[[174097]]

前不久，美國計算機緊急預備小組聯(lián)手美國國土安全部向網(wǎng)絡安全專業(yè)人員發(fā)布了國家網(wǎng)絡安全感知系統(tǒng)(National Cyber Awareness System)建議，其中包含6個建議方法以緩解對網(wǎng)絡基礎設施設備的威脅，包括帶外管理。下面是對這6個建議的簡單介紹：

1.分離網(wǎng)絡和功能。當發(fā)現(xiàn)入侵活動時，受影響的網(wǎng)段(而非整個網(wǎng)絡)應該自動關閉，其余部分則繼續(xù)運行。

2.限制不必要的橫向通信。通過基于主機的防火墻規(guī)則和訪問控制列表確保適當?shù)耐ㄐ拧?/p>

3.強化網(wǎng)絡設備。加密遠程管理協(xié)議、禁用不必要的服務并部署最新修復程序。

4.對基礎設施設備的安全訪問。通過適當部署網(wǎng)絡安全訪問政策，防止未經(jīng)授權訪問。

5.執(zhí)行帶外管理。備用路徑用于遠程管理網(wǎng)絡基礎設施設備以及主動響應帶內(nèi)網(wǎng)絡的入侵活動。

6.檢查硬件和軟件的完整性?？砂l(fā)現(xiàn)并阻止或移除因入侵活動而被篡改的產(chǎn)品。所有網(wǎng)絡管理員應該定期檢查產(chǎn)品完整性。

SDN控制器在帶內(nèi)網(wǎng)絡對流量執(zhí)行帶外管理的重要性往往被忽視，SDN控制器可幫助網(wǎng)絡管理員減少查找和修復帶內(nèi)網(wǎng)絡漏洞的時間，緩解漏洞的措施應該是帶外風險管理計劃的一部分。例如，關鍵網(wǎng)絡設備必須正確配置以讓攻擊者難以觀察管理員在BIOS、設備配置和鏈接升級中所作的變更。下面是對網(wǎng)絡基礎設施設備執(zhí)行帶外管理的一些方法。

在SDN控制器大腦背后是OpenFlow，它是一種通信標準，它使該控制器將控制平面從網(wǎng)絡設備的數(shù)據(jù)平面分離。該控制器會在轉發(fā)流量(控制平面)到帶內(nèi)網(wǎng)絡時告訴網(wǎng)絡設備應該做什么，但不會實際轉發(fā)流量(數(shù)據(jù)平面)。如果網(wǎng)絡設備變得擁塞，控制器可指示正常的設備放入流量。

OpenFlow已被用于鏡像帶內(nèi)流量用于對流量的帶外管理，這可讓管理員監(jiān)控帶內(nèi)網(wǎng)絡設備，而無論設備是否開機、關機、無響應或者無法通過帶內(nèi)網(wǎng)絡訪問。如果帶內(nèi)網(wǎng)段被發(fā)現(xiàn)無法開機，帶外管理可用于重新啟動它。

帶外管理部署

帶外管理可物理或虛擬地部署在企業(yè)內(nèi)部，或者以混合方式部署。如果使用多控制器，企業(yè)應該考慮邊界網(wǎng)關協(xié)議(BGP)是否對帶外管理提供支持。

這種聯(lián)合技術讓多控制器在控制器之間交流信息，這是跨越兩個或多個地理點的大型網(wǎng)絡的特性。例如，當一個控制器無法正常工作，相同SDN環(huán)境的其他控制器將自動通過指定路由器獲得數(shù)據(jù)包。企業(yè)的網(wǎng)絡政策應該涵蓋BGP作為對帶外管理的支持協(xié)議之一。(請注意，一臺控制器可用于小型商業(yè)網(wǎng)絡)。

如果企業(yè)不想在內(nèi)部部署管理軟件，則可以考慮基于訂閱的云管理服務。例如，Cradlepoint提供這種服務作為云產(chǎn)品。另一個考慮因素是供應商是否允許網(wǎng)絡管理員隨時隨地使用無線USB調(diào)制解調(diào)器來遠程管理帶外和帶內(nèi)網(wǎng)絡設備。

基于供應商的帶外管理

有些SDN供應商需要企業(yè)部署帶外網(wǎng)絡以提供更好的延遲時間，特別是當帶內(nèi)網(wǎng)段出現(xiàn)故障時。這些供應商包括Ixia和Gigamon等流量監(jiān)控公司，以及思科、Brocade和惠普等傳統(tǒng)網(wǎng)絡供應商。

智能平臺管理接口(IPMI)是對內(nèi)部服務器或設備進行帶外管理的最常見方法。IPMI使用Base Management Controller(它自己有電源)通信端口和操作系統(tǒng)，基于供應商的IPMI設備包括戴爾DRAC/iDRAC、惠普Integrated Lights-Out和IBM Remote Supervisor。

但IPMI設備如果沒有正確配置，則會出現(xiàn)漏洞，例如默認密碼。在帶外管理用于對受感染IB網(wǎng)段執(zhí)行修復措施之前，應該修復這些漏洞。

性能監(jiān)控

為了查看帶外網(wǎng)絡如何管理，我們需要監(jiān)控機制。其中一種可能性是Tenable的SecurityCenter Continuous View，這是一個儀表板，可提供對帶外管理設備或系統(tǒng)中漏洞、威脅和網(wǎng)絡流量的風險評估。另一個選項是Cradlepoint的Modem Healthe Management，提供對調(diào)制解調(diào)器的自我健康監(jiān)控、WAN端口速度控制以及基本和高級日志記錄用于故障排除。

企業(yè)應關注《常見漏洞和披露》以及美國CERT對帶外漏洞利用的通告，這些可能是性能監(jiān)控設備可能忽視的漏洞。最重要的是，要比攻擊者領先一步。