SNMP對(duì)安全風(fēng)險(xiǎn)管理還有價(jià)值嗎?
在過(guò)去幾年里,關(guān)于健康保險(xiǎn)問(wèn)題大家一直在進(jìn)行著激烈的爭(zhēng)論,其中一個(gè)焦點(diǎn)話題就是如何對(duì)風(fēng)險(xiǎn)進(jìn)行管理。是不是應(yīng)該強(qiáng)迫所有市民都通過(guò)購(gòu)買保險(xiǎn)的方式來(lái)管理風(fēng)險(xiǎn),還是應(yīng)該允許他們通過(guò)自己認(rèn)為合適的其它手段來(lái)進(jìn)行管理?對(duì)于網(wǎng)絡(luò)管理領(lǐng)域的討論來(lái)說(shuō),這是一個(gè)非常合適的類比。通過(guò)將網(wǎng)絡(luò)遷移到云中,在設(shè)備管理方面的需求就進(jìn)一步減少。但從另一角度來(lái)看,由于云本身規(guī)模的擴(kuò)大,它也會(huì)逐漸成為越來(lái)越有吸引力的目標(biāo)。
舉例來(lái)說(shuō),通過(guò)大樓里的光纖進(jìn)行連接的云與廣域網(wǎng)連接相比,在遇到整體計(jì)算機(jī)資源出現(xiàn)單點(diǎn)故障時(shí)發(fā)生的情況是完全不同的。因此,我們可以得出這樣的結(jié)論:風(fēng)險(xiǎn)管理必須屬于網(wǎng)絡(luò)規(guī)劃的一個(gè)組成部分。
在最近發(fā)表的一篇文章中,我提出了這樣的觀點(diǎn),即對(duì)于大型網(wǎng)絡(luò)來(lái)說(shuō),snmp是一種非常重要的監(jiān)測(cè)工具。在較小規(guī)模的網(wǎng)絡(luò)中,snmp并不能完全發(fā)揮其作用??紤]到這種情況,你不得不在容忍低可用性和擴(kuò)大網(wǎng)絡(luò)但有可能導(dǎo)致復(fù)雜性增加之間進(jìn)行選擇。這是現(xiàn)實(shí)的問(wèn)題,但更大的顧慮可能來(lái)自2002年以前由于snmp缺陷造成的故障的相關(guān)報(bào)道。
是的,snmp非常老(誕生于1988年)。也經(jīng)歷過(guò)幾次重大更新(三次),并且一直是各種黑客關(guān)注的重點(diǎn)。關(guān)于針對(duì)snmp的各種攻擊,賽門鐵克公司提供了一個(gè)非常有趣的例子,專家展示了一種通過(guò)中間人攻擊破壞SSL和SSH加密協(xié)議的技術(shù)。為了防范這種特殊的攻擊方式,就需要在路由器的普通文件傳輸協(xié)議(TFTP)中加入訪問(wèn)控制列表(ACL)并且利用高質(zhì)量的密碼取代隨意的團(tuán)體名稱。
這些擔(dān)憂,加上周邊通過(guò)用戶數(shù)據(jù)報(bào)協(xié)議(UDP)傳輸數(shù)據(jù)帶來(lái)的憂慮不是沒(méi)有根據(jù)的,已經(jīng)可以讓不少管理員加入不信任snmp的行列。表一提供的內(nèi)容就是有效的,但絕非最終出發(fā)點(diǎn)的snmp強(qiáng)化戰(zhàn)略。
表一
再加上由于不了解實(shí)際情況而產(chǎn)生的不信任氣氛,一些軟件在沒(méi)有提供對(duì)snmp v3版本支持的情況下就發(fā)布了(舉例來(lái)說(shuō),2009年新發(fā)布的Glassfish)。這導(dǎo)致已經(jīng)部署的大量設(shè)備只能支持snmpv1和snmpv2,至少有部分企業(yè)應(yīng)用不能支持snmpv3。在這里,成本可能不是主要原因:圖A顯示的是一臺(tái)支持snmpv3的低成本接入點(diǎn)設(shè)備,它的價(jià)格僅僅是二百美元。
圖A
拋棄它選擇重新開(kāi)始?
如同人體健康一樣,網(wǎng)絡(luò)健康需要利用該系統(tǒng)進(jìn)行限制性管理,因此,沒(méi)有理由選擇拋棄snmp的??紤]到它在分布式管理任務(wù)組(DMTF)公共信息模型(CIM)中起的作用。而CIM的數(shù)據(jù)元素又是Windows管理規(guī)范和其他管理工具層的一部分,原因就是顯而易見(jiàn)的了。設(shè)備管理信息庫(kù)(MIBs)和CIM的價(jià)值在于,可以協(xié)助建立標(biāo)準(zhǔn)的網(wǎng)絡(luò)語(yǔ)義環(huán)境。它們是配置管理和許多其它用途的直接基礎(chǔ)。DMTF對(duì)CIM值得推廣優(yōu)點(diǎn)的描述就是“通過(guò)定義單一的管理信息和服務(wù)語(yǔ)義模式可以派生出所有目標(biāo)和用戶設(shè)備的能力——即相對(duì)于這種模式來(lái)說(shuō),所有位置之間都是有聯(lián)系的?!比绻麤](méi)有這些標(biāo)準(zhǔn),對(duì)象模型的抽象化開(kāi)發(fā)將變得難以執(zhí)行。CIM和snmp之間也許可以脫鉤,但這將耗費(fèi)為期十年相當(dāng)長(zhǎng)的時(shí)間。
不明朗的市場(chǎng)前景
snmp是有價(jià)值的,并且也是非常重要的,但在現(xiàn)代硬件設(shè)計(jì)中它應(yīng)該發(fā)揮什么樣的作用呢?舉例來(lái)說(shuō),在思科統(tǒng)一計(jì)算系統(tǒng)(UCS)的監(jiān)測(cè)設(shè)備中它應(yīng)該采用什么規(guī)則對(duì)于設(shè)備制造商來(lái)說(shuō),它們不關(guān)心snmp是因?yàn)椴淮嬖谶@方面的需求?一個(gè)來(lái)自新蛋網(wǎng)關(guān)于“snmp”的庫(kù)存搜索并不一定是什么確鑿的證據(jù),但在未來(lái)包含了snmp功能的設(shè)備數(shù)字將達(dá)到幾百臺(tái),而且有幾十家廠商選擇支持snmpv3,應(yīng)該能說(shuō)明一定的問(wèn)題。這或許反映出在實(shí)際環(huán)境中,它并沒(méi)有得到充分利用,盡管snmp經(jīng)常被列在設(shè)備功能的在線目錄上,但是卻并沒(méi)有說(shuō)明它支持的是V1,V2或V3版本。一張典型網(wǎng)絡(luò)中可能存在幾百臺(tái)值得利用snmp監(jiān)測(cè)的設(shè)備,因此,通過(guò)簡(jiǎn)單的硬件更新來(lái)實(shí)現(xiàn)snmp安全是不可忽視的事情。
未來(lái)的傳感器和意義建構(gòu)
將snmp的最終目標(biāo)想象為一張可以支持交互操作的大型傳感器框架網(wǎng)絡(luò)是非常明智的。為了成為普遍意義上說(shuō)的綜合傳感器系統(tǒng)就需要獲取更多的信息,一個(gè)典型的例子就是開(kāi)放地理空間聯(lián)盟提供的傳感器建模語(yǔ)言(SensorML)。SensorML支持的不僅僅是地理方面的設(shè)備,也包含了很多其它類型設(shè)備的控制管理和決策。SensorML的處理過(guò)程是“發(fā)現(xiàn)并執(zhí)行”。讓它安全,就意味著你可以獲得健康網(wǎng)絡(luò)的生活。