[[174097]]

前不久，美國(guó)計(jì)算機(jī)緊急預(yù)備小組聯(lián)手美國(guó)國(guó)土安全部向網(wǎng)絡(luò)安全專業(yè)人員發(fā)布了國(guó)家網(wǎng)絡(luò)安全感知系統(tǒng)(National Cyber Awareness System)建議，其中包含6個(gè)建議方法以緩解對(duì)網(wǎng)絡(luò)基礎(chǔ)設(shè)施設(shè)備的威脅，包括帶外管理。下面是對(duì)這6個(gè)建議的簡(jiǎn)單介紹：

1.分離網(wǎng)絡(luò)和功能。當(dāng)發(fā)現(xiàn)入侵活動(dòng)時(shí)，受影響的網(wǎng)段(而非整個(gè)網(wǎng)絡(luò))應(yīng)該自動(dòng)關(guān)閉，其余部分則繼續(xù)運(yùn)行。

2.限制不必要的橫向通信。通過(guò)基于主機(jī)的防火墻規(guī)則和訪問(wèn)控制列表確保適當(dāng)?shù)耐ㄐ拧?/p>

3.強(qiáng)化網(wǎng)絡(luò)設(shè)備。加密遠(yuǎn)程管理協(xié)議、禁用不必要的服務(wù)并部署最新修復(fù)程序。

4.對(duì)基礎(chǔ)設(shè)施設(shè)備的安全訪問(wèn)。通過(guò)適當(dāng)部署網(wǎng)絡(luò)安全訪問(wèn)政策，防止未經(jīng)授權(quán)訪問(wèn)。

5.執(zhí)行帶外管理。備用路徑用于遠(yuǎn)程管理網(wǎng)絡(luò)基礎(chǔ)設(shè)施設(shè)備以及主動(dòng)響應(yīng)帶內(nèi)網(wǎng)絡(luò)的入侵活動(dòng)。

6.檢查硬件和軟件的完整性?？砂l(fā)現(xiàn)并阻止或移除因入侵活動(dòng)而被篡改的產(chǎn)品。所有網(wǎng)絡(luò)管理員應(yīng)該定期檢查產(chǎn)品完整性。

SDN控制器在帶內(nèi)網(wǎng)絡(luò)對(duì)流量執(zhí)行帶外管理的重要性往往被忽視，SDN控制器可幫助網(wǎng)絡(luò)管理員減少查找和修復(fù)帶內(nèi)網(wǎng)絡(luò)漏洞的時(shí)間，緩解漏洞的措施應(yīng)該是帶外風(fēng)險(xiǎn)管理計(jì)劃的一部分。例如，關(guān)鍵網(wǎng)絡(luò)設(shè)備必須正確配置以讓攻擊者難以觀察管理員在BIOS、設(shè)備配置和鏈接升級(jí)中所作的變更。下面是對(duì)網(wǎng)絡(luò)基礎(chǔ)設(shè)施設(shè)備執(zhí)行帶外管理的一些方法。

在SDN控制器大腦背后是OpenFlow，它是一種通信標(biāo)準(zhǔn)，它使該控制器將控制平面從網(wǎng)絡(luò)設(shè)備的數(shù)據(jù)平面分離。該控制器會(huì)在轉(zhuǎn)發(fā)流量(控制平面)到帶內(nèi)網(wǎng)絡(luò)時(shí)告訴網(wǎng)絡(luò)設(shè)備應(yīng)該做什么，但不會(huì)實(shí)際轉(zhuǎn)發(fā)流量(數(shù)據(jù)平面)。如果網(wǎng)絡(luò)設(shè)備變得擁塞，控制器可指示正常的設(shè)備放入流量。

OpenFlow已被用于鏡像帶內(nèi)流量用于對(duì)流量的帶外管理，這可讓管理員監(jiān)控帶內(nèi)網(wǎng)絡(luò)設(shè)備，而無(wú)論設(shè)備是否開機(jī)、關(guān)機(jī)、無(wú)響應(yīng)或者無(wú)法通過(guò)帶內(nèi)網(wǎng)絡(luò)訪問(wèn)。如果帶內(nèi)網(wǎng)段被發(fā)現(xiàn)無(wú)法開機(jī)，帶外管理可用于重新啟動(dòng)它。

帶外管理部署

帶外管理可物理或虛擬地部署在企業(yè)內(nèi)部，或者以混合方式部署。如果使用多控制器，企業(yè)應(yīng)該考慮邊界網(wǎng)關(guān)協(xié)議(BGP)是否對(duì)帶外管理提供支持。

這種聯(lián)合技術(shù)讓多控制器在控制器之間交流信息，這是跨越兩個(gè)或多個(gè)地理點(diǎn)的大型網(wǎng)絡(luò)的特性。例如，當(dāng)一個(gè)控制器無(wú)法正常工作，相同SDN環(huán)境的其他控制器將自動(dòng)通過(guò)指定路由器獲得數(shù)據(jù)包。企業(yè)的網(wǎng)絡(luò)政策應(yīng)該涵蓋BGP作為對(duì)帶外管理的支持協(xié)議之一。(請(qǐng)注意，一臺(tái)控制器可用于小型商業(yè)網(wǎng)絡(luò))。

如果企業(yè)不想在內(nèi)部部署管理軟件，則可以考慮基于訂閱的云管理服務(wù)。例如，Cradlepoint提供這種服務(wù)作為云產(chǎn)品。另一個(gè)考慮因素是供應(yīng)商是否允許網(wǎng)絡(luò)管理員隨時(shí)隨地使用無(wú)線USB調(diào)制解調(diào)器來(lái)遠(yuǎn)程管理帶外和帶內(nèi)網(wǎng)絡(luò)設(shè)備。

基于供應(yīng)商的帶外管理

有些SDN供應(yīng)商需要企業(yè)部署帶外網(wǎng)絡(luò)以提供更好的延遲時(shí)間，特別是當(dāng)帶內(nèi)網(wǎng)段出現(xiàn)故障時(shí)。這些供應(yīng)商包括Ixia和Gigamon等流量監(jiān)控公司，以及思科、Brocade和惠普等傳統(tǒng)網(wǎng)絡(luò)供應(yīng)商。

智能平臺(tái)管理接口(IPMI)是對(duì)內(nèi)部服務(wù)器或設(shè)備進(jìn)行帶外管理的最常見方法。IPMI使用Base Management Controller(它自己有電源)通信端口和操作系統(tǒng)，基于供應(yīng)商的IPMI設(shè)備包括戴爾DRAC/iDRAC、惠普Integrated Lights-Out和IBM Remote Supervisor。

但I(xiàn)PMI設(shè)備如果沒(méi)有正確配置，則會(huì)出現(xiàn)漏洞，例如默認(rèn)密碼。在帶外管理用于對(duì)受感染IB網(wǎng)段執(zhí)行修復(fù)措施之前，應(yīng)該修復(fù)這些漏洞。

性能監(jiān)控

為了查看帶外網(wǎng)絡(luò)如何管理，我們需要監(jiān)控機(jī)制。其中一種可能性是Tenable的SecurityCenter Continuous View，這是一個(gè)儀表板，可提供對(duì)帶外管理設(shè)備或系統(tǒng)中漏洞、威脅和網(wǎng)絡(luò)流量的風(fēng)險(xiǎn)評(píng)估。另一個(gè)選項(xiàng)是Cradlepoint的Modem Healthe Management，提供對(duì)調(diào)制解調(diào)器的自我健康監(jiān)控、WAN端口速度控制以及基本和高級(jí)日志記錄用于故障排除。

企業(yè)應(yīng)關(guān)注《常見漏洞和披露》以及美國(guó)CERT對(duì)帶外漏洞利用的通告，這些可能是性能監(jiān)控設(shè)備可能忽視的漏洞。最重要的是，要比攻擊者領(lǐng)先一步。