前不久,美國計算機緊急預(yù)備小組聯(lián)手美國國土安全部向網(wǎng)絡(luò)安全專業(yè)人員發(fā)布了國家網(wǎng)絡(luò)安全感知系統(tǒng)(National Cyber Awareness System)建議,其中包含6個建議方法以緩解對網(wǎng)絡(luò)基礎(chǔ)設(shè)施設(shè)備的威脅,包括帶外管理。下面是對這6個建議的簡單介紹:
分離網(wǎng)絡(luò)和功能。當(dāng)發(fā)現(xiàn)入侵活動時,受影響的網(wǎng)段(而非整個網(wǎng)絡(luò))應(yīng)該自動關(guān)閉,其余部分則繼續(xù)運行。
限制不必要的橫向通信。通過基于主機的防火墻規(guī)則和訪問控制列表確保適當(dāng)?shù)耐ㄐ拧?/p>
強化網(wǎng)絡(luò)設(shè)備。加密遠(yuǎn)程管理協(xié)議、禁用不必要的服務(wù)并部署最新修復(fù)程序。
對基礎(chǔ)設(shè)施設(shè)備的安全訪問。通過適當(dāng)部署網(wǎng)絡(luò)安全訪問政策,防止未經(jīng)授權(quán)訪問。
執(zhí)行帶外管理。備用路徑用于遠(yuǎn)程管理網(wǎng)絡(luò)基礎(chǔ)設(shè)施設(shè)備以及主動響應(yīng)帶內(nèi)網(wǎng)絡(luò)的入侵活動。
檢查硬件和軟件的完整性。可發(fā)現(xiàn)并阻止或移除因入侵活動而被篡改的產(chǎn)品。所有網(wǎng)絡(luò)管理員應(yīng)該定期檢查產(chǎn)品完整性。
SDN控制器在帶內(nèi)網(wǎng)絡(luò)對流量執(zhí)行帶外管理的重要性往往被忽視,SDN控制器可幫助網(wǎng)絡(luò)管理員減少查找和修復(fù)帶內(nèi)網(wǎng)絡(luò)漏洞的時間,緩解漏洞的措施應(yīng)該是帶外風(fēng)險管理計劃的一部分。例如,關(guān)鍵網(wǎng)絡(luò)設(shè)備必須正確配置以讓攻擊者難以觀察管理員在BIOS、設(shè)備配置和鏈接升級中所作的變更。下面是對網(wǎng)絡(luò)基礎(chǔ)設(shè)施設(shè)備執(zhí)行帶外管理的一些方法。
在SDN控制器大腦背后是OpenFlow,它是一種通信標(biāo)準(zhǔn),它使該控制器將控制平面從網(wǎng)絡(luò)設(shè)備的數(shù)據(jù)平面分離。該控制器會在轉(zhuǎn)發(fā)流量(控制平面)到帶內(nèi)網(wǎng)絡(luò)時告訴網(wǎng)絡(luò)設(shè)備應(yīng)該做什么,但不會實際轉(zhuǎn)發(fā)流量(數(shù)據(jù)平面)。如果網(wǎng)絡(luò)設(shè)備變得擁塞,控制器可指示正常的設(shè)備放入流量。
OpenFlow已被用于鏡像帶內(nèi)流量用于對流量的帶外管理,這可讓管理員監(jiān)控帶內(nèi)網(wǎng)絡(luò)設(shè)備,而無論設(shè)備是否開機、關(guān)機、無響應(yīng)或者無法通過帶內(nèi)網(wǎng)絡(luò)訪問。如果帶內(nèi)網(wǎng)段被發(fā)現(xiàn)無法開機,帶外管理可用于重新啟動它。
帶外管理部署
帶外管理可物理或虛擬地部署在企業(yè)內(nèi)部,或者以混合方式部署。如果使用多控制器,企業(yè)應(yīng)該考慮邊界網(wǎng)關(guān)協(xié)議(BGP)是否對帶外管理提供支持。
這種聯(lián)合技術(shù)讓多控制器在控制器之間交流信息,這是跨越兩個或多個地理點的大型網(wǎng)絡(luò)的特性。例如,當(dāng)一個控制器無法正常工作,相同SDN環(huán)境的其他控制器將自動通過指定路由器獲得數(shù)據(jù)包。企業(yè)的網(wǎng)絡(luò)政策應(yīng)該涵蓋BGP作為對帶外管理的支持協(xié)議之一。(請注意,一臺控制器可用于小型商業(yè)網(wǎng)絡(luò))。
如果企業(yè)不想在內(nèi)部部署管理軟件,則可以考慮基于訂閱的云管理服務(wù)。例如,Cradlepoint提供這種服務(wù)作為云產(chǎn)品。另一個考慮因素是供應(yīng)商是否允許網(wǎng)絡(luò)管理員隨時隨地使用無線USB調(diào)制解調(diào)器來遠(yuǎn)程管理帶外和帶內(nèi)網(wǎng)絡(luò)設(shè)備。
基于供應(yīng)商的帶外管理
有些SDN供應(yīng)商需要企業(yè)部署帶外網(wǎng)絡(luò)以提供更好的延遲時間,特別是當(dāng)帶內(nèi)網(wǎng)段出現(xiàn)故障時。這些供應(yīng)商包括Ixia和Gigamon等流量監(jiān)控公司,以及思科、Brocade和惠普等傳統(tǒng)網(wǎng)絡(luò)供應(yīng)商。
智能平臺管理接口(IPMI)是對內(nèi)部服務(wù)器或設(shè)備進行帶外管理的最常見方法。IPMI使用Base Management Controller(它自己有電源)通信端口和操作系統(tǒng),基于供應(yīng)商的IPMI設(shè)備包括戴爾DRAC/iDRAC、惠普Integrated Lights-Out和IBM Remote Supervisor。
但I(xiàn)PMI設(shè)備如果沒有正確配置,則會出現(xiàn)漏洞,例如默認(rèn)密碼。在帶外管理用于對受感染IB網(wǎng)段執(zhí)行修復(fù)措施之前,應(yīng)該修復(fù)這些漏洞。
性能監(jiān)控
為了查看帶外網(wǎng)絡(luò)如何管理,我們需要監(jiān)控機制。其中一種可能性是Tenable的SecurityCenter Continuous View,這是一個儀表板,可提供對帶外管理設(shè)備或系統(tǒng)中漏洞、威脅和網(wǎng)絡(luò)流量的風(fēng)險評估。另一個選項是Cradlepoint的Modem Healthe Management,提供對調(diào)制解調(diào)器的自我健康監(jiān)控、WAN端口速度控制以及基本和高級日志記錄用于故障排除。
企業(yè)應(yīng)關(guān)注《常見漏洞和披露》以及美國CERT對帶外漏洞利用的通告,這些可能是性能監(jiān)控設(shè)備可能忽視的漏洞。最重要的是,要比攻擊者領(lǐng)先一步。
京公網(wǎng)安備 11010502049343號