12、网络与通信
一、网络管理的概念
网络的有效管理需要通过网络管理系统来实现,该系统需包含一套继承在网络硬件和软件的全面的数据采集和控制工具。
1.1 网络管理功能
如下是国际标准化组织在ISO 7498-4《开放系统互连-基本参考模型第4部分:管理框架》中建议的网络管理的主要功能。
故障管理一般应包括以下功能:
维护并检查错误日志;
接收错误检测并通知采取行动;
跟踪且识别故障;
执行一系列诊断测试;
修复故障;
计费管理一般应包括以下功能:
告知用户所产生的成本或消耗的资源;
启用计费限制并将计费规则表格与资源使用相关联;
在调用多个资源以实现给定通信目标的情况下,允许合并成本;
配置管理功能通常包括以下功能:
设置控制系统日常操作的参数;
将名称与托管对象和托管对象集相关联;
初始化和关闭托管对象;
根据需要收集有关系统当前状况的信息;
获取系统状况发生重大变化的公告;
更改系统配置;
性能管理通常包括以下功能:
收集统计信息;
维护和检查系统状态的历史记录日志;
确定自然和人工条件下的系统性能;
改变系统操作模式以进行性能管理活动;
安全管理的目的是通过以下功能支持安全策略的应用:
安全服务和机制的创建、删除和控制;
安全相关信息的分发;
安全相关事件的报告;
1.2 网络管理系统
1.2.1 网络管理系统组件
网络管理系统是网络监控和控制工具的集合,集成了以下方面:
单个操作界面,具有强大但用户友好的命令集,用于执行大多数或所有网络管理任务;
最少数量的独立设备,因为网络管理所需的大部分硬件和软件都被纳入现有的用户设备中;
网络管理系统由现有网络组件之间实现的增量硬件和软件添加而成。网路管理系统旨在将整个网络视为一个同一的体系结构,为每个点分配地址和标签,以及系统一直的每个元素和链接的特定属性。
下图显示了网络管理系统的主要组件。每个网络节点都包含一组专门用于网络管理任务的软件,在图中被称为网络管理实体(Network Management Application,NMA)。
每个NME执行以下任务:
收集通信和网络相关活动的统计数据。
在本地存储统计信息。
响应来自网络控制中心的命令,包括执行以下操作的命令:
将收集的统计数据传输到网络控制中心;
更改参数;
提供状态信息;
生成人工流量以执行测试;
在当地条件发生重大变化时,向NCC发送消息。
1.2.2 分布式网络管理系统
在传统的集中式网络管理方案中,配置一台主机充当网络管理站的角色,可以在选择一台或两台作为备份,但是随着网络规模和流量负载的增加,会导致管理站的负担加重。
在分布式网络管理方案中,可以存在多个顶级管理站,这样每个服务器都可以直接管理整个代理池中的一部分。顶级管理站还可以把责任委派给中级管理器。中级管理器扮演经理的角色,以监督和控制其职责范围内的代理。这样分散了处理过程的负担,并减少了总体网络流量。
1.3 网路管理体系结构
思科开发了基于ITU M.3400的分层网络管理体系结构,如下图:
网元管理层(element management layer):为网络设备喝通信链路提供架构,以监控喝控制它们。该层通过直接轮询和网络元素主动通知的组合来捕获事件和故障发生。
网络管理层(network management layer,NML):提供的抽象级别不依赖于特定元素的细节。在事件管理方面,该层从多个元素获取输入,将从不同来源接收的信息关联起来(也成为根本原因分析),并识别发生的事件。
服务管理层(service management layer):负责为过滤后的事件、事件关联以及数据库和事故管理系统之间的通信增添智能和自动化。目标时将传统的网络管理环境和操作人员从元素管理(管理单个警报)迁移到网络管理(管理网络事件),再迁移到服务管理(管理已识别的问题)。
二、防火墙
防火墙是基于主机的安全防护的重要补充。防火墙提供额外的防御层,将内部系统与外部网络或内部的其他部分隔离。
一般而言,防火墙使用四种技术来控制访问并强制执行站点的安全策略。
服务控制:可以根据被访问的Internet服务的类型——入站(inbound)或出站(outbound)。
反向访问:确定启动特定服务请求并允许其通过防火墙的方向。
用户控制:根据试图访问服务的用户身份,控制对该服务的访问。但这种技术需要某种形式的安全身份验证技术,例如IPsec中提供的技术。
行为控制:控制特定服务的使用方式。
2.1 防火墙类型
可以查看我的另一篇文章:网络安全设备 - Diligent_Maple - 博客园 (cnblogs.com)
三、虚拟专用网络和IPsec
3.1 虚拟专用网络
虚拟专用网络(VPN)是在公用网络中配置的专用网络,以利用大型网络的规模经济和管理设施。指定为VPN流量的流量只能从一个VPN源传输到同一个VPN中的目标。通常情况下,需要为VPN提供加密和身份验证设施。
3.2 IPsec
IPsec是一组Internet标准,它通过安全特性增强了当前的IPv4和IPv6。IPsec的主要功能是加密和验证IP级别的所有流量。
IPsec提供三种主要功能:
1)身份验证头(AH):只进行身份验证;
2)封装安全负载(ESP):联合身份验证/加密函数;
3)密钥交换功能;
AH和ESP都是可用的,但是再大多数实现中都是使用ESP而非AH;密钥交换功能允许手动交换密钥和自动化方案。
下图显示了被称为隧道模式的IPsec选项的简化数据模式,该模式使用ESP和密钥交换功能。
隧道模式为整个IP数据包提供保护。为了实现这一点,在将AH和ESP字段添加到IP数据包之后,整个数据包将被视为具有新外部IP头的新外部IP数据包的有效负载。
四、网络管理的安全注意事项
4.1 网络设备配置
与网络设备配置相关的主要安全目标是确保网络设备配置准确,并且不损害网络的安全性。
SOGP建议设备配置的策略和过程包括:
安全架构原则
标准安全管理实践
设备配置
限制访问网络设备
漏洞和补丁管理
更改网络设备中的路由表和设置
定期检查网络设备配置和设置
4.2 物理网络管理
物理网络管理是物理安全的一个方面。只要涉及三个方面:
电信电缆:需要对站点内的通信电缆和提供对站点的外部访问的通信电缆进行物理保护。
网络接入点:将网络接入点存储在安全的环境中,并确保它们遵守物理安全策略,这非常重要。
网络文档:清楚地记录网络配置和功能,这也是非常重要。
4.3 无线接入
无线接入网络管理安全方面的目标是确保只有经过授权的个人和计算设备才能接入无线访问网络,并将无线传输被监控、拦截或修改的风险降至最低。
五、电子通信
5.1 Email
在基本层面上,Internet邮件体系结构包括消息用户代理(MUA)形式的用户世界和消息处理系统(MHS)形式的传输实践,后者由邮件传输代理(MTA)组成。MHS接收来自一个用户的消息并将其传递给一个或多个其他用户,从而创建虚拟MUA到MUA的交换环境。
关键组件包括:
消息用户代理(MUA):MUA代表用户角色和用户应用程序进行操作。MUA是它们在电子邮件服务中的代表。通常,该功能位于用户的计算机中,称为电子邮件程序。发送方MUA格式化一条信息,并通过MAS向MHS执行初始提交,接收方MUA处理接收到的邮件,以便存储和显示给接收方用户。
消息提交代理(MSA):MSA接收MUA提交的消息,并强制执行托管域的策略和Internet标注的要求。该功能可以与MUA一起部署,也可以作为单独的功能模块。在后一种情况下,在MUA和MSA之间使用简单传输协议(SMTP)。
消息传输代理(MTA):MTA为一个应用程序级跃点中继邮件。它的主要工作是进行路由评估,并将消息传输到更靠近接收方的地方。中继是由一系列MTA执行,直到消息道道目标MDA。MTA还向消息头添加跟踪信息。SMTP用于MTA之间以及MTA与MSA或MDA之间。
消息传递代理(MDA):MDA负责使用SMTP将消息从MHS传递到MS。
消息存储(MS):MUA使用一个长期的MS,该MS位于远程服务器上或与MUA位于同一台机器上。通常情况下,MS使用POP(邮局协议)或IMAP(Internet消息访问协议)从远程MS检索消息。
5.1.1 值得信赖的电子邮件标准
一般电子邮件安全威胁分类如下:
与真实性相关的威胁:可能导致未经授权访问企业的电子邮件系统。此类别中的另一个威胁是欺骗,在这种情况下,声称的邮件作者不是实际邮件作者。
与完整性相关的威胁:可能导致未经授权修改电子邮件的内容。
与机密性相关的威胁:可能导致未经授权的敏感信息泄露。
与可用性相关的威胁:可能组织终端用户发送或接收电子邮件。
NIST SP 800-177 值得信赖的电子邮件描述了以下协议和标准:
STARTTLS:此SMTP安全扩展使SMTP客户端和服务器能够协商使用传输层安全(TLS),以提供跨Internet的、私有的、经过身份验证的通信。
S/MIME:S/MIME提供了SMTP消息种所包含的消息体的身份验证、完整性、不可否认性(通过数字签名)和机密性(通过加密)。
基于DNS的命名实体身份验证(DANE):DANE的设计目的使通过为基于DNSSEC(DNS安全扩展)的公钥认证提供替代通道来客服认证中心(CA)系统中的问题,其结果是用于认证IP地址的相同信任关系被用于认证在这些地址上运行的服务器。
发送方策略框架(SPF):SPF 使域所有者能够指定有权代表其发送邮件的 MTA 的 IP 地址。SPF 使用 DNS 允许域所有者创建将域名与授权 MTA 的特定 IP 地址范围相关联的记录。对于接收方来说,检查 DNS 中的 SPF TXT 记录以确认允许邮件的假定发件人使用该源地址并拒绝不是来自授权 IP 地址的邮件。
域密钥识别邮件(DKIM):DKIM 启用电子邮件参与者(作者或操作员)使用加密技术可靠地将域名附加到邮件上,以便过滤引擎为域创建准确的信誉。MTA 能够对选定的标头和邮件正文进行签名。这将验证邮件的源域并提供邮件正文完整性。
基于域的消息身份验证、报告和一致性(DMARC):DMARC 发布了一项要求,要求作者域名必须由 DKIM 和/或 SPF 进行身份验证,该域的所有者可以请求收件人处理使用该域处理未经身份验证的邮件,以及从收件人返回给域所有者的报告机制。DMARC让发送者知道其SPF和DKIM策略的有效性,并向接收者发出信号,在各种个人和批量攻击情况下应采取什么行动。
另一个有用的NIST文件是NIST SP 800-45《电子邮件安全指南》它补充了SP 800-177。SP 800-45建议在公共和专用网络上设计、实施和操作电子邮件系统的安全实践。
5.1.2 电子邮件安全策略
ISO 27002《信息安全控制实践准则》包括以下有关保护电子邮件的注意事项:
根据组织采用的分类方案,保护消息不受未经授权的访问、修改或拒绝服务的影响;
确保消息的正确寻址和传输;
确保服务的可靠性和可用性;
考虑法律因素,例如,电子签名的要求;
在使用外部公共服务之前得到批准;
指定更高级别的身份验证以控制来自公共可访问网络的访问;
5.2 即时消息
即时消息(Instant Messaging,IM)是一种通信服务,例如,微信、QQ等。IM使用共享软件客户端,在使用个人电脑、智能收集或其他设备的两人或更多人之间使用。
即时消息的使用和安全策略:https://www.infotech.com/research/instant-messaging-usage-and-security-policy
5.3 基于IP的语音通信网络
从本质上讲,VoIP涉及语音在基于IP的网络上传输。VoIP的共工作原理是将语音编码成数字格式,然后通过IP网络以离散数据包的形式进行传输。
5.3.1 VoIP信号传导
VoIP通过呼叫用户(程序或个人)提供的URI(统一资源定位符)的电话号码,然后触发一组协议交互并导致呼叫的发生。
VoIP呼叫建立过程的核心是SIP(会话发起协议)。它是一种应用级控制协议,用于通过IP数据网络建立、修改和终止参与者之间的实施会话。SIP的替代方案是ITU-T H.323。
5.3.2 VoIP处理
在VoIP系统中,当被呼叫方响应时,系统将在双方之间建立逻辑链接,并且可以在两个方向上交换语言数据。下图说明了VopIP系统中单项语言数据的基本流。
在发送端,模拟语言信号首先被转换成数字比特流,然后被分割为数据包。打包过程通常由RTP执行。该协议包含对数据包进行标记的机制,以便在接收端按正确的顺序重新组装数据包,协议还包含缓冲功能,用来平滑接收并以连续流的方式传递语音数据。然后UDP和IP通过Internet或私有内部传输RTP数据包。
5.3.3 VoIP威胁与防护
VoIP面临的威胁如下:
VoIP上的垃圾邮件(SPIT):未经请求的批量消息通过VopIP广播链接到Internet的电话。
窃听:拦截控制包使攻击者能够监听不安全的VoIP呼叫;
窃取服务:此类攻击涉及捕获访问代码,允许攻击者进入VoIP提供商网络,然后使用该设施。
中间人攻击:是指攻击者在VoIP呼叫的两端之间插入作为中继点。
VoIP安全措施:
加密:对VoIP数据进行加密。
VPN:通过VPN的方式将VoIP从公共Internet隔离。
端口管理:部署防火墙或其他安全管理工具,以发现和关闭不必要的开放端口,并严格验证试图使用这些端口的设备。
实施防病毒扫描:组织应持续扫描VoIP服务器。
应用程防火墙:这和可以 保护与VoIP服务器关联的资产。
设备认证:任何试图使用VoIP服务的用户设备都应该经过验证。
用户身份验证:应对每个用户进行身份验证,以将特定用户或用户限制为特定的VoIP服务。
