包时，一个安全违例将产生。当安全违例产生时，可以选择多种方式来处理违例：Protect：安全端口将丢弃未知名地址的包（不是该端口的安全地址中的任何一个）。RestrictTrap：当违例产生时，将发送一个Trap通知。Shutdown：当违例产生时，将关闭端口并发送一个Trap通知。端口安全配置示例配置fa1/3端口安全功能，设置最大地址个数为8，违例方式为protect。Switch(config)#interfacefa1/3Switch(config-if)#switchportport-securitySwitch(config-if)#switchportport-securitymaximum8Switch(config-if)#switchportport-securityviolationprotect端口安全配置示例配置fa0/3安全功能，绑定MAC为00d0.f800.073c，IP为192.168.12.202Switch(config)#interfacefa0/3Switch(config-if)#switchportport-securitySwitch(config-if)#switchportport-securitymac-address00d0.f800.073cip-address192.168.12.202防范ARP攻击•RFC规定，PC在发ARP请求，任何一台PC都可以向其它PC通告：自己就是，给攻击者带来漏洞ARP协议PCAPCBPCCPCDARP请求非法ARP响应：IPA－MACCARP欺骗ARP欺骗利用ARP漏洞，发送虚假ARP请求报文和响应报文，报文中的源IP和源MAC均为虚假的；扰乱网中各PC以及网关中保存的ARP表，使得合法PC通讯中断，流量流入攻击者手中PCB攻击者：发送ARP欺骗192.168.10.1MACA192.168.10.3MACC192.168.10.2MACB发送ARP响应，告诉：192.168.10.1对应的MAC是MACCARP表刷新，192.168.10.1对应的是MACC发送到网关的流量均到攻击者手中MACC发送ARP响应，告诉：192.168.10.2对应的MAC是MACCARP表刷新，192.168.10.2对应的是MACCARP欺骗防范ARP欺骗ARP欺骗的防范利用端口ARP检查安全功能：检查ARP报文中的源IP和源MAC是否和绑定的一致，防止非法信息点冒充，造成网络通讯混乱。注意：该功能在1x端口下不支持，将在V1.6版本中支持（2005/3月）PCB攻击者：发送ARP欺骗192.168.10.1MACA192.168.10.3MACC192.168.10.2MACB发送ARP响应，说：192.168.10.1对应的MAC是MACC发送ARP响应，说：192.168.10.2对应的MAC是MACCARP攻击防范：端口ARP检查接口上配置port-securityarp-check802.1x链路层验证机制协议IEEE802定义的局域网，不提供认证，用户接入Switch，就可以访问局域网资源，这是一个安全隐患。IEEE802.1X是IEEE标准委员会，针对以太网的安全缺陷而制定的标准：一种基于端口的控制技术，在LAN对接入设备进行认证。802.1x802.1x认证者（交换机）恳请者EAPOLEAPOLExtensibl